2020-09-24
81
В общем случае при взаимодействии с компьютерной сетью (КС) мы имеем дело либо с сосредоточенными, либо с распределенными КС (РКС), которые представляют собой множество сосредоточенных КС, связанных в единую систему с помощью коммуникационной подсистемы. При этом сосредоточенными КС могут быть отдельные ЭВМ, в том числе и ПЭВМ, вычислительные системы и комплексы, а также локальные вычислительные сети. В настоящее время практически не используются неинтеллектуальные абонентские пункты, не имеющие в своем составе ЭВМ. Поэтому правомочно считать, что наименьшей структурной единицей РКС является ЭВМ. Распределенные КС строятся по сетевым технологиям и также представляют собой ВС.
В любой РКС в соответствии с функциональным назначением может быть выделено три подсистемы:
— пользовательская (абонентская);
— управления;
— коммуникационная.
Пользовательская (абонентская) подсистема включает в себя компьютерные системы пользователей (абонентов) и предназначена для удовлетворения потребностей пользователей в хранении, обработке и получении информации.
|
|
|
Наличие подсистемы управления позволяет объединить все элементы РКС в единую систему, в которой взаимодействие элементов осуществляется по единым правилам. Подсистема обеспечивает взаимодействие элементов системы путем сбора и анализа служебной информации и воздействия на элементы в целях создания оптимальных условий для функционирования всей сети.
Коммуникационная подсистема обеспечивает передачу информации в сети в интересах пользователей и управления РКС. Она включает в себя:
— коммуникационные модули (КМ);
— каналы связи;
— концентраторы;
— межсетевые шлюзы (мосты).
Основной функцией коммуникационных модулей является передача полученного пакета к другому КМ или абонентскому пункту в соответствии с маршрутом передачи. Коммуникационный модуль называют также центром коммутации пакетов.
Каналы связи объединяют элементы сети в единую сеть. Каналы могут иметь различную скорость передачи данных.
Концентраторы используются для уплотнения информации перед передачей ее по высокоскоростным каналам.
Межсетевые шлюзы (мосты) используются для связи сети с ЛВС или для связи сегментов глобальных сетей. С помощью мостов связываются сегменты сети с одинаковыми сетевыми протоколами.
Особенностью защиты объектов РКС является необходимость поддержки механизмов аутентификации и разграничения доступа удаленных процессов (пользователей) к ресурсам объекта, а также наличие в сети специальных коммуникационных компьютерных систем. Учитывая важность проблемы подтверждения подлинности удаленных процессов (пользователей), механизмы ее решения выделены в отдельную группу.
|
|
|
Все элементы коммуникационной подсистемы, за исключением каналов связи, рассматриваются как специализированные коммуникационные компьютерные системы. В защищенных корпоративных сетях концентраторы, коммуникационные модули (серверы), шлюзы и мосты целесообразно размещать на объектах совместно с КС пользователей.
Особенностью всех коммуникационных КС является информация, которая обрабатывается этими системами. В таких КС осуществляется смысловая обработка только служебной информации. К служебной относится адресная информация, избыточная информация для защиты сообщений от искажений, идентификаторы пользователей, метки времени, номера сообщений (пакетов), атрибуты шифрования и другая информация. Информация пользователей, заключенная в сообщениях (рабочая информация), на уровне коммуникационных КС рассматривается как последовательность бит, которая должна быть доставлена по коммуникационной подсистеме без изменений.
Таким образом, в коммуникационных КС имеется принципиальная возможность не раскрывать содержание рабочей информации. Она не должна быть доступной операторам и другому обслуживающему персоналу коммуникационных компьютерных систем для просмотра на экране монитора, изменения, уничтожения, размножения, запоминания в доступной памяти, получения твердой копии. Такая информация не должна сохраняться на внешних запоминающих устройствах после успешной передачи сообщения другому элементу коммуникационной подсистемы. В закрытых системах рабочая информация, кроме того, в пределах коммуникационной подсети циркулирует в зашифрованном виде.
При этом важно отметить, что в коммуникационной подсистеме осуществляется линейное шифрование, а в абонентской – межконцевое (абонетское). Оба вида шифрования осуществляются независимо друг от друга. Абонент перед отправкой осуществляет шифрование сообщения с помощью симметричного или открытого ключа. На входе в коммуникационную подсистему сообщение подвергается линейному шифрованию, даже если абонентское шифрование и не выполнялось. При линейном шифровании сообщение зашифровывается полностью, включая все служебные данные, причем линейное шифрование может осуществляться в сети с разными ключами. В этом случае злоумышленник, имея один ключ, может получить доступ к информации, передаваемой только в ограниченном числе каналов. Если используются различные ключи, то в коммуникационных модулях осуществляется расшифрование не только служебной информации, но и всего сообщения полностью (рабочая информация остается зашифрованной на абонентском уровне). По открытой служебной информации осуществляются проверка целостности сообщения, выбор дальнейшего маршрута и передача «квитанции» отправителю. Сообщение подвергается шифрованию с новым ключом и передается по соответствующему каналу связи.
Шифрование на абонентском уровне позволяет защитить рабочую информацию от утраты конфиденциальности и навязывания ложной информации и тем самым блокировать возможные угрозы безопасности. Линейное шифрование позволяет, кроме того, защитить служебную информацию. Не имея доступа к служебной информации, злоумышленник не может фиксировать факт передачи информации между конкретными абонентами сети, изменить адресную часть сообщения в целях его переадресации.
Особые меры защиты должны предприниматься в отношении центра управления сетью. Учитывая концентрацию информации, критичной для работы всей сети, необходимо использовать самые совершенные средства защиты информации специализированной КС администратора как от непреднамеренных, так и от преднамеренных угроз. Особое внимание должно обращаться на защиту процедур и средств, связанных с хранением и работой с ключами.
|
|
|
Более надежным является способ управления ключами, когда они неизвестны ни администратору, ни абонентам. Ключ генерируется автоматически с использованием принятого алгоритма шифрования/расшифрования часто с применением датчика случайных чисел и записывается в специальное ассоциативное запоминающее устройство; все действия с ним производятся в замкнутом пространстве, в которое оператор КС не может попасть в целях ознакомления с содержимым памяти. Нужные ключи выбираются из специальной памяти для отсылки или проверки в соответствии с идентификатором абонента или администратора.
При рассылке ключей вне РКС их можно записывать, например, на смарт-карты. Считывание ключа с таких карт возможно только при положительном результате аутентификации КС и владельца ключа.
В подсистеме управления передача сообщений осуществляется по определенным правилам, которые называются протоколами. В настоящее время в распределенных вычислительных сетях реализуются два международных стандарта взаимодействия удаленных элементов сети: протокол TCP/IP и протокол Х.25.
Протокол TCP/IP Был разработан в 1970-е гг. и с тех пор завоевал признание во всем мире. На основе протокола TCP/IP построена сеть Интернет. Протокол Х.25 явился дальнейшим развитием технологии передачи данных, построенной на основе коммутации пакетов.
Протокол Х.25 создан в соответствии с моделью взаимодействия открытых сетей (OSI), разработанной Международной организацией стандартизации (ISO).
В моделях взаимодействия сетей выделяют следующие уровни функций:
— OSI– прикладной, представительный, сеансовый, транспортный, сетевой, канальный, физический;
— TCP/IP – прикладной, транспортный, сетевой, канальный, физический.
Протокол Х.25 позволяет обеспечить более надежное взаимодействие удаленных процессов. Достоинствами протокола TCP/IP являются сравнительно низкая стоимость и простота подключения к сети.
|
|
|
Задачи обеспечения безопасности информации в сети решаются на всех уровнях. Выполнение протоколов организуется с помощью подсистемы управления. Наряду с другими на уровне подсистемы управления решаются следующие проблемы защиты процессов переработки информации в РКС:
— создание единого центра управления сетью, в котором решались бы и вопросы обеспечения безопасности информации. Администратор и его аппарат проводят единую политику безопасности во всей защищенной сети;
— регистрация всех объектов сети и обеспечение их защиты. Выдача идентификаторов и учет всех пользователей сети;
— управление доступом к ресурсам сети;
— генерация и рассылка ключей шифрования абонентам компьютерной сети;
— мониторинг трафика (потока сообщений в сети), контроль соблюдения правил работы абонентами, оперативное реагирование на нарушения;
— организация восстановления работоспособности элементов сети при нарушении процесса их функционирования.
Противодействие ложным соединениям абонентов (процессов) обеспечивается применением целого ряда процедур взаимного подтверждения подлинности абонентов или процессов. Против удаления, явного искажения, переупорядочивания, передачи дублей сообщений используется механизм квитирования, нумерации сообщений или использования информации о времени отправки сообщения. Эти служебные данные должны быть зашифрованы. Для некоторых РКС важной информацией о работе системы, подлежащей защите, является интенсивность обмена по коммуникационной подсети. Интенсивность обмена может быть скрыта путем добавления к рабочему трафику обмена специальными сообщениями. Такие сообщения могут содержать произвольную случайную информацию. Дополнительный эффект такой организации обмена заключается в тестировании коммуникационной подсети. Общий трафик с учетом рабочих и специальных сообщений поддерживается примерно на одном уровне.
В случае попыток блокировки коммуникационной подсистемы путем интенсивной передачи злоумышленником сообщений или распространения вредительских программ типа «червь» в подсистеме управления РКС должны быть созданы распределенные механизмы контроля интенсивности обмена и блокирования доступа в сеть абонентов при исчерпании ими лимита активности или в случае угрожающего возрастания трафика. Для блокирования угроз физического воздействия на каналы связи (нарушение линий связи или постановка помех в радиоканалах) необходимо иметь дублирующие каналы с возможностью автоматического перехода на их использование.
На практике часто закрытые корпоративные распределенные и сосредоточенные КС связаны с общедоступными сетями типа Интернет. Режимы взаимодействия пользователей закрытой РКС с общедоступной системой могут быть различны:
— с помощью общедоступной РКС связываются в единую систему закрытые сегменты корпоративной системы или удаленные абоненты;
— пользователи закрытой РКС взаимодействуют с абонентами общедоступной сети автономно.
В первом режиме задача подтверждения подлинности взаимодействующих абонентов (процессов) решается гораздо эффективнее, чем во втором режиме. Это объясняется возможностью использования абонентского шифрования при взаимодействии КС одной корпоративной сети.
Если абоненты общедоступной сети не используют абонентское шифрование, то практически невозможно обеспечить надежную аутентификацию процессов, конфиденциальность информации, защиту от подмены и несанкционированной модификации сообщений, то есть единую политику безопасности.
Для блокирования угроз, исходящих из общедоступной системы, используется специальное программное или аппаратно-программное средство, которое получило название «межсетевой экран» (Firewall). Как правило, межсетевой экран реализуется на выделенной ЭВМ, через которую защищенная РКС (ее фрагмент) подключается к общедоступной сети.
Межсетевой экран реализует контроль за информацией, поступающей в защищенную РКС и (или) выходящей из защищенной системы. Он выполняет четыре функции:
— фильтрация данных;
— использование экранирующих агентов;
— трансляция адресов;
— регистрация событий.
Основной функцией межсетевого экрана является фильтрация трафика (входного или выходного). В зависимости от степени защищенности корпоративной сети могут задаваться различные правила фильтрации. Правила фильтрации устанавливаются путем выбора последовательности фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.
Межсетевой экран осуществляет фильтрацию на канальном, сетевом, транспортном и прикладном уровнях. Чем большее число уровней охватывает экран, тем он совершеннее. Межсетевые экраны, предназначенные для защиты информации высокой степени важности, должны обеспечивать фильтрацию:
— по адресам отправителя и получателя (или по другим эквивалентным атрибутам);
— по пакетам служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
— с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
— с учетом любых значимых полей сетевых пакетов;
— на транспортном уровне запросов при установлении виртуальных соединений;
— на прикладном уровне запросов к прикладным сервисам;
— с учетом даты и времени;
— при возможности сокрытия субъектов доступа защищаемой компьютерной сети;
— при возможности трансляции адресов.
В межсетевом экране применяют использование экранирующих агентов (proxy- серверы), которые являются программами-посредниками и обеспечивают установление соединения между субъектом и объектом доступа, а затем пересылают информацию, осуществляя контроль и регистрацию. Дополнительной функцией экранирующего агента является сокрытие от субъекта доступа истинного объекта. Действия экранирующего агента являются прозрачными для участников взаимодействия.
Функция трансляции адресов межсетевого экрана предназначена для скрытия от внешних абонентов истинных внутренних адресов. Это позволяет скрыть топологию сети и использовать большее число адресов, если их выделено недостаточно для защищенной сети.
Межсетевой экран выполняет регистрацию событий в специальных журналах. Предусматривается возможность настройки экрана на ведение журнала с требуемой для конкретного применения полнотой. Анализ записей позволяет зафиксировать попытки нарушения установленных правил обмена информацией в сети и выявить злоумышленника.
Экран не является симметричным. Он различает понятия «снаружи» и «внутри». Экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.
Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в РКС имеются фрагменты сети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.
В зависимости от степени конфиденциальности и важности информации установлены пять классов защищенности межсетевых экранов. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенности – пятый, а самый высокий – первый. Межсетевой экран первого класса устанавливается при обработке информации с грифом «Особой важности».
Межсетевые экраны целесообразно выполнять в виде специализированных систем. Это должно повысить производительность таких систем (весь обмен осуществляется через экран), а также повысить безопасность информации за счет упрощения структуры. Учитывая важность межсетевых экранов в обеспечении безопасности информации во всей защищенной сети, к ним предъявляются высокие требования по разграничению доступа, обеспечению целостности информации, восстанавливаемости, тестированию и т.д. Обеспечивает работу межсетевого экрана администратор. Желательно рабочее место администратора располагать непосредственно у межсетевого экрана, что упрощает идентификацию, аутентификацию администратора и выполнение функций администрирования.
Одной из центральных проблем обеспечения безопасности информации в вычислительной сети является проблема взаимоподтверждения подлинности взаимодействующих процессов. Логическую связь взаимодействующих процессов определяют термином «соединение». Процедура аутентификации выполняется обычно в начале взаимодействия в процессе установления соединения.
Удаленные процессы до начала взаимодействия должны убедиться в их подлинности. Взаимная проверка подлинности взаимодействующих процессов может осуществляться следующими способами:
— обмен идентификаторами;
— процедура «рукопожатия»;
— аутентификация при распределении сеансовых ключей.
Обмен идентификаторами применим, если в сети используется симметричное шифрование. Зашифрованное сообщение, содержащее идентификатор, однозначно указывает, что сообщение создано пользователем, который знает секретный ключ шифрования и личный идентификатор. Существует единственная возможность для злоумышленника попытаться войти во взаимодействие с нужным процессом – запоминание перехваченного сообщения с последующей выдачей в канал связи. Блокирование такой угрозы осуществляется с помощью указания в сообщении времени отправки сообщения. При проверке сообщения достаточно просмотреть журнал регистрации сеансов в КС получателя сообщения. Вместо времени может использоваться случайное число, которое генерируется перед каждой отправкой.
Различают два варианта выполнения процедуры «рукопожатия»:
— обмен вопросами и ответами;
— использование функции, известной только процессам, устанавливающим взаимодействие.
Процессы обмениваются вопросами, ответы на которые не должны знать посторонние. Вопросы могут касаться, например, биографических данных субъектов, в интересах которых инициированы процессы.
Аутентификация при распределении сеансовых ключей является одной из процедур управления ключами. К этим процедурам относятся: генерация, распределение, хранение и смена ключей.
Обычно выделяют две категории ключей: ключи шифрования данных и ключи шифрования ключей при передаче их по каналам связи и хранении. Многократное использование одного и того же ключа повышает его уязвимость, поэтому ключи шифрования данных должны регулярно меняться. Как правило, ключи шифрования данных меняются в каждом сеансе работы, и поэтому их называют сеансовыми ключами.
В процессе генерации ключи должны получаться случайным образом. Этому требованию в наибольшей степени отвечает генератор псевдослучайной последовательности, использующий в качестве исходных данных показания таймера.
Секретные ключи хранятся в запоминающем устройстве только в зашифрованном виде. Ключ от зашифрованных ключей может быть зашифрован с помощью другого ключа. Последний ключ хранится в открытом виде, но в специальной памяти. Он не может быть считан, просмотрен, изменен или уничтожен в обычном режиме работы. Этот ключ называется главным, или мастер-ключом.
Мастер-ключи при симметричном шифровании и секретные ключи при несимметричном шифровании распространяются вне РКС. При большом числе абонентов и их удалении на значительные расстояния друг от друга задача распространения мастер-ключей является довольно сложной.
При несимметричном шифровании число секретных ключей равно числу абонентов сети. Кроме того, использование несимметричного шифрования не требует распределения сеансовых ключей, что сокращает обмен служебной информацией в сети. Списки открытых ключей всех абонентов могут храниться у каждого абонента сети.
Однако у симметричного шифрования есть два существенных преимущества. Во-первых, симметричное шифрование, например по алгоритму DES, занимает значительно меньше времени по сравнению с алгоритмами несимметричного шифрования. Во-вторых, в системах с симметричным шифрованием проще обеспечивать взаимное подтверждение подлинности абонентов (процессов).
Знание секретного ключа, общего для двух взаимодействующих процессов, дополненное защитными механизмами от повторной передачи, является основанием считать взаимодействующие процессы подлинными.
Распределение ключей в сети между пользователями реализуется двумя способами:
- путем создания одного или нескольких центров распределения ключей (ЦРК);
- прямым обменом сеансовыми ключами между абонентами сети.
Недостатком первого способа является наличие возможности доступа в ЦРК ко всей передаваемой по сети информации. В случае организации прямого обмена сеансовыми ключами возникают сложности в проверке подлинности процессов или абонентов.
Распределение ключей совмещается с процедурой проверки подлинности взаимодействующих процессов. Протоколы распределения ключей для систем с симметричными и несимметричными ключами отличаются.
Приложение
