logo search
голенда часть 3

7.7. Обеспечение безопасности в компьютерных сетях

Информационный ресурс корпоративного уровня особен­но уязвим и требует качественной и надежной защиты, так как информационная структура разнородна и состоит из рас­пределенных систем, технологий, баз и банков данных. Ме­роприятия по защите корпоративной информации должны обеспечивать выполнение следующих задач:

• защита от проникновения в компьютерную сеть и утеч­ки информации из сети по каналам связи;

• разграничение потоков информации между сегментами сети;

• защита наиболее критичных ресурсов сети от вмеша­тельства в нормальный процесс функционирования;

• защита важных рабочих мест и ресурсов от несанкцио­нированного доступа;

• криптографическая защита наиболее важных инфор­мационных ресурсов.

Работа с сервисами сети Интернет существенно увеличива­ет диапазон угроз информации, обрабатываемой в корпорации.

Для поддержания режима информационной безопаснос­ти в компьютерных сетях особенно важны программно-тех­нические меры и средства. Ключевыми механизмами явля­ются: идентификация и аутентификация; управление досту­пом; технологии обнаружения атак; протоколирование и ре­гистрация; криптография и сетевая защита; экранирование.

Использование в корпоративных сетях межсетевых экра­нов предотвращает возможность нарушения пользователями установленных администраторами правил безопасности ин­формации, позволяет решать ряд задач:

• безопасное взаимодействие пользователей и информа­ционных ресурсов, расположенных в экстранет- и интра-нет-сетях, с внешними сетями;

• создание технологически единого комплекса мер защи­ты для распределенных и сегментированных локальных се­тей подразделений предприятия;

• построение иерархической системы защиты, предо­ставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпора­тивной сети.

Для защиты информации, передаваемой по открытым ка­налам связи, поддерживающим протоколы TCP/IP, суще­ствует ряд программных продуктов, предназначенных для построения VPN на основе международных стандартов IPSec. Виртуальные сети создаются чаще всего на базе арен­дуемых и коммутируемых каналов связи в сетях общего пользования (сеть Интернет). Для небольших и средних ком­паний они являются хорошей альтернативой изолирован­ным корпоративным сетям, так как обладают преимущест­вами: высокая гарантированная надежность, изменяемая то­пология, простота конфигурирования и масштабирования, контроль всех событий и действий в сети, относительно не­высокая стоимость аренды каналов и коммуникационного оборудования.

Системы шифрования с открытым криптографическим интерфейсом реализуют различные криптоалгоритмы. Это дает возможность использовать продукты в любой стране мира в соответствии с принятыми национальными стандар­тами. В настоящее время информационные продукты, пред­назначенные для шифрования в корпоративных сетях, уста­навливаются только на тех рабочих местах, на которых хра­нится очень важная информация.

Наличие разнообразных модификаций (для клиентских, серверных платформ, сети масштаба офиса, генерации клю­чевой информации) позволяет подбирать оптимальное по стоимости и надежности решение с возможностью постепен­ного наращивания мощности системы защиты.

В связи с постоянными изменениями сети важно свое­временное выявление новых уязвимых мест, угроз и атак на информационные ресурсы и внесение изменений в соответ­ствующие настройки информационного комплекса и его под­систем, и в том числе в подсистему защиты. Для этого рабо­чее место администратора системы должно быть укомплек­товано специализированными программными средствами обследования сетей и выявления уязвимых мест (наличия «дыр») для проведения атак «извне» и «снаружи», а также комплексной оценки степени защищенности от атак нару­шителей. Например, в состав продуктов Элвис, Net Pro VPN входят наиболее мощные среди обширного семейства коммерческих пакетов продукты компании Internet Security Systems (Internet Scanner и System Security Scanner), а также продукты компании Cisco: система обнаружения несанкцио­нированного доступа NetRanger и сканер уязвимости систе­мы безопасности NetSonar. Поддержка процесса идентификации и аутентификации пользователей и реализация механизма интеграции суще­ствующих приложений и всех компонент подсистемы безо­пасности осуществляется на основе технологии построения инфраструктуры открытых ключей (Public Key Infrastru-ture — PKI). Основными функциями PKI являются поддерж­ка жизненного цикла цифровых ключей и сертификатов (генерация, распределение, отзыв и пр.)- Несмотря на суще­ствующие международные стандарты, определяющие функ­ционирование системы PKI и способствующие ее взаимодей­ствию с различными средствами защиты информации, к со­жалению, не каждое средство информационной защиты, даже если его производитель декларирует соответствие стан­дартам, может работать с любой системой PKI.

Наиболее критичными с точки зрения безопасности ре­сурсами в корпоративных сетях являются серверы. Основ­ным способом вмешательства в нормальный процесс их функ­ционирования является проведение атак с использованием уязвимых мест сетевого аппаратного и программного обеспе­чения- Основная задача — своевременное обнаружение ата­ки и противодействие ей.

Защита важных рабочих мест и ресурсов от несанкциони­рованного доступа как средство обеспечения информацион­ной безопасности в компьютерных сетях проводится с помо­щью дополнительных средств защиты, в частности крипто­графических, регламентирование и протоколирование дей­ствий пользователей, разграничение прав пользователей по доступу к локальным ресурсам.

Одним из важнейших методов повышения безопасности сетей является использование средств, предусмотренных в стандартных протоколах их построения (модель OSI). Фак­тически обязательно применение следующих методов: орга­низация доменов безопасности на уровне транспортной сети и на уровне сервиса электронной почты; регистрация попы­ток пользователей установления соединений вне заданных доменов безопасности; протокольная аутентификация уста­навливаемых соединений; определение доступного сервиса для каждого конкретного абонента и др.

Проблема защиты информации сети Интернет сегодня са­мая актуальная и в ней выделяются две категории: общая безопасность и надежность финансовых операций. Безопас­ность сети можно обеспечивать на различных уровнях сете­вого взаимодействия (рис. 7.6, табл. 7.3) с использованием различных протоколов защиты.

В качестве протокола сетевого уровня в настоящее время используется протокол IPv6, который обеспечивает расши­ренное адресное пространство; улучшенные возможности маршрутизации; управление доставкой информации; сред­ства обеспечения безопасности, использующие алгоритмы аутентификации и шифрования. Спецификация IPsec, вхо­дящая в стандарт IPv6, предусматривает стандартный спо­соб шифрования трафика на сетевом уровне IP и обеспечивает защиту на основе сквозного шифрования (шифрует каждый проходящий по каналу пакет независимо от приложения, что позволяет создавать в сети Интернет виртуальные част­ные сети). IPsec использует различные методы обеспечения комплексной информационной безопасности (применение цифровой подписи с использованием открытого ключа; алго­ритм шифрования, подобный DES, для шифрования переда­ваемых данных; использование хэш-алгоритма для опреде­ления подлинности пакетов и др.).

Преимущества применения IPsec на сетевом уровне: под­держка отличных от TCP протоколов; поддержка виртуаль­ных сетей в незащищенных сетях; более надежная защита от анализа трафика; защита от атак типа «отказ в обслужи­вании» и др.

Ядро IPSec составляют три протокола: протокол аутенти­фикации (Authentic-cation Header, АН — гарантирует цело­стность и аутентичность данных), протокол шифрования (Encapsulation Security Payload, ESP — шифрует передавае­мые данные, гарантируя конфиденциальность, но он может также поддерживать аутентификацию и целостность дан­ных) и протокол обмена ключами (Internet Key Exchange, IKE — решает вспомогательную задачу автоматического предоставления конечным точкам канала секретных клю­чей, необходимых для работы протоколов аутентификации и шифрования данных).

Протокол IPsec создавался в рамках разработок средств защищенной передачи пакетов в сети Интернет-2.