Безопасность информационных систем: Методические...

Безопасность информационных систем

©УЦ СамГТУ & SoftLine Academy, 2006 А. Крылова

1

Методические указания по курсу

«Безопасность информационных систем»

Длительность курса 16 академических часов

Данный курс представляет собой обзор современных методов, средств и технологий для решения задач в области безопасности. В курсе рассматриваются решения на основе последних разработок программного обеспечения фирмы Microsoft.

Важные сведения о безопасности 4 ч Повод для внедрения безопасности Управление рисками безопасности Этап Оценки Рисков Модель эшелонированной защиты Управление внедрением обновлением безопасности 45 мин Практическая работа «использование инструмента MBSA» Внедрение защиты для серверов Windows 2000 и Windows 2003 4 ч Усиление защиты рядовых серверов

Усиление безопасности контроллеров домена Усиление безопасности для серверов, выполняющих определенные функции

Усиление безопасности контроллеров домена Внедрение защиты для клиентов на Windows 2000 и Windows XP 45 мин Внедрение безопасности сети и ее периметра 6 ч Определение попыток вторжения Защита соединений для достижения конфиденциальности передаваемой информации Обеспечение безопасного удаленного соединения Внедрение защиты для беспроводных сетей 2 ч

Рекомендации по практической работе «использование инструмента MBSA». Работа демонстрирует возможности программы MBSA, которую предварительно нужно

скачать по адресу http://www.microsoft.com/downloads/details.aspx?FamilyId=4B4ABA06-B5F9-4DAD-BE9D-7B51EC2E5AC9&displaylang=en, установить на каждый компьютер.

Рекомендации по использованию ресурсов сайта Microsoft. Основой данного курса является использование материалов курсов по безопасности с сайта

Microsoft: 2801 Security Guidance Training I и 2802 Security Guidance Training II. Данные курсы находятся по адресу http://www.microsoft.com/learning/syllabi/en-us/2801cfinal.mspx и http://www.microsoft.com/learning/syllabi/en-us/2802cfinal.mspx.

Курс 2801 посвящен основам безопасности, внедрению защиты серверов Windows 2000 и 2003, безопасности на клиентах под управлением Windows 2000 и XP. Курс 2802 посвящен защите периметра сети, серверов приложений, беспроводных сетей и усилению безопасности различных систем.

Материалы по безопасности также присутствуют на сайте http://msdn.microsoft.com/security/. При разработке курса также были взяты материалы с www.securitylab.ru, security.compulenta.ru и www.sciencedirect.com.



2

Важные сведения о безопасности Повод для внедрения безопасности

Взлом защиты может повлиять на предприятие по-разному. Понимание возможных

последствий взлома защиты и определение наиболее опасных вариантов взлома защиты с возможностью дальнейшего построения бизнес-структуры предприятия, защищенной от атак, связанных с компьютером.

Последствия взлома защиты: - потеря репутации; - потеря или компрометация данных; - прерывание бизнес-процессов; - правовые последствия; - потеря доверия пользователей; - потеря доверия инвесторов; - потеря доходов. Избежание возможных нежелательных последствий взлома безопасности является одним из

наиболее вынужденных поводов для внедрения стратегии безопасности. По исследования ФБР(FBI) и Институт по вычислительной безопасности (CSI) за 2004г.

наибольшие потери предприятия понесли от вирусов, атак на отказ обслуживания (DoS) и потери частной информации.

Итак, преимущества от внедрения защиты : -сокращение времени простоя и издержками, связанными с недоступностью систем и

приложение; -уменьшение затраты на рабочую силу в связи с неэффективным развертыванием

обновлений безопасности; - сокращение потери данных из-за вирусов или взлома информационной защиты; - усиление защиты интеллектуальной собственности. Управление рисками безопасности

Фаза оценки рисков методом Microsoft для управления рисками безопасности представляет

собой формальный метод для определения и выявления приоритетов в данной организации. Данный метод обеспечивает подробные инструкции по Оценке Рисков и может быть разделен



3

на 3 части, включающих планирование, сбор сведений о рисках и выявление приоритетов. После выполнения этапа Оценки Рисков и разработки перечня наиболее ценных рисков, предприятие должно рассмотреть самые важные риски и принять соответствующие меры к уменьшению степени данных рисков. Данный этап известен как Поддержка Принятия Решения.

Последние 2 этапа управления оценки рисков известны как Внедрение Управления и Оценка Эффективности Мероприятий. На этапе Внедрение Управления руководители предприятий создают и выполняют планы на основе списка управления решениями, который появляется в процессе Принятия Решения для уменьшения рисков, определенных на этапе Оценки Рисков. Этап Оценки Эффективности Мероприятий заключается в том, что группа управления рисками безопасности постоянно проверяет, что средства управления, внедренные на предыдущем этапе, действительно обеспечивают ожидаемую степень защиты.

Внедрение метода Microsoft для управления рисками безопасности

Данный метод включает в себя качественный и количественный подходы. В количественной

оценке рисков целью является подсчет реальной числовой стоимости каждой составляющей. Когда вы используете качественный подход к управлению рисками, вы не пытаетесь определить только денежную стоимость активов, ожидаемые потери и стоимость управления. Вместо этого вы подсчитываете относительную стоимость. Метод Microsoft для управления рисками безопасности является значительно более быстрым, чем традиционный количественный подход, а также он еще и обеспечивает хорошо детализированные результаты и легко подтверждается при внедрении. Метод Microsoft для управления рисками безопасности состоит из 4 частей:

- Оценка Рисков. Данный этап включает в себя как качественные, так и количественные методики. Количественный подход используется для быстрой сортировки целого списка рисков безопасности. Наивысшие риски определяются после более детальной проверки с использованием количественного подхода. Результатом данного этапа является более короткий список наиболее важных рисков, которые были детально проверены.

- Поддержка Принятия Решения. Список, созданный на этапе оценки рисков, используется на данном этапе для сбора и подсчета возможных решений управления и комитетом соблюдения безопасности данного предприятия рекомендуются самые подходящие для уменьшения наибольших рисков.

- Внедрение Управления. На этом этапе владельцы реализуют решения управления на местах.

- Оценка Эффективности Мероприятий. Данный четвертый этап используется для проверки, что средства управления действительно полностью обеспечивают ожидаемую степень защиты и наблюдают изменения среды, такие как установка новых приложений или инструментов для взлома, которые способны изменить параметры риска предприятия. К тому же текущие средства управления должны пересматриваться для новых, подобных средств из-за изменений и прогресса в технологиях в области защиты.

Управление рисками – непрерывный процесс, цикл повторяется для каждой новой оценки риска. Частота, с которой повторяется данный цикл, изменяется от предприятия к предприятию.

Этап Оценки Рисков

Представляет собой формальный процесс определения и приоритизации рисков на

предприятии. Руководство Microsoft для управления рисками безопасности обеспечивает детальные указания по оценке рисков и разбивает данный этап на 3 части:

1. Планирование. Создание основы для удачной оценки рисков.



4

2. Неподробный сбор сведений. Сбор информации о рисках в течение обсуждений рисков. Одной из первых задач данного процесса – это определение активов данного предприятия.

3. Выявление приоритетных рисков. Расположение выявленных рисков с помощью последовательно повторяющегося процесса.

На этапе Оценки Рисков вы собираете данные о рисках и затем используете их для выявления приоритетных рисков.

Сбор сведений Первый шаг в вашей оценке рисков – это планирование и внедрение процесса сбора данных.

На этапе сбора данных первыми данными являются: - Активы предприятия. Все, что является ценным для процесса ведения бизнеса; - Описание активов. Краткое описание актива и его владельца для упрощения общего

понимания на этапе Оценки Рисков. Сюда также включается описание применения актива. - Угрозы безопасности. Причины и события, которые могут негативно сказаться на активе,

как-то потеря конфиденциальности, целостности или доступности актива. - Уязвимости. Слабость или отсутствие управления, которые могут быть использованы для

нанесения удара по активу. - Текущая среда управления. Описание текущих средств управления и эффективности на

предприятии. - Предлагаемые средства управления. Исходные предложения по снижению рисков. Ключевые факторы по успешному сбору данных заключаются в следующем: - встречи с владельцами предприятия. Это поможет им понять риски в денежном

эквиваленте. В дальнейшем, владельцы или контролируют, или влияют на выделяемые для IT средства. Если они не понимают потенциальных угроз, то процесс выделения средств будет трудным. Владельцы также управляют корпоративной культурой и влияют на поведение работников. Эти факторы могут быть исключительно эффективными инструментами при управлении рисками.

- выстраивание поддержки. Владельцы играют исключительную роль в процессе оценки рисков. Они отвечают за определение активов своего предприятия и оценки издержек при возможных угрозах для данных активов. Если вы формализуете эту обязанность, то вы позволите отделу по информационной безопасности и владельцам в равной степени успешно участвовать в управлении рисками. Поддержка нужд данного процесса должна происходить на самом высоком уровне руководства и проникать повсюду на предприятии. Если руководство не поддерживает инициативы по программе безопасности, то в итоге программа не будет выполнена.

- выстраивание доброжелательных отношений. Информационная безопасность это сложная деловая деятельность, потому что задача ограничения рисков часто рассматривается как ограничение использования или производительности работников. Используйте встречи, как инструмент построения альянса с владельцами. Помочь владельцам понять важность управления рисками и их роли в дальнейшей программе.

Определение и классификация активов

Активы определяются как нечто, имеющее ценность для предприятия. Они включают

нематериальные активы, такие как репутация компании или имя торговой марки, и материальные активы, такие как физическая инфраструктура.

Метод Microsoft для управления рисками безопасности использует 3 качественных класса активов для измерения угрозы активу предприятия:

- Высокая степень угрозы бизнесу. Нарушение конфиденциальности и целостности или доступности этих активов является причиной тяжелых или катастрофических потерь для предприятия. Примеры видов информации, которая может быть включена в этот класс:



5

• Высокочувствительные деловые сведения, такие как финансовые сведения или интеллектуальная собственность;

• Активы, подчиняющиеся особенным требованиям регулирования (директивы, законодательные акты, соглашения);

• Сверхважная персональная идентификационная информация (ПИИ), такие как номера социального обеспечения или номера водительских прав.

- Умеренная степень угрозы бизнесу. Нарушение конфиденциальности и целостности или доступности этих активов является умеренными потерями для предприятия:

• Внутренняя информация: рабочие каталоги, сведения заказов на поставку, структура сети, информация с внутренних веб-сайтов и данные о файлах внутреннего пользования;

• Важная персональная идентификационная информация – это подкатегория идентификационной информации о персоне относительное расовой принадлежности, национальных корней, политических пристрастий и т.д.

- Малая степень угрозы бизнесу. Активы, не принадлежащие к двум вышеуказанным категориям, относятся к активам с небольшой степенью угрозы. Эти активы обычно включают повсеместно распространенную информацию, неавторизованное раскрытие которой не несет за собой значительных финансовых потерь, правовых или распорядительных вопросов, эксплуатационных остановок или преимуществ для конкурентов:

• Доступ на чтения веб-страниц общего доступа; • Опубликованные пресс-релизы, брошюры, документы, содержащие выпущенную

продукцию.

Выявление приоритетов риска

Следующие 4 пункта очерчивают процесс выбора приоритетов риска: - Определение угрозы и уязвимости для каждого актива. В процессе классификации рисков вы определяете угрозу предприятию для каждого актива предприятия. Вам также необходимо определить уязвимость каждого актива. Уязвимость актива – это расширенный возможный вред активу. Например, уязвимость такого актива как веб-сайт, имеющего только статическую информацию довольно низкая, поскольку наибольший серьезный вред – это возможность потери информации на веб-сайте или атака на отказ обслуживания (Denial- оf-Service – DoS-атака). Уязвимость веб-сайта, работающего с клиентами и содержащего конфиденциальную информацию, более высока по причине возможности утечки информации о данных клиента. - Определение текущего управления. В процессе разработки приоритетов риска также определяется каким образом данный актив будет защищен. Если ваш актив является сверхуязвимым и имеет высокую степень угрозы для вашего бизнеса, но у вас уже есть высокоэффективные средства контроля за безопасностью, тогда риск, которому подвергается данный актив, может не быть таким высоким, как у актива с меньшей степенью риска, но с несоответствующими средствами управления. -Определение вероятности атаки на актив. В качестве части оценки риска также рассматривается возможный вред, который может быть нанесен активу, с помощью атаки. Определение этой возможности оценивается путем рассмотрения инцидентов с безопасностью на предприятии за прошедшее время. Также рассматриваются недавние инциденты, произошедшие на других предприятиях. - Детальное определение уровня риска. Объединяется вся информация, полученная на предыдущих 3 пунктах для определения детальное определение уровня риска каждого актива. Оценка риска может быть установлена различными способами. Для каждого актива



6

можно выбрать диапазон значений от 1 до100. Или можно применить количественную оценку уровня риска как высокую, умеренную или малую. Исключительно важно также обсуждать с владельцами предприятия эффективные способы управления рисками. Для того чтобы это сделать, нужно осуществить формирование риска для каждого актива. Это делается следующим образом:

Рис.2

Этап Поддержки Принятия Решения

После определения риска для каждого актива, следующим этапом вы определяете, как

работать с наиболее важными рисками самым эффективным и финансово-результативным способом. Конечный результат будет представлять собой понятный и действенный план для управления, принятия, передачи или аннулирования каждого из важных рисков, определенных в процессе оценки рисков. Этап поддержки принятия решения делится на определение решений управления и стратегии ограничения риска.

Сначала вы должны составить список новых возможных средств управления для каждого риска, рассмотрев следующие вопросы:

- Какие шаги должна предпринять организация для противостояния и предотвращения инцидентов с рисками? Например, для снижения возможности использования пароля другим лицом внедрить многофакторную аутентификацию, или во избежание дискредитации систем с помощью выполнения вредоносного кода развернуть инфраструктуру автоматического обновления.

- Что должна предпринять организация для восстановления, в случае если все-таки инцидент имел место? Например: основать, финансировать и обучить группу, отвечающую за инциденты, или внедрить и протестировать резервные данные и процессы восстановления на всех компьютерах, под управлением серверных операционных систем.

- Какие меры может предпринять организация для определения риска? Например, установить по периметру сети и на ключевых местах внутри сети систему обнаружения



7

вторжения или установить распределенную систему обнаружения вторжений на все компьютеры на предприятии.

- Каким образом будет осуществлять аудит и наблюдение за управлением для обеспечения постоянной работы? Например, установка подходящих программных инструментов и внимательное наблюдение.

- Каким образом предприятие подтвердить эффективность? Например, наличие эксперта знакомого с попытками использовать уязвимостей для обхода управления.

При выборе решений управления следует ответить на следующие вопросы: - Будет ли контроль управления влиять на функциональность актива? Решение

управления, полностью защищающее актив, но не удобное в использовании, не является подходящим решением.

- Насколько решение управления уменьшает риск? - Какова стоимость решения управления? При выборе решения управления нужно определить приоритеты в данных вопросах.

Например, можно использовать внедрение протокола IPsec для защиты сетевого трафика к серверу базы данных, содержащей конфиденциальные данные пользователей, однако это может увеличить число звонков в службу поддержки в случае потери соединения.

Этап внедрение управления

Данный этап используется для внедрения решений управления, определенных на

предыдущих этапах и состоит из: - поиска целостного решения. Это означает, что целиком рассматривается система

приложений, подразделение предприятия и или даже промышленное предприятие, при планировании приобретения или внедрения решений управления.

- подготовки и тестирования плана отката на случай непредвиденных обстоятельств. Необходимо планировать стратегию отката управления, если она слишком ограничительная или является источником проблем в рабочей среде. Несмотря на то, что управление могло быть проверено в тестовой среде, тестовая и рабочая среды не являются одними и теми же. Таким образом, можно столкнуться с неожиданными проблемами. Протестируйте план отката до внедрения управления.

- Организуйте эшелонированию защиту, подробное рассмотрение которой находится в следующем разделе.

Оценка Эффективности Мероприятия

После внедрения управления важно убедиться, что обеспечивается ожидаемая степень

защиты и стабильной работы. Методы для оценки эффективности мероприятий могут быть следующими:

- прямое тестирование. Согласно исследованию Федеральной Счетной палаты прямое тестирование является наиболее частым методом проверки степени снижения риска при внедрении средств управления. Существует множество подходов к выполнению данных тестов, включая средства автоматической оценки уязвимостей, оценки вручную и тестирование на проникновение.

- предложение периодических отчетов на соответствие. Группа по обеспечению информационной безопасности должна обеспечивать обратную связь на поступающие предложения.

- оценка широко распространенных инцидентов с безопасностью. Отслеживание инцидентов с безопасностью, случающихся в подобных организациях, и смягчение их воздействия с помощью средств управления, рекомендованных группой безопасности. Оценка



8

методов и предотвращение инцидентов с безопасностью будет способствовать появлению упреждающих мер контроля.

ЭШЕЛОНИРОВАННАЯ ЗАЩИТА Модель эшелонированной защиты – это организованная структура безопасности. Модель

эшелонированной защиты определяет все способы, с помощью которых злоумышленник может получить несанкционированный доступ к системе и компонентам. Вы можете обеспечить защиту каждого уровня данной модели.

Модель эшелонированной защиты

Рис.3

Модель эшелонированной защиты включает в себя: - уровень информированности, политик и процедур. Он затрагивает все остальные уровни

и представляет собой описание политик и мер безопасности, утвержденных руководством и обучение безопасности персонала.

- уровень физической безопасности представляет собой системы охраны и наблюдения и т.п. для предотвращения физического доступа к системе. Возможность физического доступа к мобильным устройствам компании, как сотовые телефоны или портативные устройства, также относится к данному уровню. Пример, порча систем наблюдения относится к уровню физической безопасности, но не дает возможности получить или изменить какие-то сведения о предприятии, в то время как возможность получения списка сотрудников компании при краже мобильного телефона будет иметь более глубокие последствия. Борьба с угрозами на уровне физической защиты состоит из отделения серверов от пользовательских машин и установку их в отдельные закрываемые помещения, а также ограничение списка лиц, имеющих к ним доступ, шифрование данных на мобильных устройствах.

Уровень информированности, политик и процедур

Физическая безопасность

Данные

Приложение

Узел

Внутренняя сеть

Периметр



9

- уровень периметра представляет собой точку, которая соединяет вашу сеть со сторонней сетью, безопасности которой нельзя доверять полностью, по причине невозможности ее проверки. К данному уровню относятся: выход в Интернет, филиалы предприятия, партнеры, пользователи с удаленным доступом, беспроводные сети, Интернет приложения и др. сегменты сети. На данном уровне в основном все усилия фокусируются на защите от атак через Интернет, однако следует обратить внимание, что существуют и другие угрозы на данном уровне, например, сети ваших партнеров, если они не контролируются вами, а также филиалы, где требования к безопасности зачастую более низкие по причине отсутствия важной информации, однако именно с этих компьютеров может быть проведена атака на ресурсы вашей компании. Еще одна угроза, распространенная на данный момент времени – это фишинг (fishing), рассылка электронных писем от лица компании с просьбой заполнить данные на сайте данной компании, который на самом деле является «мнимым» сайтом компании. Если, например, клиент какого-либо банка заполнит сведения о номере своей кредитной карты на таком сайте, он лишится денег. Для банка это чревато как финансовой потерей, так и потерей репутации.

Защита данного уровня осуществляется с помощью сетевых экранов, как программных, так и аппаратных. Выбор их зависит от размеров организации программные целесообразно применять в небольших организациях, а аппаратные в крупных, в тех организациях, где требования к безопасности достаточно высоки применяются и те и другие. Однозначно сказать, какие сетевые экраны лучше нельзя, поскольку встроенные аппаратные сетевые экраны применяются даже в недорогих устройствах для выхода в Интернет типа: ADSL-, Интернет- и VPN-маршрутизаторы. Использование сетевых экранов в составе систем Windows XP Service Pack 2 и Windows Server 2003 Service Pack 1 расширит периметр защиты для удаленных пользователей. Защита данных, передаваемых филиалами, может осуществляться с помощью VPN тоннеля, а также с использованием протоколов L2TP c шифрованием IPSec или PPTP с шифрованием MPPE (Microsoft Point-to-Point Encription). Для пользователей, подключающихся по удаленному соединению можно также использовать VPN-соединение. Защита от фишинга на данный момент времени может быть осуществлена только на уровне взаимодействия с правоохранительными структурами.

- внутрисетевой уровень представляет собой интранет организации и может состоять из: локальных сетей (LAN), городской сети (MAN), глобальной сети (WAN) и беспроводных сетей. Доступ к сети предприятия позволит злоумышленнику собирать и исследовать трафик сети, и получить при этом важные сведения как личного, так и рабочего характера. Получить доступ к компьютерам можно с помощью использования уязвимостей в какой-либо сетевой службе данной операционной системе. Борьба с данными уязвимостями может быть осуществлена с помощью сегментирования сети коммутаторами (свитчами), а также создания локальных виртуальных сетей VLANs на базе тех же самых коммутаторов. Шифрование сетевых соединений тоже может дать положительный результат, например, если персонал, управляющий коммутаторами, получает доступ к ним по telnet, а пароли по данному протоколу передаются в открытом виде, то злоумышленник может получить доступ к данному оборудованию, перехватив данный сеанс связи. Поэтому для решения данной проблемы нужно внедрять или доступ с шифрованием, например SSH или прямой доступ к терминалу устройства. Также для аутентификации и шифрования в проводных и беспроводных сетях можно использовать протокол 802.1x. Данное решение позволяет использовать для аутентификации как учетные записи и пароли службы Active Directory или цифровые сертификаты. RADIUS сервер реализован в семействах серверов Windows, как встроенная в службе IAS (Internet Autentification Service). Также можно ограничить доступ к портам серверов, установив фильтры портов IPSec, т.е. заблокировать весь трафик по всем портам за исключением тех, которые выполняют какие-то определенные функции.



10

- Уровень узла описывает безопасность отдельного компьютера в сети. Во-первых, нужно определить перечень операционных систем (ОС), используемых на предприятии и по возможности исключить из списка Windows 95, 98 и Me, поскольку они не отвечают основным требованиям безопасности. Во избежание несанкционированного доступа к системам на компьютерах следует отключать службы, которые не используются, но включены по умолчанию; например, если не нужен web-сервер, следует остановить IIS (Internet Information Services). Также следует своевременно устанавливать обновления безопасности системы. Пример, уязвимость в службе RPC дает возможность получать доступ к компьютерам под управлением ОС семейства Windows 2000, XP, 2003. Уязвимость устраняется установкой обновления безопасности для семейства Windows 2000 roll-up к SP4, для Windows XP – SP2 и для Server 2003 – SP1. Обновления безопасности могут быть установлены как с помощью локальной службы Windows Update, а также с помощью серверов WSUS или SMS, о которых будет рассказано ниже. Помимо вышеперечисленного нужно вводить аудит доступа к объектам в системе (по умолчанию он отключен) для наблюдения за событиями, происходящими в системе. А также нужно устанавливать антивирусные и антишпионские программы для проверки системы. К клиентским машинам надо применять групповые политики безопасности (Group Policy) для разрешения запуска лишь определенного списка задач. Надо отметить, что при некоторых навыках со стороны пользователя данное ограничение может быть обойдено.

- уровень приложения описывает расширенную безопасность приложений, запускаемых на компьютерах. Данный уровень включает сетевые приложения как сервера, так и клиента. Уязвимость данного уровня заключается, например, в возможности отказа доступа к приложением путем атаки на переполнение буфера или исполнении вредоносного кода в системе. Например, один из наиболее часто используемых видов атак на базы данных - это, так называемая, SQL-инъекция, благодаря которой можно в запросах к БД вводить команды на исполнение к БД. Меры по защите на данному уровне должны быть следующими: запускать приложения с наименьшими привилегиями, которые необходимы, на установленных приложениях должны быть включены только необходимые службы.

- уровень данных описывает безопасность данных. На данном уровне определяются разрешения безопасности на уровне каталога и файла. NTFS-разрешения позволяют определять уровень доступа к данным, создавать списки управления доступом к данным. Также использование системы шифрования EFS позволяет защитить данные от несанкционированного доступа. Для предотвращения безвозвратной утери данных нужно своевременно делать копии документов. Во избежание изменения или потери системных файлов следует устанавливать ОС или приложения в нестандартные папки и каталоги.

Используя модель эшелонированной защиты, всегда можно определить к какому уровню относится тот или иной риск, и какие меры следует принимать для предотвращения несанкционированного доступа. Однако, всегда существует вероятность появления новой уязвимости в IT системе предприятия. На случай взлома, проникновения в систему и тому подобных инцидентов должны быть разработаны следующие меры как-то: определение политики наличия угрозы безопасности, меры по реагированию на происшествие. Наличие угрозы безопасности может определяться необычным сетевым трафиком, например, разница в размере исходящего трафика и входящего может говорить о наличии на машине программы, сканирующей сеть, ищущей компьютеры с заданной уязвимостью и пытающейся установить себя на них. Наличие угрозы безопасности может определяться определенными событиями в журнале системы, невозможность получить доступ к сетевым ресурсам, а также интенсивное использование процессора, изменение разрешений, непонятная работа служб, выражающаяся в том, что часть служб оказывается выключенной, запущены новые службы.

После определения и ликвидации инциденты в качестве мер реагирования нужно определить источник и причину инцидента, предотвратить дальнейшее распространение



11

инцидента, изолировать компьютеры, подвергшиеся нападению, заблокировать входящий и исходящий сетевой трафик, оценить причиненный ущерб, меры по восстановлению работы компьютерных служб, обновить политики и процедуры и сохранить доказательства, как-то записи в журналах системы и безопасности.

При рассмотрении вопросов безопасности нужно следовать следующим указаниям: 1. Использовать модель эшелонированной защиты. 2. Использовать принцип наименьших привилегий, взаимодействий и доступа

пользователей. 3. Организовать аудит и просмотр событий системы. 4. Своевременно устанавливать обновления систем. 5. Обучать пользователей требованиям безопасности. 6. Учиться на опыте. 7. Разработать и протестировать планы и процедуры реагирования на происшествие 8. Прилагать усилия по созданию безопасных систем. 9. Создавать своевременные копии. 10. Думать как злоумышленник. Управление внедрением обновлений безопасности

Управление обновлением представляет собой процесс развертывания и поддержки

программных обновлений рабочей среды. Когда в процессе работы выясняется, что программное обеспечение не лишено определенных недостатков или некорректно работает при определенных условиях, тогда зачастую выпускаются обновления. В современных условиях в большинстве случаев обновления появляются гораздо раньше, чем выявленный недостаток или уязвимость начинает повсеместно использоваться очередной вредоносной программой, поэтому крайне необходимо своевременно отслеживать и устанавливать обновления, особенно это касается обновлений для операционных систем. Обновления к своим продуктам фирма Microsoft делит на степень ущерба, причиняемый данной уязвимостью:

- критические (critical) обновления, которые устраняют возможность использования системы для размножения сетевого червя, рекомендуемое время для таких обновлений от 24 часов до двух недель;

- важные (important), которые устраняют возможность несанкционированного доступа к данным, целостности и доступности обработанных данных, рекомендуемое время для таких обновлений от месяца до двух;

- умеренные (moderate), которые устраняют серьезные уязвимости, но они сведены на «нет» такими факторами как конфигурация по умолчанию, аудит или сложность в использовании, рекомендуемое время для таких обновлений до полугода;

- низкие (low), которые устраняют уязвимости, которые достаточно сложно использовать или имеющие несерьезные последствия, рекомендуемое время для таких обновлений до года или вообще не устанавливать их.

Учитывая вышесказанное достаточно сложно вручную управлять установкой и отслеживанием всех обновлений. Для этого были разработаны различные инструменты, применение которых зависит от размеров и нужд вашей организации:

Пользователь План действий Решение Потребитель все Microsoft Update

Небольшая организация Нет Windows серверов

Есть от 1 до 3 Windows 2000

Microsoft Update,

MBSA или WSUS



12

или 2003 серверов и 1 администратор

Большое предприятие или среднее

Хотят решение управления обновлениями для управления

Windows 200 или 2003 серверами

Хотят одно гибкое решение управления обновлениями с расширенным контролем

обновления и развертывания программного обеспечения

MBSA или WSUS

Systems Management Server

Microsoft Update представляет собой программу, работающую в режиме онлайн, которая

просматривает обновления на сайте Microsoft, запрашивает у пользователя разрешения на установку для данного компьютера и затем устанавливает выбранные обновления не только для системы, но может это делать и для пакета Office.

MBSA (Microsoft Baseline Security Analyzer) представляет собой бесплатный инструмент для определения недостающих обновлений различных систем и приложений, а также проводит аудит и проверку настроек безопасности системы, например, наличие или отсутствие пароля учетной записи, длина пароля, отсутствие аудита, состояние учетной записи «гость», настройки браузера и настройки сетевого экрана в Windows XP SP2. MBSA можно скачать с сайта Microsoft. Практическая работа с инструментом MBSA (5 минут)

1. Запустить значок MBSA с рабочего стола. 2. Просмотреть отчет, который будет сформирован. 3. Определить меры по исправлению недостатков, указанных в отчете. MBSA – это отдельный продукт, но он может использоваться вместе с сервером WSUS

(Microsoft Windows Server Update Services). WSUS представляет собой бесплатный инструмент для автоматизации развертывания обновлений. Он скачивает обновления с сайта Microsoft Update, а клиентские компьютеры сконфигурированы для приема обновлений с данного сервера, а не с Microsoft Update. Предыдущая версия данного продукта SUS могла работать лишь с обновлениями для компьютеров под управлением Windows XP, Windows 2000 или Windows Server 2003. WSUS может скачивать и устанавливать обновления еще и для Office, SQL Server и Exchange Server. WSUS может работать по следующим сценариям:

1. Сервер WSUS принимает обновления с Microsoft Update и затем устанавливает их на компьютеры.

2. Существует несколько WSUS серверов, причем некоторые из них не подключены к сети организации. Для этих WSUS серверов обновления формируются на головном сервере, затем на носителе доставляются и устанавливаются на необходимый сервер WSUS.

3. Если возникает необходимость можно также развернуть множество WSUS серверов в одной организации, и тогда обновления на каждом из них будут синхронизироваться с одним головным сервером WSUS, который в свою очередь скачал их с сайта Microsoft Update.

Для того, чтобы клиентский компьютер принимал обновления с сервера WSUS, его надо сконфигурировать одним из следующих способов: - с помощью групповых политик



13

- с помощью конфигурирования вручную клиентских компьютеров - с помощью скриптов для конфигурирования клиентских компьютеров. SMS (Systems Management Server) не является свободно распространяемой программой. В отличие от WSUS сервера он является системой с более широким набором средств для управления всеми обновлениями для продуктов фирмы Microsoft, а также программным обеспечением третьей стороны. SMS также интегрируется с MBSA. Выводы: 1. Быстрое внедрение обновлений безопасности является критической составляющей в

плане управления безопасностью. 2. Для того чтобы отвечать стандартным действиям управления сетью необходимо

управлять обновлениями 3. Для малых и средних организация инструменты MBSA и WSUS обеспечивают

комплексное решение обновления безопасности. Внедрение защиты для серверов Windows 2000 и Windows 2003 В небольших и средних организациях зачастую некоторые требования безопасности

снижаются из-за того, что стоимость владения серверами должна быть сопоставима с бюджетом организации. Поэтому данным организациям присущи некоторые специфические черты:

- серверы выполняют многочисленные функции, т.е. одновременно могут быть как файл-сервером, так и web-сервером. А поскольку количество функций, выполняемых одним сервером, увеличивается, то это увеличивает вероятность атак на различные сервисы данного сервера.

- ограниченные средства для внедрения решений безопасности. Например, внедрение многочисленных сетевых экранов является примером высокой стоимости.

- внутренние угрозы. Зачастую проще атаковать сеть изнутри. - отсутствие экспертизы безопасности. Поскольку данные организации имеют ограничения

по бюджету, то они не в состоянии доверить оценку своей безопасности сторонней организации.

- использование старых систем, которые сводят на «нет» все меры безопасности. - наличие физического доступа к серверам, поскольку в таких организациях нет

возможности организовать выделенную комнату для сервера. Тем не менее, правовые последствия, которые могут наступить в случае потери данных или

несанкционированного доступа к ним, могут нанести серьезный ущерб предприятию. При планировании стратегии доступа в системе всегда возникает противоречие между тем,

что управление безопасностью требует ограничить доступ к ресурсам, а с другой стороны управление сетью требует, чтобы пользователи получали доступ ко всем приложениям и ресурсам, необходимым для их работы. И самой защищенной системой является та, к которой нет доступа.

Чтобы достаточно защитить сервера необходимо как минимум организовать защиту на нескольких уровнях модели эшелонированной защиты. Это необходимо потому что, если на один уровень получен несанкционированный доступ, например, прослушивание сети, то другой уровень будет по-прежнему защищен. Например, используя защиту на уровне приложения (усиление безопасности приложений, использование антивирусов), на уровне узла (усиление безопасности ОС, аутентификации, управления обновлениями), на уровне сети (сегментирование сети, внедрение протокола IPSec, использование систем обнаружения вторжения (NIDS)), можно добиться приемлемого уровня безопасности.

Также можно обратиться к руководствам Microsoft, включающим полное описание процесса защиты серверов:



14

- Windows 2000 Common Criteria Security Configuration Guide (Руководство по общим критериям конфигурации безопасности Windows 2000);

- Windows 2000 Security Hardening Guide (руководство по усилению безопасности Windows 2000);

- Securing Windows 2000 Servers (Защита серверов Windows 2000); - Threats and Countermeasures Guide (Руководство по угрозам и контрмеры); - Windows Server 2003 Security Guide (Руководство по безопасности для

Windows Server 2003). Все данные руководства можно найти на сайте Microsoft. Базовые правила защиты серверов: - своевременно устанавливать обновления безопасности системы - для усиления безопасности серверов использовать групповые политики безопасности

(Group Policy) - использовать инструмент MBSA для сканирования конфигурации безопасности серверов - ограничить физический и сетевой доступы к серверам. Основой работы серверов является служба каталогов Active Directory. Она включает в себя:

групповые политики (Group Policy) – базовые настройки компьютеров и учетных записей, включающих в себя и настройки безопасности, лес (forest) – это набор одной или нескольких служб каталогов Active Directory имеющих общую логическую структуру, глобальный каталог, схему каталога, политики применения безопасности ограничиваются лесом; домен (domain) – набор компьютеров, пользователей и групповых объектов, определенных администратором, все они имеют общую базу данных, политики безопасности и отношения безопасности и организационную единицу (OU organization unit) – объект – логический контейнер службы каталогов, использующийся внутри доменов и который может включать в себя пользователей, компьютеры, группы безопасности и распространения, принтеры и т.д..

Для защиты службы каталогов Active Directory необходимо выяснить программную среду, в которой работает данная служба:

- центр данных интранет. Это наиболее простой способ защиты, поскольку все настройки безопасности могут быть применены к пользователям и компьютерам, непосредственно входящим в данную систему

- филиалы компании. В данном случае достаточно сложно внедрить безопасность, поскольку служащие офиса зачастую могут не принимать обновления безопасности, например, из-за отсутствия связи или неширокого канала передачи данных, трудно ограничить физический доступ к серверам и определение атак становится более трудным и дорогим.

- центр данных экстранет. Экстранет – это обычно ресурсы, которые компания делит со своими партнерами, поэтому вопросы защиты должны обсуждаться и выполнятся всеми партнерами компании.

Угрозу для Active Directory могут представлять «поддельные» учетные записи, порча данных, раскрытие информации, атаки на отказ обслуживания (DoS, Denial-of-Service). Поэтому необходимо определить меры, предпринимаемые при возникновении каждой из данных угроз. В качестве основной меры можно применить усиление политик безопасности. По умолчанию настроек политик безопасности достаточно для отражения большинства угроз, однако иногда необходимо усилить настройки политик безопасности. Далее нужно проверить учетные записи и пароли на соответствие требованиям вашей организации как-то: отсутствие пустых паролей, определение минимальной длины паролей и т.п. Установление безопасности для иерархии организационных единиц (OU) также может сыграть свою роль. Иерархия организационных единиц представляет собой структуру, основанную на роли серверов, и поэтому настройки безопасности могут быть определены своими шаблонами безопасности для каждой роли. Например, если в домене есть файл-сервер и принт-сервер, то с начала по



15

умолчанию для них применяется политика безопасности домена, а затем может быть применен соответствующий шаблон безопасности для файл-сервера или принт-сервера.

Усиление защиты рядовых серверов Защитив службу каталогов, следует рассмотреть защиту рядовых серверов. Она заключается

в использовании шаблона безопасности Member Server Baseline и групповых политик, затем можно использовать добавочные настройки безопасности. Шаблоны безопасности Member Server Baseline могут быть скачаны вместе с руководством по Windows 2003 сервер с сайта Microsoft. Шаблоны бывают следующих типов: Legacy Client – обеспечивает адекватную безопасность, и используется в смешанной среде с Windows 98, Windows NT и старше, а также рядовыми серверами на базе Windows NT. Enterprise Client – этот шаблон обеспечивает целостную безопасность, и используется в среде с ОС Windows 2000 и старше. В среде с Windows 98 может вести себя некорректно. High Security – обеспечивает высокую степень безопасности за счет снижения функциональности и управляемости.

Кроме шаблонов безопасности можно дополнительно использовать Security Configuration Wizard SCW (Мастер конфигурации безопасности) для расширенного администрирования многофункциональных серверов. Политики из SCW могут быть развернуты в объекты групповой политики (GPO), а также могут быть экспортированы в XML файлы.

Security Configuration Wizard является бесплатной утилитой и он доступен на сайте Microsoft. Усиление безопасности контроллеров домена Угрозами для контроллера домена могут быть следующие события: - изменение или добавление объектов в службу каталогов Active Directory, что означает получение несанкционированного доступа к данной службе. - атаки на отказ обслуживания (DoS-атаки), которые могут противодействовать аутентификации стандартных пользователей на контроллере домена, в результате к данным пользователям не могут быть применены групповые политики безопасности или установлены последние обновления системы. - атаки на предотвращение репликации, результатом этого может быть отсутствие обновлений на удаленных контроллерах доменов. - использование широко известных сведений об уязвимости. Это возможно, если контроллер домена своевременно не установил обновления.

Усиление безопасности контроллера домена не в последнюю очередь связано с внедрением безопасности пароля. Это означает не использовать протоколы, хранящие пароли в обратимой форме шифрования (например, протокол CHAP) или цифровые подписи для веб-приложений. Также выключить LM хеш функцию. Когда создается пароль длиною более 15 символом, то формируется 2 значения хеш функции: значение LM хеш функции и значение NTLM хеш функции. Пароль, хранимый LM хеш функцией, является чувствительным к атакам. Данный параметр “Do Not Store LAN Manager Hash Values On Next Password Change” выключается в настройках безопасности Security Settings. Помимо этого следует назначить пароль длиной не менее 6 символов и содержащий буквы и цифры как нижнего, так и верхнего регистров.

Также необходимо выключить все сервисы, которые не используются на контроллерах домена, внедрить соответствующие настройки аудита и событий в журналах, а также иметь как минимум 2 контроллера домена в каждом домене.

Усиление безопасности для серверов, выполняющих определенные функции



16

В первую очередь для каждого сервера, выполняющего определенную роль надо

использовать соответствующий шаблон безопасности Member Server Baseline. Серверы, которые выполняют многочисленные функции, следует донастроить вручную. Кроме шаблонов безопасности можно дополнительно использовать Security Configuration Wizard SCW (Мастер конфигурации безопасности) для расширенного администрирования многофункциональных серверов.

Усиление безопасности отдельных серверов, не входящих в домен Поскольку отдельные сервера не являются членами домена, и на них не могут быть

распространены групповые политики безопасности, при усилении безопасности для каждого отдельного сервера приходится делать настройки шаблона вручную. Для управления настройками безопасности можно использовать следующие инструменты:

- Security Configuration and Analysis tool используется для определения и сравнения текущих настроек безопасности с рекомендуемыми базовыми, а также их применения к данному серверу.

- Secedit является утилитой командой строки для работы с шаблонами безопасности, также используется для выполнения и сравнения шаблонов безопасности.

- GPEdit.msc является встроенной консолью управления групповыми политиками и может быть использована для конфигурирования настроек локальных политик безопасности данного сервера.

Кроме шаблонов безопасности можно дополнительно использовать Security Configuration Wizard SCW (Мастер конфигурации безопасности) для расширенного администрирования отдельных серверов.

Из вышеуказанного следует вывод, что принципы обеспечения и усиления безопасности

серверов являются схожими и заключаются в следовании модели эшелонированной защиты, своевременном развертывании самых последних обновлений системы, развертывании шаблонов безопасности на основе роли серверов и использовании утилиты SCW, а также использование сложных паролей.

Внедрение защиты для клиентов на Windows 2000 и Windows XP

На основе модели эшелонированной защиты защита клиентов осуществляется на уровне

узла и на уровне приложений. Компонентами защиты клиентского компьютера являются антивирусные программы, сетевые экраны, установка обновлений, защита приложений, использование сложных паролей, защита данных с помощью средств аутентификации и шифрования, например, использование EFS и подписей для электронных писем и приложений.

Защита мобильных клиентов заключается в дополнительной установке пароля на BIOS, сильной беспроводной аутентификации, о которой будет рассказано в последующих главах, создание своевременных копий документов и управление сетевым карантином.

Использование настроенных сетевых экранов позволяет защитить клиентский компьютер от несанкционированного доступа. В Windows XP SP2 и Windows 2003 Server автоматически включен сетевой экран с разрешениями только для локальной сети. Преимущество встроенного сетевого экрана заключается в тесной интеграции с ядром ОС, т.е. ограничения сетевого доступа начинают действовать сразу же при загрузке сетевых компонент, в то время как сетевые экраны сторонних производителей загружаются только после полной загрузки компонент ОС. Если все-таки на клиентских машинах устанавливаются сетевые экраны



17

стороннего производителя, то следует проверить работоспособность данного экрана не только для проводной, но и для беспроводной сети.

Также защиту клиентских компьютеров можно осуществить с помощью службы каталогов Active Directory. Для этого также можно использовать иерархию организационных единиц. Поскольку домен представляет собой логическую структуру организации, то данная организация имеет подразделения с присущими только им функциями. Для простоты управления для каждого подразделения создается своя организационная единица, которой даются определенные права, ресурсы и доступ. Это упрощает управление системой. В данную группу заносится клиентский компьютер данного отдела. Более того, когда требуется, то можно поместить клиентский компьютер в несколько организационных единиц и поочередно применить к нему политики безопасности на основе выбранных шаблонов.

В составе руководства Windows XP Security Guide v2 есть 3 шаблона безопасности для Windows XP:

- Доменные шаблоны (Domain templates) содержат настройки безопасности, которые могут быть применены ко всем компьютерам и пользователям домена,

- Шаблоны для стационарных компьютеров (Desktop templates) содержат настройки безопасности, которые могут быть применены к настольным системам напрямую подключенным к сети организации,

- Шаблоны для переносных компьютеров (Laptop templates) созданы в соответствии с требованиями к мобильным и переносным компьютерам

Каждый из этих шаблонов имеет 2 разновидности Enterprise Client и High Security. Разновидность Enterprise Client шаблона используется для обеспечения нормального уровня безопасности, High Security шаблон используется для обеспечения высокой степени безопасности, при использовании которого ограничено число приложений и служб.

Для создания нужного уровня безопасности можно изменять данные шаблоны в соответствие с требованиями организации.

Перед внедрением шаблонов в сети организации их нужно внимательно протестировать. Все политики аудита и учетных записей надо внедрять на уровне домена. Защита приложений на клиентских машинах заключается в использовании стандартных

шаблонов для широко используемых приложений, которые в первую очередь подвергаются атакам, как например Internet Explorer или Outlook Express.Для инструментов офиса шаблоны можно найти в Office 2003 Editions Resource Kit, который в свою очередь можно скачать с сайта Microsoft. Для защиты приложений от атак рекомендуется обучать пользователей не открывать вложенные файлы из незнакомого источника, проверять на вирусы вложения в письма, своевременно устанавливать программные обновления и устанавливать только те приложения, с которыми пользователь действительно работает.

Для клиентских компьютеров, которые не входят в домен следует настроить локальную политику безопасности. Это можно сделать через локальную консоль управления mmc. Также для настройки локальной политики безопасности можно также использовать шаблоны Windows XP Security Guide. После развертывания шаблонов для проверки безопасности следует использовать утилиту MBSA.

Совокупность всех выше рассмотренных компонентов безопасности даст достаточную ступень защиты и возможность недопущения или обнаружения вредоносных программ и действий злоумышленника.

Внедрение безопасности сети и ее периметра Общими целями защиты сети являются: - защита от атак на сетевой периметр;



18

- защита клиентов от атак из внутренней сети; - определение попыток вторжения; - защита соединений для достижения конфиденциальности передаваемой информации; - обеспечение безопасного удаленного соединения. Как было уже выше сказано, периметр сети представляет собой точку входа, где ваша

внутренняя сеть начинает взаимодействовать с недоверительными сетями. Это относится не только к выходу в Интернет, но и к VPN- и модемным соединениям, к обмену данными с партнерами, беспроводным сетям и удаленным пользователям. Устройства, которые находятся по периметру сети, различны - это и VPN-клиенты и VPN-серверы, серверы удаленного доступа (RAS remote access server) и RAS клиенты, граничные маршрутизаторы, сетевые экраны или брандмауэры, системы обнаружения вторжения (network intrusion detection systems NIDS) и прокси серверы.

Применение следующих методов позволяет оградить сеть и ее периметр от наиболее распространенных попыток взлома: это использование сетевых экранов, фильтрации портов IPSec, использование сетевой аутентификации по протоколу 802.1х, использование шифрования, систем наблюдения. Более подробно вопрос защиты сети также рассматривается в статье “Securing Your Network in Improving Web Application Security: Threats and Countermeasures Guide” на сайте MSDN.

Как известно, сетевые экраны фильтруют весь входящий и исходящий трафик и защищают системы или сеть от возможности доступа к сервису по определенному порту, а также от большинства широко известных атак, таких как DoS-, DDos-атаки (distributed denial of service). Сетевые экраны или брандмауэры устанавливаются в так называемой демилитаризованной зоне (DMZ demilitarizes zone). Она представляет собой место, где размещены серверы доступ к которым необходим как из внешней, так и из внутренней сети. Это усиливает безопасность сети, препятствуя проникновению нежелательного трафика во внутреннюю сеть. Существует несколько вариантов таких сетей: простая, двусторонняя и гибридная.

Простая DMZ представляет собой брандмауэр, имеющий 3 интерфейса: один связан с внутренней сетью, другой – с внешней сетью, третий – связан с DMZ зоной.

Двусторонняя DMZ создается с помощью двух брандмауэров. Первый помещается на границе внешней сети и DMZ зоны, второй – на границе DMZ зоны и внутренней сети.

Гибридная DMZ используется для расширенных решений безопасности. Например, используется 3 брандмауэра, два из которых используются как в схеме с двусторонней DMZ, а третий внутри DMZ зоны для разграничения доступа к серверам с частной адресацией и серверам с общей адресацией.

Однако некоторые сетевые экраны и брандмауэры не защищают от всех видов атак, таких как:

- прохождение вредоносного кода через открытые порты, в случае если сетевой экран не проверяет содержимое трафика на уровне приложений;

- прохождение трафика любого рода через шифрованное соединение; - атаки на сеть изнутри. Например, переносной компьютер был заражен и принесен в офис, где при подключении вирус пытается заразить компьютеры внутри сети; - трафик, «похожий» на стандартный, представляющий из себя на первый взгляд обыкновенный запрос, но который на самом деле пытается использовать уязвимость для проникновения на какой-либо веб-сервер.

- пользователи и администраторы, которые используют слабые пароли и которые могут распространять вирусы.

Сервер ISA может выполнять просмотр данных на уровне приложений, а также осуществлять проверку трафика при использовании шифрованного соединения по протоколу IPSec. ISA сервер – это прокси сервер, главной функцией которого является переадресация запросов клиентов, а значит отсутствие прямого соединения между клиентом и сторонним



19

сервером. Возможности защиты клиентов у данного сервера следующие: ограничения на основе пользователей и групп. Благодаря тесной интеграции со службой каталогов Active Directory, можно строить политику доступа клиентов к сети на основе политики службы каталогов, также на основе RADIUS сервера. А также ограничения на основе компьютеров, ограничения на основе протоколов, ограничения на основе места назначения и ограничения на основе содержимого, скачиваемого по сети, не только в открытом виде, но и шифрованном, например трафик SSL. Также ISA сервер может работать как VPN сервер и фильтровать все запросы от VPN клиентов после дешифрования сетевого трафика. Также ISA сервер может работать в качестве VPN шлюз, переадресовывая трафик стороннему VPN серверу.

Для снижения риска при атаке изнутри сети следует на клиентские компьютеры установить и сконфигурировать сетевые экраны. В Windows XP SP2 экран является встроенным, режимы, в которых может работать данный сетевой экран, следующие: Enable by default (включен по умолчанию) обеспечивает приемлемый уровень защиты; Don’t allow exception (без исключений) обеспечивает максимальный уровень защиты, путем отключения нежелательного входящего трафика, необходим, когда компьютер находится в недружественной сети, а также режим «off», отключающий сетевой экран и не рекомендуемый для использования.

Сетевой экран можно также настраивать с помощью шаблонов безопасности с использованием групповых политик.

Определение попыток вторжения

В качестве систем обнаружения вторжения в систему зачастую используют так называемый honey pot (горшочек с медом) – компьютер с ОС, часто помещаемый в DMZ зону. На него также ставиться система наблюдения. Дальше, благодаря данной системе, получают необходимые сведения кто, когда, откуда и каким способом пытается получить несанкционированный доступ к системе (Противодействие Honeypots: Системные вопросы, часть вторая, Торстен Хольц и Фредерик Рейнел, перевод Владимир Куксенок,http://www.securitylab.ru/analytics/242322.php). Системы обнаружения вторжения (NIDS) представляют собой программу, переводящую сетевую карту в неразборчивый режим работы, когда пропускается весь трафик и затем анализируется. В большинстве систем анализ на данный момент времени происходит по признакам атак. И если система не знает определенных признаков данной атаки, она ее не распознает соответственно. Некоторым примером частичной реализации идеи обнаружения попыток вторжения является встраивание функции обнаружения попыток вторжения в современные сетевые экраны и антивирусы.

Защита соединений для достижения конфиденциальности передаваемой информации В качестве защиты сети для достижения конфиденциальности передаваемой информации

следует внедрять протокол IPSec. IPSec- структура открытых стандартов, обеспечивающая частную защищенную связь по IP-сетям с помощью криптографических служб безопасности. Протокол IPSec выполняет 2 задачи:

- защищает протоколы пакета IP - обеспечивает защиту от сетевых атак. IPSec разработан как сквозная модель защиты. Это означает, что поддержка IPSec требуется

только на передающем и принимающем компьютерах. Каждый из них управляет защитой со своей стороны. Также протоколо IPSec абсолютно прозрачен для приложений поскольку шифрование, целостность и аутентификация работают на сетевом уровне семиуровневой модели OSI.

Для защиты данных протокол IPSec предлагает 2 протокола: Authentication Headers (AH) и Encapsulationg Security Payloads (ESP). В своей простейшей форме AH предоставляет службы



20

аутентификации и проверки целостности для передаваемых данных, а ESP – службы шифрования. Поскольку протоколы AH и ESP – независимые протоколы, то можно их использовать отдельно и в комбинации в зависимости от поставленных целей защиты.

Протокол AH шифрует заголовок, что позволяет защитить пакет от изменения, но не позволяет защитить его от просмотра.

Протокол ESP позволяет шифровать данные и предоставляет механизмы аутентификации, целостности и защиты от повтора.

Использование в IPSec протокола ESP может привести к утрате сетевым экраном способности проверять данные. Для передачи ESP-трафика надо настроить сетевой экран на разрешение соединений с UDP-портом 500 и протоколом с идентификатором 50. Эта настройка позволит проходить через сетевой экран всему ESP-трафику, это может привести к том, что через сетевой экран пройдет несанкционированный трафик.

IPSec можно использовать в одном из двух режимов: транспортном и туннельном. Иногда требуется обеспечить защиту IPSec на всем протяжении пути от клиента до сервера назначения. Этот режим называется транспортным. Тогда защита данных осуществляется с помощью протоколов AH, ESP или обоих одновременно.

При использовании туннельного режима IPSec защита данных осуществляется только между двумя определенными точками туннеля или шлюзами. От клиента к серверу данные до достижения начального шлюза пересылаются в незащищенном виде. Затем при передаче пакетов в сеть назначения к ним применяются определенные протоколы AH или ESP. На принимающем шлюзе происходит процесс расшифровки и верификации данных. В конце процесса данные в виде открытого текста предаются на целевой компьютер.

Обычно туннельный режим применяется, когда пакеты должны пройти через открытую или незащищенную сеть.

Ограничения на использование протокола IPSec является использование технологии NAT на шлюзовых компьютерах. При прохождении пакета через службу NAT исходный ip-адрес источника преобразуется в общий ip-адрес, а порт источника – в реальный порт, заданный на сервере, осуществляющим преобразование. Поскольку защита осуществляется средствами IPSec, то поле заголовка UDP/TCP всегда зашифровано. В случае защиты протоколом AH преобразуемая информация о порте не может быть изменена без модификации пакеты, иначе она станет недействительной.

Для идентификации протоколов, которые необходимо защитить средствами AH или ESP, надо определить IPSec-фильтры. Этот фильтр обеспечивает передачу с любого ip-адреса на определенный ip-адрес приемника. Для идентификации протокола используются следующие характеристики:

- ip-адрес источники. Может быть конкретным ip-адресом, ip-адресом определенной подсети или любым адресом.

- ip-адрес назначения. Может быть конкретным ip-адресом, ip-адресом определенной подсети или любым адресом.

- тип протокола. Это идентификатор протокола или используемый транспортный протокол. - порт источника. Если используются протоколы TCP или UDP, для защищенного

соединения можно определить порт источника. В зависимости от протокола порт источника устанавливается для конкретного или произвольного порта. Большинство протоколов в качестве порта источника используют случайный порт.

- порт приемника. Если применяется TCP или UDP, то для получения данных служит конкретный порт на сервере. Например, Telnet настраивает сервер для прослушивания соединений на TCP-порте 23.

Для защиты ответных пакетов средствами IPSec нужно настроить все фильтры IPSec как отраженные. Для туннельного режима правила отражения при определении фильтров не



21

применяются. В этом случае, следует создать отдельные фильтры для отражения конечной точки туннеля, используемые на обоих концах туннеля.

Фильтры IPSec не требуются, если для установления VPN сети применяется протокол L2TP, Windows 2000 и XP автоматически включает защиту IPSec для туннеля L2TP.

Некоторые протоколы IPSec защитить не может: широковещательные ip-адреса, групповые адреса, протоколы Kerberos, Internet Key Exchange и RSVP.

Надо отметить, что использование протокола IPSec загружает вычислительные мощности компьютера. При планировании внедрения данного протокола нужно предусмотреть приобретение сетевых карт с возможностью работы c IPSec, тогда криптографические вычисления будут производиться сетевой картой, а не процессором.

Обеспечение безопасного удаленного соединения Если в организации существуют подключения удаленного доступа, то надо отдельно

разработать для них защиту, потому что компьютеры, подключаемые по удаленному доступу, не отвечают условиям безопасности вашей сети и могут содержать вирусы или шпионские программы. В качестве вероятного решения можно ограничить доступ ко внутренней сети вашей организации таких компьютеров, но это снижает продуктивность работы.

В качестве решения можно использовать сетевой карантин Network Access Quarantine Control, это особенность сервера Windows 2003 SP1 не разрешает удаленный доступ в вашу сеть, до тех пор, пока не будут проверены и установлены соответствующие настройки безопасности на удаленном компьютере. Процесс происходит в несколько этапов:

- удаленный пользователей проходит аутентификацию и попадает на карантин; - если время карантина вышло или проверка настроек не прошла, то соединение

прекращается; - если удаленный пользователь отвечает требованиям безопасности, то он получает доступ к

сети. Необходимые требования для организации сетевого карантина: - клиенты удаленного доступа – компьютеры под управлением ОС Windows и

использующие профиль Connection Manager. - сервер удаленного доступа – компьютер под управлением сервера Windows 2003 с

установленным сервисом RAS, сконфигурированным таким образом чтобы использовать IAS сервер для аутентификации.

- сервер IAS – компьютер под управлением ОС семейства Windows 2003 и установленным сервером IAS. Данный сервер контролирует начало и окончание карантина клиента.

- база данных учетных записей, которая храниться в службе каталогов Active Directory. - политика удаленного доступа, сконфигурированная под клиента или на RAS сервере или

на IAS сервере. А также для взаимодействия удаленного компьютера с сервером для проверки настроек

безопасности нужно запускать утилиты Rqc.exe или Rqs.exe из пакета Windows Server 2003 Resource Kit или Windows Server 2003 Service Pack 1. Возможно использовать программные средства, написанные самостоятельно.

Внедрение защиты для беспроводных сетей Защита беспроводных сетей имеет некоторые отличия от защиты проводных. Это связано с

областью распространения сигналов, поскольку в беспроводной системе сигналы передаются в эфире, то возможность принять их, перехватить и попытаться видоизменить существует всегда. Поэтому при развертывании беспроводной сети нужно рассмотреть:

- возможность сетевой аутентификации и авторизации;



22

- возможность защиты данных; - настройку точки доступа, при включении точки доступа она имеет некоторые настройки

по умолчанию, которые могут быть использованы для проведения атаки на данную сеть. Например, если беспроводная сеть работает с фиксированным количеством настроенных беспроводных клиентов, то следует выключить широковещательное распространение идентификатора системы SSID (Service Set Identity), для того чтобы сторонние беспроводные клиенты не подключались к сети. На самом деле данное ограничение, конечно же, легко обходится специальными утилитами сканирования сети, однако обыкновенные сторонние клиенты не будут видеть данную систему.

- возможность управления безопасностью. Например, шифрование со статическими ключами усложняет задачу смены ключей, в данном случае следует рассмотреть вопрос автоматизации развертывания ключей шифрования.

Угрозы, которым подвергается беспроводная сеть, могут быть следующими: - раскрытие конфиденциальной информации при перехвате трафика в беспроводной сети; -неавторизованный доступ к данным, например, злоумышленник, подключившись к

беспроводной сети и выдав свой компьютер за полноправный компьютер данной сети, может беспрепятственно получать интересующую его информацию;

- DoS-атака, которая может быть осуществлена путем отправки бесчисленного числа пакетов беспроводной сети, которая в свою очередь будет парализована данными действиями;

- угроза непроизвольного вторжения, например, посетитель приходит в вашу организацию с мобильным устройством, которое сканирует эфир, находит вашу сеть и автоматически подключается к ней и таким образом может, например, рассылать вирусы по вашей сети даже не подозревая об этом.

- создание неавторизованной беспроводной сети, если в вашей организации нет официально развернутой беспроводной сети, сотрудники компании могут «сами» установить беспроводную сеть по причине невысокой стоимости беспроводного оборудования, что может привести к угрозе атаки всей вашей сети.

Решений безопасности для беспроводной сети может быть несколько: - использование беспроводного доступа на основе предустановленных открытых ключей

шифрования (Pre-Shared keys, WPA-PSK). Данное решение приемлемо для сетей класса SOHO (домашние или небольшие офисные сети). Смена ключей происходит через определенный момент времени или определенное количество переданных пакетов. Он использует так называемую «ключевую фразу» или пароль. Данная фраза должна быть введена как на точках доступа, так и на беспроводных клиентах, подключающихся к данной сети. Данный метод пришел на смену шифрованию с использованием WEP, который на данный момент времени не является криптостойким и его использование не рекомендовано в целях безопасности. Данное решение обеспечивается программной реализацией точек доступа и сетевых адаптеров.

- использование протокола расширенной аутентификации Protected Extensible Authentication Protocol (PEAP) и паролей. Данное решение разработано для небольших организаций, не использующие цифровые сертификаты для каждого беспроводного клиента. Данное решение позволяет проводить аутентификацию пользователей лишь по имени и паролю, передача шифрованных данных осуществляется с помощью протоколов WPA или динамического WEP. Надо отметить, что фирма Cisco разработала свое собственное защищенное беспроводное решение Lightweight EAP (LEAP), которое работает только на оборудовании производства компании Cisco.

- использование служб сертификации. Данное решение разработано для больших организаций, способных развернуть на своей базе центры сертификации и снабдить ими всех участников беспроводной сети. Данное решение использует сертификаты с открытым ключом для аутентификации пользователей и компьютеров в беспроводной сети.



23

Помочь выбору подходящего решения безопасности для беспроводной сети может след. таблица: Решение безопас-ности

Типичная среда применения

Требуемые добавочные компоненты инфраструк-туры

Сертификаты для аутентификации клиентов

Пароли для аутентификации клиентов

Типичный метод шифрования

WPA-PSK SOHO нет нет да WPA PEAP и пароли

Небольшие или средние организации

IAS сервер и сертификаты для IAS сервера

нет да WPA или динамический WEP

Безопасность на основе сертифика-тов

Большие организации

IAS сервер и центр сертификации

да нет WPA или динамический WEP

Для защиты беспроводной сети следует рассмотреть вопросы: - аутентификации клиента или устройства, подключаемого к беспроводной сети (WLAN),

решением данного вопроса может быть решение аутентификации на основе стандарта 802.1х (сервер RADIUS);

- авторизации клиента или устройства для работы с WLAN. Решением данного вопроса может быть решение также на основе стандарта 802.1х (сервер RADIUS);

- защиту данных, передаваемых по WLAN. Решением данного вопроса является выбор механизмов шифрования WEP или WPA.

Стандарты беспроводного шифрования на сегодняшний день включают в себя: Стандарт WEP (Wired Equivalent Privacy): - статический WEP, который является уязвимым и его нельзя использовать; - динамический WEP, который обновляет ключи через определенный промежуток

времени, при этом использует отдельный статический ключ для глобальной передачи данных такой как широковещательные пакеты. Стандарт Wi-Fi Protected Access (WPA/WPA2): - c использованием предустановленные открытые ключи Pre-Shared Keys (PSK), данное решение можно использовать для сетей малых организация класса SOHO. - с использованием стандарта 802.1х и аутентификацией RADIUS

Отличие стандарта WPA от WPA2 заключается в изменении ключа шифрования для каждого пакета и проверке целостности подписанного сообщения, что исключает возможность его подмены.

При внедрении защиты на основе стандарта 802.1х должны быть выполнены следующие

требования к компонентам системы:

Компоненты Требования клиент ОС Windows XP или Pocket PC 2003

для ОС Windows 2000 есть дополнительное программное обеспечение на базе клиента 802.1х

Сервер сертификатов (CA) и RADIUS/IAS сервер

Рекомендуется устанавливать службы Certificate Services and Windows Server 2003 Internet Authentication Service (IAS) сервера Windows 2003



24

Беспроводная точка доступа

Минимум поддержка стандарта 802.1х аутентификации и 128-битное WEP шифрование данных

Выбор конкретного беспроводного решения может не оцениваться по размерам

организации, гораздо важнее оценить стоимость каждого решения и поддержки в каждом конкретном случае. Следует обратить внимание, что при внедрении любого беспроводного решения трафик может быть прослушан и снят в любом случае, и задача заключается в том, чтобы сделать задачу расшифровки трафика трудоемкой настолько, чтобы это потеряло смысл.



25

Библиографический список:

1. Security Guidance Training I 2801 http://www.microsoft.com/learning/syllabi/en-us/2801cfinal.mspx .

2. Security Guidance Training II 2802 http://www.microsoft.com/learning/syllabi/en-us/2802cfinal.mspx.

3. http://www.securitylab.ru/ 4. http://security.compulenta.ru/ 5. DDoS attacks and defense mechanisms: classification and state-of-the-art. Crristos

Douligeris, Aikaterini Mitrokotsa. http://www.sciencedirect.com/.

Безопасность информационных систем: Методические...

Documents