Можливості типових систем

Професор В.Горицький

Лекція 14: Тунелювання і управління

1. Тунелювання ……………………………………………….. 1

2. Управління ………………………………………………….. 2

2.1. Основні поняття ……………………………………… 2

2.2. Можливості типових систем ……………………….. 5

Розглядаються два сервісу безпеки дуже різного масштабу - тунелювання і управління.

Тунелювання

Тунелювання слід розглядати як самостійний сервіс безпеки. Його суть полягає в тому, щоб "упакувати" передану порцію даних, разом зі службовими полями, у новий "конверт". В якості синонімів терміна "тунелювання" можуть використовуватися " конвертування" і "обгортання".

Тунелювання може застосовуватися для кількох цілей:

· передачі через мережу пакетів, що належать протоколу, який в даній мережі не підтримується (наприклад, передача пакетів IPv6 через старі мережі, що підтримують тільки IPv4);

· забезпечення слабкої форми конфіденційності (в першу чергу конфіденційності трафіку) за рахунок приховування істинних адрес та іншої службової інформації;

· забезпечення конфіденційності та цілісності переданих даних при використанні разом з криптографічними сервісами.

Тунелювання може застосовуватися як на мережевому, так і на прикладному рівнях. Наприклад, стандартизовано тунелювання для IP і подвійне конвертування для пошти X.400.

На рис. 14.1. показаний приклад обгортання пакетів IPv6 у формат IPv4.

Рис. 14.1. Обгортання пакетів IPv6 у формат IPv4 з метою їх тунелювання через мережі IPv4.

Комбінація тунелювання та шифрування (поряд з необхідною криптографічного інфраструктурою) на виділених шлюзах та екранування на маршрутизаторах постачальників мережевих послуг (для поділу просторів "своїх" і "чужих" мережевих адрес в дусі віртуальних локальних мереж) дозволяє реалізувати таке важливе в сучасних умовах захисний захист, як віртуальні приватні мережі. Подібні мережі, накладені зазвичай поверх Internet, істотно дешевше і набагато безпечніше, ніж власні мережі організації, побудовані на виділених каналах. Комунікації на всьому їх протязі фізично захистити неможливо, тому краще спочатку виходити з припущення про їх вразливості і відповідно забезпечувати захист. Сучасні протоколи, спрямовані на підтримку класів обслуговування, допоможуть гарантувати для віртуальних приватних мереж задану пропускну здатність, величину затримок і т.п., ліквідуючи тим самим єдине на сьогодні реальна перевага мереж власних.

Рис. 14.2. Міжмережеві екрани як точки реалізації сервісу віртуальних приватних мереж.

Кінцями тунелів, що реалізують віртуальні приватні мережі, доцільно зробити міжмережеві екрани, обслуговуючі підключення організацій до зовнішніх мереж (див. рис. 14.2).У такому випадку тунелювання і шифрування стануть додатковими перетвореннями,виконуваними в процесі фільтрації мережевого трафіку поряд з трансляцією адрес.

Кінцями тунелів, крім корпоративних міжмережевих екранів, можуть бути мобільні комп'ютери співробітників (точніше, їх персональні МЕ).

Управління

Основні поняття

Управління можна віднести до числа інфраструктурних сервісів, що забезпечують нормальну роботу компонентів та засобів безпеки. Складність сучасних систем така, що без правильно організованого управління вони поступово деградують як в плані ефективності, так і в плані захищеності.

Можливий і інший погляд на управління - як на інтегруючу оболонку інформаційних сервісів та сервісів безпеки (в тому числі засобів забезпечення високої доступності), що забезпечує їх нормальне, узгоджене функціонування під контролем адміністратора ІС.

Відповідно до стандарту X.700, управління поділяється на:

· моніторинг компонентів;

· контроль (тобто видачу і реалізацію управляючих впливів);

· координацію роботи компонентів системи.

Системи управління повинні:

· дозволяти адміністраторам планувати, організовувати, контролювати і враховувати використання інформаційних сервісів;

· давати можливість відповідати на зміну вимог;

· забезпечувати передбачувану поведінку інформаційних сервісів;

· забезпечувати захист інформації.

Іншими словами, управління повинне мати досить багатою функціональністю, бути результативним, гнучким та інформаційно безпечним.

У X.700 виділяється п'ять функціональних областей управління:

· управління конфігурацією (установка параметрів для нормального функціонування, запуск і зупинка компонентів, збір інформації про поточний стан системи, прийом повідомлень про суттєві зміни в умовах функціонування, зміна конфігурації системи);

· управління відмовами (виявлення відмов, їх ізоляція та відновлення працездатності системи);

· управління продуктивністю (збір та аналіз статистичної інформації, визначення продуктивності системи в штатних і позаштатних умовах, зміна режиму роботи системи);

· управління безпекою (реалізація політики безпеки шляхом створення, видалення і зміни сервісів і механізмів безпеки, поширення відповідної інформації та реагування на інциденти);

· управління обліковою інформацією (тобто стягнення плати за користування ресурсами).

У стандартах сімейства X.700 описується модель управління, здатна забезпечити досягнення поставлених цілей. Вводиться поняття керованого об'єкта як сукупності характеристик компонента системи, важливих з точки зору управління. До таких характеристик відносяться:

· атрибути об'єкта;

· допустимі операції;

· повідомлення, які об'єкт може генерувати;

· зв'язки з іншими керованими об'єктами.

Згідно з рекомендаціями X.701, системи управління розподіленими ІС будуються в архітектурі менеджер/агент. Агент (як програмна модель керованого об'єкта) виконує управляючі дії і породжує (при виникненні певних подій) сповіщення від його імені. У свою чергу, менеджер видає агентам команди на дії і отримує повідомлення.

Ієрархія взаємодіючих менеджерів і агентів може мати кілька рівнів. При цьому елементи проміжних рівнів грають двояку роль: по відношенню до вищих елементам вони є агентами, а до нижчестоящим - менеджерами. Багаторівнева архітектура менеджер/агент - ключ до розподіленого, масштабованому управління великими системами.

Логічно пов'язаної з багаторівневою архітектурою є концепція довіреної (або делегованого) управління. При довіреному управлінні менеджер проміжного рівня може управляти об'єктами, що використовують власні протоколи, у той час як "нагорі" спираються виключно на стандартні засоби.

Обов'язковим елементом при будь-якій кількості архітектурних рівнів є керуюча консоль.

З точки зору вивчення можливостей систем управління слід враховувати поділ,введене в X.701. Управління підрозділяється на наступні аспекти:

· інформаційний (атрибути,операції та повідомлення керованих об'єктів);

· функціональний (управляючі дії і необхідна для них інформація);

· комунікаційний (обмін інформацією, що управляє);

· організаційний (розбиття на галузі управління).

Ключову роль відіграє модель управлінської інформації. Вона описується рекомендаціями X.720. Модель є об'єктно-орієнтованої з підтримкою інкапсуляції і наслідування. Додатково вводиться поняття пакету як сукупності атрибутів, операцій, повідомлень і відповідної поведінки.

Клас об'єктів визначається позицією в дереві спадкування, набором включених пакетів і зовнішнім інтерфейсом, тобто видимими зовні атрибутами, операціями,повідомленнями і демонстрованим поведінкою.

До числа концептуально важливих можна віднести поняття " проактивного ", тобто попереджуючого управління. Попереджуюче управління засновано на прогнозі поведінки системи на основі поточних даних і раніше накопиченої інформації. Найпростіший приклад подібного управління - видача сигналу про можливі проблеми з диском після серії програмно-нейтралізуємих помилок читання/запису. У більш складному випадку певний характер робочого навантаження і дій користувачів може передувати різкого уповільнення роботи системи; адекватним керуючим впливом могло б стати зниження пріоритетів деяких завдань і повідомлення адміністратора про наближення кризи.

 

Можливості типових систем

Розвинені системи управління мають, якщо можна так висловитися, двомірну налагоджуваність - на потреби конкретних організацій і на зміни в інформаційних технологіях. Системи управління живуть (принаймні, повинні жити) довго. За цей час у різних предметних областях адміністрування (наприклад, в області резервного копіювання) напевно з'являться рішення, що перевершують спочатку закладені у керуючий комплект. Останній повинен вміти еволюціонувати, причому різні його компоненти можуть робити це з різною швидкістю. Ніяка жорстка, монолітна система такого не витримає.

Єдиний вихід - наявність каркаса, з якого можна знімати старе і "навішувати" нове, не втрачаючи ефективності управління.

Каркас як самостійний продукт необхідний для досягнення принаймні наступних цілей:

· згладжування різнорідності керованих інформаційних систем, надання уніфікованих програмних інтерфейсів для швидкої розробки керуючих програм;

· створення інфраструктури управління, що забезпечує наявність таких властивостей, як підтримка розподілених конфігурацій, масштабованість, інформаційна безпека і т.д.;

· надання функціонально корисних універсальних сервісів, таких як планування завдань, генерація звітів і т.п.

Питання про те, що, крім каркаса, повинно входити в систему управління, є досить складним. По-перше, багато систем управління мають мейнфреймове минуле і просто успадкували деяку функціональність, яка перестала бути необхідною. По-друге, для ряду функціональних завдань з'явилися окремі, високоякісні рішення, що перевершують аналогічні за призначенням "штатні" компоненти. Мабуть, з розвитком об'єктного підходу, багатоплатформності найважливіших сервісів і їх взаємної сумісності, системи управління дійсно перетворяться в каркас. Поки ж на їх частку залишається досить важливих областей, а саме:

· управління безпекою;

· управління завантаженням;

· управління подіями;

· управління зберіганням даних;

· управління проблемними ситуаціями;

· генерація звітів.

На рівні інфраструктури присутня рішення ще однієї найважливішої функціональної завдання - забезпечення автоматичного виявлення керованих об'єктів, виявлення їхніх характеристик і зв'язків між ними.

Відзначимо, що управління безпекою в сукупності з відповідним програмним інтерфейсом дозволяє реалізувати платформно-незалежне розмежування доступу до об'єктів довільної природи і (що дуже важливо) винести функції безпеки з прикладних систем. Щоб з'ясувати, чи дозволений доступ поточною політикою, додатком досить звернутися до менеджера безпеки системи управління.

Менеджер безпеки здійснює ідентифікацію/аутентифікацію користувачів, контроль доступу до ресурсів і протоколювання невдалих спроб доступу. Можна вважати, що менеджер безпеки вбудовується в ядро операційних систем контрольованих елементів ІС, перехоплює відповідні звернення і здійснює свої перевірки перед перевірками, виконуваними ОС, так що він створює ще один захисний рубіж, не скасовуючи, а доповнюючи захист,реалізовану засобами ОС.

Розвинені системи управління мають у своєму розпорядженні централізованою базою, в якій зберігається інформація про контрольовану ІС і, зокрема, деяке уявлення про політику безпеки. Можна вважати, що при кожній спробі доступу виконується перегляд збережених у базі правил, в результаті якого з'ясовується наявність у користувача необхідних прав. Тим самим для проведення єдиної політики безпеки в рамках корпоративної інформаційної системи закладається міцний технологічний фундамент.

Зберігання параметрів безпеки в базі даних дає адміністраторам ще одна важлива перевага - можливість виконання різноманітних запитів. Можна отримати список ресурсів, доступних даному користувачеві, список користувачів, що мають доступ до цього ресурсу і т.п.

Одним із елементів забезпечення високої доступності даних є підсистема автоматичного управління зберіганням даних, що виконує резервне копіювання даних, а також автоматичне відстеження їх переміщення між основними та резервними носіями.

Для забезпечення високої доступності інформаційних сервісів використовується управління завантаженням, яке можна підрозділити на управління проходженням завдань і контроль продуктивності.

Контроль продуктивності - поняття багатогранне. Сюди входять і оцінка швидкодії комп'ютерів, і аналіз пропускної здатності мереж, і відстежування числа одночасно підтримуваних користувачів, і час реакції, і накопичення та аналіз статистики використання ресурсів. Зазвичай в розподіленій системі відповідні дані доступні "в принципі", вони поставляються точковими засобами управління, але проблема отримання цілісної картини, як поточної, так і перспективної, залишається дуже складною. Вирішити її здатна тільки система управління корпоративного рівня.

Засоби контролю продуктивності доцільно розбити на дві категорії:

· виявлення випадків неадекватного функціонування компонентів інформаційної системи і автоматичне реагування на ці події;

· аналіз тенденцій зміни продуктивності системи та довгострокове планування.

Для функціонування обох категорій засобів необхідно вибрати відслідковують параметри і допустимі межі для них, вихід за які означає "неадекватність функціонування". Після цього задача зводиться до виявлення нетипової поведінки компонентів ІС, для чого можуть застосовуватися статистичні методи.

Управління подіями (точніше, повідомленнями про події) - це базовий механізм, що дозволяє контролювати стан інформаційних систем у реальному часі. Системи управління дозволяють класифікувати події і призначати для деяких з них спеціальні процедури обробки. Тим самим реалізується важливий принцип автоматичного реагування.

Очевидно, що завдання контролю продуктивності та управління подіями, так само як і методи їх вирішення в системах управління, близькі до аналогічних аспектам систем активного аудиту. У наявності ще одне свідчення концептуальної єдності галузі знань під назвою "інформаційна безпека" і необхідності реалізації цієї єдності на практиці.