Защита информации

Особое место занимают "баги" и "дыры" намеренно помещенные в программы. Такие дыры могут появиться в результате использования непроверенных программ, целенаправленных действий хакеров и из-за каких-то особых мотивов авторов программ. Разумеется, использовать подобные программы не следует ни при каких обстоятельствах. Проблема заключается в том, что не всегда подобные "закладки" легко обнаружить. Для уменьшения вероятности занесения подобных программ следует придерживаться одного простого принципа. Никогда не используйте бинарные файлы, полученные из незаслуживающих доверия источников. Этот принцип включает в себя настоятельную рекомендацию запускать только скомпилированные в пределах своей организации бинарники (возможно, следует задуматься о выделении специального compiler-сервера, хорошо защищенного, чтобы не искать необходимые исходные тексты и патчи по большому количеству компьютеров и не бояться подмены на какой-нибудь из машин исходных текстов системных программ. Это также позволит убрать компилятор C/C++, исходные тексты и библиотеки с большинства Unix-машин для усложнения жизни хакерам). Периодически проверяйте контрольные суммы запускаемых файлов и скриптов. Причем делайте это программой, скомпилированой на другом компьютере и static-сборкой. В сетях с различными операционными системами появляется угроза осуществления довольно нетривиальных сценариев взлома, как например такой (этот сценарий, как все предыдущие и последующие (кроме тех, о которых сказано обратное) является вымышленым и совпадения с реально происшедшими случаями будут совершенно случайны): в сети из нескольких компьютеров под Windows 95 и Unix-сервера администратор для доступа к своему почтовому ящику использовал pop3-клиента (на сервере стоял POP-3 сервер, который проверял логин/пароль по /etc/passwd). Хакер, достаточно проинформированный о применяемых в данной организации программах, прислал по электронной почте документ формата Microsoft Word 95 с макросом-вирусом (троянским конем), который прочитал конфигурационные файлы pop3-клиента и переслал обнаруженный там пароль администратора хакеру.

Частным случаем намеренно сделаных дыр являются "отладочные" дыры. Средства отладки встраиваются во многие программы с целью облегчить их конфигурирование и отслеживание ошибочных ситуаций. Фактически, такие средства являются потенциальными дырами, при невнимательном отношении к процессу их использования. В качестве примера, приведу реальный случай, который немного коснулся и меня лично. Один из Internet-провайдеров нашего города использовал программу mpd-1.0 (Multi-link PPP по RFC-1717) под FreeBSD-2.2 для связи со своим провайдером, находящимся в другом городе. Администраторы с целью облегчить себе контроль за работой данной программы запускали ее в отладочном режиме со включенной tcp-консолью (при необходимости, можно было сделать telnet на определенный порт и управлять работой mpd), причем без всякого пароля. Закончилось это тем, что однажды утром содержимое дисков сразу нескольких компьютеров этого провайдера оказалось уничтоженным. К сожалению, администраторы не стали утруждать себя тщательными расследованием этого случая, поэтому точный способ взлома остался неизвестным, но как показали мои исследования исходных текстов - mpd в такой отладочной конфигурации позволял выполнять произвольные команды с правами рута без серьезных усилий со стороны хакера. Обязательно проверяйте и отлаживайте новое программное обеспечение на специально выделенных компьютерах с минимальным доступом извне и старайтесь сводить отладочные работы на системах, подключенных к Internet к минимуму.

Строя систему безопасности, не следует  забывать о "физической" безопасности. При наличии физического доступа к компьютеру, практически любая защитная система может быть взломана за короткое время. Например, большинство Unix-систем можно загрузить в single-user mode, а при его запрете - загрузиться с другого физического носителя (дискета, лента, компакт-диск и т.д.) затем подмонтировать локальные диски компьютера и получить полный доступ к этому компьютеру (системы шифрования данных, хранимых на дисках, к сожалению, не слишком распространены и довольно дороги). Поэтому необходимо тщательно следить за охраной помещений, в которых установлены компьютеры, контролировать доступ в эти помещения, правильно подбирать и инструктировать персонал, имеющий доступ к компьютерам (классические ситуации с забытым логином на локальной консоли или обиженным сотрудником явно не способствуют повышению уровня безопасности), контролировать трассы прокладки локальных сетей и крайне внимательно относиться к любым незапланированным перезагрузкам/отключениям/потерям связи, особенно во время отсутствия персонала и тому подобное. Разумеется, уровень реализации всех этих мер напрямую зависит от необходимого уровня безопасности и стоимости защищяемой информации.

К сожалению, такое может случиться с каждым - в каталоге /usr/tmp лежит копия sh с битом SUID и владельцем root, все логи за предыдущую неделю куда-то испарились, несколько машин имеет на дисках только пару случайно уцелевших файлов, а представители конкурентов задают глупые вопросы, с трудом сдерживая улыбку. Если такое произошло - можете считать что вам даже повезло - вашу систему взломали те, кому хотелось просто показать свою "крутизну". В случае хорошо подготовленного и продуманного взлома "по заказу" вы рискуете просто ничего не узнать . Но акции подобного уровня встречаются нечасто и обычно о факте взлома узнают в тот же или на следующий рабочий день. Что же делать если система подверглась взлому? К своей искренней радости, автор данной странички с этим вопросом на практике никогда не встречался. Однако, я могу предложить несколько чисто умозрительных рекомендаций. Во-первых - не надо спешить. Если вам нужно найти истинного виновного (а его нужно найти в подавляющем большинстве случаев) и узнать в каком же месте ваша система безопасности дала сбой - самое плохое что вы сможете сделать, это взять последние бэкапы и начать все восстанавливать, уничтожая последние следы взлома и снова открывая все те же дыры. Оцените примерный срок начала взлома. Поищите заслуживающие доверия бэкапы, датированные более ранним числом. Внимательно исследуйте всю ту информацию, что имеется в наличии (логи, бэкапы, исходные тексты и т.д.) на предмет возможный подделок, жучков и дыр. Сценарий "почти идеального взлома" (до осуществления которого дело почти никогда не доходит) включает в себя занесение всевозможных жучков во все возможные места - исходные тексты программ, ядра операционной системы, статические и динамические библиотеки, SUID-ные программы и даже компиляторы и дистрибутивы операционной системы, записаные на дисках машин подвергнувшихся взлому - все это может содержать в себе код, добавленный хакером в своих личных интересах. Чем ближе взлом к "идеалу", тем меньше будет встречаться подобных вставок, так что всегда храните, как минимум - контрольные суммы для всех файлов на носителях, расположенных в обычное время как можно дальше от ваших компьютеров.

13. Фильтры и защитные экраны

Межсетевой экран (firewall, брандмауэр) - это устройство, как правило, представляющее собой универсальный компьютер с установленным на нем специальным программным обеспечением, который размещается между защищаемой (внутренней) сетью и внешними сетями, потенциальными источниками опасности. Межсетевой экран контролирует все информационные потоки между внутренней и внешними сетями, пропуская данные, в соответствии с заранее установленными правилами. Эти правила являются формализованным выражением политики безопасности, принятой на данном предприятии.  
  Межсетевые экраны базируются на двух основных приемах защиты:

• пакетной фильтрации;
• сервисах-посредниках (proxyservices).

Эти две функции можно использовать как по отдельности, так и в  комбинации.  
  Пакетная фильтрация. Использование маршрутизаторов в качестве firewall  
  Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.  
   
Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.  
   
Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.  
   
Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:  
   
межсетевой экран обладает гораздо более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу;  
   
у межсетевого экрана большие возможности аудита всех событий, связанных с безопасностью.

Сервисы - посредники (Proxy-services)

Сервисы-посредники не допускают возможности  непосредственной передачи трафика между внутренней и внешней сетями. Для того, чтобы обратиться к удаленному сервису, клиент-пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником, работающим на межсетевом экране. Сервис-посредник устанавливает отдельное соединение с "настоящим" сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту - пользователю защищенной сети.  
   
Для каждого сервиса необходима специальная программа: сервис-посредник. Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet. Многие защитные экраны имеют средства для создания программ-посредников для других сервисов. Некоторые реализации сервисов-посредников требуют наличия на клиенте специального программного обеспечения. Пример: Sock - широко применяемый набор инструментальных средств для создания программ-посредников.

Сервисы-посредники не только пересылают запросы на услуги, например, разработанный CERN сервис-посредник, работающий по протоколу HTTP, может накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с гораздо меньшим временем доступа.

Журналы событий, поддерживаемые сервисами-посредниками, могут помочь предупредить вторжение  на основании записей о регулярных неудачных попытках. Еще одним важным свойством сервисов-посредников, положительно сказывающимся на безопасности системы, является то, что при отказе межсетевого экрана защищаемый посредником сервис-оригинал остается недоступным.

Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние". При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них одним-единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа. Кроме этого, трансляция адресов дает еще одно преимущество - позволяет иметь внутри сети собственную систему адресации, не согласованную с Internet, что снимает проблему дефицита IP-адресов.

Сервисы-посредники намного надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, они также не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для фильтров.

14. Современные комплексные системы

При создании корпоративных информационных систем в условиях современного рынка неизбежно возникает вопрос о защищенности и устойчивости этих систем к угрозам информационной безопасности.

В Федеральном Законе РФ «Об участии в международном информационном обмене» под «информационной безопасностью» понимается состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства. На уровне вычислительных систем, в соответствии с Руководящим документом Гостехкомиссии РФ «Защита от несанкционированного доступа к информации".

При проектирование систем защиты информации важно учитывать глобальность и разнородность современных корпоративных сетей. Многообразие технологических и организационных решений, заставляет рассматривать создание системы обеспечения информационной безопасности как комплексную задачу по обеспечению информационной безопасности информационной системы в целом. Соответственно для решения таких задач нужны комплексные системы защиты информации.  
 
Можно выделить несколько основных угроз для информационных систем:

• Внешняя опасность: вирусы, хакерские атаки, спам;
• Внутренняя опасность: хищение данных, невнимательное и неосторожное действие сотрудников, саботаж;
• Технологическая опасность: сбой, выход из строя оборудования, потеря данных;  
  Под стратегией информационной безопасности принято понимать совокупность мероприятий (юридических, технических, организационных), направленных на предотвращение утечки и использования информации. Говоря о механизмах защиты информации, рассматриваются те или иные превентивные, охранные меры в отношении информационных ресурсов, ограничивающие их использование или доступ к ним.  
   
  К техническим мерам относятся: использование защищенных подключений, использование межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от НСД; в соответствии с разными уровнями конфиденциальности обрабатываемой информации.  
   
  К организационным мерам относятся:

- поднятие общего уровня грамотности  пользователей сети в вопросах  информационной безопасности;  
- четко оговоренная ответственность сотрудников, использующих в своей деятельности конфиденциальную информацию;  
- периодическое плановое обучение, профилактическая работа администраторов безопасности с пользователями и персоналом вычислительных сетей, выработка единых правил безопасного использования информационных ресурсов предприятия.

Анализ безопасности информационных систем проводится для четкого определения, что, от кого и зачем необходимо защищать. Оценивая состояние защиты информационных систем, предлагаются различные решения организации информационной безопасности. Рекомендации формируются с учетом особенностей и потребностей клиента.

Только оценив риски, возможно, правильно  определить баланс между затратами  на информационную безопасность и убытками, связанными с бездействием по отношению к защите критически важных ресурсов организации. Оценка рисков позволяет в дальнейшем принять правильное решение по выявлению и устранению существующих угроз информационной безопасности.  
Проектирование и внедрение систем защиты информации.

Решения по обеспечению информационной безопасности информационных систем строятся на базе продукции ведущих производителей. В числе партнеров компании "ИКС-Бизнес", компании ОКБ САПР, Аладдин, АНКАД, Лаборатория Касперского, Symantec. Все решения реализуемые компанией «Икс-Бизнес» обладают сертификатами соответствия государственным и отраслевым стандартам. Имея большой опыт работы в области информационной безопасности, компания "ИКС-Бизнес" гарантирует высокое качество и надежность предоставляемых решений.