Мониторинг защищенности хостов в Интернет Текст научной статьи по специальности «Компьютерные и информационные науки»

ТЕХНОЛОГИЯ ПРОГРАММИРОВАНИЯ И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ

МОНИТОРИНГ ЗАЩИЩЕННОСТИ ХОСТОВ В ИНТЕРНЕТ

Т.А. Биячуев

Одной из основных проблем, препятствующих переходу в информационное общество, является значительное отставание уровня информационной безопасности от уровня и темпов развития информационных технологий. Бурное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики, включая в свои изделия всевозможные функции, не успевают выполнить качественную отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности. Например, причинами большинства случайных потерь информации являются отказы в работе программно-аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении. Так, например, за первые полгода после выпуска серверной операционной системы компании Microsoft Windows Server 2003 было обнаружено 14 уязвимостей, 6 из которых являются критически важными [1]. Несмотря на то, что со временем Microsoft разрабатывает пакеты обновления, устраняющие обнаруженные недоработки, пользователи уже успевают пострадать от нарушений информационной безопасности, случившихся по причине оставшихся ошибок. Такая же ситуация имеет место и с программными продуктами других фирм. Особенно остро эти проблемы проявились в последние годы. Масштабные эпидемии Интернет-червей и спам (массовые рассылки писем по электронной почте) стали причинами серьезных нарушений в функционирования мирового Интернета. По оценкам специалистов, до 65% всего трафика электронной почты в мире составляет спам. А эпидемия Интернет-червя Norvag (он же Mydoom) в течение только нескольких первых часов поразила порядка 300 тысяч хостов во всем мире, вызвав длительные перебои в работе многих Web-сайтов. Согласно прогнозам исследовательской компании IDC, ближайшие годы будут годами сильнейших кибер-атак, которые могут нарушить функциональность мирового Интернета на несколько дней. Пока не будут решены эти и многие другие проблемы, недостаточный уровень информационной безопасности будет серьезным тормозом в развитии информационных технологий и переходе в информационное общество.

С учетом изложенной проблемы, в данной статье рассмотрено использование мониторинговых систем для наблюдения за динамикой защищенности хостов в Интернет, а также выявления тенденций распространения средств защиты и прогнозирования их развития.

Выделяют две основных цели использования мониторинга в научно-практической деятельности: предупреждение и прогнозирование [2]. В обоих случаях мониторинг основан на систематическом слежении за определенными характеристиками исследуемого процесса. Задача предупреждения состоит в предотвращении нежелательных отклонений по важным параметрам. Примерами мониторинговых систем такого рода применительно к сфере информационных технологий являются системы противодействия кибер-атакам, подробно рассмотренные в [3]. Собранные статистические данные в ходе мониторинга могут использоваться для эффективного прогнозирования развития

исследуемого процесса. Следует отметить, что прогнозирование не сводится к безусловным предсказаниям, а ставит целью заблаговременное взвешивание возможных путей развития с помощью условных предсказаний поискового и нормативного характера.

Попытки оценить текущий уровень «защищенности» Интернета предпринимались со времен, когда проявились первые серьезные проблемы безопасности в Интернете. Методики и результаты проведенных исследований проанализированы в [4]. Отметим только, что методики оценки защищенности в данных исследованиях сводятся преимущественно либо к проверке Web-caйтoв на наличие программных уязвимостей, либо к опросу репрезентативной группы экспертов. Предложенная автором методика преследует две цели - объективность и точность полученных результатов. Немаловажным считается легальность методов исследования. В качестве единицы наблюдения выбран отдельный web-сайт. Web-caйты играют значительную роль в современном Интернете. Их основная функция информативная - представлять интересы личности, компании, государства в глобальной сети. На web-caйтe размещается информация для публичного, всеобщего доступа, а также информация ограниченного доступа - конфиденциальная информация, доступная ограниченному кругу лиц. Это может быть информация о банковском счете клиента, корпоративная информация для мобильных сотрудников, личные сведения. Поскольку web-сайт доступен из любой точки земного шара, где есть выход в Интернет, то появляется множество угроз конфиденциальной информации на сайте. Угрозы нарушения конфиденциальности возможны в двух случаях: 1) угроза несанкционированного доступа к информации, хранимой на web-caйтe локально; 2) угроза несанкционированного доступа к информации в процессе ее передачи по каналам связи.

Рассмотрим имеющиеся механизмы защиты web-caйтa, препятствующие данным видам угроз (рис. 1). Сокращениями на рисунке обозначены: МСЭ - межсетевой экран, СОА - система обнаружения атак, ПО - программное обеспечение, ОБ1 - модель взаимодействия открытых систем.

Рис. 1. Механизмы защиты Web-caйтa

Оценить количество механизмов локальной защиты и, особенно, корректность их настройки легальным путем невозможно. Механизмы защиты Web-caйтa созданы для препятствования получению какой-либо дополнительной информации, способствующей злоумышленнику в преодолении системы защиты. Единственная относительно точная возможность оценки надежности защиты заключается в проверке системы на наличие уязвимостей и устойчивость к программным атакам. Однако такие действия незаконны без разрешения владельцев web-caйтa, что делает дальнейшее исследование в масштабах всего Интернета проблематичным. Тем не менее, определить легальным путем содержится ли на сайте информация с ограниченным доступом можно. Доступ к такой информации на сайте ограничен средствами разграничения доступа с использованием механизмов идентификации и аутентификации пользователя.

Рассмотрим метод проверки наличия таких механизмов. Условно содержание Web-сайта можно представить в виде графа, вершинами которого будут Web-cтpaницы, а ребрами - гиперссылки. Конечно, в таком графе не учитываются гиперссылки на другие Web-caйты. Мы рассматриваем только локальную структуру Web-yзлa (рис. 2).

Рис. 2. Структура web-caйтa

Как видно из рис. 2, с начальной web-cтpaницы по гиперссылкам можно перейти на другие страницы данного сайта. Однако, если доступ к некоторой информации на сайте ограничен только для авторизованных пользователей (на рисунке область с подобными web-cтpaницaми обозначена пунктирной линией), то при переходе в эту область сервер запросит имя пользователя и пароль. Таким образом, если на сайте существует web-cтpaницa (точка входа в закрытую область), требующая идентификации и аутентификации, то это свидетельствует о наличии информации ограниченного доступа на данном сайте. Для поиска страницы с требованием авторизации необходимо организовать обход сайта с начальной страницы по всем вложенным.

Рассмотрим подход к оценке защищенности сайта, основанный на проверке использования механизмов защиты информационного обмена. В процессе передачи конфиденциальной информации по каналам передачи данных общего пользования возникают следующие угрозы: угроза несанкционированного чтения и копирования информации (нарушение конфиденциальности), угроза уничтожения информации, угроза модификации информации (нарушение целостности). Противостоять этим угрозам призваны защищенные протоколы передачи данных. Такие протоколы позволяют органи-

зовать защищенный виртуальный туннель между субъектами взаимодействия. Данные, передаваемые внутри туннеля, защищены криптографическими средствами. Протоколы защищенных виртуальных туннелей существуют на четырех уровнях модели взаимодействия открытых систем OSI: канальном, сетевом, сеансовом и прикладном. Поскольку Интернет построен на основе стека протоколов TCP/IP, функционирующего на 3-ми 4-м уровнях модели OSI, то канальный уровень в защите web-сайтов не участвует. На сетевом уровне защищенные каналы строятся на протоколе IPSec, на сеансовом -на протоколах SSL/TLS, на прикладном - Secure MIME, Secure HTTP. Протокол IPSec, входящий в новую версию протокола IPv6, пока не получил широкого распространения в силу ряда причин. Это перспективный и защищенный протокол будущего. Протоколы защиты прикладного уровня привязаны к конкретным приложениям, таким как электронная почта, и полностью зависят от используемых сервисов и приложений.

В настоящее время наибольшее распространение получили протоколы защиты, функционирующие на сеансовом уровне модели OSI. При построении защищенных виртуальных каналов на данном уровне достигаются наилучшие показатели по функциональной полноте защиты информационного обмена, надежности контроля доступа, а также простоте конфигурирования системы безопасности. [5] Это протокол SSL (уровень защиты сокетов) / TLS (защита транспортного уровня). Этот протокол стал стандартом de-facto в электронной коммерции. По результатам исследований, его используют 99% компаний в области электронной коммерции. Протокол SSL, утвержденный Инженерной группой Интернета IETF под названием TLS, - это защищенный протокол, обеспечивающий аутентификацию и защиту от «прослушивания» и искажения данных. Для аутентификации служат сертификаты X.509. Шифрование данных обеспечивает их конфиденциальность, а хэш-функции - целостность. SSL/TLS противостоит следующим угрозам:

• подмена идентификатора клиента или сервера (с помощью надежной аутентификации);

• раскрытие информации (с помощью шифрования канала связи);

• модификации данных (с помощью кодов целостности сообщений)

SSL/TLS защищает только трафик определенных протоколов - например, HTTP или LDAP. Более того, применяя SSL/TLS, можно защитить только некоторые части приложения - например, страницы регистрации или информацию о кредитных карточках. Существуют реализации данного протокола для защиты наиболее распространенных протоколов прикладного уровня HTTP, FTP, NNTP и т.д. Выявить поддержку протокола TLS/SSL можно, используя проверку доступности соединения с использованием данного протокола. В нашем исследовании было предложено исследовать протокол HTTPS (HTTP поверх SSL), защищающий протокол прикладного уровня HTTP, являющегося основным протоколом доступа к информации на web-сайтах.

Таким образом, методика оценки защищенности отдельного сайта, являющегося единицей наблюдения, заключается в проверке наличия на сайте механизмов идентификации и аутентификации для доступа к защищенным областям и поддержки протокола SSL/TLS для защищенной передачи данных.

Рассмотрим модель мониторинга защищенности web-сайтов в Интернете. Поскольку число хостов в Интернете по данным на 2003 год ориентировочно составляет 160 млн., проводить мониторинг всего количества является нерациональным:

• обработка всего количества хостов потребовала бы значительных затрат машинных и временных ресурсов;

• поскольку объект исследования является динамической системой, а процедура исследования отдельной единицы наблюдения продолжительна по времени, то во время проведения исследования всех хостов возможно внесение искажений в результат исследования.

Выход здесь видится в использовании выборочного метода аппарата математической статистики. Выборочный метод позволяет сформировать выборочную совокупность, которая будет обладать характеристиками генеральной совокупности (свойство репрезентативности). Тогда результаты исследования выборочной совокупности можно распространить с заранее рассчитанной ошибкой на всю область исследования. Причем генеральной совокупностью может являться весь Интернет или его отдельный сегмент, например Российский сегмент, представленный Web-сайтами домена RU.

Таким образом, мониторинг осуществляется на основе статистического моделирования с исследованием совокупной защищенности хостов в выборке, полученной с использованием квотного отбора выборочного метода математической статистики.

Получив статистические данные за определенный период времени, можно, используя аппарат экстраполяции, построить прогноз развития защищенности всего Интернета или его отдельного сегмента. Представляет интерес исследование динамики защищенности хостов в отдельных информационных категориях, таких как банки, строительство, электронная коммерция.

Отличительной особенностью данной модели является объективность полученных результатов, возможность оценки погрешности исследования. Предложенная модель отражает основные характеристики мониторинга - систематичность, динамичность и нацеленность на прогноз. Практические результаты применения модели мониторинга позволили выявить четырехкратное отставание российского сегмента Интернета в применении средств защиты в сравнении с мировым Интернетом в целом. [6]

Литература

1. Цифры на стороне Microsoft. Internet URL http://www.izone.kiev.ua

2. Майоров А.Н. Мониторинг как научно-практический феномен // Школьные технологии. 1998 № 5

3. Биячуев Т. А. Проблемы защиты киберпространства и пути их решения / В печати.

4. Кононенко В.В., Биячуев Т. А. Анализ исследований безопасности в Интернете // Известия вузов. Приборостроение. 2003. Т.46. №7.С.18-21

5. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий, СПб.: БХВ-Петербург, 2003.

6. Биячуев Т. А., Осовецкий Л.Г. Защищенность Web-сайтов // Системы безопасности. 2003. №5. C. 124-126