УДК 621
ПОСТРОЕНИЕ «ПЕРИМЕТРОВОЙ» СТРАТЕГИИ ЗАЩИТЫ ИНФОРМАЦИОННЫХ СИСТЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ОСНОВЕ НАСТРОЕК МЕЖСЕТЕВОГО
ЭКРАНА МЕТЕТЬТЕИ
Е.С. Пашковская, М.Е. Пашковский, В.Ф. Барабанов
В предлагаемой статье рассмотрено построение «периметровой» стратегии защиты информационных систем персональных данных на основе настроек межсетевого экрана пеШкег с помощью интерфейса командной строки ір1аЬ1е8
Ключевые слова: информационная система защиты персональных данных, межсетевой экран, настройка межсетевого экрана
Данная статья рассматривает реализацию «периметровой» стратегии защиты в
информационных системах персональных данных (ИСПДн). Стратегия "периметровой" защиты заключается в том, что ИСПДн защищается по ее периметру от внешних информационных воздействий, а также от угроз несанкционированной передачи защищаемой информации из защищаемой ИСПДн в сеть общего пользования. Такая стратегия реализуется установкой программных и программно-аппаратных, контролирующих по определенным правилам входящий и выходящий трафик ИСПДн.
При реализации данного принципа построения системы защиты ПДн предполагается, что внутренние угрозы со стороны персонала ИСПДн неактуальны.
Реализация стратегии «периметровой» защиты в ИСПДн осуществляется с помощью программных и программно-аппаратных инструментов защиты, способным организовать ограничение потока данных, фильтрацию и анализ пакетов и процессов. К данным средствам относятся:
- межсетевые экраны (файерволы),
контролирующие по определенным правилам входящий и выходящий трафик ИСПДн;
- фильтры содержимого (контента), способные просканировать входящую информацию и принять соответствующие действия;
- системы обнаружения вторжений,
выявляющие факты неавторизованного доступа в сеть либо несанкционированного управления системой;
- внешние шлюзы, выполняющих функции маршрутизатора и др.
В данной статье будет рассмотрено одно из распространенных средство «периметровой» стратегии защиты - межсетевой экран. Типовой
Пашковская Елена Сергеевна - ГНИИИ ПТЗИ, соискатель, e-mail: [email protected] Пашковский Михаил Евгеньевич - ЗАО НВП «Протек», канд. техн. наук, ведущий инженер, e-mail:
Барабанов Владимир Федорович - ВГТУ, д-р техн. наук, профессор, e-mail: [email protected]
схемой построения защищаемой ИСПДн может служить ИСПДн, имеющая подключение к сетям общего пользования (рис. 1).
S3
где:
- ведение архива данных;
- база данных
системе
ПДн; Vr - ограниченный доступ управления ИСПДн; Se^ns - закреплённые учётные
О
записи пользователей; реализация межсетевого экрана;
управляемое по сети;
персональной идентификации;
^ - сервер баз данных ПДн;
управления ИСПДн;
программная
- устройство,
- устройство
сервер
- аппаратные и программно-аппаратные средства межсетевого экранирования
Рис. 1. Структура «периметровой» защиты в ИСПДн, имеющей подключение к внешним сетям пользователя На рис. 1 подключение к сетям общего
пользования осуществляется через выделенное оборудование (аппаратное средство межсетевого экранирования) или через сервер с установленным на нем программным средством межсетевого экранирования (межсетевой экран).
Взаимодействие администратора системы и межсетевого экрана осуществляется на основе задания администратором множества правил для различных потоков данных (как технической, так и
пользовательской информации). Каждое правило из заданного множества в той или иной мере закрывает «уязвимости» установленного программного обеспечения ИСПДн, настроек операционной системы, ошибок персонала, некорректность запросов и др. Формализуем данное утверждение на основе использования двудольного графа и соответствующей ему матрицы смежности.
Пусть к={к 1 , к2, ... ,к,, ...,кт},1= 1,...,т -множество определенных уязвимостей, присущей рассматриваемой системе;
5= {, S2, ... , Sj,
.., s }, j = 1,... ,n
> nJ’ J ’ ’
множество правил, задаваемых администратором для межсетевого экрана, при этом взаимодействия множеств К и 5 осуществляется в соответствии с (1)
" 5,. Є = 1,...,п : = {к1,... кд\
кі є К, д < т, і = 1,...,д.
Полученные соотношения между введенными правилами и уязвимостями представлены в виде матрицы смежности. При этом, если во всех столбцах уязвимостей есть элементы, равные единице, то множество введенных правил покрывает множество уязвимостей К с 5 , если для каждой отдельной уязвимости ki, і= ^...,т в матрице смежности только для одного определенного правила 5. ]= Ь...,п ставиться в соответствие единица, а для остального множества правил 5 = {51,52,...,5._1,5.+1,...,5п_1} ] = 1,..., п -1 для данной уязвимости равны нулю, то можно говорить об оптимизации введенных правил.
Рассмотрим пример использования введенной формализации задачи. На рис. 2 представлен
неполный двудольный граф взаимосвязей уязвимостей системы и правил межсетевого экрана. В данном графе предусмотрено 4 уязвимости кі,і = 1,...,т (т=4) и 3 правила 5.,.= 1,... ,п (п=3).
К и правил 5 Из рис. 2 видно, что в системе сформированы следующие правила для межсетевого экрана:
5 = {^, 52, 53};
51= {к1, кз};
52= {к 2};
53 {к 1, кз, к4}
Для заданных правил и уязвимостей построим матрицу смежности М:
51 52 53 '
к 1 1 0 1 .
М = к 2 0 1 0
Матрица смежности M иллюстрирует, что множество правил межсетевого экрана S покрывает множество уязвимостей системы K. При этом, если бы не было введено правило s2 или sз , то часть уязвимостей не была бы «закрыта» межсетевым экраном.
Проиллюстрируем взаимодействие множеств уязвимостей K и правил S на примере межсетевого экрана netfilter, разработанного для операционных систем семейства Linux с ядром версии 2.4 и более поздних. Для задания правил в данном межсетевом экране используется утилита командной строки iptables, которая является стандартным интерфейсом для управления работой netfilter. Схема формирования правил приведена на рис. з. Пояснение элементов правил, используемых в статье, приведено в табл. 1.
Данный инструмент администратора (т.е. предполагается выполнение всех действий от имени суперпользователя) предназначен для фильтрации пакетов IPv4 и NAT. Фильтры задаются правилами, состоящими из трех основных частей: критерий, действие и счетчик. Упорядоченная последовательность правил называется цепочкой, совокупность базовых и пользовательских цепочек образуют таблицу. Механизм фильтрации заключается в последовательном переборе существующих правил. Для решаемой задачи (фильтрации пакетов), как правило, используется таблица «filter» (в iptables v.1.4.4 существует 4 таблицы). Правила просматриваются в таблице сверху вниз. При указании разрешающих и запрещающих действий на одну и ту же цель запись, которая встретится первой в списке, и будет обработана. Так как таблица filter просматривается межсетевым экраном одной из последних, следует избегать создания большого числа правил во избежание чрезмерного расхода ресурсов системы на их просмотр. Большое число правил может стать причиной реализации атаки «Отказ в обслуживании».
Рис. 3. Схема формирования правил в утилите командной строки ір1а.Ь1е8
к з
Таблица 1
Т аблица 2
Опци я Значение опции Парамет Р Значение параметра
-A Добавляет правило в конец списка -p Определяет фильтруемые протоколы
-D Удаляет правило из списка со соответствующи м номером -s Определяет адрес/ маску отправителя пакета
-I Вставляет правило в указанное место -d Определяет адрес/ маску получателя пакета
-R Заменяет выбранное правило -i Определяет интерфейс источника, для которого будет применено правило
-L Позволяет просмотреть список существующих правил -o Определяет интерфейс назначения, для которого будет применено правило
-N Создает новое правило -j Определяет действие, предусмотренно е для правила
-P Устанавливает правила по умолчанию
-E Переименовывае т определенное правило
Задание правил может исходить из выбранной концепции, среди которых можно выделить запрещение всего, что не разрешёно и разрешено всё, что не запрещено. Первая концепция является более предпочтительной с точки зрения выбора стратегии защиты системы. По этой причине в примере задания правил будет рассмотрен именно такой подход в построении «периметровой» защиты.
В качестве примера будет продемонстрированы основы настройки 1р1аЬ^ для организации защиты применительно к различным вариантам ИСПДн от групп уязвимостей, приводящих к угрозам нарушения конфиденциальности (^), целостности (k1), доступности (k3) ПДн (табл. 2). Приведенные
перечень и конфигурация задаваемых правил могут быть модифицированы под потребности конкретной ИСПДн, установленного программного (ПО) и программно-аппаратного обеспечения (ПАО).
Пра- вило Формулировка правила Значение правила
1 Подготовка утилиты iptables к работе
- # modprobe iptable filter Загрузка соответствующего модуля ядра
# service iptables start Запуск соответствующего сервиса
#iptables-save Просмотр существующих настроек
2 Реа разре инфо лизация концепции «запрещение всего, что не шено»: запрещается любая передача рмации
s і # iptables -P INPUT DROP Запрет на весь входящий поток данных
s 2 # iptables -P OUTPUT DROP Запрет на весь выходящий поток данных
s 3 # iptables -P FORWARD DROP Запрет на перенаправление потока данных
3 Реализация концепции «запрещение всего, что не разрешено»: разрешается передача информации через определенные в правилах порты
s 4 # iptables -A INPUT -i lo -j ACCEPT Открытие локального интерфейса обратной петли (интерфейс loopback) для входящего потока данных
s 5 # iptables -A OUTPUT -o lo -jACCEPT Открытие локального интерфейса обратной петли (интерфейс loopback) для выходящего потока данных
4 Реализация концепции «запрещение всего, что не разрешено»: разрешение прохождения пакетов протокола ICMP при отладке системы
- # iptables -A INPUT -p icmp -jACCEPT Разрешение получения пакетов протокола ICMP, используемого для передачи сообщений об ошибках
# iptables -A OUTPUT -p icmp -j ACCEPT Разрешение прохождения пакетов протокола ICMP, используемого для передачи сообщений об ошибках
# iptables -A INPUT -p icmp -f -j DROP Разрешение перенаправления пакетов протокола ICMP, используемого для передачи сообщений об ошибках
5 Реализация концепции «запрещение всего, что не разрешено»: удаление разрешающих правил прохождения пакетов протокола ICMP после отладки системы
- # iptables -A INPUT -s 0/0 -d localhost -p icmp --icmp-type echo-request -j DROP Удаление правил, разрешающих прохождение пакетов ICMP
Продолжение табл. 2
6 Реализация концепции «запрещение всего, что не разрешено»: обмен пакетами по протоколам ТСР и ИБР
5 6 # iptables -A INPUT-p TCP -m state --state ESTABLISHED1 RELATED -j ACCEPT2 Организация обмена пакетами по протоколу Т СР
5 7 # iptables -A INPUT -p UDP -m state --state ESTABLISHED, RELATED -j ACCEPT Организация обмена пакетами по протоколу ИБР
7 Реализация концепции «запрещение всего, что не разрешено»: организация прохождения через межсетевой экран пакетов ТСР и ИБР протоколов
5 8 # iptables -A OUTPUT -p TCP --sport 32246:655353 -j ACCEPT Организация прохождения через межсетевой экран пакетов протокола Т СР
5 9 # iptables -A OUTPUT -p UDP --sport 32246:65535 -j ACCEPT Организация прохождения через межсетевой экран пакетов протокола ИБР
Окончание табл. 2
8 Реа разре элеме Micrc протс для п лизация концепции «запрещение всего, что не шено»: организация взаимодействия с нтами сети, построенными на технологиях soft использующих для обмена данными колы SMB и NetBEUI (расширение Microsoft ротокола NetBIOS)
5 10 # iptables -A INPUT -i eth0 -p TCP --dport 137:139 -j ACCEPT Разрешение получения пакетов TCP из сети Microsoft
511 # iptables -A INPUT -i eth0 -p UDP --dport 137:139 -j ACCEPT Разрешение получения пакетов UDP из сети Microsoft
5 12 # iptables -A INPUT-i eth0 -p UDP --sport 137 --dport 32768:65535 -j ACCEPT Перенаправление с порта 137 пакетов UDP на порты, используемые пользовательскими приложениями
5 13 # iptables -A OUTPUT -o eth0 -p TCP -sport 137:139 -j ACCEPT Разрешение отправки пакетов TCP из сети Microsoft
5 14 # iptables -A OUTPUT -o eth0 -p UDP -sport 137:139 -j ACCEPT Разрешение отправки пакетов UDP из сети Microsoft
Всего существует четыре статуса: «INVALID», «ESTABLISHED», «NEW» и «RELATED». «INVALID» — это неправильные, ошибочные или испорченные пакеты, «ESTABLISHED» — это пакеты, принадлежащие установленному соединению, «NEW» — пакеты, участвующие в установке нового соединения. «RELATED» порождает новое соединение из уже существующего (используется, например, протоколом ftp).
2 Ключ -т отвечает за ручное подключение дополнительных модулей, устанавливающих критерии фильтрации, state - критерий статуса пакета, а --state указывает для какого статуса пакетов применять правило
3 Критерий --sport (source port) означает диапазон
портов, с которых можно отправить пакеты, --dport (destination port) означает диапазон портов, на которые можно отправить пакеты. Как правило, именно указанные порты используют клиентские приложения, а
порты с адресами ниже 32246 могут использоваться серверными приложениями. Стоит заметить, что это не всегда так, и в случае настройки конфигурации iptables сервера, такая настройка может быть рискованной, подробнее о списке портов TCP и UDP, используемых различными программами, можно ознакомиться в [2]
Следует отметить, что разрешение на прохождение пакетов ICMP зачастую является нежелательным при организации защиты серверных решений, и данные правила рекомендуются удалить после отладки системы.
На этом основная (универсальная) часть настройки может считаться оконченной. Матрица смежности для правил, введенных в табл. 2, и выделенных групп уязвимостей имеет следующий вид:
M=
52 53 54 55 56 57 58 59 510 511 °12 513 °14
к, 0 1 1 0 0 1 1 0 0 1 1 100
0 0 0 1 1
0 0 0 1 1 ^
Данные правила будут рассматриваться межсетевым экраном с конца (то есть с 514 ). Если для определенного порта не будет введено разрешение, то начальные правила ( 5 1, 5 2 , 5 3 )
запретят соединение с данным портом. Построенная матрица смежности показывает, что межсетевой экран принимает меры против каждой группы угроз (в каждой строке встречаются единицы).
Ряд правил имеют нулевые значения. Это означает, что они не влияют на выделенные группы угроз, но данные правила нужны для нормального функционирования ИСПДн и не могут быть удалены. Введение подобных правил и дальнейшее
ук3 1 0 1 0 0 0 0 1 1
развитие в настройке межсетевого экрана зависит от функций информационной системы и запущенных в системе сервисов.
Например, если есть необходимость работы в системе FTP, необходимо открыть прохождение пакетов через межсетевой экран, для чего может использоваться следующий набор правил:
# iptables -A INPUT -p TCP --dport 21 -j ACCEPT
# iptables -A OUTPUT -p TCP --sport 21 -j ACCEPT.
В правилах можно также указать сетевой интерфейс, для которого будет действовать правило (-i, -o ethN, где N - номер контролируемого интефейса). Стоит отметить, что FTP не является защищённым протоколом передачи данных и предпочтительнее для этих целей использовать SFTP.
Также при построении правил в iptables есть возможность воспользоваться функцией фильтрации содержимого пакетов, тем самым контролируя параметры пакетов. Примером использования этой возможности iptables может служить следующее правило:
# iptables -A INPUT -p TCP --dport 21 -m string --string “/etc/passwd” \
—s 0/0 —d localhost -j DROP
# iptables -A INPUT -p TCP --dport 21 -m string --string “/etc/shadow” \
—s 0/0 —d localhost -j DROP.
Здесь символ «\» означает перенос строки, и следующая строка является продолжением введённой до данного символа команды.
Для удалённого управления защищаемого сервера (рабочей станции) можно создать правило, разрешающее принятие пакетов на 22 порт с компьютера локальной сети, сетевой адрес которого, например, будет 10.89.21.5.
# iptables -A INP UT -p TCP --dport 22 —s 10.89.21.5 -d localhost -j ACCEPT.
Следует отметить, что злоумышленник может сделать попытку подмены IP адреса отправителя пакетов, и, по этой причине, использование фильтрации по MAC-адресу будет более надёжным.
# iptables -A INPUT -p TCP --dport 22 -m mac --mac-source XX:XX:XX:XX:XX:XX \
—d localhost -j DROP.
В данном правиле запись
XX:XX:XX:XX:XX:XX указывает на MAC адрес сетевой карты отправителя.
Инструментарий iptables очень развит и позволяет контролировать множество параметров, позволяющих ограничивать количество пакетов, соединений, переданных байт, IP- и MAC- адресов источников пакетов, может запоминать количество, время поступления, адрес источника пакетов и т. д. Грамотно настроенный iptables может существенно затруднить злоумышленнику проведение различных атак на информационную систему, таких как DoS- и bruteforce- атаки, позволит осуществить подмену информации о состоянии портов, сканируемых злоумышленником и т. д. В рамках статьи рассмотрена очень малая часть функций iptables. Для получения более подробной информации можно воспользоваться командами вывода справочной информации man и info, а также найти немало информации в сети посвящённой процессу настройке данного межсетевого экрана.
Литература
1. http://asplinux.net/node/18#comment-22441
2. http://ru.wikipedia.org/wiki
3. Фленов М.Е. «Linux глазами хакера» П. БХВ-Петербург, 2010. 480 с.
Государственный научно-исследовательский испытательный институт проблем технической защиты информации, г. Воронеж ЗАО «Научно-внедренческое предприятие «Протек», г. Воронеж Воронежский государственный технический университет
PEREFERIAL DEFENCE STRATEGY CONSTRUCTION OF PERSONAL DATA INFORMATION SYSTEMS, MADE ON A BASIS OF FIREWALL SETTINGS
E.S. Pashkovskaja, M.E. Pashkovsky, V.F. Barabanov
In present article was described a development of pereferial saefty strategy of personal data, made on a basis of wirewall settings with help of command line interface
Key words: personal data information system, firewall, firewall settings