CC BY
378
СПОСОБЫ И СРЕДСТВА ЗАЩИТЫ ОТ СЕТЕВЫХ АТАК В ЕДИНОЙ ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННОЙ СИСТЕМЕ ОРГАНОВ ВНУТРЕННИХ ДЕЛ
THE METHODS AND MEANS OF PROTECTION FROM NETWORK ATTACKS IN A UNITED TELECOMMUNICATION - INFORMATION SYSTEM OF LAW ENFORCEMENT AGENCIES
Рассматривается содержание наиболее эффективных способов защиты от сетевых атак в Единой информационно-телекоммуникационной системе органов внутренних дел. Приводится характеристика используемых средств защиты
The substance of more effective methods of protection from network attacks in a united telecommunication-information system of low enforcement agencies is considered. The peculiarities of means of information protection are enumerated.
Практика обеспечения защиты информации в компьютерных сетях [1 ] позволила предложить ряд организационных способов и программно-аппаратных средств противодействия угрозам информационной безопасности Единой информационнотелекоммуникационной системы (ЕИТКС) органов внутренних дел (ОВД) [2].
В соответствии с [3, 4] к организационным (административным) способам защиты от сетевых атак следует отнести :
- защиту от анализа сетевого трафика;
- защиту от ложного объекта, внедренного за счёт использования недостатков удалённого поиска;
- защиту от навязывания ложного маршрута;
- защиту от отказа в обслуживании;
- защиту от подмены одной из сторон.
К программно-аппаратным средствам защиты от сетевых атак следует отнести средства Firewall, обеспечивающие :
- фильтрацию сетевого трафика;
- дополнительную идентификацию и аутентификацию пользователей;
- обнаружение атак [5];
- анализ защищённости,
и средства криптографической защиты сетевых операционных систем и сетевых протоколов [1].
Рассмотрим перечисленные способы и средства.
Защита от анализа сетевого трафика. Одним из наиболее эффективных способов защиты от сетевых атак данного типа является запрет на использование базовых прикладных протоколов удалённого доступа TELNET и FTP, не предусматривающих криптозащиту передаваемых по сети идентификаторов и аутентификаторов. Подобная атака может стать бессмысленной при применении стойких криптографических алгоритмов защиты IP-потока.
Защита от ложного объекта, внедрённого за счёт использования недостатков удалённого поиска. Для ликвидации данной атаки необходимо устранить причину её возможного осуществления, которая заключается в отсутствии у операционной системы каждого сетевого компьютера необходимой информации о соответствующих адресах всех остальных сетевых компьютеров внутри данного сегмента сети. Таким образом, самое простое решение — создать сетевым администратором статическую таблицу в виде
файла, куда внести необходимую информацию об адресах. Данный файл устанавливается на каждый сетевой компьютер внутри сегмента, и, следовательно, нет необходимости реализации сетевой операционной системой процедуры удалённого поиска.
Защита от навязывания ложного маршрута. Для защиты от данной атаки необходимо либо фильтровать сообщение о маршруте, не допуская его попадания на конечный объект, либо соответствующим образом настраивать сетевую операционную систему для игнорирования этого сообщения.
Защита от отказа в обслуживании. Единственным способом противодействия данной атаке является использование как можно более производительных компьютеров. Чем больше число и частота работы процессоров, чем больше объём оперативной памяти, тем более надёжной будет работа сетевой операционной системы, когда на неё обрушится поток ложных запросов на создание соединения.
Защита от подмены одной из сторон. Основным способом защиты от подобных сетевых атак является использование в качестве базового протокола TCP и сетевых операционных систем, в которых начальное значение идентификатора TCP-соединения генерируется случайным образом.
Многоуровневая фильтрация сетевого трафика. Фильтрация обычно происходит на четырёх уровнях OSI:
- канальном (Ethernet);
- сетевом (IP);
- транспортном (TCP, UDP);
- прикладном (FTP, TELNET, HTTP, SMTP и т.д.).
Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимые действия по разрешению или запрету пользователям на доступ как из внешней сети к соответствующим службам сетевых компьютеров или самим компьютерам, находящимся в защищаемом сегменте сети, так и на доступ пользователей из внутренней сети к ресурсам внешней сети. Это достигается назначением соответствующих отношений между пользователями сети и её объектами, что позволяет разграничить доступ пользователей к объектам сети в соответствии с заданными администратором правами доступа. При Firewall- фильтрации в качестве субъектов взаимодействия будут выступать IP-адреса сетевых компьютеров пользователей, а в качестве объектов, доступ к которым необходимо разграничить, — используемые транспортные протоколы и службы предоставления удалённого доступа.
Proxy-схема с дополнительной идентификацией и аутентификацией пользователей через Firewall. Proxy- (от англ. полномочный) схема позволяет при доступе к защищённому Firewall сегменту сети осуществить на нём дополнительную идентификацию и аутентификацию удалённого пользователя. Proxy-схема обеспечивает создание соединения с конечным адресатом через промежуточный proxy- сервер на Firewall сетевого компьютера.
Создание частных сетей с виртуальными IP-адресами. Когда администратору безопасности сети необходимо скрыть истинную топологию своей внутренней IP-сети, он использует возможности системы Firewall для создания виртуальных сетей. В этом случае для адресации во внешнюю сеть через Firewall необходимо либо использовать на Firewall сетевого компьютера proxy-серверы, либо применять только специальные системы маршрутизации, обеспечивающие внешнюю адресацию. Это является следствием того, что используемый во внутренней частной сети виртуальный IP-адрес непригоден для внешней адресации. В этом случае proxy-сервер должен осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса.
SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство защиты соединения и передаваемых данных в сети. Естественным решением проблемы защиты от
сетевых атак является разработка различных защищённых сетевых протоколов, использующих криптосистемы как с закрытым [6], так и с открытым ключом [7]. Классические симметричные криптосистемы предполагают наличие у передающей и принимающей сторон симметричных (одинаковых) ключей для шифрования и расшифровывания сообщений.
Эти ключи предварительно распределяются между конечным числом абонентов, что накладывает ограничения на их количество.
Проблема распределения ключей в РВС с симметричной системой шифрования для всех её пользователей в настоящее время является крайне актуальной. Одной из попыток решения этой проблемы явилось создание защищённых протоколов обмена, основанных на предварительном (статическом) распределении ключей для конечного числа абонентов.
Вместе с тем для организации криптографической защиты информации всех пользователей РВС, а не ограниченного их количества необходимо использовать динамически вырабатываемые в процессе создания виртуального соединения ключи, применяя криптографические системы с открытым ключом. Рассмотрим основные подходы и протоколы, обеспечивающие защиту соединения.
SKIP-технология (Secure Key Internet Protocol). SKIP-технологией называется стандарт инкапсуляций IP-пакетов, позволяющий в существующем стандарте обмена информацией в РВС IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет — это обычный IP-пакет, в котором поле данных представляет собой заголовок определённого спецификацией формата и зашифрованные данные (криптограмму). Такая структура пакета позволяет беспрепятственно направлять его любому сетевому компьютеру. Получатель SKIP-пакета по заранее определённому разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP- или UDP-пакет, который и передаёт соответствующему обычному модулю (TCP или UDP) ядра операционной системы.
S-HTTP (Secure HTTP). S-HTTP — это защищённый HTTP-протокол, функционирующий на прикладном уровне модели OSI и позволяющий обеспечить эффективную криптографическую защиту HTTP-документов web-сервера. Существенный недостаток данного протокола — абсолютная специализация, что не позволяет его применить для защиты других прикладных протоколов (FTP, TELNET, SMTP и др.). Другим недостатком этого протокола является то обстоятельство, что ни один из существующих web-браузеров (Netscape Navigator, Microsoft Explorer) не поддерживает данный протокол.
SSL (Secure Socket Layer). SSL — универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Он использует криптографическую систему с открытым ключом и является единственным универсальным средством, позволяющим динамически защитить какое угодно соединение с применением любого прикладного протокола (DNS, FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL в отличие от S-HTTP функционирует на промежуточном сеансовом уровне OSI — между транспортным (TCP, UDP) и прикладным (FTP, TELNET). При этом в процессе создания виртуального SSL-соединения генерируется криптографически стойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообщений.
Протокол SSL является официальным стандартом защиты для HTTP-соединений, то есть для защиты web-серверов. Он поддерживается Netscape Navigator и Microsoft Explorer. Особеностью установки SSL-соедипения с web-сервером является необходимость наличия web-сервера, поддерживающего SSL (например, SSL-Apache).
Из рассмотренного становится очевидным, что, несмотря на потенциальную уязвимость информационных процессов в ЕИТКС ОВД существуют достаточно эффективные способы защиты информационных ресурсов этих систем.
ЛИТЕРАТУРА
1. Соколов А.В. Защита информации в распределённых корпоративных сетях и системах / А. В. Соколов, В.Ф. Шаньгин. — М.: ДМК Пресс, 2002. — 656 с.
2. Финько В.Н. Механизмы реализации угроз информационной безопасности Единой информационно-телекоммуникационной системы органов внутренних дел / В.Н. Финько, Н.С. Шимон // Вестник Воронежского института МВД России.— 2008.— №4.— С. 164—169.
3. Козлов В.Е. Теория и практика борьбы с компьютерной преступностью. — М.: Горячая линия — Телеком, 2002. — 176 с.
4. Касперски К. Техника сетевых атак. Приемы противодействия. — М.: Солон-Р, 2001. — 397 с.
5. Сердюк В. А. Перспективные технологии обнаружения информационных атак. // Системы безопасности. — 2002. — № 5(47). — С. 96—97.
6. Основы криптографии: учебное пособие / А.П. Алфёров, А.Ю. Зубов, А.С. Кузьмин, А. В. Черёмушкин. — М.: Гелиос АРВ, 2001. — 484 с.
7. Молдовян Н.А. Введение в криптосистемы с открытым ключом / Н.А. Мол-довян, А. А. Молдовян. — СПб.: БХВ — Петербург, 2005. — 288 с.
