- •Введение
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с удаленным и непосредственным доступом к ее элементам
- •Механизмы взаимодействия элементов иткс
- •1.2. Понятие угрозы информационной безопасности иткс
- •1.3. Уязвимости иткс
- •1.3.1. Уязвимости иткс в отношении угроз удаленного доступа
- •1.4. Классификация и описание процессов реализации угроз удаленного доступа к элементам иткс
- •1.4.1. Классификация атак
- •1.4.1.2. Классификация удаленных атак
- •1.4.2. Описание атак как процессов реализации угроз
- •1.4.2.1. Описание процессов реализации угроз удаленного доступа к элементам иткс
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным и удаленным доступом к элементам иткс
- •2.1. Общее понятие о мерах и средствах защиты информации. Выбор актуальных направлений для защиты иткс от исследуемых атак
- •2.2. Криптографические меры
- •2.2.1. Применение криптографических протоколов
- •2.2.2. Создание виртуальных частных сетей
- •2.3. Применение межсетевых экранов
- •2.4.1. Виды межсетевых экранов
- •2.4.1.1. Фильтрующие маршрутизаторы
- •2.4.1.2. Шлюзы сеансового уровня
- •2.4.1.3. Шлюзы уровня приложений
- •2.4.2. Реализация функций межсетевых экранов
- •2.4.2.1. Механизм трансляции сетевых адресов
- •2.4.2.2. Дополнительная идентификация и аутентификация
- •2.4.3. Анализ достоинств и недостатков применения межсетевых экранов
- •2.5. Применение специфической конфигурации иткс для защиты от исследуемых атак
- •2.5.1. Применение коммутаторов в сети
- •2.5.2. Применение статических arp-таблиц
- •2.5.3. Специальные правила работы протоколов маршрутизации
- •2.5.4. Применение технологии «тонкого клиента»
- •Глава 3. Определение объектов защиты от угроз удаленного доступа
- •3.1. Определение множества объектов защиты
- •3.1.1. Определение множества типов иткс с учетом их назначения и специфики функционирования
- •3.1.2. Определение функциональных требований к иткс различных типов
- •3.1.3. Определение характеристик атак, реализуемых в отношении иткс различных типов
- •3.2.Определение множеств мер защиты, применимых для иткс различных типов
- •3.2.1. Обоснование требований безопасности для иткс различных типов
- •3.2.2. Рекомендации по реализации защиты иткс различных типов
- •3.3. Определение комплексов мер защиты иткс различных типов
- •3.3.1. Выявление соответствия применяемых мер защиты функциональным требованиям к иткс
- •3.3.2. Определение отношения рассматриваемых мер защиты к противодействию исследуемым атакам
- •Глава 4. Аналитическое моделирование процессов реализации угроз удаленного доступа к элементам иткс
- •4.1.Моделирование процессов реализации сетевого анализа
- •4.1.1. Сниффинг пакетов в сети без коммутаторов
- •4.1.2. Сканирование сети
- •4.2. Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)
- •4.3. Моделирование процессов реализации внедрения в сеть ложного объекта
- •4.3.1. Внедрение в сеть ложного объекта на основе недостатков алгоритмов удаленного поиска (arp-spoofing)
- •4.3.2. Внедрение в сеть ложного объекта путем навязывания ложного маршрута
- •4.4. Моделирование процессов реализации подмены доверенного объекта сети
- •4.4.1. Подмена доверенного объекта сети (ip-spoofing)
- •4.4.2. Подмена доверенного объекта сети. Перехват tcp-сессии (ip-hijacking)
- •4.5. Моделирование процессов реализации внедрения ложного dns-сервера
- •4.5.1. Внедрение ложного dns-сервера
- •4.5.2. Межсегментное внедрение ложного dns-сервера
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз удаленного доступа к элементам иткс
- •5.1. Выбор параметров для осуществления количественного анализа рисков иткс
- •5.1.1. Определение видов ущерба иткс при реализации угроз удаленного доступа к ее элементам
- •5.1.2. Определение взаимосвязей между атаками и их отношения к видам наносимого ущерба
- •5.2. Определение вероятностей реализации атак
- •5.2.1. Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак
- •5.2.2. Расчет интенсивности возникновения атак
- •5.2.3. Расчет вероятности реализации атак
- •5.3. Расчет рисков реализации угроз удаленного доступа к элементам иткс
- •5.4. Расчет рисков реализации угроз, наносящих различный ущерб
- •5.4.1. Оценка ущерба от реализации атак
- •5.4.2. Оценка вероятностей реализации атак
- •5.4.3. Нахождение распределения вероятностей нанесения ущерба в условиях воздействия нескольких атак
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам удаленного доступа к элементам иткс
- •6.1. Понятие эффективности защиты информации
- •6.2. Алгоритм оценки эффективности применения комплексов мер
- •6.2.1. Введение функции соответствия исследуемого показателя требованиям
- •6.2.2. Расчет общей эффективности применения комплексов мер защиты иткс
- •6.3.Оценка соответствия функциональным требованиям при применении комплексов мер защиты
- •6.4. Оценка эффективности защиты иткс
- •6.4.1. Оценка вероятностных параметров реализации атак
- •6.4.1.1. Сниффинг пакетов в сети без коммутаторов
- •6.4.1.2. Сканирование сети
- •6.4.1.3. Отказ в обслуживании syn-flood
- •6.4.1.4. Внедрение ложного объекта (arp-спуфинг)
- •6.4.1.5.Внедрение ложного объекта (на основе недостатков протоколов маршрутизации)
- •6.4.1.6. Подмена доверенного объекта (ip-hijacking)
- •6.4.1.7. Подмена доверенного объекта (перехват сессии)
- •6.4.1.8. Внедрение ложного dns-сервера
- •6.4.2. Расчет рисков иткс при использовании мер противодействия угрозам удаленного доступа
- •6.4.3. Численная оценка эффективности защиты иткс
- •6.4.3.1.Оценка эффективности защиты иткс при фиксированной активности злоумышленника
- •6.4.3.2. Оценка защищенности иткс как функции от активности злоумышленника
- •6.5. Оценка общей эффективности применения комплексов мер защиты иткс
- •Заключение
- •Библиографический список
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с удаленным и непосредственным доступом к ее элементам 6
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным и удаленным доступом к элементам иткс 42
- •Глава 3. Определение объектов защиты от угроз удаленного доступа 87
- •Глава 4. Аналитическое моделирование процессов реализации угроз удаленного доступа к элементам иткс 112
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз удаленного доступа к элементам иткс 158
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам удаленного доступа к элементам иткс 196
- •394026 Воронеж, Московский просп., 14
2.4.1.3. Шлюзы уровня приложений
Посредник прикладного уровня (application proxy) — это подсистема МЭ, осуществляющая посреднические услуги по передаче данных и команд прикладного уровня двумя компьютерами в сети. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух соединений прикладного уровня. Весь процесс связи состоит из следующих шагов:
— компьютер-инициатор устанавливает соединение прикладного уровня с посредником,
— посредник аутентифицирует компьютер-инициатор и пользователя,
— компьютер-инициатор пересылает посреднику имя компьютера-адресата,
— посредник проверяет допустимость данной связи,
— посредник протоколирует попытку установки связи и уведомляет о ней администратора безопасности,
— если связь недопустима, то посредник завершает процесс связи, иначе процесс продолжается,
— посредник устанавливает соединение прикладного уровня с компьютером-адресатом,
— посредник пересылает данные и команды из одного соединения в другое в обоих направлениях, фильтруя их (перекодируя данные, организуя кэширование и т.п.), и протоколирует попытки выполнения неразрешенных команд,
— посредник завершает процесс связи по требованию одной из сторон или по собственной инициативе,
— посредник протоколирует причину завершения связи, а также записывает статистическую информацию о состоявшемся сеансе связи.
Следует отметить, что в общих чертах принцип работы посредника прикладного уровня такой же как и у посредника уровня соединения, однако функционирование на более высоком уровне и возможность поддержки специальных безопасных протоколов (SSH, SSL, S/MIME, SOCKS и др.) позволяют организовывать более качественную защиту внутренней сети с использованием посредников данного типа. Далее будут рассмотрены наиболее характерные отличия посредников прикладного уровня от посредников уровня соединения.
Прежде всего, необходимо отметить, что в отличие от посредника уровня соединения, ориентированного на один-единственный протокол TCP, посредников прикладного уровня существует много — под каждый протокол прикладного (и сеансового) уровня. Каждый посредник допускает и защищает только тот протокол, который он поддерживает (тем самым реализуется политика «запрещено все, что не разрешено»). Наиболее популярные поддерживаемые посредниками протоколы можно разделить на следующие группы:
— гипертекстовые протоколы — HTTP, SHTTP, HTTPS, Gopher;
— протокол пересылки файлов — FTP;
— почтовые протоколы — SMTP, POP3, IMAP, NNTP;
— протоколы удаленного доступа — Telnet, rlogin, rsh, rexec, RPC, XWindow;
— протокол сетевой файловой системы — NFS, NetBEUI;
— протокол службы имен — DNS;
— «безопасные» протоколы сеансового уровня — SSH, SSL, S/MIME, SOCKS.
Так как посредник функционирует на прикладном уровне, то у него существуют большие возможности по фильтрации прикладных команд и данных. Например, для протокола FTP возможно запрещение команды «put» — команды записи файла на сервер. Возможна организация разграничения доступа к объектам сервера дополнительно к возможностям самого сервера по разграничению доступа.
Если посредник поддерживает «безопасный» протокол, то возможно поддержание конфиденциальности и целостности передаваемых через внешнюю сеть данных путем шифрования данных и вычисления криптографических контрольных сумм (т.е. туннелируя трафик прикладного уровня). В этом случае компьютер-инициатор тоже должен поддерживать тот же самый «безопасный» протокол (удаленная защищенная рабочая станция) либо необходим еще один посредник прикладного уровня, поддерживающий тот же самый «безопасный» протокол (виртуальная частная сеть — VPN).
Способ реализации схемы усиленной аутентификации компьютера-инициатора и пользователя зависит от используемого протокола, поддержка посредником (и компьютером-инициатором) «безопасного» протокола позволяют не только увеличить надежность аутентификации, но и унифицировать процесс аутентификации.
Следует также отметить, что компьютер-инициатор в начале сеанса связи передает посреднику имя компьютера-адресата и запрашиваемого сервиса (в общем случае — URL), т.е. связь с через посредника может осуществляется от многих ко многим. Способ передачи этого имени зависит от используемого протокола. Здесь же может передаваться и имя пользователя, с правами которого будет осуществляться доступ.
Также возможен случай применения техники «зеркального отображения» сервера для повышения надежности. При этом посредник, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных, а алгоритм выбора должен работать так, чтобы один и тот же пользователь попадали на один и тот же «реальный» компьютер-сервер во время всех сеансов связи, т.к. сервер может хранить контекст каждого пользователя.
Метод задания политики фильтрации, модель и принцип функционирования типового посредника прикладного уровня в общем схожи с методом задания политики фильтрации и принципом функционирования посредника уровня соединения, за исключением того, что политика фильтрации в данном случае распространяется в основном на передаваемые во время сеанса связи данные и команды, а в схеме передачи данных между двумя соединениями вместо простого копирования используется техника высокоуровневой фильтрации, трансляции и кэширования данных (протокольный автомат).
К преимуществам посредников прикладного уровня (по сравнению с другими методами фильтрации) следует отнести следующие:
— локальная сеть может быть сделана невидимой из глобальной сети;
— при нарушении работоспособности посредника пакеты обычно перестают проходить через него, тем самым не возникает угрозы для защищаемых им серверов;
— возможность усиленной аутентификации компьютера-инициатора и пользователя;
— использование политики «запрещено все, что не разрешено»;
— возможность использования посредника как для защиты внутренних серверов, так и для защиты внутренних рабочих станций;
— способность гибкого регулирования (ограничения) пропускной способности;
— возможность защиты от подмены во время связи аутентифицированного компьютера-инициатора;
— возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий;
— защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность атаки с использованием «дыр» в конкретном программном обеспечении;
— возможна защита целостности и конфиденциальности передаваемых данных и команд;
— фильтрация пересылаемых команд и данных;
— возможность «прозрачного» использования техники «зеркального отображения»;
— большая гибкость в протоколировании передаваемых команд и данных;
— возможность кэширования данных.
Недостатками посредников этого типа являются:
— видимость (и уязвимость) посредника из внешней сети,
— необходимость в существовании нескольких посредников для разных сервисов,
— трудность фильтрации при отсутствии у сервиса фиксированного номера порта,
— низкая пропускная способность,
— «непрозрачность» связи,
— высокая стоимость (суммарная для всех необходимых посредников).