База данных СКС
База данных СКС - это, пожалуй, один их самых востребованных компонентов Системы Обнаружения Несанкционированных Подключений. При ее наличии Сервер Мониторинга на этапе анализа SNMP сообщения может по номеру порта сетевого коммутатора с точностью до настенной розетки определить вероятное месторасположение подключенного компьютера.
К сожалению, не во всякой компании ведется строгий учет соединений СКС. В этом случае можно начать с реализации БД СКС в виде простого файла, содержащего IP адрес коммутатора и описание его месторасположения и обслуживаемых им помещений. Таким образом, на первом этапе, удастся локализовать месторасположение искомого подключения.
Другие возможности
Однако, на этом возможности СОНП не ограничиваются. Используя рассмотренный выше алгоритм, как основу, несложно использовать Систему для выполнения следующих функций.
От мониторинга к проактивному управлению:
При обнаружении запрещенного подключения СОНП автоматически выключает соответствующий порт коммутатора. При обнаружении нового подключения СОНП автоматически помещает соответствующий порт коммутатора в гостевой VLAN.
Интеграция с другими системами:
Система заявок - ИТ регистрирует заявку на новый компьютер. После одобрения заявки службой информационной безопасности информация о новом разрешенном соединении автоматически заносится в БД Соединений. Система заявок - при возникновении тревожного события соответствующий инцидент автоматически генерируется в системе регистрации заявок и направляется на исполнение службе информационной безопасности. БД СКС, поэтажные планы - вывод информации о месторасположении несанкционированного подключения на поэтажном плане. Базы данных учета компьютерного оборудования и СКС - при регистрации нового разрешенного соединения информация о подключенном компьютере автоматически заносится в БД учета компьютерного оборудования и БД СКС.
Ведение журналов истории соединений:
Ведение истории физического перемещения устройств в сети. Ведение журнала включений и выключений устройств в сети.
Конечно, при проектировании и реализации подобной системы необходимо отталкиваться в первую очередь от запросов клиента - службы Информационной Безопасности компании. Если какие-то из описанных выше функций уже реализованы с помощью других информационных систем, то остается только с умом воспользоваться уже имеющимися наработками. Если же в компании не внедрены сопутствующие системы (учета инцидентов, диспетчерского центра, управления СКС), то начать можно с реализации основной функции - обнаружения несанкционированных подключений к локальной сети компании.
Как можно полагаться на MAC-адреса?
Кое-кто предполагает, что идентификация соединения на основе MAC-адреса не может считаться достоверной. В целом, это утверждение можно считать верным, т.к. современные программные средства, доступные любому начинающему хакеру, позволяют с легкостью изменять MAC-адрес компьютера. Однако, существует несколько доводов в пользу выбранного метода.
Поскольку система знает все разрешенные MAC-адреса и хранит их привязку к портам сетевого оборудования, то для того, чтобы ее "обмануть" придется попотеть - найти компьютер уже подключенный в сеть, "украсть" его MAC-адрес (при этом, легальный компьютер необходимо отключить) и подключиться в тот же порт сетевого коммутатора. По-настоящему защищенную сеть можно создать только с использованием различных средств защиты на всех уровнях. Описанная в настоящей статье СОНП может выступать, как система раннего оповещения о возможном несанкционированном проникновении в сеть. Можно даже сравнить ее с интеллектуальной системой видеонаблюдения, постоянно записывающей изображение с камер, но включающей сигнал оповещения только в случае возникновения подозрительного движения.
Полное или частичное цитирование данной статьи запрещено
Обнаружение несанкционированных подключений к локальной сети в режиме реального времени
Многие крупные и средние компании, заботящиеся о своей информационной безопасности, наверняка сталкивались с проблемой обнаружения несанкционированных подключений к своей локальной сети. Ведь ни для кого не секрет, что 80% атак происходит изнутри компании и важной задачей хакера является подключение своего компьютера или шпионского устройства к сети компании.
Для эффективного решения этой задачи необходимо обеспечить работу системы обнаружения в режиме реального времени, причем информация о неавторизованном соединении должна содержать не только сетевые параметры (MAC адрес, IP адрес, VLAN, IP адрес и номер порта коммутатора), но и географическое расположение подключенного компьютера (здание, этаж, номер комнаты, номер розетки).
Ниже мы рассмотрим технологию построения Системы Обнаружения Несанкционированных Подключений (СОНП), основывающуюся на анализе нотификационных SNMP сообщений об изменении статуса порта, получаемых от сетевых коммутаторов, и определение неавторизованных подключений на основе отсутствия MAC адреса устройства в базе данных авторизованных хостов сети.
Обработка SNMP сообщений - ядро
SNMP сообщение, содержащее IP адрес коммутатора и номер вновь включившегося порта, посылается сетевым коммутатором на центральный сервер мониторинга при изменении статуса любого порта с "Выключен" на "Включен". Отправку таких сообщений поддерживают даже самые простые модели сетевых коммутаторов, поэтому реализовать инфраструктуру мониторинга всех портов локальной сети достаточно просто.
В качестве серверной части, обеспечивающей сбор SNMP сообщений, может выступать существующий в компании сервер сетевого мониторинга (HP OpenView, IBM Tivoli, Microsoft MOM, и т.п.).
Далее сообщение поступает на обработку, где производится определение (discovery) основных идентификационных параметров подключения.
Первым делом необходимо определить всю возможную информацию о новом соединении. Как показано на , в качестве источников информации о соединении могут быть сами сетевые коммутаторы, база данных СКС компании (о ней мы поговорим отдельно), а также база данных разрешенных соединений, в которой сохраняются все когда-либо обнаруженные подключения.
Анализ соединения позволяет определить важную информацию о сетевых свойствах (MAC адрес, IP адрес, VLAN, номер порта сетевого коммутатора, сетевое имя), и месторасположение подключенного компьютера.
После этого, с помощью базы данных соединений, хранящей информацию о соединениях и их статусе "Разрешено/Запрещено", производится проверка соединения на легитимность. Если обрабатываемое соединение зарегистрировано в базе, как разрешенное, то на этом его обработка завершается. Т.е. система просто игнорирует произошедшее события, расценивая его, как нормальную активность.
Если же соединение опознано как Запрещенное или неопознанное (новое) на консоль Администратора безопасности высылается Тревожное сообщение, а в БД Соединений заносится информация о факте нового или запрещенного соединения.
Почему SNMP?
В последнее время все большее распространение получает протокол 802.1x, обеспечивающий авторизацию любого подключаемого к сети компьютера. Почему не использовать 802.1х вместо SNMP. К сожалению, эта технология обладает рядом серьезных недостатков.
Во-первых, используя 802.1х практически невозможно обеспечить полное покрытие всей локальной сети предприятия. Все устройства в сети (включая активные сетевые устройства) должны поддерживать этот протокол. На сегодняшний день абсолютное большинство принтеров, сканеров, а также нестандартных сетевых устройств (системы видео-наблюдения и т.п.) не поддерживают 802.1х. Для подключения их к сети приходится либо организовывать выделенные сети (что не всегда удобно, например, для принтеров), либо отключать авторизацию 802.1х на портах активного сетевого оборудования, к которым подключены эти устройства. Таким образом, злоумышленнику достаточно найти сетевой принтер или другое устройство, которое не поддерживает авторизацию 802.1х и подключить туда свой компьютер - поскольку авторизация на этом сетевом порту не включена, то определить или запретить это подключение не удается.
Кроме того, протокол 802.1х не обладает собственными средствами мониторинга, т.е. служба информационной безопасности не может получить сигнала о том, что в каком-либо месте сети произошла попытка неавторизованного подключения.
И наконец, протокол 802.1х требует для своей реализации построения инфраструктуры PKI в масштабах всей локальной сети, что само по себе является достаточно трудоемкой задачей.
Рабочее место Администратора Безопасности
Уведомление Администратора Безопасности может быть реализовано любым из множества доступных способов. Например, если в компании реализован диспетчерский центр на базе таких продуктов, как HP OpenView, IBM Tivoli или Microsoft MOM, то можно выводить уведомления на консоль диспетчера. Другими возможными вариантами являются уведомления по электронной почте, SMS, всплывающие сообщения на экран рабочей станции Администратора безопасности.
По получении уведомления, Администратор Безопасности должен иметь возможность просмотреть детали соединения, чтобы принять решение о его разрешении или запрещении. В этот момент Администратор Безопасности может либо осуществить физическую проверку подключенного компьютера, имея информацию о расположении подключенного компьютера внутри здания, либо, обладая данными о сетевых параметрах подключения, запросить службу IT о легитимности нахождения данного устройства в корпоративной сети.
При положительном решении Администратор безопасности регистрирует Соединение, как разрешенное. Информация об этом заносится в БД Соединений.
Если данное соединение рассматривается, как нежелательное, предпринимаются соответствующие административные меры, а информация об устройстве заносится в БД соединений с пометкой "Запрещенное". Любое последующее подключение этого устройства в сеть вызовет тревожное уведомление.
Чем измерить безопасность Интернет?
Статья была опубликована в журнале "Технологии и средства связи"
Мир реальный
Такая шкала - не изобретение Министерство национальной безопасности. До него ее активно использовало и использует до сих пор Министерство Обороны США. Те же 5 уровней угрозы получили название - , позже переименованные в FPCON (Force Protection Condition). Отсутствие угрозы получило название - Normal, а реальная угроза со стороны террористов именуется - Delta (между этими уровнями также существуют Alpha, Bravo и Charlie).
Мир виртуальный
Однако угрозу обычного терроризма я оставлю за рамками данной статьи и сконцентрируюсь на кибертерроризме, который также все чаще поднимает голову. Все большее число традиционных и электронных СМИ пестрят сообщениями о той или иной проделке хакеров - от взлома сайта никому неизвестной компании "Голохвостов и компания" до проникновения в сети ядерных центров (см. статью ). Хуже того. Даже обычный домашний пользователь может стать жертвой кибертеррористов, т.к. различные эпидемии захлестывают Интернет все чаще и чаще. RedCode, Nimda, Klez, Slammer… Как долго это будет продолжаться и как рядовой пользователь Интернет может противодействовать этой угрозе?
Не надо изобретать велосипед. Идею можно позаимствовать у спецслужб и перенести систему оповещения об уровне угрозы в виртуальный мир. Некоторые известные в мире информационной безопасности компании так и поступили и теперь любой администратор или домашний пользователь может заранее узнать о возможной эпидемии или массовой атаке и соответствующим образом подготовить к ней свою или сеть или компьютер.
Вторым источником информации об уровне угроз в Интернет можно назвать широко известный специалистам сайт , который был в прошлом году куплен компанией Symantec. Данный сервис, немудрствуя лукаво был назван , как и аналогичная шкала Министерства Обороны. Он , также как и AlertCon, содержит 4 постепенно нарастающих уровня угрозы - от нижнего до экстремального. Единственное отличие Symantec ThreatCon от ISS AlertCon - в отсутствии рекомендаций по защите своей сети.
Учитывая постоянный рост числа инцидентов, хакерских атак и эпидемий червей хотелось бы, чтобы и в России появился аналогичный сервис, облегчающий отечественным пользователям Интернет анализ текущего уровня Интернет-безопасности.
Кстати, учитывая все возрастающую угрозу со стороны обычных террористов в России, отечественный спецслужбы также могли бы разработать инструмент аналогичный американскому Threat Advisory, облегчающему жизнь рядовому обывателю и позволяющему ему адекватно оценивать текущую опасность.
Безопасность сети: то, что должен знать каждый
Елена Полонская,
Обеспечение безопасности сети требует постоянной работы и пристального внимания к деталям. Пока "в Багдаде все спокойно", эта работа заключается в предсказании возможных действий злоумышленников, планировании мер защиты и постоянном обучении пользователей. Если же вторжение состоялось, то администратор безопасности должен обнаружить брешь в системе защиты, ее причину и метод вторжения
Формируя политику обеспечения безопасности, администратор прежде всего проводит инвентаризацию ресурсов, защита которых планируется; идентифицирует пользователей, которым требуется доступ к каждому из этих ресурсов, и выясняет наиболее вероятные источники опасности для каждого из этих ресурсов. Имея эту информацию, можно приступать к построению политики обеспечения безопасности, которую пользователи будут обязаны выполнять.
Политика обеспечения безопасности - это не обычные правила, которые и так всем понятны. Она должна быть представлена в форме серьезного печатного документа. А чтобы постоянно напоминать пользователям о важности обеспечения безопасности, можно разослать копии этого документа по всему офису, чтобы эти правила всегда были перед глазами сотрудников.
Хорошая политика обеспечения безопасности включает несколько элементов, в том числе следующие:
Оценка риска. Что именно мы защищаем и от кого? Нужно идентифицировать ценности, находящиеся в сети, и возможные источники проблем. Ответственность. Необходимо указать ответственных за принятие тех или иных мер по обеспечению безопасности, начиная от утверждения новых учетных записей и заканчивая расследованием нарушений. Правила использования сетевых ресурсов. В политике должно быть прямо сказано, что пользователи не имеют права употреблять информацию не по назначению, использовать сеть в личных целях, а также намеренно причинять ущерб сети или размещенной в ней информации. Юридические аспекты. Необходимо проконсультироваться с юристом и выяснить все вопросы, которые могут иметь отношение к хранящейся или генерируемой в сети информации, и включить эти сведения в документы по обеспечению безопасности. Процедуры по восстановлению системы защиты. Следует указать, что должно быть сделано в случае нарушения системы защиты и какие действия будут предприняты против тех, кто стал причиной такого нарушения.
Физическая безопасность
Предотвращение неавторизованного доступа к сетевым ресурсам означает, прежде всего, невозможность физического доступа к компонентам сети - рабочим станциям, серверам, сетевым кабелям и устройствам, и т.п. Когда сетевое соединение выходит за пределы вашей зоны влияния, например в точке подключения к внешнему провайдеру интернета, то контроль за физическими аспектами сети, разумеется, теряется - и остается полагаться на другие методы, такие как шифрование и туннелирование. Но оборудование в помещении компании должно находиться под пристальным наблюдением.
Как бы глупо это ни звучало, но от несанкционированного доступа часто спасает простой дверной замок. Серверы, на которых хранятся важные или уязвимые данные, не должны стоять открыто на столе или в незапертой комнате, куда может зайти кто угодно. Аналогичным образом должны защищаться маршрутизаторы, концентраторы, коммутаторы и другие устройства. Комнаты с компьютерами должны закрываться на замок или находиться под круглосуточным наблюдением. Если кто-то из сотрудников компании работает круглосуточно, то это комнату закрывать не обязательно - но только в том случае, если персонал не дежурит по одному. В идеале доступ в подобные помещения должен контролироваться, например, путем регистрации в журнале.
Резервные носители, такие как ленты или перезаписываемые компакт-диски, должны быть защищены так же, как и исходные данные. Недопустимо хранить резервные копии на сервере или рабочей станции, оставлять картриджи и CD на столе или в незапертом ящике.
Идентификация пользователей
Если в сети не хранятся сверхсекретные данные, то для доступа к ресурсам обычно достаточно логина и пароля. Управление такими системами обычно не представляет сложностей. В Windows 2000/XP и Server 2003 можно создавать обособленные защищенные зоны управления - домены. Сетевой администратор может предоставить пользователям домена права доступа к ресурсам любого компьютера, будь то сервер или рабочая станция. Кроме того, при сотрудничестве администраторов между доменами могут быть установлены доверительные отношения, в результате чего пользователи получат доступ к сетевым ресурсам другого домена по той же учетной записи и паролю. В Windows 2000 и более поздних версиях для разграничения доступа к важным ресурсам могут применяться групповые политики.
В Novell NetWare для этого применяется служба Novel Directory Services, которая предоставляет пользователю регистрационное сетевое имя. Каждый пользователь представляется в каталоге объектом User, в свойствах которого содержится информация о его паролях и соединениях.
В операционных системах Unix концепция домена отсутствует. Вместо этого каждый хост Unix содержит файл паролей, где хранится информация о каждом пользователе, включая шифрованный пароль. Для доступа к ресурсам других сетевых хостов пользователь Unix должен либо зарегистрироваться на этом компьютере, либо использовать прокси. Утилиты TCP/IP, такие как FTP и Telnet, часто пересылают пароли пользователей по сети открытым текстом и поэтому являются легкой добычей для хакера.
В Unix для выполнения обычных сетевых операций, таких как копирование или печать файлов, или регистрация на удаленной системе, используются утилиты удаленной работы, обычно называемые r-командами (их имена начинаются буквой r). Такие утилиты очень полезны в сетевой среде, где один пользователь работает на нескольких компьютерах, но часто вызывают проблемы с безопасностью: ведь для выполнения команды на удаленном хосте пользователю достаточно иметь действительную для этого хоста учетную запись.
Вместо пароля право доступа определяется записью в файле /etc/hosts.equiv или.rhosts. Удаленный компьютер доверяет компьютеру, на котором пользователь выполняет r-команду, если находит в одном из этих файлов соответствующую запись. Каждая запись файла /etc/hosts.equiv содержит имя хоста и имя пользователя и позволяет идентифицировать пользователей и хосты, которым разрешено выполнять соответствующие команды. Поэтому ввода пароля не требуется. Считается, если пользователь зарегистрировался на удаленном хосте, то он уже прошел аутентификацию. Файл.rhosts работает подобным образом, но находится в домашнем каталоге пользователя. Удаленные пользователи, указанные в этом файле, могут выполнять действия на основании своих учетных записей.
Несмотря на то, что в большинстве операционных систем Unix и Linux сохранились базовые r-команды, теперь у них появилась альтернатива - утилиты защитной оболочки (Secure Shell, SSH), обеспечивающие передачу данных подобно r-командам, но с аутентификацией и шифрованием. Более подробные сведения о SSH можно получить поадресу, а бесплатные версии SSH-утилит - на веб-сайте.
Все это очень напоминает механизм доверительных отношений Windows NT/2000/Server 2003/XP - но все же это разные механизмы. Злоумышленник легко может выдать себя за удаленный узел и получить доступ к системе Unix/Linux посредством r-команд.
Классификация вторжений
Список ресурсов, которые обычно являются целями вторжений, можно найти в документе .
Все вторжения можно разделить на пять классов, в зависимости от того что является их целью.
Аппаратные средства - рабочие станции и серверы, принтеры, дисковые накопители и сетевые кабели, а также такие межсетевые устройства, как мосты, маршрутизаторы и коммутаторы. Программное обеспечение. Любое программное обеспечение, работающее на любом компьютере в сети, является потенциальной "дверью" для злоумышленника. Это могут быть программы, купленные у внешних разработчиков и программное обеспечение для внутреннего использования, созданное собственным отделом программистов. Именно поэтому операционные системы нуждаются в регулярной установке патчей. Информация. Наиболее значительной ценностью, конечно же, являются данные, которые создаются или используются в сети. Программное обеспечение и операционные системы можно переустановить - а если подвергнутся разглашению важные данные, такие как списки клиентов, сведения о продажах или корпоративные секреты, то ущерб бизнесу может быть значительным. Люди. В "группу риска" входят все пользователи, имеющие доступ к сети или к любому подключенному к ней устройству. Документы. Об этом очень важном для хакеров ресурсе часто забывают. Пароли записываются на бумажках; отчеты, содержащие конфиденциальную информацию, распечатываются, а потом все это часто выбрасывается в мусорную корзину. Лучше измельчить эти бумаги на мелкие кусочки или сделать их нечитаемыми другим способом - и только потом выбросить.
Одной из величайших угроз компьютерной безопасности являются заметки-"липучки". Вспомните, сколько раз вам приходилось видеть такие липучки с именем пользователя и паролем, приклеенные сбоку монитора?
Хорошая политика обеспечения безопасности, понятная всем пользователям,- это нечто гораздо большее, чем просто средство предотвращения некоторых возможных проблем. Хорошей практикой является процедура регулярного повторного ознакомления пользователей с этой политикой, наравне с инструктажем по техника безопасности на рабочем месте. Это не должно быть пустой формальностью. Важно, чтобы пользователи сознавали, какую ответственность они берут на себя одновременно с правом доступа к корпоративной компьютерной сети.
Образец политики корпоративной безопасности
Цель: гарантировать использование по назначению компьютеров и телекоммуникационных ресурсов Компании ее сотрудниками, независимыми подрядчиками и другими пользователями. Все пользователи компьютеров обязаны использовать компьютерные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая законы.
Следующая политика, ее правила и условия касаются всех пользователей компьютерных и телекоммуникационных ресурсов и служб компании, где бы эти пользователи ни находились. Нарушения этой политики влечет за собой дисциплинарные воздействия, вплоть до увольнения и/или возбуждения уголовного дела.
Данная политика может периодически изменяться и пересматриваться по мере необходимости.
Руководство компании имеет право, но не обязано проверять любой или все аспекты компьютерной системы, в том числе электронную почту, с целью гарантировать соблюдение данной политики. Компьютеры и бюджеты предоставляются сотрудникам Компании с целью помочь им более эффективно выполнять свою работу. Компьютерная и телекоммуникационная системы принадлежат Компании и могут использоваться только в рабочих целях. Сотрудники Компании не должны рассчитывать на конфиденциальность информации, которую они создают, посылают или получают с помощью принадлежащих Компании компьютеров и телекоммуникационных ресурсов. Пользователям компьютеров следует руководствоваться перечисленными ниже мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб. Компьютерные и телекоммуникационные ресурсы и службы включают в себя (но не ограничиваются) следующее: хост-компьютеры, серверы файлов, рабочие станции, автономные компьютеры, мобильные компьютеры, программное обеспечение, а также внутренние и внешние сети связи (интернет, коммерческие интерактивные службы и системы электронной почты), к которым прямо или косвенно обращаются компьютерные устройства Компании. Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности. Неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить их на компьютерах Компании.
заметившие или получившие подобные материалы,
Пользователи, заметившие или получившие подобные материалы, должны сразу сообщить об этом инциденте своему руководителю. Все, что создано на компьютере, в том числе сообщения электронной почты и другие электронные документы, может быть проанализировано руководством Компании. Пользователям не разрешается устанавливать на компьютерах и в сети Компании программное обеспечение без разрешения системного администратора. Пользователи не должны пересылать электронную почту другим лицам и организациям без разрешения отправителя. Электронная почта от юриста Компании или представляющего ее адвоката должна содержать в колонтитуле каждой страницы сообщение: "Защищено адвокатским правом/без разрешения не пересылать". Пользователям запрещается изменять и копировать файлы, принадлежащие другим пользователям, без разрешения владельцев файлов. Запрещается использование без предварительного письменного разрешения компьютерных и телекоммуникационных ресурсов и служб Компании для передачи или хранения коммерческих либо личных объявлений, ходатайств, рекламных материалов, а также разрушительных программ (вирусов и/или самовоспроизводящегося кода), политических материалов и любой другой информации, на работу с которой у пользователя нет полномочий или предназначенной для личного использования. Пользователь несет ответственность за сохранность своих паролей для входа в систему. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли. Пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля. Возможность входа в другие компьютерные системы через сеть не дает пользователям права на подключение к этим системам и на использование их без специального разрешения операторов этих систем.
Программный доступ
Кроме физического, следует ограничить и программный доступ к сети. И все равно, независимо от того насколько хорошо налажен контроль доступа, всегда найдется человек, который нарушит эту защиту. Поэтому необходимо иметь возможность проследить сетевые события и определить по ним, не пытался ли кто-то вторгнуться в сеть и насколько это удалось.
Существует несколько типовых механизмов управления доступом к сети:
пользовательские учетные записи и пароли; физические идентификаторы; защита ресурсов.
Во многих операционных системах важной частью этой схемы является концепция владения ресурсами. Например, в OpenVMS и Windows 2000/Server 2003 отслеживаются пользователи, создающие ресурсы (такие как файлы). Владельцы таких ресурсов имеют право изменять режим защиты файла и предоставлять другим пользователям полномочия, необходимые для работы с этим файлом. То же самое, хотя и в меньшей степени, можно сказать об операционных системах Unix/Linux.7
Системные демоны и службы
Фоновые процессы, выполняющие различные функции на серверах Windows, называются службами. В операционных системах Unix также есть аналогичные фоновые процессы, называемые демонами. И те, и другие процессы являются фоновыми - не требуют взаимодействия с клавиатурой и выполняются на компьютере, ожидающем запуска некоторой функции. Иногда они могут стать причиной нарушения системы защиты.
Следует ознакомиться с фоновыми процессами, выполняемыми на всех серверах сети, и отключить лишние. Например, в системах Unix есть много фоновых демонов, связанных с набором протоколов TCP/IP. На одних компьютерах они, нужны, на других же используются, в лучшем случае, только некоторые из них. Ниже перечислены некоторые демоны, которые нередко можно отключить.
Службы TCP/IP, которые иногда можно отключить
uucp- копирование с одного компьютера Unix на другой finger - получение информации о пользователях tftp - простейший протокол передачи файлов (Trivial File Transfer Protocol) talk - возможность обмена данными по сети между пользователями bootp - предоставление клиентам информации о сети systat - получение информации о системе netstat - получение информации о сети, такой как текущие соединения rusersd - получение информации о пользователях, зарегистрированных в данный момент rexd - удаление работающей утилиты
Например, служба tftp является упрощенным вариантом FTP. Она компактна и обычно легко реализуется в виде перепрограммируемого ПЗУ. Поэтому эта служба полезна в некоторых устройствах, требующих загрузки операционной системы с хоста. Однако следует учесть, что, в отличие от FTP, служба tftp не имеет доступа к механизмам управления и, таким образом, имя пользователя и пароль для нее неприменимы. А поскольку аутентификации нет, то отсутствие правильной настройки - например, разрешения использования только в определенных целях - может привести к серьезным нарушениям системы защиты.
На серверах Windows есть две утилиты из состава Resource Kit, которые позволяют установить и запустить в режиме службы практически любую программу или пакетный файл. Это INSTRV.EXE, которая применяется для установки исполняемых программ, и SRVANY.EXE, которую можно использовать для превращения в службу других файлов. На сервере, где часто регистрируется несколько пользователей, можно внести в план регулярного обслуживания просмотр работающих служб и отключение или удаление тех из них, которые не были установлены при исходной установке операционной системы или не поставляются с продуктами, установленными на данном компьютере. Для этого нужно регулярно проводить инвентаризацию всего, что работает на каждом сервере. Информация, полученная в результате такой инвентаризации, может использоваться и в других целях - например, при переустановке сервера после аварии (см. инвентаризация).
Утилизация старых компьютеров
При обновлении сети и установке новых рабочих станций и серверов старое, ненужное оборудование часто передают сотрудникам компании или другим организациям, например школам. В политике обеспечения безопасности должно быть правило, согласно которому со всех жестких дисков, подлежащих списанию, должны быть удалены данные, а при необходимости - заново установлена легальная копия операционной системы. Там же должна быть описана процедура утилизации использованных дискет, компакт-дисков и картриджей с резервными копиями. При малейшем подозрении, что на них могла сохраниться важная информация, которую можно восстановить, лучше сначала разбить эти носители и только потом выбросить. Хорошим средством уничтожения информации с таких носителей является магнитное устройство "тотального" стирания.
Атаки на абонентские пункты
Необходимо понимать, что абонентские пункты, реализованные на базе персонального компьютера являются менее защищенными устройствами, чем специальные IP-телефоны. Этот тезис также применим и к любым другим компонентам IP-телефонии, построенным на программной основе. Это связано с тем, что на такие компоненты можно реализовать не только специфичные для IP-телефонии атаки. Сам компьютер и его составляющие (операционная система, прикладные программы, базы данных и т.д.) подвержены различным атакам, которые могут повлиять и на компоненты IP-телефонии. Например, Internet-черви Red Code, Nimda, различные троянцы и вирусы, DoS-атаки и их распределенные модификации - все это способно, если не вывести из строя голосовую IP-инфраструктуру, то существенно нарушить ее функционирование. При этом, даже если в самом ПО не найдено уязвимостей (до поры до времени), то используемые им другие программные компоненты третьих фирм (особенно широко известные) могут снизить общую защищенность до нуля. Ведь давно известно общее правило - "защищенность всей системы равна защищенности самого слабого ее звена". Для примера можно привести Cisco CallManager, который использует для своего функционирования Windows 2000 Server, MS Internet Information Server и MS SQL Server, каждый из которых обладает своим букетом дыр.
Атаки на диспетчеры
Злоумышленники могут атаковать и узлы (Gatekeeper в терминах H.323 или Redirect server в терминах SIP), которые хранят информацию о разговорах пользователей (имена абонентов, время, продолжительность, причина завершения звонка и т.д.). Это может быть сделано, как с целью получения конфиденциальной информации о самих разговорах, так и с целью модификации и даже удаления указанных данных. В последнем случае биллинговая система (например, у оператора связи) не сможет правильно выставлять счета своим клиентам, что может нарушить функционирование или нанести ущерб всей инфраструктуре IP-телефонии.
Атаки на обычную телефонию применимы и для ее IP-родственницы.
IP-телефония, являясь прямой родственницей обычной телефонии и IP-технологии, вобрала в себя не только их достоинства, но и их недостатки. Т.е. атаки, присущие обычной телефонии, также могут быть применены и для ее IP-составляющей. Перечислю некоторые из них, часть их которых я рассмотрю более подробно:
Подслушивание телефонных переговоров Отказ в обслуживании Подмена номера Кража сервисов Неожидаемые вызовы Несанкционированное изменение конфигурации Мошенничество со счетом.
Аутентификация
Различные IP-телефоны поддерживают механизмы аутентификации, которые позволяют воспользоваться его возможностями только после предъявления и проверки пароля или персонального номера PIN, разрешающего пользователю доступ к IP-телефону. Однако надо заметить, что данное решение не всегда удобно для конечного пользователя, особенно в условиях ежедневного использования IP-телефона. Возникает обычное противоречие "защищенность или удобство".
которая реализует некоторые механизмы безопасности
H.323 - протокол, который позволяет построить VoIP-систему от начала и до конца. H.323 включает в себя ряд спецификаций, в т.ч. и H.235, которая реализует некоторые механизмы безопасности (аутентификацию, целостность, конфиденциальность и невозможность отказа от сообщений) для голосовых данных.
Аутентификация в рамках стандарта H.323 может быть реализована как с помощью алгоритмов симметричной криптографии (в этом случае не требуется никакого предварительного обмена между взаимодействующими устройствами и не так интенсивно нагружается центральный процессор), так и с помощью сертификатов или паролей. Кроме того, спецификация H.235 позволяет использовать в качестве механизма аутентификации IPSec, который также рекомендуется к применению и в других стандартах IP-телефонии.
После установки защищенного соединения, которое происходит через 1300 tcp-порт, узлы, участвующие в обмене голосовыми данными, обмениваются информацией о методе шифрования, которое может быть задействовано на транспортном (шифрование пакетов RTP-протокола) или сетевом (с помощью IPSec) уровне.
Безопасность MGCP
Стандарт MGCP, определенный в RFC 2705 и неприменяемый на оконечных устройствах (шлюзы MGCP могут работать как с компонентами, поддерживающими H.323, так и с компонентами, поддерживающими SIP), использует для защиты голосовых данных протокол ESP спецификации IPSec. Может также использоваться и протокол AH (но только не в сетях IPv6), который обеспечивает аутентификацию и целостность данных (connectionless integrity) и защиту от повторений, передаваемых между шлюзами. В то же время, протокол AH не обеспечивает конфиденциальности данных, которая достигается применением ESP (наряду с другими тремя защитными функциями).
Рис. 2 Архитектура протоколов IP-Телефонии
Безопасность SIP
Данный протокол, похожий на HTTP и используемый абонентскими пунктами для установления соединения (не обязательно телефонного, но и, например, для игр), не обладает серьезной защитой и ориентирован на применение решений третьих фирм (например, PGP). В качестве механизма аутентификации RFC 2543 предлагает несколько вариантов и, в частности, базовую аутентификацию (как в HTTP) и аутентификацию на базе PGP. Пытаясь устранить слабую защищенность данного протокола, Майкл Томас из компании Cisco Systems разработал проект стандарта IETF, названный "SIP security framework", который описывает внешние и внутренние угрозы для протокола SIP и способы защиты от них. В частности, к таким способам можно отнести защиту на транспортном уровне с помощью TLS или IPSec. Кстати, компания Cisco в своей архитектуре безопасности корпоративных сетей SAFE, очень большое внимание уделяет практическим вопросам защиты IP-телефонии.
Дополнительные ресурсы
Архитектура безопасности корпоративных сетей SAFE компании Cisco Systems - Архитектура SAFE для IP-телефонии: (SAFE: IP Telephony Security in Depth) - Thomas, Michael. "SIP Security Framework" 12 July 2001 - Liu, Jing. "The Security Architecture of H.323" -
Физическая безопасность
Желательно запретить неавторизованный доступ пользователей к сетевому оборудованию, в т.ч. и коммутаторам, и по возможности все неабонентское оборудование разместить в специально оборудованных серверных комнатах. Это позволит предотвратить несанкционированное подключение компьютера злоумышленника. Кроме того, следует регулярно проверять наличие несанкционированно подключенных к сети устройств, которые могут быть "врезаны" напрямую в сетевой кабель. Для определения таких устройств можно использовать различные методы, в т.ч. и сканеры (например, Internet Scanner или Nessus), дистанционно определяющие наличие в сети "чужих" устройств.
IP-опасность для бизнеса
Научно-инженерное предприятие "Информзащита"
Опубликовано в журнале "Мир связи. Connect"
IP-телефония (VoIP) сейчас переживает бум - о ней говорят все и вся, расписывая ее несомненные достоинства (сокращение расходов за междугородние и международные переговоры, возможность совместной передачи данных и голоса по одним физическим каналам связи, интеграция с различными приложениями и т.д.). Но как быть с безопасностью IP-телефонии? IT-специалистам, включая и специалистов по защите информации, крайне желательно знать возможные угрозы компонентам инфраструктуры IP-телефонии и возможные способы защиты от них, включая и возможности существующих VoIP-стандартов с точки зрения информационной безопасности.
Контроль доступа
Еще один достаточно простой способ защиты инфраструктуры VoIP - контроль MAC-адресов. Не разрешайте IP-телефонам с неизвестными MAC-адресами получать доступ к шлюзам и иным элементам IP-сети, передающей голосовые данные. Это позволит предотвратить несанкционированное подключение "чужих" IP-телефонов, которые могут прослушивать ваши переговоры или осуществлять телефонную связь за ваш счет. Разумеется, MAC-адрес можно подделать, но все-таки не стоит пренебрегать такой простой защитной мерой, которая без особых проблем реализуется на большинстве современных коммутаторов и, даже, концентраторов.
Узлы (в основном, шлюзы, диспетчеры и мониторы) должны быть настроены таким образом, чтобы блокировать все попытки несанкционированного доступа к ним. Для этого можно воспользоваться как встроенными в операционные системы возможностями, так и продуктами третьих фирм. А так как мы работаем в России, то я рекомендую применять средства, сертифицированные в Гостехкомиссии России, тем более что таких средств немало.
Межсетевой экран
Для защиты корпоративной сети обычно используется межсетевые экраны, которые с тем же успехом могут быть использованы и для защиты VoIP-инфраструктуры. Единственное, что необходимо сделать - добавить ряд правил, учитывающих топологию сети, местоположение установленных компонентов IP-телефонии и т.д. Например, доступ к Cisco CallManager из Internet или демилитаризованной зоны обычно блокируется, однако в случае использования Web-ориентированного управления такой доступ должен быть разрешен, но только для 80-го порта и только для ограниченного диапазона внешних адресов. А для защиты SQL-сервера, входящего в состав Cisco CallManager, можно запретить доступ со всех портов кроме 1433-го.
Кстати, существует два типа межсетевых экранов, которые могут быть использованы для защиты компонентов IP-телефонии. Первый из них, корпоративный, ставится на выходе из корпоративной сети и защищает сразу все ее ресурсы. Примером такого МСЭ является CiscoSecure PIX Firewall. Второй тип - персональный, защищающий только один конкретный узел, на котором может стоять абонентский пункт, шлюз или диспетчер. Примерами таких персональных МСЭ являются RealSecure Desktop Protector или BlackICE PC Protector. Кроме того, некоторые операционные системы (например, Linux или Windows 2000) имеют встроенные персональные межсетевые экраны, что позволяет задействовать их возможности для повышения защищенности инфраструктуры VoIP.
В зависимости от используемого стандарта IP-телефонии применение межсетевых экранов может повлечь за собой разные проблемы. Например, после того, как с помощью протокола SIP абонентские пункты обменялись информацией о параметрах соединения, все взаимодействие осуществляется через динамически выделенные порты с номерами больше 1023. В этом случае МСЭ заранее "не знает" о том, какой порт будет использован для обмена голосовыми данными и, как следствие, будет такой обмен блокировать. Поэтому межсетевой экран должен уметь анализировать SIP-пакеты с целью определения используемых для взаимодействия портов и динамически создавать или изменять свои правила. Аналогичное требование предъявляется и для других протоколов IP-телефонии.
Еще одна проблема связан с тем, что не все МСЭ умеют грамотно обрабатывать не только заголовок протокола IP-телефонии, но и его тело данных, т.к. зачастую важная информация находится внутри него. Например, информация об адресах абонентов в протоколе SIP находится именно в теле данных. Неумение межсетевого экрана "вникать в суть" может привести к невозможности обмена голосовыми данными через межсетевой экран или "открытии" в нем слишком большой дыры, которой могут воспользоваться злоумышленники.
Отказ в обслуживании
Традиционная телефонная связь всегда гарантирует качество связи даже в случае высоких нагрузок, что не является аксиомой для IP-телефонии. Высокая нагрузка на сеть, в которой передаются оцифрованные голосовые данные, приводит к существенному искажению и даже пропаданию части голосовых сообщений. Поэтому одна из атак на IP-телефонию может заключаться в посылке на сервер IP-телефонии большого числа "шумовых" пакетов, которые засоряют канал передачи данных, а в случае превышения некоторого порогового значения могут даже вывести из строя часть сети IP-телефонии (т.е. атака "отказ в обслуживании"). Что характерно, для реализации такой атаки нет необходимости "изобретать велосипед" - достаточно использовать широкие известные DoS-атаки Land, Ping of Death, Smurf, UDP Flood и т.д. Одним из решений этой проблемы является резервирование полосы пропускания, которого можно достичь с помощью современных протоколов, например, RSVP. Более подробно способы защиты будут рассмотрены далее.
Перехват данных
Перехват данных - самая большая проблема, как обычной телефонии, так и ее IP-родственницы. Однако в последнем случае эта опасность намного выше, т.к. злоумышленнику уже не надо иметь физический доступ к телефонной линии. Ситуацию ухудшает еще и тот факт, что множество протоколов, построенных на базе стека TCP/IP, передают данные в открытом виде. Таким грехом страдают HTTP, SMTP, IMAP, FTP, Telnet, SQL*net и, в том числе, протоколы IP-телефонии. Злоумышленник, который смог перехватить голосовой IP-трафик (а он по умолчанию между шлюзами не шифруется) может без труда восстановить исходные переговоры. Для этого существуют даже автоматизированные средства. Например, утилита vomit (Voice Over Misconfigured Internet Telephones), которая конвертирует данные, полученные в результате перехвата трафика с помощью свободно распространяемого анализатора протоколов tcpdump, в обычный WAV-файл, прослушиваемый с помощью любого компьютерного плейера. Эта утилита позволяет конвертировать голосовые данные, переданные с помощью IP-телефонов Cisco и сжатые с помощью кодека G.711. Мало того, помимо несанкционированного прослушивания злоумышленники могут повторно передать перехваченные голосовые сообщения (или их фрагменты) для достижения своих целей.
Однако сразу хочу отметить, что перехват голосовых данных - не такая простая задача, как кажется на первый взгляд. Злоумышленник должен иметь информацию об адресах шлюзов или абонентских пунктов, используемых VoIP-протоколах (например, H.323) и алгоритмах сжатия (например, G.711). В противном случае, злоумышленнику будет трудно настроить ПО для перехвата трафика или объем перехваченных данных и время для их анализа превысит все допустимые пределы.
Перехват данных может быть осуществлен как изнутри корпоративной сети, так и снаружи. Квалифицированный злоумышленник, имеющий доступ к физической среде передаче данных, может подключить свой IP-телефон к коммутатору и таким образом подслушивать чужие переговоры. Он также может изменить маршруты движения сетевого трафика и стать центральным узлом корпоративной сети через который проходит интересующий его трафик. Причем, если во внутренней сети вы можете с определенной долей вероятности обнаружить несанкционированно подключенное устройство, перехватывающее голосовые данные, то во внешней сети обнаружить ответвления практически невозможно. Поэтому любой незашифрованный трафик, выходящий за пределы корпоративной сети, должен считаться небезопасным.
Подмена номера
Для связи с абонентом в обычной телефонной сети вы должны знать его номер, а в IP-телефонии - роль телефонного номера выполняет IP-адрес. Следовательно, возможна ситуация, когда злоумышленник, используя подмену адреса, сможет выдать себя за нужного вам абонента. Именно поэтому задача обеспечения аутентификации не обойдена вниманием во всех существующих VoIP-стандартах и будет рассмотрена чуть позже.
Принцип действия
Принцип действия технологии IP-телефонии прост. Центральным ее компонентом является сервер (шлюз), который отвечает за соединение телефонной и IP сетей, т.е. он подключен как к телефонной сети и может дозвониться до любого обычного телефона, так и к сети передачи данных (например, Internet) и может получить доступ к любому компьютеру. В функции данного устройства входят:
Ответ на вывоз вызывающего абонента Установление соединение с удаленным шлюзом и вызываемым абонентом Оцифровка (кодирование), сжатие, разбиение на пакеты и восстановление сигнала
Данный шлюз (например, Cisco Catalyst 4000 Access Gateway Module или Cisco VG200) на вход принимает обычный телефонный сигнал, оцифровывает его (если сигнал не цифровой) и проводит сжатие полученных данных, после чего передает в IP-сеть в виде обычных пакетов (но не очень большого размера). На другом конце шлюз восстанавливает сигнал в обратном порядке. Данный компонент может и не использоваться, если вы не планируете интегрировать свои IP-телефоны в телефонную сеть общего пользования (см. рис.1).
Для того чтобы можно было построить распределенную сеть IP-телефонии необходимо наличие диспетчера, который отвечает за распределение вызовов между шлюзами (например, Cisco CallManager). Помимо этой задачи диспетчер проводит аутентификацию и авторизацию абонентов, а также обладает интерфейсом к биллинговой системе.
Для удобства администрирования большого числа удаленных шлюзов и диспетчеров может использоваться специальное программное обеспечение, называемое монитором. Ну и, наконец, последним обязательным элементом сети IP-телефонии является абонентский пункт, который может быть реализован как программным (например, Cisco IP SoftPhone), так и аппаратным способом (например, Cisco IP Phone, подключаемые напрямую к Ethernet-порту коммутатора). Причем в первом случае звонки можно осуществлять даже через домашний компьютер, оснащенный звуковой картой и микрофоном, а во втором случае, в качестве абонентского пункта выступает т.н. IP-телефон.
Еще одним компонентом архитектуры IP-телефонии можно назвать специализированные пользовательские приложения, возникшие благодаря интеграции голоса, видео и данных (call-центры, системы унифицированной обработки сообщений).
Рис. 1 Компоненты инфраструктуры IP-Телефонии
RFC 1918 и трансляция адресов
Не рекомендуется использовать для VoIP IP-адреса, доступные из Internet, - это существенно снижает общий уровень безопасность инфраструктуры. Поэтому при возможности используйте адреса, указанные в RFC 1918 (10.x.x.x, 192.168.x.x и т.д.) и немаршрутизируемые в Internet. Если это невозможно, то необходимо задействовать на межсетевом экране, защищающем вашу корпоративную сеть, механизм трансляции адресов (network address translation, NAT).
Шифрование
Шифрование должно использоваться не только между шлюзами, но и между IP-телефоном и шлюзом. Это позволит защитить весь путь, который проходят голосовые данные из одного конца в другой. Обеспечение конфиденциальности не только является неотъемлемой частью стандарта H.323, но и реализовано в оборудовании некоторых производителей. Однако этот механизм практически никогда не задействуется. Почему? Потому что качество передачи данных является первоочередной задачей, а непрерывное зашифрование/расшифрование потока голосовых данных требует времени и вносит зачастую неприемлемые задержки в процесс передачи и приема трафика (задержка в 200 250 мсек может существенно снизить качество переговоров). Кроме того, как уже было сказано выше, отсутствие единого стандарта не позволяет принять всеми производителями единый алгоритм шифрования. Однако справедливости ради надо сказать, что сложности перехвата голосового трафика пока позволяют смотреть на его шифрование сквозь пальцы.
Кстати, если вы все-таки решитесь использовать шифрование, то помните, что, шифруя голосовые данные, вы скрываете их не только от злоумышленника, но и от средств обеспечения контроля качества (QoS), которые не смогут предоставить им соответствующую полосу пропускания и приоритетное обслуживание. Устранив одну проблему (беззащитность), перед вами встает другая (качество обслуживания). И можно быть уверенным, что при таком раскладе вы предпочтете решение второй проблемы, пренебрегая решением первой. Кстати, шифровать можно тоже не все подряд. Сигнальные протоколы, используемые в IP-телефонии, шифровать не рекомендуется, т.к. в этом случае вы зашифруете и всю служебную информацию, необходимую для поддержания работоспособности всей сети.
Но не стоит сразу отказываться от шифрования - все-таки обезопасить свои переговоры также необходимо. Поэтому стоит с умом подходить к шифрованию VoIP-данных. Например, компания Cisco рекомендует вместо туннеля GRE или применения VPN-концентраторов Cisco VPN 3000 использовать команду Crypto в операционной системе IOS своего оборудования, что позволяет защитить данные при сохранении качества обслуживания. Кроме того, можно использовать выборочное шифрование только для определенных полей в VoIP-пакетах.
Рис. 3 Фрагмент защищенной сети IP-Телефонии
Системы обнаружения атак
Выше уже было рассказано о некоторых атаках, которые могут нарушить работоспособность VoIP-инфраструктуры. Для защиты от них можно использовать хорошо себя зарекомендовавшие и известные в России средства обнаружения атак (intrusion detection system), которые не только своевременно идентифицируют нападения, но и блокируют их, не давая нанести вред ресурсам корпоративной сети. Такие средства могут защищать как целые сетевые сегменты (например, RealSecure Network Sensor или Snort), так и отдельные узлы (например, CiscoSecure IDS Host Sensor или RealSecure Server Sensor).
Стандарты IP-телефонии и механизмы их безопасности
Отсутствие единых принятых стандартов в данной области (см. рис.2) не позволяет разработать и универсальные рекомендации по защите устройств IP-телефонии. Каждая рабочая группа или производитель по-своему решает задачи обеспечения безопасности шлюзов и диспетчеров, что приводит к необходимости тщательного их изучения перед выбором адекватных мер по защите.
VLAN
Технология виртуальных локальных сетей (VLAN) обеспечивает безопасное разделение физической сети на несколько изолированных сегментов, функционирующих независимо друг от друга. В IP телефонии эта технология используется для отделения передачи голоса от передачи обычных данных (файлов, e-mail и т.д.). Диспетчеры, шлюзы и IP-телефоны помещают в выделенную VLAN для передачи голоса. Как я уже отметил выше, VLAN существенно усложняет жизнь злоумышленникам, но не снимает всех проблем с подслушиванием переговоров. Существуют методы, которые позволяют злоумышленникам перехватывать данные даже в коммутированной среде.
Возможные угрозы
Главная проблема с безопасностью IP-телефонии в том, что она слишком открыта и позволяет злоумышленникам относительно легко совершать атаки на ее компоненты. Несмотря на то, что случаи таких нападений практически неизвестны, они могут быть при желании реализованы, т.к. атаки на обычные IP-сети практически без изменений могут быть направлены и на сети передачи оцифрованного голоса. С другой стороны, похожесть обычных IP-сетей и сетей IP-телефонии подсказывает нам и пути их защиты, но об этом чуть дальше.
Выбор правильной топологии
Не рекомендуется использовать для VoIP-инфраструктуры концентраторы, которые облегчают злоумышленникам перехват данных. Кроме того, т.к. оцифрованный голос обычно проходит по той же кабельной системе и через тоже сетевое оборудование, что и обычные данные, стоит правильно разграничить между ними информационные потоки. Это, например, может быть сделано с помощью механизма VLAN (однако не стоит полагаться только на них). Сервера, участвующие в инфраструктуре IP-телефонии желательно размещать в отдельном сетевом сегменте (см. рис.3), защищенном не только с помощью встроенных в коммутаторы и маршрутизаторы механизмов защиты (списки контроля доступа, трансляция адресов и обнаружение атак), но и с помощью дополнительно установленных средств защиты (межсетевые экраны, системы обнаружения атак, системы аутентификации и т.д.).
Вы должны помнить, что передача голосовых данных по вашей корпоративной сети накладывает на ее проектирование особый отпечаток. Большое внимание вы должны уделить вопросам высокой доступности и отказоустойчивости. Если пользователи еще могут привыкнуть к непродолжительному выходу из строя Web-сервера или почтовой системы, то привыкнуть к нарушению телефонной связи они не смогут. Обычная телефонная сеть так редко выходит из строя, что многие пользователи закономерно наделяют свойством безотказности и ее IP-сестру. Поэтому сбой в работе VoIP-инфраструктуры может подорвать к ней доверие со стороны пользователей, что в свою очередь может привести к отказу от ее использования и нанесению материального ущерба ее собственнику.
Зачем атакуют IP-телефонию?
Сети IP-телефонии - хорошая цель для хакеров. Некоторые из них могут подшутить над вами, послав вам голосовое сообщение от имени руководства компании. Кто-то может захотеть получить доступ к голосовому почтовому ящику вашего руководства или даже захочет перехватить голосовые данные о финансовых сделках, которыми обмениваются сотрудники финансового департамента или бухгалтерии. Ваши конкуренты могут захотеть подорвать вашу репутацию путем выведения из строя шлюзов и диспетчеров, тем самым, нарушая доступность телефонных услуг для ваших абонентов, что, в свою очередь, может также привести к нанесению ущерба бизнесу ваших клиентов. Существуют и другие причины, например, звонки за чужой счет (кража сервиса).
и объемность темы не позволяет
Разносторонность и объемность темы не позволяет подробно рассмотреть все аспекты обеспечения информационной безопасности IP-телефонии. Но те аспекты, которые мне удалось осветить и знания о которых вы можете расширить с помощью дополнительных ресурсов, все же показывают, что VoIP - не такая закрытая и непонятная область, как это кажется на первый взгляд. К ней могут быть применены уже известные по обычной телефонии и IP-сетям методы нападения. А относительная легкость их реализации ставит безопасность на первое место, наряду с обеспечением качества обслуживания IP-телефонии.
Четыре к одному
Современные системы IPS развивались в нескольких направлениях. Некоторые производители развили имеющиеся у них IDS, оснастив их гораздо более эффективными механизмами предотвращения атак. Например, в системах IDS использовалась простая посылка TCP-пакетов с флагом RST или реконфигурация МСЭ и сетевого оборудования. Эффективность этой "защиты" для классических IDS составляет всего около 30% - ведь трафик через устройство не проходит и о реагировании в реальном времени говорить не приходится (существует хоть и минимальная, но задержка). Однако было найдено простое решение: поместить систему IDS между защищаемыми и незащищаемыми ресурсами (весь трафик между ними проходит через IDS). Так появились системы под названием inline-IDS, позже переименованные в IPS. По этому пути пошли компании ISS, Cisco, NFR и Sourcefire.
Однако технологии IPS не ограничивались только эволюцией систем IDS. Современные МСЭ, оснащенные механизмом глубокого анализа трафика, также могут быть отнесены к разряду IPS. Нехватка расширенных механизмов анализа в МСЭ привела к тому, что их стали оснащать функциями не только анализа заголовка пакета, но и глубокого проникновения в тело данных и "понимания" передаваемых протоколов. Производители по-разному называют эту функциональность: Deep Packet Inspection, Application Intelligence и т. д., но суть ее от этого не меняется. МСЭ с такими функциями способны обнаруживать многие нарушения политики безопасности, например скрытие в протоколе HTTP запрещенных приложений (ICQ, P2P и т. п.), отклонение от стандартов RFC и т. д. Разумеется, современные МСЭ не обладают такими же механизмами обнаружения атак, что и IDS, но со временем слияние этих систем все же произойдет. По пути оснащения своих МСЭ новыми возможностями пошли компании Check Point, Cisco, Fortinet и iPolicy Networks.
Существует еще третье направление, которое послужило толчком к становлению современных систем предотвращения атак, - создание антивирусов. Начавшие свой путь как средства лечения загрузочных, файловых и макровирусов, эти средства защиты "нарастили мышцы" за счет обнаружения троянцев, червей и других вредоносных программ. В итоге, читая описания современных антивирусов, очень сложно понять, о чем идет речь - об антивирусной программе или системе IPS.
Четвертым витком эволюции стало создание "чистых" систем IPS, которые изначально были ориентированы на предотвращение атак. По такому пути пошли компании OneSecure и IntruShield, выпустившие в 2000-2001 годах первые IPS. В эту же категорию попали такие пионеры отрасли, как Network ICE и Tipping Point. Но, как говорится, иных уж нет, а те далече - все названные компании были куплены более крупными игроками: McAfee, NetScreen, ISS и т. п.
Сейчас в сегменте собственно IPS появились новые "ростки" - V-Secure, Reflex Security, DeepNines Technologies и другие.
Почему проекты внедрения IPS проваливаются, или Что нас ждет в будущем?
В начале XXI века некоторые эксперты предрекали системам IDS скорую смерть, ссылаясь на три основные проблемы при их внедрении: высокий процент ложных срабатываний, большое число управленческих задач и автоматизация реагирования. Системы IPS справились только с последней. Какие же действия предпринимают производители для решения проблем, способных похоронить эту технологию защиты?
Прежде всего рассмотрим проблему ложных срабатываний. Представьте, что мимо вас в детскую комнату летит комар. Вы его обнаружили, но этого мало. Вы не знаете, находится ли ваш ребенок в детской, а если находится, то намазался ли он средством против комаров. В результате вы сломя голову бежите в комнату и убиваете комара. За эти секунды на плите убегает и выплескивается на плиту варенье-"пятиминутка", а нет ничего страшнее для керамической варочной панели, чем засохший сахар. С системами обнаружения и предотвращения атак ситуация похожая: обратив внимание на первый сигнал тревоги и не зная, насколько реальна опасность, вы можете упустить из виду более серьезное событие, поступившее на консоль администратора вторым. Более того, существуют специальные утилиты, которые генерируют потоки ложных событий, чтобы ввести администратора в заблуждение. Поэтому первое, на что надо обращать внимание при выборе систем защиты описываемого класса, - борьба с ложными срабатываниями (false positive).
Для решения этой проблемы применяются системы корреляции событий, которые в состоянии определить, что скрывается за атаку емыми IP-адресами, и сделать вывод, подвержена ли цель такой атаке. Если нет, то событием можно пренебречь и оставить его . Однако, чтобы принять решение о реальности атаки, необходимо знать, какие ОС и ПО установлены на атакуемом узле. Если, например, червь SQL Slammer атакует Linux-сервер, то последнему ничего не угрожает, так как SQL Slammer наносит ущерб только серверам с СУБД MS SQL Server без соответствующих заплаток. Информация о ПО и ОС может быть добыта двумя путями (ручное задание этих параметров для всех атакуемых узлов вряд ли можно рассматривать как перспективный способ).
Например, с помощью дистанционного сканирования и получения необходимой информации от самого атакуемого узла. Этот способ наиболее прост в реализации - достаточно просканировать сеть и связать информацию об атаках с конкретными версиями ОС, ПО и уязвимостями (это и есть процесс корреляции). Однако у данного метода есть серьезное ограничение - системы корреляции стоят немалых денег.
Решение указанной проблемы заключается в использовании облегченных и интегрированных в системы предотвращения атак подсистем корреляции. Такая система регулярно проводит сканирование сети и запоминает состояние составляющих ее узлов. В момент атаки происходит связывание сведений об атаке с информацией об атакуемом узле. Если связь есть, то атака не ложная; если связь не обнаружена, то приоритет атаки снижается и администратор не тратит на нее время и энергию. Этот способ отсеивания ложных срабатываний появился недавно и пока не получил широкого распространения. В принципе, установленная на узле система персональной защиты (например, HIPS) сама сигнализирует сетевому сенсору, какая атака может нанести ущерб, а какая нет.
Другая, пока не до конца решенная проблема - большое число управленческих задач, к которым относятся обновление сигнатур, интерпретация сигналов тревоги, настройка системы и т. д. Каждый производитель решает их по-своему, единых стандартов и рекомендаций еще не существует. Если же этому аспекту должного внимания не уделить, то система IPS из средства защиты сама может превратиться в источник проблем. К примеру, неграмотно настроенная функция блокирования вторже- ния может стать причиной отказа в обслужи- вании (denial of service) для какого-либо узла или приложения.
Между тем существует еще целый ряд проблем, ожидающих своего решения. Первая заключается в отказоустойчивости системы IPS. Ведь если решение выйдет из строя, то в канале связи образуется затор и трафик не сможет дойти до адресата. Рекомендации, даваемые на заре использования IPS ("лучше не допустить проникновения или утечки и блокировать доступ в сеть в случае выхода IPS из строя, чем оставить сеть открытой и незащищенной"), сегодня уже устарели.
Многие бизнес- приложения являются более приоритетными, нежели системы защиты, и снижение доступности первых недопустимо, даже в ущерб защищенности. Поэтому теперь большинство систем IPS оснащаются различными механизмами отказоустойчивости (программными или аппаратными bypass-системами).
Второй проблемой стало предотвращение атак в коммутируемых сетях. Когда речь заходит о применении IDS в коммутируемых сетях, то особых проблем это уже не вызывает. Можно использовать различные механизмы и технологии, самая распространенная из которых - использование SPAN-порта на коммутаторе, куда подключается сенсор системы обнаружения. Однако как только от обнаружения мы переходим к предотвращению, ситуация коренным образом меняется. Мы уже не можем просто подключить IPS к SPAN-порту и блокировать все атаки, ведь трафик должен проходить через само устройство защиты. Первый вариант решения проблемы сегодня доступен только в решениях компании Cisco (в коммутаторе Cisco Catalyst 6500), которые имеют интегрированный модуль, способный блокировать проходящий через него трафик. А если ваша сеть построена на коммутаторах другого производителя? Устанавливать сенсоры IPS между коммутатором и защищаемым узлом слишком дорого - число сенсоров будет равно числу защищаемых ресурсов, что сделает инфраструктуру отражения атак поистине золотой.
Использование многоинтерфейсных сенсоров (например, с четырьмя или восьмью портами) ситуацию кардинально не меняет - инфраструктура все равно получается очень дорогой. Выходом может стать метод, появившийся совсем недавно и получивший название Inline-on-a-Stick. Суть его проста: на интерфейс устройства IPS поступает трафик одной из VLAN и после обработки через этот же интерфейс уходит обратно. Если учесть возможность поддержки до 255 пар VLAN-соединений на одном порту сенсора, то можно контролировать очень большие локальные сети (с восьмьюпортовой картой число контролируемых соединений составляет примерно 2000).
Третья - кооперация с IPS других производителей.
Некоторые заказчики, имея финансовые ресурсы и следуя пословице "не кладите все яйца в одну корзину", строят инфраструктуру предотвращения атак на решениях разных производителей. При этом компании хотят контролировать разнородные сенсоры с одной консоли управления. Вариантов решения задачи два: применение внешних систем управления информационной безопасности (SIMS, Security Information Management System, или SEMS, Security Event Management System) и поддержка стандарта SDEE (Security Device Event Exchange). Второй путь более экономичен и позволяет передавать сигналы тревоги, полученные сенсором одного производителя, на консоль другого производителя.
Четвертая проблема - это увеличение пропускной способности. Лучшие с точки зрения производительности системы IPS работают на скоростях 2-5 Гбит/с, чего более чем достаточно для периметра корпоративной сети, но не хватает для локальной сети. Например, 5-Гбит система IPS может защитить только пять серверов с 1-Гбит сетевыми картами или 50 рабочих станций с 100-Мбит сетевыми интерфейсами. Поэтому сейчас многие производители пошли по пути сетевых лидеров и начали использовать технологии ASIC или FPGA для реализации логики работы системы предотвращения атак. Это может существенно ускорить работу IPS.
Пятая проблема скрывается в поддержке новых приложений. Ранее атаки концентрировались на сетевом уровне, и возможностей IPS было достаточно для их отражения. В последнее время фокус атак сместился на прикладной уровень - на веб-сервисы, XML, SOAP, ERP, CRM, СУБД, IP-телефонию и прочее. Сетевые системы IPS перестали справляться с атаками, так как они не работают на уровне их реализации. Поэтому одним из направлений развития IPS станет поддержка новых технологий и протоколов.
Предотвращение сетевых атак: технологии и решения
Алексей Лукацкий, менеджер по развитию бизнеса Cisco Systems
Системы предотвращения атак (IPS) сегодня очень популярны. Они объединяют целый ряд технологий безопасности и достаточно далеко шагнули от своих предков - систем обнаружения вторжений. Тем не менее, некоторые аналитики критикуют IPS за объективные недостатки и даже предсказывают скорую смерть таких систем. Рассмотрению современных технологий предотвращения атак, анализу их сильных и слабых сторон, а также перспектив их существования посвящена данная статья.
Раньше было всего два класса защитных средств, устанавливаемых на периметре, - межсетевые экраны (firewall) и системы обнаружения вторжений (IDS). Межсетевые экраны (далее МСЭ) пропускали трафик через себя, но не "заглядывали" внутрь пересыла емых данных, фокусируясь только на заголовке IP-пакета. Системы IDS (Intrusion Detection System), напротив, анализировали то, что упускалось из виду межсетевыми экранами, но не были способны блокировать атаки, так как трафик через них не проходил. Поэтому на стыке двух технологий родился новый класс защитных средств - системы предотвращения вторжений (IPS).
IPS (Intrusion Prevention System) оказались настолько популярными, что многие производители стали рекламировать свои классические IDS как системы предотвращения атак, то есть IPS. Не меняя сути своих продуктов, но подставив букву P вместо D, эти поставщики открыли для себя новые рынки и новых клиентов. Но признаками настоящей системы IPS эти решения не обладали. Во-первых, IPS функционирует в режиме inline (пропускает трафик через себя) на скорости канала. Другими словами, решение не становится "бутылочным горлышком" и не снижает скорость передачи данных. Во-вторых, система IPS обеспечивает сборку передаваемых пакетов в правильном порядке и анализирует эти пакеты с целью обнаружения следов несанкционированной активности. В-третьих, во время анализа используются различные методы обнаружения атак: сигнатурный и поведенческий, а также идентификация аномалий в протоколах. Наконец, в-четвертых, система IPS в состоянии блокировать вредоносный трафик (но не путем разрыва соединения с помощью команды RESET протокола TCP). Таким образом, чтобы получить систему IPS из IDS, надо сделать не один шаг (заменить букву в названии), а целых четыре - добавить новые технологии и изменить принципы работы решения.
Варианты внедрения
Обычно при упоминании систем IPS в голову приходят выделенные устройства, которые могут быть установлены на периметре корпоративной сети и, в ряде случаев, внутри нее. Внедрение в качестве систем защиты таких аппаратных устройств (security appliance) - наиболее распространенный вариант, но далеко не единственный. Такие шлюзы безопасности, несмотря на хорошую краткосрочную и среднесрочную перспективу, в дальнейшем постепенно уйдут в тень, и их место займут решения, интегрированные в инфраструктуру, что гораздо эффективнее со многих точек зрения.
Во-первых, стоимость интегрированного решения ниже стоимости автономного (stand-alone) устройства. Во-вторых, ниже и стоимость внедрения (финансовая и временная) такого решения - можно не менять топологию сети. В-третьих, надежность выше, так как в цепочке прохождения трафика отсутствует дополнительное звено, подверженное отказам. Наконец, в-четвертых, интегрированные решения предоставляют более высокий уровень защиты за счет более тесного взаимодействия с защищаемыми ресурсами.
Сама интеграция может быть выполнена различными путями. Самым распространенным способом в настоящий момент является использование маршрутизатора (router). В этом случае система IPS становится составной частью данного устройства и получает доступ к анализируемому трафику сразу после поступления его на определенный интерфейс. Интегрированная в сетевое оборудование система IPS может быть реализована в виде отдельного модуля, вставляемого в шасси маршрутизатора, или в виде неотъемлемой части операционной системы маршрутизатора. Первой в данном направлении развития систем IPS стала компания Cisco Systems, имеющая как отдельные модули для своих маршрутизаторов, так и подсистему Cisco IOS IPS, входящую в состав операционной системы Cisco IOS. Примеру Cisco последовали и другие сетевые производители: Extreme, 3Com и т. д.
Но система IPS, интегрированная в маршрутизатор, умеет отражать атаки только на периметре сети, оставляя внутренние ресурсы без защиты.
Поэтому второй точкой интеграции являются коммутаторы локальной сети (switch), в которые с успехом могут быть внедрены механизмы предотвращения атак, причем как в виде части ОС, так и в виде отдельного аппаратного модуля. Первое слово в данной области сказала компания ODS Networks, предложившая коммутаторы с встроенной системой IPS. Позже ODS была куплена компанией SAIC, а технология интеграции IPS в коммутаторы на время забыта, пока ее не возродила Cisco Systems в своем семействе Cisco Catalyst.
Третий тип устройств, через которые может проходить трафик, нуждающийся в анализе, представлен точками беспроводного доступа (wireless access point). Сегодня это направление активно развивается, что связано со всплеском интереса к беспроводным технологиям (Wi-Fi, WiMAX, RFID). По пути интеграции пошли такие производители, как Cisco Systems и Aruba, оснастившие свое оборудование необходимыми функциями. Такого рода системы, помимо обнаружения и предотвращения различных атак, умеют определять местонахождение несанкционированно установленных беспроводных точек доступа и клиентов. Другие производители (например, Trapeze Networks) не имеют собственных решений, поэтому интегрируются с производителями самостоятельных систем предотвращения атак в беспроводных сетях - AirDefense, AirMagnet, AirTight, Network Chemistry и Newbury Networks.
Последним рубежом обороны, где может быть установлена система IPS, является рабочая станция или сервер. В этом случае IPS реализуется несколькими путями. Во-первых, как программное обеспечение, интегрированное в операционную систему. Пока таких решений немного и все они ограничиваются системами семейства UNIX, поскольку их ядро можно скомпилировать вместе с подсистемой отражения атак. Во-вторых, система IPS на рабочей станции или сервере может представлять собой прикладное ПО, устанавливаемое "поверх" операционной системы. Выпускается большим числом производителей: Cisco Systems, ISS, McAfee, Star Force и другими. Эти системы называются Host IPS (HIPS).
Кроме отражения сетевых атак, они обладают еще большим количеством полезных функций: контроль доступа к USB, создание замкнутой программной среды, контроль утечки информации, контроль загрузки с посторонних носителей и т. д. В-третьих, система IPS может представлять собой отдельную подсистему отражения атак, реализованную в сетевой карте. Некоторые производители (в частности, D-Link) выпускают такого рода устройства, однако их распространенность оставляет желать лучшего. Ситуация может измениться только в том случае, когда такой функционал будет базовым для любой сетевой карты.
Если же вернуться к выделенным средствам предотвращения атак, то основными игроками этого рынка являются компании Cisco Systems, ISS, Juniper; из малоизвестных в России - 3Com, McAfee, Sourcefire, Top Layer, NFR и другие. И уж совсем неизвестны такие производители, как V-Secure, StillSecure, DeepNines, NitroSecurity и Reflex Security.
Особняком стоит технология обнаружения и блокирования аномалий в сетевом трафике, которую поддерживают Arbor Networks, Cisco Systems, Lancope, Mazu Networks и Q1 Labs. Однако данные решения отличаются от классических систем IPS. Прежде всего, они работают не в режиме inline, они имеют дело не с самим трафиком, а, например, с Netflow. Кроме того, продукты данного класса не автономны, а тесно связаны с другими решениями (как правило, с сетевым оборудованием). Наконец, системы обнаружения и блокирования аномалий не предот вращают атаки, а действуют реактивно - изменяют списки контроля доступа (ACL, Access Control Lists) уже после обнаружения атаки.
в области предотвращения сетевых атак.
Мы рассмотрели современные технологии и решения в области предотвращения сетевых атак. Из обзора становится понятно, что до предрекаемой смерти систем IPS еще очень много времени. Разумеется, если их развитие продолжится вместе с информационными технологиями. Сама по себе технология IPS не является панацеей, и ее эффективность зависит от грамотного применения имеющихся инструментов и их интеграции с другими защитными и сетевыми технологиями. Только в случае построения комплексной инфраструктуры защиты системы IPS будут надежным кирпичиком в неприступной стене, опоясывающей вашу организацию.
