Важнейшую проблему, решаемую сегодня разработчиками корпоративных сетей, можно сформулировать в виде вопроса: «Защита в Internet или от Internet?» В рамках построения защищенной корпоративной сети ответ на данный вопрос обуславливает выбор одной из двух концепций: построение защищенной корпоративной (виртуальной или наложенной ) сети на базе каналов связи и средств коммутации сетей передачи данных общего пользования, в которой применяются открытые протоколы Internet, что предполагает проектирование и воплощение надежной системы защиты; отказ от средств Internet как таковых, создание специализированной или выделенной сети корпорации с использованием конкретной сетевой технологии, в частности АТМ, frame relay, ISDN.Эти концепции являются полярными взглядами на проблему и, как следствие, обладают определенными недостатками. Первый подход связан с большими затратами на обеспечение достаточной степени защищенности информации при подключении к Internet. Второй предлагает отказаться от использования Сети, причем не только от существующих в ней каналов связи, узлов коммутации и предоставляемых сервисов, но и от реализуемых в Internet технологий, убедительно доказавших свою жизнеспособность. Очевидно, что оптимальное решение задачи защиты информации в сетевом пространстве Internet представляет собой некий компромисс между данными подходами.

Прежде всего рассмотрим, что же представляет собою идеология Internet (рис. 1) с точки зрения возможности ее применения при построении защищенной корпоративной сети. Термин «идеология» кажется авторам наиболее удачным, когда речь идет об Internet, поскольку понятие «сетевая технология», по нашему мнению, может использоваться для сетей АТМ, ISDN и т. д.

Исторически Internet возникла на базе сети ARPA, где впервые были реализованы межсетевой протокол IP и транспортный TCP (TCP/IP), завоевавшие сегодня большую популярность. Internet — это, прежде всего, технология объединения различных специализированных сетевых технологий (например, телефонных, Х.25, Х.400, АТМ, ISDN и т. д.) в единое сетевое пространство . Вместе с тем задача объединения существующих подсетей в рамках Internet предполагает применение сетевых технологий без их изменения и значительных доработок. Несомненно, это требует согласования параметров и принципов администрирования (реализации сетевых служб управления) в различных подсетях, каждая из которых может использовать собственную сетевую технологию и потому быть несовместимой с другими в общем сетевом пространстве. Для решения проблемы необходимо распределенное (т. е. рассредоточенное между администраторами различных подсетей) администрирование.

Известно мнение скептиков (вполне обоснованное с точки зрения специалистов по сетевым технологиям) о невозможности функционирования Всемирной сети как таковой (о ее эффективном функционировании вопрос, по их мнению, не может стоять в принципе), поскольку она лишена централизованного управления. Естественно, что сеть, лишенная «твердой руки» администратора, способна нормально работать только при наличии у ее пользователей определенной культуры, которая компенсирует организационные недостатки. Объективная необходимость в децентрализации служб управления Internet обуславливает появление такой культуры (иногда говорят — философии). Другими словами, решение проблемы эффективности функционирования Internet перекладывается на плечи самого пользователя.

Один из основных отличительных признаков Сети — ее открытость (на уровне протоколов и команд), возможность доступа всех пользователей ко всем сетевым ресурсам, включая серверы и базы данных. Именно с этой целью, кстати говоря, и создавалась Internet.

Рассмотрим некоторые наиболее важные принципы построения корпоративной сети или ее защищенного фрагмента. Прежде всего, это требование закрытости на уровне пользователей и информационных серверов корпорации. Локальный характер и функциональное назначение подобной сети обуславливает также необходимость высокой эффективности (по сравнению с Internet) ее функционирования (как правило, в таких сетях высока интенсивность документооборота), что требует централизации служб сетевого администрирования.

Главными отличительными особенностями корпоративной сети можно считать централизованное управление сетью связи и заданный уровень защищенности сети, который определяется конфиденциальностью информации, обрабатываемой в сети корпорации, и учитывает средства и каналы связи всех существующих подсетей. Как правило, при построении корпоративной сети нельзя забывать и о желании отдельных пользователей иметь доступ в Internet. А это влечет за собой требование поддержки протоколов Internet для служб передачи данных (уровни 1—3 ЭМВОС), т. е. IP.

Следует заметить, что сегодня уже нельзя игнорировать развитость и отработанность технологии Internet, прежде всего — средств передачи данных. Поэтому практически во всех современных протоколах альтернативных сетевых технологий прописаны правила инкапсуляции IP-дейтаграмм. Предлагаемое авторами компромиссное решение для создания корпоративной сети, использующей каналы Internet, должно базироваться на двух основных принципах: обязательное использование закрытого протокола при установлении соединения клиент—сервер, в рамках которого между абонентами сети согласуются параметры защищенного взаимодействия по виртуальному каналу связи (например, необходимость шифрования информации при передаче, применения электронной подписи) и решается задача выбора требуемого виртуального канала (если их несколько); доступность открытых протоколов (команд Internet — telnet, Ftp и т. д.) для взаимодействия по защищенному виртуальному каналу после установления соединения.

Функциональные требования обуславливают концепцию защищенности сети. Они определяют не только конфигурацию корпоративной сети, но и ограничения на использование сетевых протоколов. В корпоративной ЛВС должно обеспечиваться физическое разделение (подключение к различным связным ресурсам) серверов и рабочих мест, т. е. необходима организация подсетей рабочих мест и серверов. Во всех функциональных подсистемах (подсетях серверов и рабочих мест) нужно реализовать протоколы TCP/IP (для удаленных рабочих мест IP-пакеты инкапсулируются в пакеты соответствующих подсетей), что дает возможность использования сервисов Internet в корпоративной сети. Для того чтобы оградить корпоративную сеть от несанкционированного доступа, требуется обеспечивать следующие мероприятия:
- протоколы верхних уровней (5—7 уровни ЭМВОС) должны быть закрыты и несовместимы с протоколами телекоммуникационных служб Internet при установлении соединения и открыты при обмене информацией;
- при установлении соединения необходима защита от возможной подмены алгоритма взаимодействия клиента с сервером;
- сервер Internet (коммуникационный сервер доступа к Internet) должен быть исключен из подсети функциональных серверов и иметь собственную группу рабочих станций, исключенных из подсети функциональных рабочих мест;
- для реализации взаимодействия через подсети нужно снабдить корпоративную сеть межсетевыми средствами защиты от несанкционированного доступа. Эти средства должны обеспечивать сокрытие структуры защищаемых объектов, в частности IP-адресов, поскольку их шифрование недопустимо при использовании средств коммутации сетей передачи данных общего пользования. Для эффективного функционирования сети должны быть реализованы централизованно ее службы административного управления, перечень которых определяется архитектурой управления взаимодействием открытых систем (ISO/TC/ 97/SC 21 N1371 ISO/DP 7498/4. Information Processing Systems — OSI Reference Model — Part 4: Management Framework). В этот перечень входят службы управления: эффективностью функционирования, конфигурацией и именами, учетными данными, при отказах и сбоях. Поэтому в структуру корпоративной сети нужно включать средства маршрутизации и коммутации, функционирующие под протоколами TCP/IP, которые удаленно управляются из единого центра управления сетью связи, ЦУСС (рис. 2). К сожалению, не представляется возможным влиять на маршрутизацию, осуществляемую внутри подсети, к которой подключаются удаленные пользователи (с точки зрения построения корпоративной сети считаем, что здесь используются виртуальные каналы, которые не могут маршрутизироваться из ЦУСС).

Рис. 2. Структура корпоративной сети с единым ЦУСС

Для обеспечения высокого уровня защищенности служба административного управления безопасностью должна быть централизованной. В сети необходимо организовать выделенный центр управления безопасностью (ЦУБ), который занимается сбором информации обо всех зарегистрированных нарушениях, ее обработкой и анализом с целью удаленного управления всеми техническими средствами защиты информации (рис. 3).

Рис. 3. Структура корпоративной сети с выделенным ЦУБ

Следует особо отметить следующее. Функции ЦУС и ЦУБ не должны быть совмещены на одном рабочем месте администратора сети (несмотря на то, что они являются службами сетевого управления). Требуется предусмотреть алгоритм взаимодействия между ними, поскольку не исключено, что решения, принимаемые администраторами для управления и защиты корпоративной сети в процессе ее функционирования, могут оказаться прямо противоположными.

Межсетевые средства защиты можно разделить на открытые и корпоративные. Первые — это межсетевые экраны (МЭ), функционирующие на основе открытых протоколов Internet и предназначенные для подключения к сети корпорации открытых серверов Internet. Корпоративные МЭ позволяют организовать в корпоративной сети защищенное взаимодействие клиент—сервер с закрытыми серверами корпорации, в том числе по виртуальным каналам сетей общего пользования.

Корпоративные межсетевые средства защиты делятся на внутренние и внешние. При этом внешние МЭ (они работают на виртуальном канале парами — входной и выходной) решают задачу разграничения прав доступа к виртуальному каналу связи и согласования параметров его защищенности при взаимодействии клиент—сервер, а внутренние обеспечивают разграничение прав доступа к ресурсам информационного сервера.

Структура протоколов, используемых в защищенной корпоративной сети, показана на рис. 4. Требования к элементам системы защиты корпоративной сети включают в себя требования к МЭ корпорации (внутреннему и внешнему) и системе контроля за целостностью информационных ресурсов Межсетевой экран корпорации должен поддерживать следующие функции: работа с оригинальными протоколами взаимодействия на уровнях 5—7 ЭМВОС в фазе установления соединения; сокрытие IP-адресов информационных серверов (IP-адрес имеет только сервер аутентификации),; многоэтапная идентификация и аутентификация всех сетевых элементов; физическое отделение рабочих станций и серверов от каналов сети передачи данных общего назначения (деление на подсети); согласование качества обслуживания между межсетевыми средствами защиты глобальной сети при установлении соединения; разграничение прав доступа пользователей корпоративной сети к серверам по нескольким критериям; контроль за целостностью ПО и данных, в частности баз данных безопасности, а также отслеживание прерывания такого контроля во время сеанса обмена данными; регистрация всех событий, связанных с доступом к серверам корпорации.

К дополнительным (необязательным) функциям относится копирование в память корпоративного сервера защиты пакетов, соответствующих заданным параметрам (адресам отправителя и получателя, времени взаимодействия, имени файла и т. д.). Это фискальная функция, предназначенная для проведения необходимых розыскных мероприятий.

На уровне взаимодействия клиент—сервер МЭ должен использовать (в дополнение к службам контроля за доступом, аутентификации одноуровневых объектов и доступа к источникам данных) технические средства защиты (программные либо аппаратно-программные), включающие в себя следующие службы безопасности (ISO/TC 97/SC 21 N1528 ISO/DP 7498/2. Information Processing Systems — OSI Reference Model — Part 2: Security Architecture): засекречивания соединения; засекречивания выборочных полей и потока данных; контроля за целостностью соединения и выборочных полей; защиты от отказов с подтверждением отправления и доставки.

Важнейшим следствием применения рассмотренных принципов организации межсетевых средств защиты является возможность разграничения прав доступа к БД безопасности при администрировании средств защиты, а также мандатного принципа управления доступом к информации. Администратор безопасности может не иметь допуска к данным, обрабатываемым в корпоративной сети, т.е. ему предоставляется доступ только к служебной информации (например, к БД безопасности на МЭ, к маршрутным таблицам и т. д.), а не к собственно корпоративной.

Существенное требование к любому межсетевому средству защиты — отсутствие «закладок». По мнению авторов, удовлетворить его способны только отечественные системы, в противном случае гарантий безопасности нет (МЭ зарубежного производства могут применяться для защиты открытых Internet-серверов).

При использовании ЦУБ функции маршрутизации, необходимые для подключения технических средств корпорации к каналам связи подсетей, в защищенной корпоративной сети должны дополнительно включать в себя аутентификацию при создании и изменении маршрутных таблиц, а также возможности выбора виртуального канала и управления потоками на его уровне. Заметим, что при выборе канала нужно учитывать его вид (выделенный, общий) и уровень защищенности — это необходимо как для согласования качества обслуживания, так и при установлении соединения.

Управление потоками не только повышает эффективность работы сети и ее безопасность, но и помогает бороться с «заваливанием» виртуальных каналов избыточными пакетами. Маршрутизаторы могут отключать «опасных» пользователей или имеющих низкий приоритет доступа к виртуальному каналу при перегрузках сети.

Система обеспечения целостности (проверка по контрольным суммам информации — ПО и данных) приобретает в рамках рассматриваемой концепции весьма важное значение. Она гарантирует обнаружение возможных несанкционированных искажений и подмены маршрутных таблиц, изменений в базах данных безопасности с прописанными в них правами доступа к сетевым ресурсам сети, а также модификаций в ПО рабочих станций, которые используются для установления соединения с сервером по закрытым протоколам. Очевидно, что следует применять «глобальную» (в рамках сети) систему обеспечения целостности, а вся информация об искажениях должна поступать в ЦУБ.

Авторами разработана сетевая система обеспечения целостности, которая позволит эффективно контролировать ПО и данные, размещенные на рабочих станциях и серверах корпорации, и имеет встроенные средства предотвращения несанкционированного доступа к защищаемой информации. В ней реализован оригинальный метод — контроль за данными с помощью списков событий (в том числе списка имен зарегистрированных в ОС пользователей, списка санкционированных процессов и т. д.). При использовании такого принципа изменение данных возможно только после модификации определенных списков. Поскольку на проверку списков затрачивается всего несколько миллисекунд (в то время как на традиционный контроль за целостностью данных — минуты), то ее можно осуществлять постоянно в фоновом режиме, причем потери производительности не превысят 1%. В этом случае можно не только фиксировать факт нарушения целостности файлов, но и предотвращать несанкционированный доступ, запуская соответствующие опции ОС (например, «уничтожить» несанкционированный процесс). При сетевой реализации эталонные списки должны храниться в ЦУБ и периодически сравниваться со списками, получаемыми с рабочих станций и серверов, где установлены собственные системы контроля за целостностью.

Описанная концепция реализуется в технических средствах защиты, которые в настоящее время существуют в виде макетного образца и патентуются авторами (получены соответствующие приоритетные справки). Дополнительную информацию можно получить по адресу http://sheglov@cs.ifmo.ru/.

Если сетевой администратор предоставляет пользователям своей сети возможность выхода в Internet, то администратор безопасности должен позаботиться о защите корпоративного достояния, разграничив их права доступа к внутренним серверам — прежде всего, по именам файлов. Для этого необходимо реализовать виртуальную файловую систему, которая скрывает от пользователя размещение файлов на конкретных серверах.

Межсетевой экран, выполняющий такую функцию защиты, имеет свою базу данных безопасности. Используя ее, он сам формирует заголовок соответствующего пакета, в который вставляет только ему известный адрес сервера. Параметрами фильтрации могут служить тип команды Internet, команда обработки файла (запись, считывание, чтение с модификацией), IP-адрес, время или продолжительность взаимодействия и т. д. Запрос на право доступа располагается в поле данных TCP-пакета, который передается межсетевому экрану при установлении соединения.

Данная терминология определяется следующими документами ISO: ISO/TC/97/SC 21 N1528 ISO/DP 7498/2. Information Processing Systems — OSI Reference Model — Part 2: Security Architecture. Общее описание служб безопасности и соответствующих механизмов, обеспечиваемых эталонной моделью OSI; связано с расположением данных служб и механизмов в эталонной модели; ISO/TC/97/SC 21 N1371 ISO/DP 7498/4. Information Processing Systems — OSI Reference Model — Part 4: Management Framework. Терминология и основные концепции управления, модель управления, состав служб управления, особенности управления взаимодействием открытых систем (OSI).

Управление при отказах — функции и средства, инициируемые при ненормальной работе функционального окружения открытых систем. Используются средства обслуживания и анализа файлов регистрации сбоев, приема и обработки уведомлений об обнаружении сбоев, административного сопровождения сбоев, выполнения последовательности тестов, ликвидации неисправностей.

Управление учетом — совокупность функций и средств, позволяющих определять стоимость ресурсов и величину оплаты за их использование, оповещать пользователя об оплате или объеме потребления ресурсов, устанавливать учетные лимиты на использование ресурсов.

Управление конфигурацией и именами — функции и средства управления, идентификации, сбора и предоставления данных, обеспечивающие непрерывное функционирование служб взаимодействия. Включают в себя средства установки параметров открытых систем, предоставления конкретных данных по запросу.

Управление эффективностью функционирования — совокупность функций и средств, необходимых для оценки функционирования ресурсов и настройки открытых систем, которые обеспечивают их эффективное взаимодействие. К ним относится сбор статистических данных, требуемых для обслуживания и анализа файлов регистрации и состояния систем.

Управление безопасностью — функции и средства защиты ресурсов открытых систем от несанкционированного доступа, методы засекречивания, реализующие сетевые службы безопасности (аутентификации, контроля за доступом, секретности, целостности, защиты от отказов).

Службы секретности данных позволяют защитить информацию от несанкционированного раскрытия.

Служба засекречивания соединения обеспечивает секретность всех данных, передаваемых по одному установленному соединению.

Служба засекречивания выборочных полей обеспечивает секретность выборочных полей в данных, передаваемых по одному установленному соединению.

Служба целостности соединения поддерживает целостность всех данных, передаваемых по одному установленному соединению. Позволяет обнаруживать любые модификации, вставки, уничтожения и повторы любых данных во всей последовательности блоков данных, а также дает возможность их восстановления.

Служба целостности выборочных полей обеспечивает целостность всех выборочных полей данных, передаваемых по одному установленному соединению. Позволяет обнаруживать любые модификации, вставки, уничтожения и повторы любых данных во всей последовательности выборочных полей блоков данных, а также дает возможность их восстановления.

Служба защиты от отказов с подтверждением источника предоставляет получателю необходимые доказательства происхождения данных, защищающие против попыток отправителя отказаться от факта посылки данных или их содержимого.

Служба защиты от отказов с подтверждением доставки обеспечивает отправителя необходимыми доказательствами доставки данных, защищающими против попыток получателя отказаться от факта приема данных или их содержимого.