Когда вы начинаете чувствовать приближающуюся опасность, пора пересмотреть систему защиты интрасетей.
Политика информационной безопасности и intranet
Безусловно, для защиты intranet уже используются сложившиеся системы. Недавно в фирму WheelGroup обратилась одна производственная компания и попросила специалистов по защите информации этой фирмы взять на себя роль... беззастенчевых сотрудников. Заказчикам нужно было убедиться, что рядовые пользователи не смогут получить доступ к защищенным серверам фирмы.
Заполучив пользовательское имя и пароль, специалисты по безопасности в считанные минуты обошли систему защиты, проникли на сервер инженерного отдела, а затем сделали копию документации новейшего изделия, на разработку которого компания затратила 2 млн долл.
"Однако клиенты не сдавались", - вспоминает президент фирмы WheelGroup Тони Дженингс. Руководитель службы автоматизации предположил, что инженеры могли просто... оставить систему защиты "открытой" после настрйки сервера. "Вам никогда не удастся попасть в бухгалтерию", - сказал он. Но уже несколькими минутами позже этот руководитель с ужасом наблюдал, как представители WheelGroup выгрузили отчеты об эффективности работы фирмы и информацию о доходах вице-президента компании.
Подобные ситуации встречаются не только в системах внутренней безопасности. Дженингс рассказывает о другом клиенте, который попросил специалистов WheelGroup пройти через систему защиты в шлюзе между корпоративной intranet и Internet. Компьютерный отдел фирмы проделал огромную работу, чтобы обезопасить этот выход в Internet, - говорит Дженингс. - Но они не знали, что маркетинговый отдел и другие подразделения имеют свои собственные каналы связи с Internet, всего насчитывалось... 14 таких соединений!". Из своего центра в Сан-Антонио (шт. Техас) эксперты WheelGroup сумели проникнуть в сеть компании и выгрузить стратегические планы фирмы и материалы по разрабатываемым изделиям.
"Обычно мы сталкиваемся с тем, что компьютеры компаний открыты настолько, что преодолеть систему защиты не сложнее, чем разрезать масло горячим ножом", - говорит Дженингс. Это мнение разделяют и другие эксперты по безопасности. Они обеспокоены тем, что с развитием intranet ситуация будет обостряться. Достаточно трудно обеспечить безопасность компьютеров, когда они подсоединены к корпоративным сетям. Что может произойти, если десяток Web-серверов установлен без знания особенностей информационных технологий?
"Последствия, связанные с расширением числа несанкционированных Web-серверов, могут оказаться значительными, - говорит Грег Дин, старший менеджер Службы информационной безопасности компании Ernst & Young LLP"s Lake Michigan из г. Чикаго. - Соединение ПК с сервером часто означает, что компьютер подсоединен к глобальной сети, а не к физически независимой ЛВС, что открывает потенциальный доступ к важной корпоративной информации".
Наибольшую опасность для intranet представляют "неофициальные" (и соответственно незащищенные) Web-серверы, но даже санкционированные и правильно установленные серверы и другое оборудование и программное обеспечение intranet потенциально уязвимы. Системные администраторы могут случайно оставить " лазейки": при настройке таблиц маршрутизации брандмауэра, при создании приложений на HTML или при установке на сервере защиты уровня межпрограммного взаимодействия (Secure Sockets Layer)", - говорит Ричард Косински, президент фирмы NeTegrity, работающей в области компьютерной безопасности.
Комизм ситуации заключается в том, что брандмауэры (firewall, или межсетевые экраны), предназначенные для защиты Web-узлов, часто сами оказываются уязвимыми. По словам Дженингса, это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге "каменная стена" системы защиты выглядит как швейцарский сыр.
Так было в случае с другим клиентом фирмы WheelGroup, компанией, входящей в список 500 крупнейших фирм (по оценкам журнала Fortune). Эта компания хотела убедиться, что ее брандмауэр выполняет возложенные на него функции. "Оказалось, что брандмауэр пропускал практически все, он вообще не фильтровал трафик, - говорит Дженингс. - С этим брандмауэром "поработали" так основательно, что он практически превратился в обычную рабочую станцию, действующую как маршрутизатор".
"Такие ситуации встречаются очень часто, - говорит Стивен Кобб, руководитель специальных проектов Национальной ассоциации компьютерной безопасности (NCSA). Если 5 тыс. сотрудников, имеющих доступ к браузерам, вдруг решат, что им необходимо прослушивать аудио-клипы из Internet, они сумеют добиться от администратора сети открытия канала через брандмауэр. Однако у администратора может не оказаться возможности надежно проверить аудио-приложения с точки зрения безопасности. Мы наблюдаем прямое давление на администратора сети с целью открыть брандмауэр для технологического новшества до того, как эта новинка будет полностью протестирована", - поясняет Кобб.
Брандмауэры - основа системы безопасности intranet, поэтому многие компании определяют intranet как часть своей корпоративной сети, защищенную брандмауэром. Этот взгляд достаточно ограниченный и упрощенный, но он показывает, насколько компании доверяют технологии intranet . "Брандмауэры являются основой безопасности intranet ", - говорит Вильям Рух, исполнительный вице-президент компании Concept Five Technologies (г. Мак-Лин, шт. Виргиния), занимающейся консультациями по intranet и электронике. Однако это не всегда верно.
Защита Web-серверов
Фирмы, внедряющие Intranet , устанавливают брандмауэры "по периметру" корпоративных Web-серверов, тем самым ограничивая доступ "посторонних" клиентов.
Существующие брандмауэры сильно отличаются по возможностям и выпускаются различными компаниями, среди которых есть такие гиганты, как Digital Equipment и IBM, а также небольшие фирмы, например CheckPoint Software Technology, Milkyway Networks и ON Technology.
Брандмауэры первого поколения, известные также как маршрутизаторы с фильтрацией пакетов, просто проверяют адреса отправителя и получателя в проходящих пакетах TCP/IP. Пакеты проверяются по списку доступа на наличие "дружественного адреса", и если он обнаружен, пакетам разрешается вход в сеть (в противном случае - запрещается). Эти брандмауэры служат больше средством устрашения, чем оплотом безопасности. При их использовании хакеры могут легко имитировать "дружественные адреса" - этот процесс называется "спуфингом" (spoofing - обман, подлог) - и получить доступ к intranet .
Следующее поколение брандмауэров, известное также как "уполномоченные серверы" (proxy servers), было создано как раз для решения проблемы с имитацией IP-адресов. Эти брандмауэры могут фильтровать пакеты на уровне приложений, что особенно важно для безопасности в intranet .
Как "уполномоченные представители" Web-сервера, такие брандмауэры могут связываться с запросом доступа системы. Кроме того, они проверяют законность пользовательского имени, пароля и самих передаваемых данных, а не только заголовка пакета. Например, уполномоченное приложение HTML "знает", как должны выглядеть "правильные" данные HTML, и способно определить, можно ли разрешить доступ.
Фирмы CheckPoint и ON Technology разработали брандмауэры третьего поколения, использующие для фильтрации специальные многоуровневые методы анализа состояния пакетов SMLT (Stateful Multi-Layer Technique). В отличие от брандмауэров уровня приложений, брандмауэры на основе SMLT используют программное обеспечение для анализа данных, способное создавать мгновенную копию целого пакета. Эти брандмауэры быстро сравнивают проходящие пакеты с известным состоянием (state) "дружественных" пакетов, позволяя значительно сократить время обработки по сравнению с медленными брандмауэрами уровня приложений.
Все больше и больше системных администраторов используют брандмауэры для обеспечения безопасности intranet . "Большинство компаний предпочитает, чтобы кадровая и бухгалтерская информация не была доступна для каждого сотрудника фирмы", - говорит Джей Батсон, вице-президент фирмы ON Technology (г. Кембридж, шт. Массачусетс). Осуществить это позволяют брандмауэры. "Сегментирование системы - это один из возможных методов работы любого специалиста по компьютерной безопасности", - утверждает Рух (фирма Concept Five Technologies).
Так же считают и представители фирмы J.P.Morgan & Co.. В этой крупной финансовой компании Нью-Йорка служба информационной безопасности помогает руководителям коммерческих подразделений в вопросах размещения информации на внутреннем Web-сервере. "Если информация предназначена только для части сотрудников компании, то специалисты по безопасности рекомендуют разместить ее на закрытом Web-сервере, а не в корпоративной intranet", - говорит Фред Пинто, директор службы информационной безопасности компании J.P.Morgan/The Pinnacle Alliance. "Мы будем использовать брандмауэры для ограничения доступа к Web-серверам", - объясняет Пинто.
"Для чего бы вы ни покупали брандмауэр - для ограничения внешнего доступа или для сегментирования корпоративной intranet - убедитесь, что вы можете в нем разобраться и правильно настроить его конфигурацию, - рекомендует Джей Батсон (фирма ON Technology). Проблема номер один с брандмауэрам - это настройка их микроконфигурации, поэтому выбирая модель, убедитесь, что с ней будет просто работать", - говорит он.
Группа информационной безопасности NCSA (г. Карлайл, шт. Пенсильвания) одобряет действия компаний, регулярно тестирующих свои брандмауэры для проверки их неуязвимости. "Технология брандмауэров хороша, но настраивать их конфигурацию сложно. Если брандмауэр некорректно установлен или небезукоризненно обслуживается, то наверняка в системе защиты останутся лазейки, - утверждает Кобб, представитель NCSA. - Например, если брандмауэр не будет хорошо настроен, то даже в одной-единственной программе электронной почты Sendmail (в среде Unix) хакеры смогут воспользоваться четырьмя или пятью лазейками".
Тестирование, тестирование и еще раз тестирование.
При тестировании брандмауэров администраторы intranet могут воспользоваться помощью независимых компаний или сделать это самостоятельно, применяя специальное программное обеспечение, например программу фирмы Internet Security System (ISS).
Недавно фирма ISS выпустила несколько продуктов, оценивающих защищенность программ в intranet : программа Web Security Scanner проверяет защиту операционной системы, работающей под Web-сервером; программа Firewall Scanner тестирует конфигурации приложений брандмауэра и операционную систему, в которой он работает; и наконец, программа intranet Scanner сканирует все устройства в корпоративной intranet и формирует отчеты, включающие в себя списки сервисов, используемых на каждой машине, и приоритетный список слабых звеньев системы защиты.
"Мы обнаружили, что в среднем на одно сетевое устройство (включая принтеры, маршрутизаторы, брандмауэры и Unix-узлы) приходится 18 "слабых точек", - говорит президент фирмы ISS (г. Атланта) Том Нунен. - Это очень большая проблема: в intranet большой компании могут использоваться десятки тысяч подобных устройств". По утверждению Нунена, обеспечить защиту сетей intranet намного сложнее, чем обезопасить корпоративные сети другого типа, поскольку intranet строится на основе протокола TCP/IP. "Открытость систем связи и простота совместного использования информации, поддерживаемая протоколом TCP/IP, противоречит задачам обеспечения безопасности и минимизации доступа к intranet , - говорит Нунен. - Из-за этой двойственности обеспечить безопасность в intranet очень сложно".
Этот факт принимает во внимание и компания Lockheed Martin (г. Орландо, шт. Флорида). По словам Линды Мак-Ги, менеджера подразделения Корпоративных информационных систем фирмы Lockheed, сложность построения intranet и обеспечения повсеместного доступа к информации требует от компаний отказа от концепции полной защищенности данных на мэйнфреймах и перехода на открытую идеологию системы Unix. Это особенно сложно для предприятий, работающих в оборонной промышленности. Мак-Ги сравнивает переход к intranet с ситуацией когда цыплят выпускают из курятника: "Вы теряете контроль и сбиваетесь со счета".
Она говорит, что для обеспечения безопасности "мы используем практически все, что только можно вообразить". Для защиты данных в intranet фирма Lockheed применяет защищенные Web-серверы, открытые и закрытые ключи, smart-карточки, системы шифрования, внутренние и внешние брандмауэры. В ближайшем будущем компания введет "шифрованное тунелирование" (encrypted tunneling) в систему удаленного подключения к intranet через защищенный канал связи с Internet.
Использование языка Java вызывает ряд проблем с обеспечением безопасности, поэтому компания Lockheed не использует его в intranet . Мак-Ги говорит: "Мы можем обойтись без языка Java сегодня, но очень скоро он нам понадобится, поэтому мы надеемся, что разработчики Java объединятся, чтобы "залатать бреши" и создать систему защиты, отвечающую сегодняшним требованиям".
К аналогичному выводу пришли и представители чикагской нефтехимической корпорации Amoco. "В настоящее время мы препятствуем внедрению Java-приложений в intranet , но пользователи могут разрабатывать свои собственные управляющие модули (script), - говорит Девид Бернс (David Burns), аналитик по системам безопасности фирмы Amoco. - Подобно Троянскому коню, импортирование Java-приложений с Web-сервера таит в себе опасность".
Кобб (NCSA) указывает на потенциальную опасность, связанную с кэшированием данных Web-браузерами. Обычный браузер кэширует на жестком диске от 5 до 10 Мбайт данных, доступ к которым осуществлялся за последнее время. Например, приложение Internet Explorer фирмы Microsoft резервирует под кэш около 10% дискового пространства. Для винчестера емкостью 1 Гбайт это составляет 100 Мбайт потенциально опасной информации. "Вы должны настроить конфигурацию Web-сервера так, чтобы Web-страницы не кешировались. Установите запрет на кэширование данных браузером или "закройте" машину", - говорит Кобб.
Даже так называемые "технологии безопасности intranet " имеют свои слабые стороны. Анкер Берг-Сони, главный инженер и вице-президент фирмы WebMate Technology указывает на главный недостаток стандартной схемы аутентификации и контроля доступа HTTP-S (HTTP-Secure), используемой на Web-серверах. Чтобы закончить сеанс аутентификации, пользователи должны выполнить процедуру выхода из браузера, а на это не всегда хватает терпения. "Поскольку нет простого способа вывода из системы, пользователи часто оставляют сеансы связи незавершенными. Поэтому их пользовательские имена и пароли, а следовательно и все привилегии переходят к другим пользователям, входящим в систему", - объясняет Берг-Сони.
Компания WebMate (г. Кантон, шт. Массачусетс), специализирующаяся на сетях Internet/intranet, решает эту проблему при помощи своей системы Foundation, в состав которой входят инструментарий разработчика и базовое серверное ПО. При помощи программы Foundation администраторы intranet могут задавать различные права доступа для записи в таблицы базы данных (...the record level in database tables). Для защиты данных они также могут создавать схемы управления доступом в зависимости от пользовательского имени и пароля, IP-адреса, дня недели, времени дня, или индивидуальной схемы.
По существу, схемы управления доступом создают иерархию системы защиты intranet . Например, администратор intranet может указать, с какого IP-адреса разрешен доступ к базе данных для записи. "Вы можете указать условия доступа к данным, например определенное время дня или определенный домен. Это значит, что сотрудники фирмы не смогут получить доступ к данным, находясь у себя дома", - говорит Берг-Сони.
Другие фирмы, занимающиеся компьютерной безопасностью, также пытаются улучшить контроль над доступом. Например, фирма NeTegrity в начале октября объявила о выпуске программы SiteMinder, предназначенной для специалистов по компьютерной безопасности предприятий. Эта программа позволяет детально регламентировать уровень доступа. "При помощи программы SiteMinder администраторы intranet могут указывать уровень доступа к приложениям, файлам, базам данных, записям, полям, транзакциям, бюджетам, ресурсам HTML и меню, - говорит Косински (NeTegrity). - Вдобавок администратор может централизовано устанавливать права на использование сетевых ресурсов. - Наконец-то компании получили программу, при помощи которой они смогут обезопасить intranet. Они будут знать, кто и какие схемы аутентификации использует и к каким ресурсам есть доступ у пользователей".
Помимо управления доступом, фирма WebMate поставляет SQL-расширение, позволяющее обезопасить и доступ к базам данных. "Мы считаем, что Web-серверам необходимо иметь одну систему аутентификации, а корпоративным базам данных - другую" , - сообщает Берг-Сони.
При использовании SQL-расширения, пользователи вводят свои имена и пароли на входе в intranet. Вместо того чтобы дублировать аутентификационную процедуру, приложение Web-сервера проверяет в базе данных пользовательские идентификаторы и направляет их в реляционную базу данных. "В intranet специализированные пользовательские имена и пароли никогда не передаются через канал связи между Web-сервером и базой данных", - говорит Берг-Сони.
По словам Кобба (NCSA), проблемы с языком Java и схемой HTTP-S демонстрируют, что в применение intranet есть элемент риска. Но они также отражают и общие проблемы, связанные с сетевой безопасностью. "Развитие intranet, а в особенности ее интеграция с классическими системами, увеличивает требования к защите данных, - говорит Кобб. - Так как развитие intranet неразрывно связано с развитием существующих сетевых технологий, компании будут выявлять слабые звенья в своих системах защиты".
Политика информационной безопасности и intranet
"Если вы не уделяете внимания политике информационной безопасности Web-серверов не готовы ее совершенствовать, то вы не готовы и к внедрению intranet, - говорит Стивен Кобб, руководитель специальных проектов Национальной ассоциации компьютерной безопасности (NCSA). - Я большой сторонник проведения политики информационной безопасности. Если не позаботиться о безопасности на суше, то в море можно утонуть". Кобб добавляет, что большинтсво компаний следят за появлением новых систем безопасности и готовы их использовать.
По утверждению Кобба, даже если компания уже придерживается какой-либо политики информационной безопасности, то возможно, ее понадобится изменить, чтобы привести в соответствие с особенностями intranet. "Мы поменяли нашу политику информационной безопасности под влиянием intranet, открытых и распределенных сетей", - говорит Линда Мак-Ги, менеджер по защите информации фирмы Lockheed Martin (г. Орландо, шт. Флорида). По словам Мак-Ги, политика информационной безопасности фирмы заключается в определении категорий данных и формулировке основных принципов защиты информации. Он дает несколько рекомендаций о том, что должна включать в себя политика информационной безопасности для intranet. Сотрудники фирм, размещающие информацию в intranet, должны помнить, что они отвечают за проверку информации (например, не содержит ли она вирусов и является ли достоверной). Служащие компаний должны знать, что они несут ответственность за размещение на Web-сервере конфиденциальной информации (вне зависимости от того, было ли это сделано преднамеренно или случайно).
"Сотрудники компании должны понимать, что основной целью политики информационной безопасности является защита информации, жизненно важнй для деятельности компании, а следовательно, и для их работы", - говорит Кобб.
"Чикагская нефтехимическая корпорация Amoco дополняет свою политику информационной безопасности новыми процедурами и принципами каждый раз, когда появляется новая технология", - говорит Девид Бернс, аналитик по информационной безопасности компании. Для intranet корпорация Amoco организовала специальную комиссию по надзору, следящую за тем, чтобы конфиденциальная информация не была доступна всем сотрудникам компании. "В стремлении развивать intranet и, соответственно, делать информацию общедоступной легко переусердствовать. Поэтому мы придерживаемся контроля и равновесия, - утверждает Бернс. - Основным принципом нашей группы является развитие intranet в разумных пределах".
Что говорят эксперты
Специалисты по защите информации согласны с тем, что бурный рост сетей Internet/intranet сопровождается развитием средств информационной безопасности, но очень многое еще нужно усовершенствовать. Послушаем, что думают эксперты о сегодняшнем состоянии информационной безопасности.
"Многим компаниям следует хорошенько изучить принципы информационной защиты данных, компьютеров и локальных сетей, прежде чем переходить к intranet ".
Стивен Кобб, руководитель специальных проектов Национальной ассоциации компьютерной безопасности (NCSA).
"Информационная безопасность может быть значительно улучшена. Дело в том, что существует очень большой разрыв между риском, которому подвергаются компьютерные сети большинства компаний, и мерами по снижению этого риска".
Ричард Косински, президент фирмы компьютерной безопасности NeTegrity, ( г. Уолтем, шт. Массачусетс).
"Сегодня компьютерная безопасность чаще всего основывается на принципе противодействия, а не упреждения. Технологии, подобные Web, во многих случаях развиваются быстрее, чем на это может отреагировать корпоративные службы компьютерной безопасности".
Грег Дин, старший менеджер Службы информационной безопасности Ernst & Young LLP Lake Michigan (г. Чикаго).
"Обычно мы сталкиваемся с такой доступностью компьютеров компаний, что преодолеть систему их защиты не сложнее, чем разрезать масло горячим ножом".
Тони Дженингс, президент консультационной фирмы по информационной безопасности,( Сан-Антонио, шт. Техас).
"Открытость систем связи и простота совместного использования информации, поддерживаемая протоколом TCP/IP, противоречат задачам обеспечения безопасности и минимизации доступа к intranet. Из-за этой двойственности обеспечить безопасность в intranet очень сложно".
Том Нунен, президент фирмы Internet Security Systems