Для иллюстрации приведем краткое описание системы защиты локальной вычислительной сети на основе ОС Novell NetWare, известной под названием «Secret NET» [1,9].
Назначение системы защиты. Система защиты «Secret NET» (далее по тексту Система защиты) предназначена для обеспечения защиты хранимой и обрабатываемой в локальной вычислительной сети (ЛВС) информации от несанкционированного доступа (ознакомления, искажения, разрушения) и противодействия попыткам нарушения нормального функционирования ЛВС и прикладных систем на ее основе.
В качестве защищаемого объекта выступает ЛВС персональных ЭВМ типа IBM PC/AT и старше, работающих под управлением операционной системы MS-DOS версий 3.30-6.2 (рабочие станции) и сетевой операционной системы Novell NetWare 3.1x (файловые серверы), объединенных при помощи сетевого оборудования Ethernet, Arcnet или Token-Ring. Максимальное количество защищенных станций — 256, защищенных файловых серверов — 8, уникально идентифицируемых пользователей — 255.
Системой защиты обеспечивается:
1) защита от лиц, не допущенных к работе с системой обработки информации;
2) регламентация (разграничение) доступа законных пользователей и программ к информационным, программным и аппаратным
ресурсам системы в строгом соответствии с принятой в организации политикой безопасности;
3) защита ЭВМ сети от внедрения вредоносных программ (закладок), а также инструментальных и технологических средств проникновения;
4) целостность критических ресурсов Системы защиты и среды исполнения прикладных программ;
5) регистрация, сбор, хранение и выдача сведений обо всех событиях, происходящих в сети и имеющих отношение к ее безопасности;
6) централизованное управление средствами Системы защиты. Для решения перечисленных задач Система защиты включает следующие подсистемы (ПС):
1) идентификации и аутентификации пользователей;
2) разграничения доступа к ресурсам;
3) контроля целостности;
4) регистрации;
5) управления средствами защиты (администрирования).
Функциональное назначение названных подсистем видно из их названия.
Общее содержание функций подсистем заключается в следующем.
ПС идентификации и аутентификации. Подсистема выполняет функцию идентификации/аутентификации (проверки подлинности) пользователя при каждом его входе в Систему защиты, а также после каждой приостановки его работы. Для идентификации в системе каждому пользователю присваивается уникальное имя. Обеспечивается работа с именами длиной до 12 символов (символов латинского алфавита и специальных символов). Вводимое имя отображается на экране рабочей станции.
Проверка подлинности пользователя осуществляется после его идентификации для подтверждения того, что пользователь действительно является тем, кем представился. Она осуществляется путем проверки правильности введенного пароля. Поддерживается работа с паролями длиной до 16 символов. Вводимый пароль не отображается на экране рабочей станции.
При неправильно введенном пароле на экран выдается сообщение об ошибке и подается звуковой сигнал. При трехкратном неверном вводе пароля блокируется клавиатура, выдается сообщение о попытке НСД на сервер управления-доступом и осуществляется оперативное оповещение администратора безопасности, регистри
руется попытка НСД в системном журнале и выдается звуковой сигнал.
Пароли администратора и всех пользователей системы хранятся в зашифрованном виде и могут быть изменены как администратором безопасности, так и конкретным пользователем (изменение только своего пароля) при помощи специальных программных средств.
Для повышения защищенности идентификация/аутентификация пользователя может проводиться до загрузки операционной системы. Это обеспечивается специальным техническим устройством (микросхемой ПЗУ или платой Secret NET Card).
ПС разграничения доступа. ПС реализует концепцию диспетчера доступа, при которой ПС является посредником при всех обращениях субъектов к объектам доступа (попытки обращения к объекту в обход ПС приводят к отказу в доступе); может работать в одном из двух режимов функционирования: основном и технологическом.
Технологический режим предназначен для точного определения объектов, к которым должен иметь доступ пользователь, и прав доступа к ним. При работе в этом режиме Система защиты только регистрирует все попытки доступа к защищаемым ресурсам в системном журнале и выдает предупреждающие сообщения на экран.
В основном режиме Система защиты не только регистрирует попытки доступа к защищаемым ресурсам, но и блокирует их.
ПС обеспечивает контроль доступа субъектов к следующим объектам:
1) физическим и логическим устройствам (дискам, принтерам);
2) каталогам дисков;
3) файлам;
4) физическим и логическим секторам дисков.
В подсистеме реализована сквозная иерархическая схема действия прав доступа к локальным объектам рабочей станции, при которой объект нижнего уровня наследует права доступа объектов доступа верхних уровней (диск-каталог-файл).
Любой объект на рабочей станции может обладать меткой безопасности. Метка безопасности указывает, какие операции может произвести субъект над данным объектом, кто является его владельцем, а также признак, разрешающий программе (если данный объект — программа) работу с физическими секторами дисков. Метка безопасности Заполняется при создании объекта и может корректироваться как пользователем-владельцем объекта, так и администратором.
Права доступа пользователя к объектам системы могут принимать следующие значения:
• запрет доступа — пользователь не имеет возможности выполнять с объектом какие-либо действия;
• наличие доступа — в этом случае уровень доступа может быть одним из следующих: доступ на чтение, доступ на запись, доступ на исполнение (субъект может только запустить объект на исполнение).
Управление доступом. Управление доступом к локальным логическим или физическим дискам осуществляется при помощи информации о доступе, помещаемой в паспорт пользователя при его создании администратором. Управление доступом к удаленным дискам, каталогам и файлам осуществляется администратором системы при помощи утилит системы разграничения доступа сетевой ОС Novell NetWare 3. lx.
Пользователю предоставлена только возможность назначения прав доступа других пользователей к принадлежащим ему (созданным им) объектам.
Для реализации избирательного управления доступом подсистема поддерживает замкнутую среду доверенного программного обеспечения (при помощи индивидуальных для каждого пользователя списков программ, разрешенных для запуска). Создание и ведение списков программ возложено на администратора. Для этого в его распоряжении имеются специальные программные средства.
Для совместного использования программ и данных Система защиты предусматривает возможность объединения пользователей в группы. Права доступа группы наследуются всеми пользователями этой группы.
ПС контроля целостности. В системе контролируется целостность следующих объектов: операционных систем локальных рабочих станций, программ Системы защиты, файлов паспортов пользователей и системных областей локальных дисков рабочих станций, а также файлов пользователей (по их требованию). Контроль осуществляется методом контрольного суммирования с использованием специального алгоритма и производится периодически администратором. Для этого ему предоставлены соответствующие программные средства.
В случае обнаружения нарушения целостности контролируемых объектов производится регистрация этого события в системном журнале и оперативное оповещение администратора. В случае нарушения целостности системных областей диска, кроме того, производится их восстановление с использованием резервных копий.
ПС регистрации событий безопасности. ПС регистрации обеспечивает:
1) ведение и анализ журналов регистрации событий безопасности (системных журналов), причем журнал регистрации ведется для каждой рабочей станции сети;
2) оперативное ознакомление администратора с системным журналом любой станции и с журналом событий об НСД;
3) получение твердой копии системного журнала;
4) преобразование содержимого системных журналов в формат DBF для их дальнейшего анализа;
5) объединение системных журналов и их архивирование;
6) оперативное оповещение администратора о нарушениях безопасности.
ПС управления средствами защиты. Подсистема позволяет администрации безопасности осуществлять:
1) централизованное (с АРМ администратора) создание и удаление пользователей, изменение их полномочий и паролей;
2) установку атрибутов доступа пользователей к ресурсам;
3) централизованное создание, удаление и изменение состава групп пользователей, а также их прав доступа;
4) централизованное управление группами компьютеров;
5) централизованное управление оперативным оповещением о НСД;
6) централизованное управление регистрацией событий и просмотр системных журналов.
Требования к условиям эксплуатации. Предполагается, что для эффективного применения Системы защиты и поддержания необходимого уровня защищенности ЛВС специальной службой (администрацией безопасности системы) осуществляется непрерывнре управление и организационно-административная поддержка ее функционирования по реализации принятой в организации политики безопасности.
Система функционирует на ПЭВМ, совместимых с IBM РС/АТ/386/486. В состав ПЭВМ каждой рабочей станции должен входить накопитель на жестком диске и сетевая плата ЛВС.
Затраты ресурсов. Объем занимаемой оперативной памяти под резидентные части Системы защиты;
1) на рабочей станции — до 19—25 Кбайт (в зависимости от используемого драйвера);
Гостехкомиссией при Президенте РФ разработан Руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» в дополнение к руководящим документам «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». В указанном документе межсетевой экран (МЭ) определяется как локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и /или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации (как минимум на сетевом уровне), т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.
Выделяются пять классов МЭ, где пятый — низший, а первый — высший. Классифицируемый экран должен фильтровать потоки данных, по крайней мере, на сетевом уровне. При умеренных требованиях по защите информации можно ограничиться МЭ пятого или четвертого классов, реализованных в виде маршрутизаторов с включенными средствами фильтрации (экранирующих маршрутизаторов).
Для обеспечения контроля доступа к определенным массивам информации во многих точках Intranet-сети наиболее целесообразно применять так называемые аппаратные брандмауэры. Они явля
ются специализированными компьютерами, как правило, встраиваемыми в стойку с сетевой ОС, адаптированной под выполняемые функции (загрузка ОС производится с гибкого диска или же из постоянной памяти). Чтобы представить, какие возможности имеют аппаратные брандмауэры, достаточно рассмотреть функциональные возможности следующих изделий:
Брандмауэр FireBox (производства WatchGuard) имеет смешанную архитектуру — динамической фильтрации пакетов и «прозрачного» прокси (proxy) (при этом с глобальной сетью организуется двухсторонняя связь, о proxy-технологии более подробно будет сказано далее). В архитектуре брандмауэра:
• обеспечивается оптимальный баланс между безопасностью и производительностью;
• динамическая фильтрация пакетов отслеживает состояние соединения, что позволяет «отфильтровывать» не только пакеты, но и соединения;
• наборы правил являются динамическими и могут быть изменены во время работы (в набор входит 28 стандартных правил типа DNS, Telnet и др. и могут определяться правила пользователями в зависимости от потребностей и угроз безопасности);
• прокси анализирует график на сетевом уровне, что дает возможность получить более надежную защиту;
• могут распознаваться подмены сервисов и пакетов;
• имеется функция регистрации пользователей (это позволяет не только повысить безопасность, но и вести мониторинг сети на основе имен пользователей, а не IP-адресов и имен хостов);
• обеспечивается поддержка VPN (Virtual Private Network — виртуальная частная сеть), т. е. безопасный доступ в корпоративную сеть через Internet (для авторизованных удаленных пользователей. При этом используется протокол РРТР (Point-to-Point Tunelling Protocol — туннельный протокол точка-точка), который создает в общей сети безопасный «туннель», через который «прозрачно» проходит весь трафик.
Брандмауэр от компаний Bay Network отличается тем, что он входит в состав маршрутизатора BCN. Так как маршрутизатор является устройством, которое выполняет функции передачи пакетов, вычислительные возможности указанного маршрутизатора таковы, что ему можно поручить и решение задачи сортировки пакетов. Маршрутизаторы работают на сетевом уровне модели OSI и поэтому должны иметь высокопроизводительную ОС, а она вполне может одновременно выполнять указанную дополнительную задачу. Следовательно, брандмауэр от Bay Networks, с одной стороны, представляется чисто программным средством, но, с другой стороны, он не использует никакого компьютера общего назначения (рабочую станцию), устанавливается в стойке и всем остальным похож на другие брандмауэры (кроме заботы о безопасности он выполняет еще и другие функции). Этот маршрутизатор-брандмауэр является специализированным компьютером, но его специализация оказалась гораздо шире, чем было изначально задумано.
Как правило, брандмауэры обеспечивают многоуровневую защиту и используют механизмы предупреждения, сообщают сетевым менеджерам о случаях попытки несанкционированного доступа к сети. Необходимо также подчеркнуть, что некоторые брандмауэры поддерживают частные виртуальные сети (например, между головным и дочерним офисами через общедоступную сеть).
Для защиты сетей разработано большое количество разнообразных довольно сложных и дорогих продуктов, реализующих множество механизмов защиты. Естественно, мы не сможем (и такая цель и не ставилась) их рассмотреть. Но коротко рассмотрим еще одно, широко применяемое сейчас средство.