Целью первых вычислительных сетей было коллективное использование данных и обмен результатами совместных исследований между университетами, правительственными и военными организациями. В то время мало уделялось внимания вопросам безопасности - предполагалось, что серверы являются достаточно надежной конструкцией и основное их предназначение - это объединить, а не разъединить пользователей, работающих над одним проектом. Однако, когда услугами глобальных сетей стали пользоваться коммерческие организации, специфика деятельности которых часто не предполагала открытого распространения конфиденциальной информации, оказалось, что программные средства, призванные предотвратить "воровство" ресурсов или нанесение иного вреда вычислительной системе практически отсутствовали. Несмотря на все выгоды подключения к глобальным сетям, на пути к более широкому их использованию возникла проблема обеспечения надежной защиты.
Сетевая система безопасности, в частности система "firewall" или сетевой экран, размещается между общедоступной сетью и одной или несколькими внутренними сетями организации. Сетевая система безопасности контролирует поток трафика между сетями в соответствии с политикой безопасности конкретной корпорации. Существует множество сетевых реализованных систем безопасности, различающихся по сложности и эффективности, здесь же остановимся на наиболее распространенных компонентах и подходах. По мере развития область сетевой безопасности вышла за рамки простой защиты внутренних ресурсов, и сегодня она должна включать и такие дополнительные услуги, как идентификация пользователя, средства конфиденциальности связи и механизмы, обеспечивающие защиту в управлении традиционными деловыми операциями.
Необходимость средств безопасности
Многие нехорошие люди специализируются на вскрытии чужих сетей и хостов, делая это с целью кражи или разрушения данных и ресурсов, получения доступа к внутренним хостам частной сети, вторжения в другие сети или просто вандализма. Иногда пользователи случайно могут испортить корпоративные данные на сети, особенно в случае отсутствия общей политики безопасности. Хорошо продуманная система безопасности сети должна обеспечивать защиту как против предумышленных "любителей", так и предотвращать случайную утечку частных данных, причем не требуя, чтобы каждый внутренний пользователь стал экспертом по безопасности. При функционировании такой системы организация может наслаждаться выгодами общедоступного сетевого доступа с уверенностью, что внутренние ресурсы защищены.
Первой задачей в разработке системы безопасности сети является оценка потребностей и целей организации, на основе которых идет построение политики безопасности. Такая политика отражает причины, по которым организация использует подключение к открытой, общедоступной сети и будет определять перечень услуг, предоставляемых пользователям внутри и вне организации. При определении политики безопасности прежде всего необходимо определить, разрешать или запрещать доступ ко всем службам, пока еще не ясно, кому запрещать или разрешать. Это очень важный шаг в становлении политики безопасности. Доступ может быть открыт большинству служб с минимальным вмешательством, однако могут стать доступными опасные службы или услуги, использование которых приведет к проблемам. С другой стороны, могут быть доступны новые полезные службы, но они будут блокированы для пользователей. Здесь пользователям необходимо сообщить администратору о существовании новой службы, он, в свою очередь, должен оценить ее и решить вопрос о возможности ее использования.
После принятия основополагающего решения организация определяет, какие службы предоставлять внутренним пользователям, а какие вынести на всеобщее обозрение. После разработки корпоративной политики безопасности и выбора системы безопасности на сети очень важно установить компромисс между ценой и удобством использования. В зависимости от желаемого уровня безопасности и выбранной системы безопасности могут потребоваться дополнительные аппаратные средства: маршрутизаторы и выделенные хосты, специальное программное обеспечение, а также ставка эксперта по безопасности. Затем необходимо рассчитать, насколько система безопасности повлияет на производительность и работоспособность служб, - не секрет, что некоторые сетевые системы безопасности значительно замедляют скорость работы. Одни администраторы в этой ситуации ограничивают или запрещают такие полезные сетевые услуги, как почта и передача файлов. Другие требуют распределения нового программного обеспечения для каждого хоста на внутренней сети, увеличивая тем самым нагрузку на системного администратора и создавая неудобства для пользователей. Общей целью для разработчиков сетевых систем безопасности является достижение прозрачности систем безопасности, обеспечивающих безопасность без значительного влияния на работу сети и не вынуждающих пользователей отказываться от полезных услуг или изучать новые.
Весьма важный фактор - установление баланса между безопасностью и сложностью в соответствии с основным принципом: чем сложнее система, тем она уязвимее и труднее для установки. Сложные системы трудно сконфигурировать должным образом, а различные неточности могут привести к возникновению проблем по безопасности. Можно отметить факторы, которые необходимо учитывать при разработке политики безопасности:
- какие службы должны обеспечивать безопасность внутри организации и на внешней сети;
- начальные и будущие финансовые затраты;
- удобство и работоспособность служб;
- баланс между сложностью и уровнем безопасности;
- эффективность сети.
В мире интерактивного бизнеса часто возникают дополнительные проблемы помимо защиты данных на закрытых сетях. Эти опасности включают конкурентов и хакеров, добывающих и изменяющих электронную деловую информацию. Для тех, кто ведет бизнес по сети, это может привести к серьезным последствиям. Например, целостность всей деловой операции может быть под угрозой, если посланные конфиденциальные сообщения будут перехвачены, прочтены конкурентом, изменены и опять переданы получателю или будут спутаны и посланы совершенно по другому адресу. Эти же опасности стоят на пути у потребителей, заказывающих товар по кредитной карте или выполняющих другие операции через общедоступную сеть. Для предотвращения этих атак система сетевой безопасности может противопоставить отождествление пользователя системы по идентификатору - аутентификация и конфиденциальность связи. На рис. 1 приведена схема организации прослушивания передачи конфиденциальной деловой информации - исходные данные сохраняются для дальнейшего использования, изменяются и отсылаются по месту назначения.
Рисунок 1.
Пример организации кражи, сохранения и изменения информации.
Конфиденциальность гарантирует, что никто, кроме получателя, не сможет прочитать и интерпретировать передаваемые. Аутентификация означает, что получатель сообщения имеет уверенность, что данные не изменены во время передачи. В дополнение к безопасности, конфиденциальности и аутентификации, объемлющая сетевая система безопасности может обеспечивать средства для автоматического интерактивного выписывания счетов, размещения заказов и других традиционных деловых операций. На вооружение разработчиков политики безопасности может быть взято несколько подходов - это различные конфигурации сетевых экранов для фильтрации пакетов, шлюзы для приложений и демилитаризованные зоны. Обычно все эти подходы используются в комбинации с последующим шифрованием с помощью систем обеспечения более высокого уровня безопасности. Одним из таких решений является SunScreen.
Система SunScreen
Организация Internet Commerce Group разработала архитектуру сетевой безопасности под названием SunScreen, обеспечивающую высокий уровень безопасности и функциональных возможностей при минимальной сложности. SunScreen имеет развитые средства фильтрации, возможности аутентификации и обладает технологией соблюдения конфиденциальности с простым механизмом администрирования для обеспечения производительного и простого в использовании решения по безопасности.
Конфигурация SunScreen состоит из центрального аппаратного устройства - SPF-100 и станции администрирования, обеспечивающей защиту и определяющей правила и параметры работы всей системы (рис. 2).
Рисунок 2.
Архитектура системы SunScreen.
SunScreen обладает расширенными функциональными возможностями, например анализом пакетов сообщений, и работает на выделенной централизованной системе. Это означает, что у SunScreen не возникает проблем по наблюдению за пакетами при работе на невыделенной системе. Модифицированный графический интерфейс пользователя обеспечивает простой, интуитивный способ воплощения политики безопасности и определения правил по наблюдению и анализу пакетов.
Не имея собственного сетевого IP-адреса и не будучи маршрутизатором, SunScreen невидим из внешней сети: пакеты минуют его без всякого указания на то, что они прошли через это устройство. Во-первых, это скрывает сам факт наличия SunScreen в сети и существенно снижает объем информации, которую может использовать потенциальный взломщик. Во-вторых, это позволяет управлять несколькими физическими разделенными сегментами сети как одной сетью, уменьшая количество IP-адресов и интерфейсов. В-третьих, это делает возможным администрирование сети и ведение статистики с одного рабочего места. При необходимости можно задать такую конфигурацию, при которой SunScreen экранирует от внешних адресатов подлинную внутреннюю топологию сети, изменяя исходящие сетевые адреса отправителей.
Конфигурация
SunScreen является специализированным аппаратным устройством, использующим SPARC-технологии. Операционная система не допускает входа в систему, и все стандартные сетевые услуги, например почта, блокируются. Информация о конфигурации экранирования пакетов загружается на устройство криптографически безопасным способом. С помощью технологии аутентификации контролируется и информация, и администратор. Стоит только раз сконфигурировать и запустить SunScreen, как вы получите централизованный заслон, препятствующий входу в систему, появлению аварийных ситуаций и вызывающий, в случае необходимости, отключение при опасности. Как показано на рис. 3, конфигурации сети с использованием SunScreen включают только два устройства: один маршрутизатор и один "заслон" - SunScreen и только две сети для конфигурации и администрирования.
Рисунок 3.
Пример сетевой конфигурации с использованием SunScreen.
Средства наблюдения за пакетами сообщений Устройство наблюдения за пакетами просматривает и анализирует весь входящий и исходящий трафик, в том числе и в побайтном режиме, позволяя задавать сложные правила для принятия решений относительно пропуска или блокирования информации, осуществляя тем самым функции логической фильтрации. SunScreen может пропускать пакеты, задерживать их с уведомлением отправителя, шифровать/дешифровать пакеты, вести протоколы их прохождения, копировать, перенаправлять пакеты и сохранять состояние установленных соединений. Это помогает обеспечить защиту при использовании UDP- и TCP-услуг. Фильтрующее устройство извлекает релевантную информацию из пакетов, сохраняет ее и использует, по мере необходимости, для принятия решений по будущим пакетам. В качестве примера можно привести работу с протоколом FTP: фильтр извлекает информацию о номере порта из исходящих FTP-запросов, и на основе этой информации разрешает соединение через порт назначенного номера.
Конфиденциальность и аутентификация
Между собой пользователи, работающие в сети, защищенной SunScreen, могут передавать информацию в зашифрованном виде или с использованием механизма электронной подписи на каждом пакете, что достигается путем применения специального протокола управления криптографическим ключом SKIP (Simple Key Management for Internet Protocol). С точки зрения способа защиты данных, условно можно рассматривать два режима:
- шифрование данных IP-пакета с сохранением в открытом виде исходного заголовка пакета;
- инкапсуляция исходного IP-пакета в SKIP-пакет с заменой исходного заголовка.
Инкапсуляцию в SKIP называют также туннелированием, а замену адресной информации по некоторым таблицам - векторизацией. По сравнению с существующими системами шифрования трафика, SKIP имеет ряд особенностей. Прежде всего, SKIP универсален: он шифрует IP-пакеты, ничего не зная о приложениях, пользователях или процессах, их формирующих. Установленный в компьютере непосредственно над пакетным драйвером, он обрабатывает весь трафик, не накладывая никаких ограничений ни на вышележащее программное обеспечение, ни на физические каналы. SKIP работает независимо от сеанса: для организации защищенного взаимодействия не требуется дополнительного информационного обмена, за исключением один раз запрошенного и зафиксированного открытого ключа партнера по связи. Данный протокол умеет хранить секреты, которые никогда не передаются по каналам связи, - SKIP использует разделяемый секрет для шифрования только небольшого по размеру пакетного ключа Кр, что не позволяет противнику накопить достаточной статистики для криптоанализа. Кроме этого, SKIP независим от системы шифрования - различные системы шифрования могут подсоединяться к системе, как внешние библиотечные модули. Пакетный ключ может изменяться достаточно часто, вплоть до того, что каждый пакет может шифроваться под своим индивидуальным криптоключом. На рис. 4 проиллюстрирован процесс шифрования IP-трафика и SKIP-туннелирование.
Рисунок 4.
Процесс шифрования IP-трафика.
Для примера рассмотрим две локальные сети, соединенные при помощи канального провайдера и защищенные Screen-устройствами (рис .5).
Рисунок 5.
Пример подключения Screen-устройства.
При данной схеме подключения Screen-устройства могут инкапсулировать весь трафик между сетями в протокол SKIP, иными словами, производить SKIP-туннелирование. При этом исходные пакеты могут помещаться в блоки данных SKIP-пакетов, а сетевые адреса всех узлов внутренних сетей могут быть заменены на некоторые виртуальные адреса, отвечающие во внешней сети Screen-устройствам (адресная векторизация). В результате весь трафик между этими локальными сетями может выглядеть извне только как полностью шифрованный трафик между двумя Screen-устройствами. Вся информация, доступная в этом случае внешнему наблюдателю, - это лишь временная динамика и оценка интенсивности трафика, которая может маскироваться путем использования сжатия данных и выдачи "пустого" трафика. При этом терминал может использоваться не только для связи двух локальных сетей, но и для подключения уединенных терминалов, использующих SKIP-защиту трафика. При этом терминал, используя защищенный трафик во внешней сети, сможет работать с дозволенными ему в рамках корпоративной политики безопасности хостами внутренней локальной сети.
Программная реализация SKIP допускает параллельную работу в режиме шифрования и в режиме открытого трафика, однако вопрос о безопасности системы, работающей в таком смешанном режиме требует дополнительного изучения. С полной уверенностью можно гарантировать безопасность систем, требующих как открытого, так и конфиденциального обмена. Конфиденциальность передаваемых данных обеспечивается применением сертификата Diffie-Hellman на каждом устройстве и вычислением общего для отправителя и адресата секретного "мастер"-ключа или долговременного разделяемого секрета, используемого для генерации шифрующих ключей, которые могут меняться с частотой вплоть до каждого IP-пакета. При этом нет необходимости в передаче "мастер"-ключа по сети к адресату, поскольку он вычисляется как функция от двух ключей: секретного ключа устройства-отправителя и публичного ключа устройства-адресата. Доступ к "чужому" секретному ключу не нужен, следовательно, нет нужды передавать его по сети, подвергая опасности компрометации. Шифрование информации происходит в два этапа - с помощью разделяемого ключа шифруется пакетный ключ, которым затем шифруется непосредственно значимая информация. При этом пакетный ключ может быть коротким, поскольку объем информации, передаваемый с данным ключом, невелик. Алгоритмы шифрации ключей и собственно информации могут быть различными. Шифрование значимых данных производится по алгоритмам RC2, RC4 и DES. Специальный признак состояния в заголовке пакетов позволяет в случае потери части пакетов производить повторную синхронизацию шифрующих пакетных ключей. Аутентификация по разрешенному типу информационного доступа между защищенными абонентами либо между отдельными частями распределенной корпоративной сети осуществляется с помощью частных "мастер"-ключей, хранящихся на Smart Card.
Дополнительные возможности
Организации часто располагают отделами, географически разнесенными по разным местам, поэтому в SunScreen включен механизм, позволяющий различным отделам использовать общедоступные сети, как безопасную закрытую сеть, не требующую выделенных линий и изменений в приложениях. Это достигается посредством туннелирования данных, во время которого пакеты данных заключаются внутри других пакетов и шифруются для того, чтобы общедоступные сети выполняли роль закрытой сети. В этом случае разрозненные отделы могут работать и администрироваться как частная виртуальная сеть. Хосты на такой сети могут иметь такой же диапазон сетевых IP-адресов. В сочетании со способностью SunScreen просматривать каждый пакет, туннелирование данных позволяет вести учет всех подозрительных действий, а также защищаться от попыток взлома или подделки туннеля и сети в целом, - как пассивно, так и, при желании, активно воздействовать на идентифицированный сетевой источник опасности.
Административная станция является специализированной системой, обеспечивающей простой, защитный механизм для определения и управления политики безопасности. Обычно SunScreen передается потребителю в несконфигурированном виде и включает наиболее распространенные, типичные правила по безопасности. Станцию просто конфигурировать, и она предлагает мощные средства по разработке устройств наблюдения за пакетами сообщений заказчиков. Графический интерфейс пользователя предоставляет наглядные средства установки устройства наблюдения и защищает администраторов от сложностей и риска определения синтаксиса и порядка следования правил. Сконфигурированные устройства по наблюдению за пакетами загружаются в SunScreen через аутентичный закрытый порт Ethernet. Технология аутентификации гарантирует, что только санкционированный персонал может иметь доступ и модифицировать правила.
Сегодня пользователям доступно много различных решений по сетевой безопасности. Систему SunScreen можно выделить из других существующих решений по безопасности прежде всего улучшенными средствами пакетной фильтрации, наличием аппарата пакетного туннелирования, а также использованием средств аутентификации и шифрации.
Следует отметить, что в отношении такого рода систем действуют федеральные ограничения на экспорт криптопродукции из США. Применительно к этой системе существует ограниченная экспортная лицензия для финансовых организаций, предусматривающая, помимо прочего, уменьшение длины криптоключа для шифрования трафика с 1024 до 512 бит. Кроме того, относительным недостатком системы SunScreen является ее высокая цена, поэтому для компенсации компания ЭЛВИС+ предлагает пакет ElvisScreen, представляющий собой функциональный аналог SunScreen, но на платформе Intel/Windows.
