Существует два подхода к проблеме обеспечения безопасности компьютерных систем и сетей (КС): «фрагментарный» и комплексный.

«Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т. п.
Достоинством такого подхода является высокая избирательность к конкретной угрозе. Существенный недостаток - отсутствие единой защищенной среды обработки информации. Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.

Комплексный подход ориентирован на создание защищенной среды обработки информации в КС, объединяющей в единый комплекс разнородные меры противодействия угрозам. Организация защищенной среды обработки информации позволяет гарантировать определенный уровень безопасности КС, что является несомненным достоинством комплексного подхода. К недостаткам этого подхода относятся: ограничения на свободу действий пользователей КС, чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
Комплексный подход применяют для защиты КС крупных организаций или небольших КС, выполняющих ответственные задачи или обрабатывающих особо важную информацию. Нарушение безопасности информации в КС крупных организаций может нанести огромный материальный ущерб как самим организациям, так и их клиентам. Поэтому такие организации вынуждены уделять особое внимание гарантиям безопасности и реализовы-вать комплексную защиту. Комплексного подхода придерживаются большинство государственных и крупных коммерческих предприятий и учреждений. Этот подход нашел свое отражение в различных стандартах.
Комплексный подход к проблеме обеспечения безопасности основан на разработанной для конкретной КС политике безопасности. Политика безопасности регламентирует эффективную работу средств защиты КС. Она охватывает все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Надежная система безопасности сети не может быть создана без эффективной политики сетевой безопасности. Политики безопасности подробно рассматриваются в гл. 3.

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
законодательного (стандарты, законы, нормативные акты и т. п.);
административно-организационного (действия общего характера, предпринимаемые руководством организации, и конкретные меры безопасности, имеющие дело с людьми);
программно-технического (конкретные технические меры). Меры законодательного уровня очень важны для обеспечения
информационной безопасности. К этому уровню относится комплекс мер, направленных на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности.

Информационная безопасность - это новая область деятельности, здесь важно не только запрещать и наказывать, но и учить, разъяснять, помогать. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих проблем. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.

Меры административно-организационного уровня. Администрация организации должна сознавать необходимость поддержания режима безопасности и выделять на эти цели соответствующие ресурсы. Основой мер защиты административно-организационного уровня является политика безопасности (см. гл. 3) и комплекс организационных мер.
К комплексу организационных мер относятся меры безопасности, реализуемые людьми. Выделяют следующие группы организационных мер:
управление персоналом;
физическая защита;
поддержание работоспособности;
реагирование на нарушения режима безопасности;
планирование восстановительных работ.

Для каждой группы в каждой организации должен существовать набор регламентов, определяющих действия персонала.

Меры и средства программно-технического уровня. Для поддержания режима информационной безопасности особенно важны меры программно-технического уровня, поскольку основная угроза компьютерным системам исходит от них самих: сбои оборудования, ошибки программного обеспечения, промахи пользователей и администраторов и т. п. В рамках современных информационных систем должны быть доступны следующие механизмы безопасности:
идентификация и проверка подлинности пользователей;
управление доступом;
протоколирование и аудит;
криптография;
экранирование;
обеспечение высокой доступности.

Необходимость применения стандартов. Информационные системы (ИС) компаний почти всегда построены на основе программных и аппаратных продуктов различных производителей. Пока нет ни одной компании-разработчика, которая предоставила бы потребителю полный перечень средств (от аппаратных до программных) для построения современной ИС. Чтобы обеспечить в разнородной ИС надежную защиту информации требуются специалисты высокой квалификации, которые должны отвечать за безопасность каждого компонента ИС: правильно их настраивать, постоянно отслеживать происходящие изменения, контролировать работу пользователей. Очевидно, что чем разнороднее ИС, тем сложнее обеспечить ее безопасность. Изобилие в корпоративных сетях и системах устройств защиты, межсетевых экранов (МЭ), шлюзов и VPN, а также растущий спрос на доступ к корпоративным данным со стороны сотрудников, партнеров и заказчиков приводят к созданию сложной среды защиты, трудной для управления, а иногда и несовместимой.
Интероперабельность продуктов защиты является неотъемлемым требованием для КИС. Для большинства гетерогенных сред важно обеспечить согласованное взаимодействие с продуктами других производителей. Принятое организацией решение безопасности должно гарантировать защиту на всех платформах в рамках этой организации. Поэтому вполне очевидна потребность в применении единого набора стандартов как поставщиками средств защиты, так и компаниями - системными интеграторами и организациями, выступающими в качестве заказчиков систем безопасности для своих корпоративных сетей и систем.
Стандарты образуют понятийный базис, на котором строятся все работы по обеспечению информационной безопасности, и определяют критерии, которым должно следовать управление безопасностью. Стандарты являются необходимой основой, обеспечивающей совместимость продуктов разных производителей, что чрезвычайно важно при создании систем сетевой безопасности в гетерогенных средах.

Комплексный подход к решению проблемы обеспечения безопасности, рациональное сочетании законодательных, административно-организационных и программно-технических мер и обязательное следование промышленным, национальным и международным стандартам - это тот фундамент, на котором строится вся система защиты корпоративных сетей.

Лекция 31 Введение в безопасность сетей

Лекция 31

Тема: Введение в безопасность сетей

Сетевая безопасность охватывает множество мер и должна рассматриваться как часть общей политики, проводимой организацией (предприятием, компанией, фирмой) по информационной безопасности. В обеспечении безопасности сети занято много служб и используются различные средства. По сетевой безопасности написано огромное количество книг и статей, затрагивающих широкий диапазон ИБ.

Основные понятия.

Эффективность компьютерной сети во многом зависит от степени защищенности обрабатываемой и передаваемой информации. Степень защищенности информации от различного вида угроз при ее получении, обработке, хранении, передаче и использовании называют безопасностью информации.

Актуальность проблеме сетевой безопасности придает широкое использование компьютерных технологий во всех сферах жизни современного общества, а также переход от использования выделенных каналов к публичным сетям (Internet, Frame Relay), который наблюдается при построении корпоративных сетей.

Безопасная сеть (или безопасная связь) обладает свойствами:

■ конфиденциальности (Confidentiality), т.е. защищает данные от несанкционированного доступа, предоставляя доступ к секретным данным только авторизованным пользователям, которым этот доступ разрешен;

■ доступности (Availability), что означает обеспечение постоянного доступа к данным авторизованным пользователям. Безопасная связь характеризуется свойством аутентичности, т.е. способностью отправителя и получателя подтвердить свою личность: отправитель и получатель должны быть уверены в том, что каждый из них является тем, за кого он себя выдает;

■ целостности (Integrity), гарантирующей сохранность данных, которая обеспечивается запретом для неавторизованных пользователей каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Политика безопасности, включающая в себя совокупность норм и правил, регламентирующих процесс обработки информации, формируется на этапе развертывания сети с учетом таких основополагающих принципов, как:

■ комплексный подход к обеспечению безопасности, начиная с организационно-административных запретов и заканчивая встроенными средствами сетевой защиты;

■ предоставление каждому сотруднику предприятия (пользователю компьютеров, информационной системы, сети) того минимального уровня привилегий на доступ к данным, который необходим ему для выполнения своих должностных обязанностей;

■ принцип баланса возможного ущерба от реализации угрозы и за¬трат на ее предотвращение. Например, в некоторых случаях можно отказаться от дорогостоящих аппаратных средств защиты, ужесточив административные меры.

Основная задача политики безопасности состоит в защите от несанкционированного доступа к ресурсам информационной системы. Политика безопасности является эффективным средством, заставляющим всех пользователей корпоративной сети следовать раз и навсегда установленным правилам безопасности. Ее реализация начинается с выявления уязвимых компонентов и угроз и принятия соответствующих контрмер.

Уязвимым является такой компонент, некорректное использование или сбой которого может поставить под угрозу безопасность всей сети. К уязвимым компонентам относят пользователей сети, которые могут нанести вред сознательно, случайно или в силу отсутствия опыта.

Если информация нерегулярно резервируется, перед всей корпоративной сетью возникает вполне реальная угроза потери данных в результате умышленного или случайного повреждения основного накопителя.

Угроза - это потенциальная попытка использования недостатков уязвимого компонента для нанесения вреда. При¬мерами угроз могут служить взломщики, вирусы, пожары, природные катаклизмы.

После оценки возможных угроз (рисков) переходят к выработке контрмер. Под контрмерой понимают действие, позволяющее минимизировать риск от определенного уязвимого компонента или некоторой угрозы. Одной из самых эффективных контрмер минимизации риска потери данных является создание надежной системы резервного копирования.

Результаты оценки рисков и выработанные контрмеры используются для создания плана безопасности, который должен в мельчайших подробностях описывать системные стратегии организации, имеющие непосредственное и отдаленное отношение к вопросам безопасности.

Планирование безопасности сети и данных.

Высокая степень безопасности может быть достигнута путем использования плана, предусматривающего применение различных мер и средств обеспечения безопасности.

Оценка требований к безопасности сетевых данных является первым этапом разработки плана по принятию мер их защиты. При этом должны быть учтены характер деятельности организации и хранящихся в сети данных, стратегия и стиль управления организацией, которые должен знать сетевой администратор и реализовать его в подведомственной ему сети.

Высокий уровень безопасности данных должен поддерживаться в организациях, располагающих данными, которые являются строго конфиденциальными по своей природе. Примером могут служить коммерческие организации, предоставляющие услуги или выпускающие продукцию в областях с высоким уровнем конкуренции. Некоторые виды данных должны быть защищены независимо от характера деятельности организации. К ним относятся бухгалтерская документация, налоговая информация, промышленные секреты (планы деятельности организаций и коммерческие планы, рецепты, технологии изготовления, тексты программ и т.д.).

Для принятия мер по защите данных в сети нужно выявить главные источники угроз их безопасности.

Существуют следующие виды угроз:

■ непреднамеренные, к которым относятся ошибочные действия лояльных сотрудников, стихийные бедствия, ненадежность работы программно-аппаратных средств и др.;

■ преднамеренные, которые явно направлены на причинение ущерба информационной безопасности;

■ внешние, которые проявляются в таких формах, как несанкционированное использование паролей и ключей; атаки DoS (Denial of Service - отказ в обслуживании), направленные на разрыв сетевого соединения или приведение его в неработоспособное состояние; подмена адреса; компьютерные вирусы и черви;

■ внутренние, к которым можно отнести промышленный шпионаж, интриги и недовольство служащих, случайные нарушения и т.п.

В плане безопасности должны быть самым детальным образом перечислить процедуры, выполнение которых предписывается политикой безопасности. Каждый сотрудник, отвечающий за выполнение конкретной процедуры, должен быть предупрежден о возможных последствиях в случае отступления от предписанного способа выполнения процедуры. Рекомендуется взять с сотрудника письменное подтверждение того, что он понимает смысл стратегии безопасности, согласен с ней и обязуется ей следовать, а так¬же регулярно обновлять план, т.е. пересматривать аспекты безопасности, пытаясь определить новые потенциально уязвимые компоненты, угрозы и контрмеры для борьбы с ними, и отражать изменения в плане.

СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Для безопасности сети используется широкий набор различных средств и технологий. Рассмотрим некоторые из них.

Базовые технологии безопасности.

В разных программных и аппаратных продуктах, предназначенных для защиты данных, часто используются одинаковые подходы, приемы и технические решения, которые в совокупности образуют технологию безопасности.

Криптозащита. Разработкой методов преобразования информации в целях ее защиты занимается криптография.

Преобразование общедоступных (понятных для всех) данных к виду, затрудняющему их распознавание, называется шифрованием (Encryption), а обратное преобразование - дешифрованием (Decryption). Шифрование является доступным средством для администраторов и пользователей и одним из эффективных средств обеспечения конфиденциальности информации. Следует выделить два основных способа шифрования данных: перестановку (Transposition), когда в исходных данных изменяют последовательность символов, и замену (Substitution), при которой с помощью некоторого шаблона производят замену всех символов используемого алфавита, например буквы заменяют цифрами.

Операции шифрования и дешифрования данных (информации) осуществляются с помощью ключей, которые создаются с привлечением математических формул.

Метод, при котором для обеих операций используется один ключ, называется симметричной криптографией (Symmetric Cryptography). При асимметричной криптографии (Asymmetric Cryptography) каждый пользователь сети должен располагать двумя ключами: общим (Public key) и частным (Private key). Оба ключа связаны друг с другом с помощью некоторой математической функции. Общий ключ известен каждому пользователю. Зашифрованное с помощью общего ключа сообщение может быть прочитано только с помощью частного ключа. Поскольку предполагается, что пользователь, которому адресуется сообщение, не разглашает свой ключ, он является единственным человеком, который может прочитать сообщение.

Популярны два алгоритма шифрования: симметричный DES (Data Encryption Standard - стандарт шифрования данных, который является официальным стандартом правительства США) и не¬симметричный RSA, разработанный учеными Rivest, Shamir, Adle- man и названный по начальным буквам их фамилий.

Для шифрования, аутентификации и проверки целостности передаваемых по сети пакетов разработан протокол IPSec (IP Securi¬ty), включающий в себя протокол АН (Authentication Header), позволяющий проверять идентичность отправителя, и протокол ESP (Encapsulating Security Payloads), обеспечивающий конфиденциальность самих данных. Протокол IPSec поддерживают маршрутизаторы компании Cisco Systems и ОС Windows 2000/ХР.

Для передачи через Internet зашифрованных, аутентифицированных сообщений используется протокол SSL (Secure Sockets Layer - уровень защищенных сокетов, или гнезд). В этом протоколе криптографическая система с открытым ключом комбинируется с блочным шифрованием данных.

Аутентификация (Authentication).

Это процедура установления подлинности пользователя при запросе доступа к ресурсам системы (компьютеру или сети). Аутентификация предотвращает доступ нежелательных лиц и разрешает доступ всем легальным пользователям. В процедуре аутентификации участвуют две стороны, одна из которых доказывает свое право на доступ (аутентичность), предъявляя некоторые аргументы, другая - проверяет эти аргументы и принимает решение. Для доказательства аутентичности может использоваться некоторое известное для обеих сторон слово (пароль) или уникальный физический предмет (ключ), а также собственные биохарактеристики (отпечатки пальцев или рисунок радужной оболочки глаза).

Наиболее часто при аутентификации используют вводимые с клавиатуры пароли.

Пароль представляет собой зашифрованную последовательность символов, которая держится в секрете и предъявляется при обращении к информационной системе.

Объектами аутентификации могут быть не только пользователи, но и различные устройства, приложения, текстовая и другая информация.

Идентификация субъектов и объектов доступа.

Идентификация предусматривает закрепление за каждым субъектом доступа уникального имени в виде номера, шифра или кода, например, персональный идентификационный номер (Personal Identification Number - PIN), социальный безопасный номер (So¬cial Security Number - SSN) и т. п. Идентификаторы пользователей должны быть зарегистрированы в информационной системе администратором службы безопасности.

При регистрации в базу данных системы защиты для каждого пользователя заносятся такие данные, как фамилия, имя, отчество и уникальный идентификатор пользователя, имя процедуры для установления подлинности и пароль пользователя, полномочия пользователя по доступу к системным ресурсам и др. Идентификацию следует отличать от аутентификации. Идентификация заключается в сообщении пользователем системе своего идентификатора, в то время как аутентификация является процедурой доказательства пользователем того, что именно ему принадлежит введенный им идентификатор.

Это процедура предоставления каждому из пользователей тех прав доступа к каталогам, фай¬лам и принтерам, которыми его наделил администратор. Кроме того, система авторизации может контролировать возможность выполнения пользователями различных системных функций, таких как установка системного времени, создание резервных копий данных, локальный доступ к серверу, выключение сервера и т. п.

■ избирательный, при котором отдельным пользователям (или группам), явно указанным своими идентификаторами, разрешаются или запрещаются определенные операции над определенным ресурсом;

■ мандатный, при котором вся информация в зависимости от степени секретности делится на уровни, а все пользователи сети - на группы, образующие иерархию в соответствии с уровнем допуска к этой информации.

Процедуры авторизации реализуются программными средства¬ми по централизованной схеме, в соответствии с которой пользователь один раз логически входит в сеть и получает на все время работы некоторый набор разрешений по доступу к ресурсам сети, и децентрализованной схеме, когда доступ к каждому приложению должен контролироваться средствами безопасности самого приложения или средствами той операционной среды, в которой оно работает.

Аудит (Auditing). Это фиксация в системном журнале событий, связанных с доступом к защищаемым системным ресурсам. Аудит используется для обнаружения неудачных попыток взлома системы. При попытке выполнить противоправные действия си¬стема аудита идентифицирует нарушителя и пишет сообщение в журнал регистрации. Анализ накопившейся и хранящейся в журнале информации может оказаться действенной мерой защиты от несанкционированного доступа.

Процедура рукопожатий. Для установления подлинности пользователей широко используется процедура рукопожатий (Handshaking - согласованный обмен, квитирование), построенная по принципу вопрос-ответ. Она предполагает, что правильные ответы на вопросы дают только те пользователи, для которых эти вопросы предназначены. Для подтверждения подлинности пользователя система последовательно задает ему ряд случайно вы¬бранных вопросов, на которые он должен дать ответ. Опознание считается положительным, если пользователь правильно ответил на все вопросы.

Технологии защищенного канала широко используются в виртуальных частных сетях, которые требуют принятия дополнительных мер по защите передаваемой информации. Требование конфиденциальности особенно важно, потому что пакеты, передаваемые по публичной сети, уязвимы для перехвата при их прохождении через каждый из узлов (серверов) на пути от источника к получателю. Технология защищенного канала включает в себя:

■ взаимную аутентификацию абонентов при установлении со¬единения;

■ защиту передаваемых по каналу сообщений от несанкционированного доступа;

■ подтверждение целостности поступающих по каналу сообщений.

В зависимости от места расположения программного обеспечения защищенного канала различают две схемы его образования.

1. Схема с конечными узлами (рис.1, а). В этой схеме защищенный канал образуется программными средствами, установленными на двух удаленных компьютерах. Компьютеры принадлежат двум разным АС одной организации и связаны между собой через публичную сеть.

2. Схема с оборудованием поставщика услуг публичной сети, расположенным на границе между частной и публичной сетями (рис. 1, б). В этой схеме защищенный канал прокладывается только внутри публичной сети с коммутацией пакетов. Средствами защиты являются пограничные устройства доступа (ПУД).

Средства безопасности, предоставляемые операционными системами.

Современные ОС способны обеспечить доступ к одному компьютеру и сетевым ресурсам многим пользователям. Для этого используются отдельные учетные записи, которым присвоены разные пароли. После правильного ввода регистрационной информации пользователь может получить доступ к ОС и сети; читать, изменять ресурсы и выполнять любые другие действия, которые соответствуют правам его учетной записи, создавать желаемую конфигурацию пользовательского интерфейса (рабочую среду) и т.д.

Выбор (или назначение) паролей подчинен стратегии обеспечения сетевой безопасности. Пароли должны удовлетворять определенным требованиям. Многие сетевые ОС позволяют администратору задавать длину и время жизни пароля; проверять пароль на наличие заданного пароля в словаре и, если он есть, предотвращать использование пароля; следить, чтобы пароль пользователя не повторялся. Кроме того, администратору предоставляются широкие возможности контроля за доступом к ресурсам. Например, одной и той же учетной записи он может одновременно разрешить просматривать содержимое файла filel. doc, но запретить вносить в него изменения; предоставить право читать, изменять, удалять файл file2. doc и даже устанавливать права доступа к нему других пользователей, а к файлу file3.doc отменить все права доступа.

В файловых системах с высоким уровнем безопасности права доступа можно устанавливать как на разделение ресурсов по сети, так и на использование этих ресурсов на одном и том же локальном компьютере. Локальные и сетевые права доступа могут не со¬впадать. Например, пользователю можно предоставить право пол¬ного контроля над файлом file4 . doc, когда он регистрируется на компьютере, хранящем этот файл, но ограничить право доступа того же пользователя к file4. doc при попытке получить к нему доступ с другого компьютера сети.

Администратор должен знать и учитывать, какими правами до¬ступа наделена данная ОС по умолчанию (сразу после загрузки). Так, по умолчанию разделяемый ресурс в серверах Windows NT/ ХР доступен для любого пользователя сети. Для ограничения прав доступа к ресурсу администратор должен их изменить, а в серверах NetWare разделяемый ресурс недоступен ни для одного пользователя. Здесь предоставление доступа требует явного вмешательства администратора.

Сетевая ОС Windows NT позволяет каждому пользователю назначать четыре вида (или привилегии) доступа к совместно используемому ресурсу: отсутствие доступа (No Access); полный доступ (Full Control); чтение (Read), предоставляющее право просматривать перечень файлов, открывать файлы, изучать их содержимое и копировать файлы на свои носители; редактирование (Change), предоставляющее дополнительную (к Read) возможность изменять содержимое существующих файлов и каталогов. Windows NT позволяет также управлять доступом к локальным файлам. Для этого файлы или каталоги должны быть расположены в логическом разделе жесткого диска, размеченном файловой системой NTFS. Помимо указанных выше привилегий система NTFS позволяет просматривать файлы каталога (привилегия List), добавлять файлы в каталог без изменения их содержимого (Add), просматривать существующие и добавлять новые файлы (Add & Read).

Администратор должен понимать способы назначения привилегий и взаимоотношения между назначенными привилегиями доступа к локальным и совместно используемым ресурсам и при¬менять наиболее эффективный способ назначения привилегий пользователям. При этом пользователи должны быть лишены возможности обращения к не нужным для работы ресурсам.

Система безопасности Windows NT предоставляет возможность регистрации всех происходящих событий. Однако ведение отчетности требует постоянно запущенных приложений, что снижает производительность сети, поэтому к протоколированию событий, которое также отнимает время, администратор и пользователи сети должны походить избирательно и активизировать средства регистрации событий только на тех рабочих станциях, которые этого требуют. Журнал регистрации событий может оказаться полезным источником информации при администрировании сети.

Аппаратные средства защиты.

Основой надежной защиты данных от многих неисправностей аппаратных средств является избыточность. При выходе из строя некоторого сетевого устройства начинает функционировать его резервный дублер. Потерю данных при выходе из строя винчестера можно восполнить файлами, хранящимися в системе резервного копирования.

Некоторые сер¬веры поддерживают возможность установки избыточных устройств, автоматически передающих полномочия отказавшего компонента исправному. Такая избыточность применима к охлаждающим вентиляторам, источникам питания, сетевым адаптерам, жестким дискам и центральным процессорам.

При резервировании электропитания используют избыточные источники электро¬энергии - устройство бесперебойного питания наряду с электро¬сетью. Резервное копирование данных предполагает создание избыточных копий ценных файлов на дополнительных (резервных) носителях. В системах отказоустойчивых дисков данные записываются на избыточных дисках. Высшей степенью избыточности является кластеризация, когда несколько серверов объединяются в группу. В сети кластер серверов виден пользователям как один сервер. Если один из серверов кластера выходит из строя, его обязанности выполняет другой сервер. Пользователи не замечают этого перехода. Средства поддержки кластеризации встроены в такие ОС, как, например Windows NT.

Резервное копирование данных. Оно осуществляется с помощью специальных программ и является действенной мерой защиты от возможной их потери при регулярном выполнении этой процедуры. Наличие резервной копии позволяет быстро восстановить утерянные данные.

Используются следующие способы резервного копирования:

Полное, при котором копируются все данные заданных дисков независимо от того, когда их копирование выполнялось последний раз и вносились ли с тех пор изменения;

Дифференциальное, когда копируются все файлы, которые из¬менялись со времени последнего полного копирования. Дифференциальное копирование выполняется в промежутках между полным копированием, благодаря этому экономится время. Для обновления данных нужно восстанавливать две последних копии - полную и дифференциальную;

Инкрементное. При этом способе копируются все файлы, которые изменялись со времени любого последнего копирования (а не последнего полного копирования). Это наиболее быстрый способ, однако он сложнее и занимает много времени на восстановление данных, так как необходимо восстанавливать последнюю полную копию и все инкрементные копии, созданные со времени последнего полного копирования.

Отказоустойчивая система дисков.

Под отказоустойчивостью понимают способность системы к восстановлению после аварии. Объединение (конфигурация) нескольких физических жестких дисков в отказоустойчивый набор называется системой RAID (Redundant Array of Independent Disks - избыточный набор независимых дисков). Он может быть реализован в не¬скольких различных формах. В зависимости от уровня (0 - 5 и 7) предоставляются различные способы объединения дисков: RAID О, RAID 1, RAID 2, RAID 3, RAID 4, RAID 5.

Брандмауэры позволяют организовать защиту по всему периметру АС, создавая барьер между внутренней АС и соединениями с внешним миром (Internet). Такая защищенная область может быть установлена также в подсети.

Брандмауэр может быть реализован как аппаратным, так и программным способом.

Фактически он является средством фильтрации входящих и исходящих пакетов.

На основе правил безопасности, установленных сетевым администратором, брандмауэр определяет, следует ли пропустить поступивший пакет. Обычно брандмауэры располагают на шлюзах сети, являющихся точками ее соединения с другой сетью.

Программные решения для сетевой безопасности

Межсетевой экран

Сетевой, или межсетевой, экран - это комплекс программно-аппаратных средств, осуществляющий информационную защиту одной части компьютерной сети от другой путем анализа проходящего между ними трафика.

Для сетевого экрана одна часть сети является внутренней, другая внешней. Сетевой экран защищает внутреннюю сеть (например, локальную сеть предприятия или, как вырожденный случай, отдельный компьютер пользователя) от угроз, исходящих из внешней сети (как правило, подразумевают под такой сетью Интернет).

Защиту границ между локальными сетями предприятия и Интернетом обеспечивают корпоративные сетевые экраны, те же функции, но на границе между домашним компьютером и Интернетом, выполняют персональные сетевые экраны.

Для эффективного выполнения сетевым экраном его главной функции защиты - необходимо, чтобы через него проходил весь трафик, которым обмениваются узлы защищаемой части сети с узлами Интернета.

Такое расположение позволяет сетевому экрану полностью контролировать (запрещать, ограничивать или протоколировать) доступ внешних пользователей к ресурсам внутренней сети. Сетевой экран защищает сеть не только от несанкционированного доступа внешних злоумышленников, но от ошибочных действий пользователей защищаемой сети, например таких, как передача во внешнюю сеть конфиденциальной информации.

Чтобы осуществлять контроль доступа, сетевой экран должен уметь выполнять следующие функции:

ѕ анализировать, контролировать и регулировать трафик (функция фильтрации);

ѕ играть роль логического посредника между внутренними клиентами и внешними серверами (функция прокси-сервера);

ѕ фиксировать все события, связанные с безопасностью (функция аудита).

ѕ Наряду с этими базовыми функциями на сетевой экран могут быть возложены и другие вспомогательные функции защиты, в частности:

ѕ антивирусная защита;

ѕ шифрование трафика;

ѕ фильтрация сообщений по содержимому, включая типы передаваемых файлов, имена DNS и ключевые слова;

ѕ предупреждение и обнаружение вторжений и сетевых атак;

ѕ функции VPN;

ѕ трансляция сетевых адресов.

Как можно заметить, большинство из перечисленных функций реализуются в виде отдельных продуктов или в составе систем защиты других типов. Так, функции пакетной фильтрации встроены практически во все маршрутизаторы, задача обнаружения вирусов решается множеством разнообразных программ, шифрование трафика -- неотъемлемый элемент технологий защищенных каналов и т. д., и т. п. Прокси-серверы часто поставляются в виде приложений, более того, они сами часто интегрируют в себе многие функции, свойственные сетевым экранам, такие, например, как аутентификация, трансляция сетевых адресов или фильтрация по содержимому (контенту).

Отсюда возникают сложности при определении понятия «сетевой экран». Например, довольно распространено мнение, что сетевой экран -- это пограничное устройство, выполняющее пакетную фильтрацию (то есть маршрутизатор), а прокси-сервер -- это совершенно отличный от сетевого экрана инструмент защиты. Другие настаивают, что прокси-сервер является непременным и неотъемлемым атрибутом сетевого экрана. Третьи считают, что сетевым экраном может быть названо только такое программное или аппаратное устройство, которое способно отслеживать состояние потока пакетов в рамках соединения. Так что будем придерживаться широко распространенной точки зрения о том, что сетевой экран -- это программно-аппаратный комплекс, выполняющий разнообразные функции по защите внутренней сети, набор которых может меняться в зависимости от типа, модели и конкретной конфигурации сетевого экрана.

Система обнаружения вторжений

Система обнаружения вторжений (СОВ) (англ. Intrusion Detection System (IDS)) -- программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа (вторжения или сетевой атаки) в компьютерную систему или сеть.

IDS всё чаще становятся необходимым дополнением инфраструктуры сетевой безопасности. В дополнение к межсетевым экранам (firewall), работа которых происходит на основе политики безопасности, IDS служат механизмами мониторинга и наблюдения подозрительной активности. Они могут обнаружить атакующих, которые обошли Firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет дальнейшие шаги по предотвращению атаки. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует и не маленькая.

Использование IDS помогает достичь нескольких целей:

ѕ обнаружить вторжение или сетевую атаку;

ѕ спрогнозировать возможные будущие атаки и выявить уязвимости для предотвращения их дальнейшего развития. Атакующий обычно выполняет ряд предварительных действий, таких как, например, сетевое зондирование (сканирование) или другое тестирование для обнаружения уязвимостей целевой системы;

ѕ выполнить документирование существующих угроз;

ѕ обеспечить контроль качества администрирования с точки зрения безопасности, особенно в больших и сложных сетях;

ѕ получить полезную информацию о проникновениях, которые имели место, для восстановления и корректирования вызвавших проникновение факторов;

ѕ определить расположение источника атаки по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Система предотвращения вторжений (англ. Intrusion Prevention System (IPS)) -- программное или аппаратное средство, которое осуществляет мониторинг сети или компьютерной системы в реальном времени с целью выявления, предотвращения или блокировки вредоносной активности.

В целом IPS по классификации и свои функциям аналогичны IDS. Главное их отличие состоит в том, что они функционируют в реальном времени и могут в автоматическом режиме блокировать сетевые атаки. Каждая IPS включает в себя модуль IDS.

Как уже сказано выше, правильное размещение систем IDS/IPS в сети не оказывает влияния на её топологию, но зато имеет огромное значение для оптимального мониторинга и достижения максимального эффекта от её защиты.

Резервное копирование данных

Тема резервного копирования рабочей Unix-подобной операционной системы (как правило, Linux) регулярно всплывает в списках рассылки и форумах, посвященных Linux. И неизменно кто-нибудь советует просто архивировать с помощью tar cvfz backup.tgz /bin /boot /etc ... К сожалению, для создания правильной резервной копии понадобится больше усилий.

В правильном бэкапе сохраняются не только данные. Там содержатся и данные о данных: метаданные. Также копируются атрибуты конкретной файловой системы и файлы специальных устройств, необходимые для работы ОС. Жизненно важно, чтобы носитель резервной копии и программы для работы с ней могли обеспечить такое копирование. Например, категорически не рекомендую делать резервную копию файловой системы Ext3 (стандартная файловая система в Linux) на разделы, форматированные в FAT32/FAT16 (допотопная файловая система от Microsoft, все еще встречающаяся на USB-накопителях и подобных устройствах, хотя их можно, конечно же, форматировать в любую файловую систему).

На разделах с ФС Ext3 метаданные файлов включают в себя: время изменения файла, время изменения индексного дескриптора (inode), время последнего доступа, идентификаторы пользователя и группы, а также права доступа к файлам и каталогам. Если есть расширенные атрибуты, метаданных может быть намного больше, в основном за счет информации из списка управления доступом (ACL, Access Control List). Чем больше данных будет скопировано, тем лучше. Разумеется, если не сохранить и не восстановить права доступа, это приведет к неработоспособности системы. Это верно даже для таких простых вещей, как mtime (modification time, время изменения содержимого файла). Например, в дистрибутиве Gentoo Linux mtime используется для того, чтобы определить, относятся ли файлы к конкретному пакету или они изменены потом. Если не восстановить верное время изменения файлов, система управления пакетами будет полностью неработоспособна.

В зависимости от используемого ПО могут потребоваться разные шаги для сохранения всей этой информации. Например, при использовании tar с параметрами по умолчанию нельзя сохранить верную информацию о правах доступа. Если провести быстрый тест, может показаться, что это возможно, но это обманчивое впечатление. С параметрами по умолчанию tar распаковывает файлы с настройками umask (user file creation mode mask, маска режима создания пользовательских файлов) текущего пользователя. Если текущие настройки umask достаточно свободные, то файлы могут быть восстановлены со своими настройками прав, но при более жестких параметрах umask эти ограничения будут применены и к восстановленным файлам. Чтобы это предотвратить, tar надо использовать с параметром --preserve-permissions.

Информация о владельцах файлов может храниться двумя способами: в числовом и в текстовом виде. Многие программы для резервного копирования предпочитают текстовое представление для удобства чтения человеком, но при создании резервной копии всей системы это нежелательно. Вполне вероятно, что вы будете восстанавливать систему с помощью какого-нибудь Live CD, тогда как резервная копия создавалась на самой копируемой системе. При восстановлении файлы, принадлежащие пользователю bin, получат идентификатор (ID) файловой системы, основанный на данных файла /etc/passwd с Live CD. Если это будет, например, ID 2, но тот же идентификатор в восстанавливаемой системе присвоен пользователю daemon, то файлы, принадлежащие bin, будут принадлежать daemon. Поэтому всегда следует хранить информацию о владельцах файлов в числовом виде. Для этого в tar есть параметр --numeric-owner. В rdiff-backup существует аналогичный параметр --preserve-numerical-ids, добавленный с версии 1.1.0. В dar никогда не будет поддержки текстового представления.

Некоторые программы для резервного копирования (например, tar и dar) могут восстанавливать atime (access time, время последнего доступа) после чтения файлов во время создания копии. Это делается для того, чтобы копии максимально точно соответствовали оригиналу. Этой функцией следует пользоваться с осторожностью, так как восстановление atime изменяет ctime (change time, время изменения индексного дескриптора). С этим ничего не поделаешь, так как ctime невозможно установить принудительно. В man-странице dar говорится, что NNTP-сервер Leafnode при кешировании рассчитывает, что время последнего доступа восстановлено, но обычно очень редко требуется восстанавливать atime. Для любой программы предполагать, что значение atime восстановлено в резервной копии -- это серьезный изъян. Время доступа может меняться произвольно, даже пользователем, не имеющим доступа на запись файла. К тому же программы для автоматического индексирования, такие как Beagle, могут изменять atime. Кроме того, изменение в ctime может вызвать срабатывание отдельных программ для защиты компьютера. Как уже говорилось, ctime нельзя установить принудительно, а значит, если у файла изменено значение ctime при неизменном со времени последней проверки mtime, этот файл мог быть заменен другим, обычно это свидетельствует о внедрении руткита. Следовательно, сохранять время доступа имеет смысл, только если вы абсолютно точно знаете, что делаете. По умолчанию dar сохраняет atime. Изменения, исправляющие такое поведение, уже внесены в CVS, и скорее всего появятся в версии 2.4.0. Для старых версий следует использовать параметр --alter=atime.

Ссылки бывают двух типов: символические и жесткие. Символическая ссылка, или симлинк, -- это просто указатель на другое место файловой системы. Жесткая ссылка, или хардлинк -- это дополнительный указатель для inode (индексного дескриптора).

Для сохранения символических ссылок все, что надо сделать, это удостовериться, что приложение для резервного копирования сохраняет ссылку, а не файл, на который она указывает. Не все программы так себя ведут с настройками по умолчанию, так что будьте осторожны.

Жесткие ссылки требуют несколько больше внимания. Как уже говорилось, жесткая ссылка -- это в принципе второе (третье, четвертое...) имя файла. Если у вас есть файл A и ссылающийся на него файл B, они ведут себя, как если бы у вас было два файла. Если оба файла по 1 ГБ, они будут занимать 1 ГБ на диске, но приложения будут считать, что они занимают 2 ГБ. Так как файл B -- не просто ссылка на A, а другое имя для того же файла, можно безболезненно удалить файл A. Файл B не будет удален при удалении файла A.

Большинство приложений для резервного копирования поддерживают жесткие ссылки, но только если они все находятся в одном дереве каталогов. Если копировать каталоги /bin, /etc, /usr и т. д. отдельной командой cp -a для каждого, то информация о жестких ссылках не будет распознана и скопирована. Так как жесткие ссылки не могут указывать на файл в другой файловой системе, достаточно копировать и восстанавливать по одному разделу за раз. Например, если каталог /home вынесен на отдельный раздел, можно сделать отдельный архив с корневым каталогом / без /home и отдельный архив только с /home. Если создавать архив, включающий в себя все точки монтирования, понадобятся дополнительные действия, чтобы данные восстанавливались на нужных разделах. Если программе не мешают существующие каталоги, можно перед восстановлением данных создать точки монтирования с теми же именами в новой файловой системе. В противном случае должен помочь такой вариант: сначала восстановить данные на один раздел, а затем скопировать части на свои разделы с помощью cp -a. Не используйте mv для перемещения данных. Представьте, что будет, если программа аварийно завершится, не закончив работу.

В Linux и других Unix-подобных операционных системах широко используются жесткие ссылки.

Разреженный файл (sparse file) -- файл, в котором нули не записываются на диск как нули, а просто не размечаются. Благодаря этому, например, гигабайтный файл с большим количеством пустого места может занимать всего мегабайт. Такие файлы использует торрент-клиент Azureus.

В программах для резервного копирования поддержка разреженных файлов есть далеко не всегда. При использовании программы, не поддерживающей разреженные файлы, файл считывается как обычный. Данные в файле остаются те же, но он может занимать гораздо больше места. Будьте осторожны, резервная копия может не вместиться на предназначенный для нее диск при восстановлении, если разреженные файлы создаются как обычные.

Для файлов, загружаемых через торренты, это не слишком страшно, они так или иначе при загрузке будут заполнены данными. Но при наличии большого количества разреженных файлов, которые должны оставаться разреженными, необходима программа для резервного копирования с поддержкой разреженных файлов. Но в любом случае, даже если файл определен как разреженный, копия не будет размещена там же и так же, как оригинал, так как эту информацию нельзя получить. Вместо этого будет создан новый разреженный файл, в котором неразмеченные области будут использованы на усмотрение создающей его программы. Однако, это не должно стать проблемой.

Существуют и другие специальные файлы, такие как FIFO, именованные конвейеры (named pipes), блочные устройства и т. д. Они ничем особо не примечательны и большинство приложений знает, как с ними работать. Но надо обязательно указывать правильные параметры. Например, cp без параметра -a попытается скопировать данные именованного конвейера вместо того, чтобы воссоздать его.

Есть также и специальные каталоги: lost+found (в файловых системах Ext2/3/4). На самом деле это вообще не каталог, его невозможно создать программой mkdir. Вместо нее используйте mklost+found. Если не знаете,lost+found используется для хранения файлов, восстановленных программой e2fsck при повреждении файловой системы.

Чтобы сэкономить место на носителе с резервной копией, можно не сохранять некоторые каталоги.

Есть еще особые файловые системы, монтируемые в корневую, которые динамически создаются при загрузке, их не надо сохранять.

Создавая резервную копию работающей системы, не следует забывать о программах, которые могут изменить свои данные во время копирования. Удачный пример -- это базы данных, такие как MySQL или PostgreSQL, а также данные почтовых программ (файлы mbox более уязвимы, чем maildir). Файлы данных (обычно хранящиеся где-нибудь в /var) могут быть подвержены изменениям в работающей системе. Это может быть вызвано обычными операциями или автоматической очисткой базы данных. Никогда не полагайтесь на файлы с данными работающей базы данных, LDAP-сервера, репозитория Subversion или любых подобных программ, которые вы используете.

Если остановить работу этих программ перед резервным копированием не представляется возможным, необходимо запланировать задания по периодическому сохранению дампов базы данных.

Создание запланированных дампов всегда полезно, независимо от ситуации. При внезапном повреждении данных останутся дампы предыдущих состояний базы и не все будет потеряно. А если дамп хранится в локальной файловой системе, не придется мучиться с поиском в резервных копиях, когда возникнет необходимость восстановить базу данных (или иные данные приложений).

Для персонального использования предназначен режим WPA-PSK. Он предусматривает применение заранее заданных ключей шифрования (пароль доступа), одинаковых для всех сетевых устройств, а первичная аутентификация пользователей осуществляется с использованием данного ключа.

Для настройки WPA-шифрования в окне настройки точки доступа или маршрутизатора необходимо выбрать тип аутентификации WPA-PSK и установить тип шифрования (WPA Encryption) TKIP или AES. Затем задается ключ шифрования (WPA-PSK Passphrase). В качестве ключа может быть любое слово. Этот ключ, как и ключ в случае WEP-шифрования, задается на всех устройствах.

В качестве алгоритмов шифрования при использовании стандарта WPA выбран TKIP.

Шифрование WPA-PSK по методу TKIP считается неприступной стеной для несанкционированного доступа и представляет собой еще более мощный способ защиты, ранее используемый в сетях VPN. Эта технология поддерживается не всем современным сетевым оборудованием.

В режиме PSK беспроводной доступ не может управляться индивидуально или централизованно. Один пароль распространяется на всех пользователей, и он должен быть вручную изменен на каждом беспроводном устройстве после того, как он вручную изменяется на беспроводном маршрутизаторе или на точке доступа. Данный пароль хранится на беспроводных устройствах. Таким образом, каждый пользователь компьютера может подключиться к сети, а также увидеть пароль.

Большим плюсом при внедрении EWPA является возможность работы технологии на существующем аппаратном обеспечении Wifi.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP ключей.

Концепция "авторитетных рекомендаций" представляет собой набор указаний, которые обеспечивают должный уровень безопасности. Авторитетные рекомендации (далее - рекомендации) - это комбинация указаний, эффективность которых доказана при применении в самых различных организациях. Не все указания пригодны для использования в конкретной организации. В некоторых компаниях необходимы дополнительные политики и процедуры, обучение персонала или контроль за технической безопасностью для достижения приемлемого уровня управления безопасностью .

Административная безопасность

Рекомендации по административной безопасности - это те решения, которые соответствуют политикам и процедурам, ресурсам, степени ответственности, потребностям в обучении персонала и планам по выходу из критических ситуаций. Эти меры призваны определить важность информации и информационных систем для компании и объяснить персоналу, в чем именно заключается эта важность. Рекомендации по обеспечению административной безопасности определяют ресурсы, необходимые для осуществления должного управления рисками и определения лиц, несущих ответственность за управление безопасностью организации.

Политики и процедуры

Политики безопасности определяют метод, согласно которому обеспечивается безопасность внутри организации. После определения политики предполагается, что большинство сотрудников компании будут ее соблюдать. Следует понимать, что полного и безоговорочного выполнения политики не будет. В некоторых случаях политика будет нарушаться из-за требований, связанных с деловой деятельностью организации. В других случаях игнорирование политики обусловлено сложностью ее выполнения.

Даже принимая во внимание тот факт, что политика будет выполняться не постоянно, она формирует ключевой компонент программы по обеспечению безопасности и должна быть включена в перечень рекомендаций по защите. При отсутствии политики сотрудники не будут знать, что делать для защиты информации и компьютерных систем.

• Информационная политика. Определяет степень секретности информации внутри организации и необходимые требования к хранению, передаче, пометке и управлению этой информацией.
• Политика безопасности. Определяет технические средства управления и настройки безопасности, применяемые пользователями и администраторами на всех компьютерных системах.
• Политика использования . Определяет допустимый уровень использования компьютерных систем организации и штрафные санкции, предусмотренные за их нецелевое использование. Данная политика также определяет принятый в организации метод установки программного обеспечения и известна как политика приемлемого использования.
• Политика резервного копирования. Определяет периодичность резервного копирования данных и требования к перемещению резервных данных в отдельное хранилище. Кроме того, политики резервного копирования определяют время, в течение которого данные должны быть зарезервированы перед повторным использованием.

Политики сами по себе не формируют исчерпывающих инструкций по выполнению программы безопасности организации. Следует определить процедуры, согласно которым сотрудники будут выполнять определенные задачи, и которые будут определять дальнейшие шаги по обработке различных ситуаций с точки зрения безопасности. Внутри организации должны быть определены следующие процедуры.

• Процедура управления пользователями. Определяет, кто может осуществлять авторизованный доступ к тем или иным компьютерам организации, и какую информацию администраторы должны предоставлять пользователям, запрашивающим поддержку. Процедуры управления пользователями также определяют, кто несет ответственность за информирование администраторов о том, что сотруднику больше не требуется учетная запись. Аннулирование учетных записей важно с той точки зрения, чтобы доступ к системам и сетям организации имели только лица с соответствующими деловыми потребностями.
• Процедуры системного администрирования. Описывают, каким образом в данный момент времени применяется политика безопасности на различных системах, имеющихся в организации. Эта процедура подробно определяет, каким образом должна осуществляться работа с обновлениями и их установка на системы.
• Процедуры управления конфигурацией. Определяют шаги по внесению изменений в функционирующие системы. Изменения могут включать в себя обновление программного и аппаратного обеспечения, подключение новых систем и удаление ненужных систем.

Примечание

Во многих организациях управление обновлениями представляет собой большую проблему. Отслеживание обновлений для снижения уровня уязвимости систем, а также тестирование этих обновлений перед установкой на функционирующие системы (чтобы не отключать работающие приложения) занимает очень много времени, но эти задачи очень важны для любой организации.

Наряду с процедурами по управлению конфигурацией устанавливаются методологии разработки новых систем. Они очень важны для управления уязвимостями новых систем и для защиты функционирующих систем от несанкционированного изменения. Методология разработки определяет, как и когда должны разрабатываться и применяться меры защиты. Необходимо делать акцент на этих сведениях при проведении любых инструктажей разработчиков и менеджеров проектов.