Рискованное дело

Служба каталогов не только требует защиты, но и сама может использоваться как инструмент обеспечения безопасности.

В любом уголке корпоративной вычислительной среды можно найти информацию — базы данных, файлы текстовых процессоров или Web-страницы Intranet. В большинстве компаний люди и группы, разделенные расстояниями или границами отделов и подразделений, затрачивают очень много времени, собирая избыточную информацию. Служба каталогов обязана своим появлением на свет компаниям, осознавшим, что такое изобилие данных может приобрести существенно большую ценность, если их удается представить в виде хранилищ с простым доступом и развитыми возможностями поиска.

Служба каталогов состоит из серверной части, одного или нескольких хранилищ баз данных, а также клиентского программного обеспечения или приложений (клиентов службы каталогов). Набор рекомендаций в отношении служб каталогов описывается серией стандартов X.500, опубликованной в 1988 г. организациями ISO и ITU. Однако концепция, отраженная в этих стандартах, не была реализована. Стандарты X.500 были приняты компаниями без энтузиазма из-за их сложности и особенностей политической ситуации: внедрение корпоративных информационных хранилищ поставило на повестку дня вопрос разграничения полномочий. Упрощенный протокол доступа к каталогу (Lightweight Directory Access Protocol, LDAP), созданный как подмножество стандартов X.500, предлагал решение проблемы чрезмерной сложности, а наступление электронного бизнеса ослабило политические препятствия. Электронный бизнес превратил доступ к информации в важнейшее преимущество в конкурентной борьбе.

С превращением служб каталогов в хранилище все более сложной и значимой информации угроза безопасности для этих данных становится все более серьезной. В данной статье намечены некоторые пути использования службы каталогов на предприятиях, приводится оценка рисков, возникающих при ее внедрении, дается обзор уязвимых мест и мер по их устранению, а в заключение рассматриваются перспективные разработки.

НАЧНЕМ, ПОЖАЛУЙ

Предприятия могут извлечь из службы каталогов пользу различными способами. Однако ее привлечение для хранения одних видов информационных ресурсов является более предпочтительным, чем для других. К такого рода ресурсам относится, во-первых, информация, по которой достаточно часто выполняется поиск. Действительно, служба каталогов логически организует данные, а это является необходимым условием эффективного поиска. Во-вторых, это должны быть изначально информативные сведения, которые дают немедленные ответы на вопросы. Например, каков добавочный телефонный номер вашего коллеги? Или каковы артикулы комплектующих определенного продукта? В-третьих, для размещения в каталоге подойдут не часто меняющиеся, статичные данные. В частности, редко меняются имена и IP-адреса серверов.

Наиболее очевидным кандидатом на размещение в службе каталогов является корпоративная справочная информация (White Pages): например, имена, почтовые адреса, телефонные номера и адреса электронной почты сотрудников. В каталоги нетрудно добавить информацию о компьютерной инфраструктуре, такую, как таблицы DNS, информацию об установленных версиях программного обеспечения, списки учетных записей пользователей.

Благодаря использованию единой службы каталогов для учетных записей пользователей всех информационных систем предприятия, количество времени, затрачиваемое на администрирование этой информации, может быть уменьшено более чем на 30%, по сравнению с размещением ее в индивидуальных базах данных и каталогах. Понятно, что потеря такой централизованной информации (например, похищение учетных записей) может весьма негативно отразиться на производительности и безопасности компании.

ПРИЧИНЫ ДЛЯ БЕСПОКОЙСТВА

Предприятие получит наибольшую пользу от службы каталогов, если наряду с данными о сотрудниках разместит в ней производственную информацию: например, образцы счетов, реестры заказчиков и списки поставщиков. В результате данные станут более доступными, избыточность будет устранена и, у компании появится хороший повод для оценки качества информации. Очевидно, что чем более важную роль играет служба каталогов в жизни предприятия, тем более ценными становятся данные, содержащиеся в ней, и, следовательно, серьезнее угроза безопасности этих данных.

К сожалению, простота доступа, будучи необходимым условием полезности данных, одновременно делает их более уязвимыми. Если служба каталогов внедряется без должных средств безопасности, то она становится беззащитной перед лицом различных угроз. Еще большую тревогу вызывает тот факт, что часто невозможно установить, что некто воспользовался брешами в защите; компания будет атакована и даже не заметит, что ее каталог оказался открыт для посторонних. Такие нарушения безопасности могут вылиться в серьезные производственные проблемы, включая потерю доверия со стороны заказчиков, если утечка информации станет достоянием гласности, сдачу позиций в конкурентной борьбе и юридические последствия нарушения секретности и конфиденциальности.

При внедрении службы каталогов компания сталкивается с несколькими факторами риска. Одним из них является раскрытие данных, когда лица, не обладающие соответствующими полномочиями, получают доступ и просматривают информацию, или закрытая информация публикуется на Web-узле компании. Почти во всех случаях содержимое каталога является в той или иной степени конфиденциальным. Другой фактор риска — потеря или уничтожение информации. Возможно, вы считаете, что удаление информации будет немедленно обнаружено, однако если каталог содержит миллионы записей, то установить факт удаления практически невозможно. Третьей угрозой является преднамеренное искажение данных, когда злоумышленник изменяет информацию в каталоге без ведома компании. Фальсификация существенно подрывает уровень пригодности информации в каталоге, так как точность данных напрямую определяет их ценность.

ЗА ЩИТОМ

Остальная часть данной статьи посвящена отдельным слабостям защиты, которые администратору следует учитывать при развертывании службы каталогов, а также мерам по их устранению.

Угрозы службе каталогов зависят от многих факторов, включая характер содержащейся в каталогах информации, круг пользователей с правом доступа и местонахождение каталога. Эти составляющие риска можно успешно ограничить, уделив должное внимание вопросам безопасности при планировании службы каталогов. Конечно, это не может быть выходом для компаний, в которых службы каталогов уже установлены. Однако и в этом случае тщательная оценка факторов риска значительно уменьшает уязвимость компании.

Злоумышленник может получить доступ к вашим данным многими способами. В частности, серьезной угрозой является перехват данных во время сеанса связи, когда некто «подслушивает» информацию, передаваемую по сети (эта проблема будет рассмотрена немного позднее). Существует также и более простая угроза — прямой несанкционированный доступ к самому каталогу. В качестве первого оборонительного шага рекомендуется убедиться, что все пользователи проходят аутентификацию, и их привилегии доступа мотивированно ограничиваются.

ПЕРВЫЙ ЭТАП: АУТЕНТИФИКАЦИЯ

Очевидно, что для защиты ресурсов службы каталогов вначале необходимо убедиться, что вы контролируете круг пользователей, имеющих к ним доступ. «У нас уже проводится аутентификация пользователей», — возможно, скажете вы.

Однако у вас, вероятно, используется лишь аутентификация по имени пользователя и паролю. Такая нехитрая процедура, несомненно, лучше, чем ничего, но при отсутствии шифрования паролей во время входа в систему (как это нередко происходит) она обеспечивает лишь слабую защиту.

Перехватив передаваемые открытым текстом пароли, злоумышленник получает возможность «законного» беспрепятственного доступа к вашему каталогу. Пользоваться незашифрованными паролями можно только при доступе к не очень важной информации, например при обновлении сотрудниками своих личных данных во внутренней корпоративной справочной системе, однако такое решение неприемлемо для доступа к ценной информации.

Защищенность процедуры аутентификации пользователя по имени и паролю можно повысить с помощью протокола безопасных соединений (Secure Sockets Layer, SSL). SSL скрывает пароли от постороннего наблюдения в процессе передачи и снижает вероятность их похищения. Полезными также могут оказаться программы управления паролями, так как они, в частности, позволяют установить требования к минимальному количеству символов и оценить допустимость той или иной комбинации букв и символов в пароле.

На хакерских узлах Web хранится множество программ взлома паролей и словарей к ним, которыми злоумышленник может легко воспользоваться, поэтому необходимо убедиться, что ваши пользователи не применяют легко угадываемые пароли, например слова из словаря. Не менее важно порекомендовать пользователям создавать пароли, которые они могут запомнить, не записывая их на бумаге. На первый взгляд назначение случайных паролей обеспечивает высокий уровень безопасности, однако такая мера обычно приводит к тому, что пользователи записывают их в органайзерах или на листках, наклеиваемых на монитор, лишь облегчая задачу злоумышленникам, ворующим пароли.

Использование SSL в сочетании с качественным программным обеспечением управления паролями окажется, скорее всего, достаточным в большинстве ситуаций. Хотя эти меры и не обеспечивают абсолютной безопасности, их нелегко преодолеть и нетрудно внедрить. В случае более высоких требований к безопасности рекомендуется использовать цифровые сертификаты или программы аутентификации сторонних разработчиков.

Безопасность существенно возрастает, когда SSL применяется в сочетании с цифровыми сертификатами. Сертификаты гарантируют высокую степень учета и безопасности, предоставляя разнообразные возможности защиты, в том числе и сравнительно редко используемые, такие, как предотвращение отказа от авторства. (Прим. ред.: соответствующий английский термин «Repudiation» обозначает отказ одной из сторон информационного обмена признать свое участие в нем. Non-repudiation — средство противодействия этой угрозе.) Однако расширение функциональности требует дополнительных расходов и негативно отражается на производительности. Кроме того, администрирование сертификатов занимает немало времени. Тем не менее привлечение цифровых сертификатов является вполне обоснованным, когда в каталоге содержатся конфиденциальные данные, когда велики возможные финансовые или юридические последствия от несанкционированного доступа, когда пользователи обращаются к вашим данным по слабо защищенным соединениям, например через Internet, и, наконец, когда количество пользователей с правом доступа к каталогу невелико. Иногда для повышения скорости обработки сертификатов целесообразно приобрести криптографический ускоритель.

Если на предприятии уже используются такие механизмы строгой аутентификации, как биометрия и личные карты, то их можно применить и для ограничения доступа к ресурсам каталога. Вероятно, компания не захочет использовать средства аутентификации стороннего поставщика исключительно для этой цели, однако если применение таких технологий в организации планируется в любом случае, то результаты работы по их интеграции со службой каталогов оправдают затраченные усилия и средства.

Конечно, аутентификация — не самоцель: выяснение личности пользователей необходимо для обеспечения дифференцированного доступа пользователей к содержимому каталога, т. е. для определения того, какие операции и над какими данными разрешено выполнять каждому из них. В настоящее время всякий разработчик служб каталогов предлагает собственную модель контроля доступа. Организация IETF сейчас работает над стандартом контроля доступа к LDAP-совместимым службам каталогов, однако результаты этой работы представлены пока лишь в виде проекта стандарта Internet (с моделью контроля доступа для LDAP 3 можно познакомиться по адресу: http://www.ietf.org/internet-drafts/draft-ietf-ldapext-acl-model-06.txt). Завершение работы над предлагаемым стандартом ожидается не ранее середины 2001 г., поэтому изучение возможностей и структурирование списков контроля доступа для выбранной вами службы каталогов являются важными составляющими работы по их применению.

ЗАЩИТА ОТ ШПИОНАЖА

Аутентификация и авторизация пользователей, обращающихся к каталогу, — важные, но недостаточные меры. Если в вашей компании каталоги доступны через сеть или Internet — а это необходимо для многих приложений, — то риск возрастает многократно.

Рисунок 1. Атака с подстановкой позволяет злоумышленнику перехватить информацию во время сеанса связи между клиентом и каталогом.

Одним из типов атак, использующих факт передачи данных каталога по сети, является прослушивание сетевого трафика (sniffering). Анализируя передаваемые данные, злоумышленники могут собрать пароли или любую другую интересующую их информацию. Еще один вид атаки — «похищение подключение» (connection hijacking), когда атакующий захватывает соединение законного пользователя и работает с его привилегиями, т. е. незаконно подменяет одного из участников сессии. Третья форма атаки, соединения с подстановкой (man-in-the-middle), заключается в том, что злоумышленник «вклинивается» в соединение между каталогом и пользователем, т. е., не заменяя ни одну из сторон обмена, он получает возможность отслеживать или изменять пользовательские запросы и ответы службы каталога (см. Рисунок 1). Если предприятие не обладает хорошими средствами мониторинга, то высока вероятность, что факт вторжения по сценарию одной из перечисленных атак останется незамеченным, т. е. информация будет утеряна или искажена без ведома кого-либо, кроме самого атакующего.

С такого рода угрозами можно бороться, используя для защиты передаваемых данных какой-либо ориентированный на соединение протокол, например SSL. Подобный шаг обеспечивает аутентификацию пользователей и гарантирует, что любые перехваченные данные будут бесполезны — по крайней мере, ими нельзя будет воспользоваться немедленно. Однако применение программного шифрования увеличивает накладные расходы, из-за чего некоторые компании не считают нужным использовать SSL за брандмауэром. Принятие такого решения зависит от многих факторов, и, хотя в некоторых случаях оно оправдано, необходимо в полной мере осознавать возникающий при этом риск.

Учитывая все вышесказанное об угрозах, которым подвергается служба каталогов, администраторам следует четко определить круг лиц, допущенных к информации, оценить вероятность несанкционированного доступа и представить последствия от таких нежелательных действий.

Еще на этапе разработки необходимо детально обдумать вопрос о месте размещения каталога в сети и о порядке его обновления. Частота обновлений зависит от расписания, составляемого администратором, она может изменяться в широких пределах в зависимости от приложений и других факторов. Передача данных по сети при внесении изменений в основной каталог и его копии предоставляет атакующему дополнительные возможности доступа к информации, поэтому операции такого рода должны быть тщательно защищены. Атаки на этапе обновления несут угрозу как конфиденциальности, так и целостности данных (см. Рисунок 2). Аналогичные атаки (прослушивание и другие угрозы соединениям) могут быть предприняты и на других этапах функционирования службы каталогов, связанных с передачей данных по сети. Вообще говоря, реализация защищенного взаимодействия посредством шифрования сеансов связи существенно уменьшает этот риск, поскольку в таком случае степень опасности снижается до того же уровня, что и при передаче обновлений по выделенным линиям.

При решении проблемы защиты процесса тиражирования каталога необходимо сознавать тот факт, что если кому-то удается исказить информацию в главном каталоге, то эти изменения распространятся на все реплики, независимо от того, насколько «защищен» канал связи. Аналогично, точность данных главного каталога полностью определяется надежностью источника информации. Например, если на предприятии источником данных для каталога является база данных, содержащая персональную информацию о сотрудниках, то целостность этой базы данных не менее важна, чем защита соединений при передаче обновлений.

Метакаталоги — это предмет особой заботы, поскольку они выполняют функции центрального хранилища, обеспечивающего согласование различных служб каталогов. Если информация искажается в одной из служб каталогов или в самом метакаталоге, то искажения могут распространиться на все другие службы, связанные с этим метакаталогом.

Часто без внимания остается еще одно обстоятельство: если защита физического местонахождения каталога не будет обеспечена, то все предосторожности для защиты сетей не избавят от возможности появления некого хитреца, который просто унесет с собой жесткий диск. Приведем еще один, менее яркий пример: при наличии доступа к работающему терминалу, каждый имеет возможность несанкционированного входа в систему и получения исключительных привилегий. Легендарные хакеры прошлого часто рассказывали, что они порой получали чрезвычайно секретную информацию, всего лишь спросив у кого-то пароль, либо проникнув в здание и переписав информацию с компьютера. Важные каталоги следует хранить в изолированном, надежно защищенном помещении, для входа в которое необходим пропуск.

БЕЗОПАСНОСТЬ СТОРОННИМИ СИЛАМИ

Даже самые лучшие стратегии и продукты обеспечения безопасности не могут абсолютно гарантировать, что ваша система никогда не пострадает от слабостей защиты. Отсюда следует важность программного обеспечения мониторинга и аудита, такого, как системы выявления вторжений (Intrusion Detection System, IDS). Такие средства позволяют зафиксировать связанные с безопасностью важные события в сети и на основе анализа этих событий обнаружить потенциальные бреши, а также установить факт проникновения в сеть или систему. Сегодня на рынке имеются готовые продукты мониторинга и аудита, что освобождает предприятия от необходимости разрабатывать подобные средства самостоятельно.

Перед компаниями обычно стоит вопрос: осуществлять мониторинг и аудит своими силами или прибегнуть к сторонним услугам для всего комплекса сетевых приложений, а не только для службы каталогов? Многие компании сталкиваются с тем, что сегодня очень трудно найти компетентных специалистов по защите информации. В условиях общего дефицита специалистов по информационным технологиям многие компании хотели бы переложить выполнение функций защиты данных на сторонних экспертов вместо создания собственной группы безопасности.

ЛУЧШАЯ ЗАЩИТА ИЗ В КОРОБКИ

Развивая свои системы, разработчики служб каталогов будут, вероятно, и далее совершенствовать защиту своих коробочных предложений, в частности, обеспечивая поддержку защищенных соединений для линий связи и повышая безопасность процесса тиражирования. Держа вопрос безопасности коммуникаций постоянно в фокусе внимания, устойчивость служб каталогов к различным угрозам, названным в данной статье, можно значительно повысить.

Многие производители признают, что служба каталогов хорошо вписывается в архитектуру корпоративной безопасности, помогая защитить приложения и информационные ресурсы. В большинстве компаний служба каталогов используется для представления личной информации и профилей пользователей, включая данные об их привилегиях. Вот почему эта служба играет ключевую роль в комплексе мероприятий по обеспечению безопасности.

Такие поставщики, как Tivoli, Entegrity, Securant, Netegrity и Entrust, предлагают продукты, обеспечивающие контроль доступа или управление привилегиями для тех или иных подмножеств сетевых ресурсов. Продукты указанных производителей позволяют хранить профили пользователей, а в некоторых случаях — сертификаты и информацию о привилегиях. Механизм контроля доступа запрашивает эти данные с целью определения у пользователя прав доступа при его попытках обратиться к тому или иному ресурсу, в результате каталог превращается в главное хранилище корпоративной информации, относящейся к обеспечению безопасности. Так как на большинстве предприятий обычно уже имеется несколько различных баз данных с учетной информацией о пользователях, то использование единого механизма безопасности, встроенного в эти продукты, позволит обеспечить защищенный доступ сразу ко всем сетевым ресурсам и приложениям, таким, как Web и электронная почта.

Использование службы каталогов в целях безопасности

Ресурсы Internet