Как защитить информационную сеть

ЕСЛИ ВАМ НЕ ДАЕТ СПОКОЙНО СПАТЬ МЫСЛЬ О ТОМ, ЧТО КТО-ТО, БЫТЬ МОЖЕТ, В ЭТУ МИНУТУ ПЫТАЕТСЯ ПРОНИКНУТЬ В ВАШУ СЕТЬ, ТО ПОРА ПРИНИМАТЬ МЕРЫ. НАИЛУЧШИЙ СПОСОБ ВЫЯСНИТЬ, НАСКОЛЬКО ХОРОШО (ИЛИ ПЛОХО) ЗАЩИЩЕНА ВАША ИНФОРМАЦИОННАЯ СИСТЕМА, - ПРОВЕСТИ ПРОВЕРКУ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ.

Проверить систему защиты информационной сети — все равно что сходить к зубному врачу. На это нелегко найти время, а когда, наконец, выберешься, ничего хорошего ожидать не приходится. Да и сама такая проверка в значительной степени напоминает санацию ротовой полости: надо вовремя выявить все проблемы, игнорирование которых может привести к очень серьезным последствиям.

Цель проверки системы защиты — найти возможные уязвимые места и разобраться, насколько они опасны и что надо сделать для их устранения. Бывают и такие «дырки» в системе защиты, которые совершенно не обязательно закрывать; во всяком случае, с ними сопряжен невысокий риск, а на их устранение придется затратить непропорционально большие усилия. Интерпретация результатов может оказаться не менее сложной, чем собственно проверка.

Один из способов понять, насколько серьезна та или иная брешь, — спросить себя: «Не может ли злоумышленник добиться того же результата другим, более легким, способом?» В самом деле, если кому-то настолько нужны ваши данные, что он готов подбирать пароль прямым перебором вариантов, то не проще ли ему будет притвориться уборщиком и ночью, когда все уйдут, запустить руку в шкаф с бумагами?

Пропал сон? Это нервное...

Как ни трудно с этим смириться, но первым шагом к обеспечению безопасности вашей корпоративной сети станет понимание того, что полной безопасности не удастся добиться никогда. Тот, кого история хоть чему-то научила, знает: изворотливый человеческий ум всегда найдет способ подсмотреть содержимое любой коробочки, как бы надежно она ни была запечатана. Чем скорее вы осознаете эту истину, тем крепче будете спать по ночам.

Затем можно спокойно заняться усовершенствованием системы защиты данных в сети, стоически относясь к характерному для любого отдела автоматизации недостатку времени и персонала. Лучше всего начать с проверки системы безопасности, и отталкиваясь от ее результатов, принимать решение о направлении ресурсов на дальнейшее улучшение.

До недавнего времени для использования средств повышения уровня защиты данных необходимо было глубоко разбираться в массе вещей — от деталей функционирования протокола TCP/IP до распределения прав пользователей средствами ядра Unix. Мало того, почти все они были несовершенными и неуклюжими. Немалый опыт работы с Unix требовался даже для того, чтобы просто заставить их работать. Это похоже на ситуацию, когда единственный зубной врач в городе ведет прием в здании без таблички, до него нельзя дозвониться, а все диагнозы он сообщает только по-латыни.

По этим причинам, хотя важность защиты данных признают все, мало кто предпринимает какие бы то ни было меры для ее обеспечения — исключение составляют лишь случаи, когда брешь в системе информационной безопасности грозит обернуться колоссальными потерями. По счастью, средства защиты данных становятся все более дружественными, а сам процесс проверки все меньше отдает черной магией и все больше превращается в рядовую повседневную обязанность сотрудников отдела автоматизации.

По существу, обеспечение защиты данных — непрерывный процесс, а не единовременное действие. Изменения в сети происходят постоянно. Максимум, который можно получить от средств контроля, — это мгновенная «фотография» состояния сети, поэтому пользу они могут принести только в том случае, если сделать проверку системы защиты частью каждодневной работы по поддержанию работоспособности сети.

Будет немного больно

Продолжая аналогию, можно сказать, что мы решили сами поискать кариесные темные пятнышки на белоснежной зубной эмали. Цель нашего исследования состояла в том, чтобы разработать разумный сценарий всеобъемлющей проверки степени защищенности сети и узнать, какие средства лучше всего для этого подходят. Мы сочли, что кратчайший путь к успеху — реальная проверка системы защиты данных «типичной сети», развернутой в испытательном центре InfoWorld. Были протестированы следующие средства: Enterprise Security Manager от Axent Technologies, Internet Security Scanner 5.0 for Windows NT от Internet Security Systems, бета-версию программы NetSonar от WheelGroup, а также рапространяемую бесплатно программу Security Administrator's Tool for Auditing Networks, или Satan.

Стремясь охватить как можно больше подходов, мы рассмотрели также возможность заказа подобной проверки на стороне. Сотрудники службы Internetworking and Security Consulting Services, подразделения компании International Network Services, приехали в наш испытательный центр и сами провели испытания сети.

В нашей тестовой сети есть самые разные машины, на них установлены операционные системы Windows, Unix и продукты Novell. Кроме того, в сети имелись и другие компоненты, критически важные с точки зрения защиты данных, — маршрутизатор для подключения к территориально-распределенным сетям, сервер удаленного доступа, межсетевой экран. Все эти устройства работали под TCP/IP.

По возможности, мы стремились выработать конкретные рекомендации. Впрочем, многие из обнаруженных нами фактов имели отношение далеко не ко всем сетям, поэтому мы сочли своей главной задачей информировать читателя об основных шагах, необходимых для обеспечения безопасности сети. Добравшись до конца статьи, вы получите представление о том, как должен выглядеть план борьбы за безопасность данных и как ответить на требование генерального директора вашей компании немедленно предоставить сведения о том, насколько защищена ее информационная система.

Мы собрали две сети, которым предстояло стать объектом проверки. В них использовался только протокол TCP/IP; сети разделял межсетевой экран Gauntlet от Trusted Information Systems (TIS), работавший поверх Windows NT 4.0. В одной из сетей насчитывалось 15 машин, на них были установлены (без какой-либо дополнительной настройки) операционные системы NT 4.0, Sun Solaris 2.5.1 и 2.6, NetWare 4.11. Во второй сети насчитывалось более 100 машин, на которых также были установлены различные операционные системы. Таким образом мы рассчитывали проверить масштабируемость решения.

Проверка состояла из трех основных этапов. Сначала мы внимательно изучили все аспекты корпоративной политики в области защиты данных. Затем, используя всевозможные средства, тщательно проанализировали работу испытательной сети. Наконец, провели интерпретацию отчетов, сгенерированных нашими средствами.

ШАГ 1: ПОДГОТОВКА

Мы так спешили добраться до лаборатории и начать дергать нашу сеть за всевозможные чувствительные ниточки, что нарушили первое правило проведения испытаний. Через некоторое время сама жизнь преподнесла нам важный урок. Прежде чем начать делать что бы то ни было, совершенно необходимо определить цели проверки. Это означает, что нужно переговорить с руководителями компании и заняться вместе с ними работой не для белых людей: анализом рисков, выработкой и анализом политики в области информационной безопасности.

В данной статье мы сосредоточили основное внимание на самом процессе проверки и тех средствах, которые позволяют провести его с максимальным успехом. Но хотя анализ рисков и выработка корпоративной политики выходят за рамки нашего материала, о них ни в коем случае не следует забывать. В основе любой проверки системы защиты данных должна лежать серьезная информация о рисках, которым подвергается целостность корпоративных данных; она должна быть зафиксирована в документации, определяющей политику в этой области.

Подготовительная фаза испытаний оказалась не слишком болезненной. Мы обнаружили массу информации, весьма полезной для выработки эффективной политики в области защиты данных. В частности, существует бесплатный справочник Site Security Handbook, опубликованный в виде RFC 1244, к которому можно получить доступ через Web-сервер компании InterNIC (http://www.internic.net; см. также таблицу). Если ваша организация не способна самостоятельно разработать эту политику, такую услугу может оказать сторонний консультант. (См. на нашем Web-сервере: «Можно ли пользоваться услугами сторонней организации при проверке системы защиты данных». — Прим. ред.)

При подготовке к ревизии системы безопасности вы должны будете дать ответы на четыре вопроса: кто, что, когда и как?

Если ваша организация значительна по масштабам и насчитывает в своем составе несколько отделов, ни в коем случае не игнорируйте вопрос «кто?». Чтобы не повредить сети (а также вашему личному здоровью), заручитесь письменным разрешением на проверку систем разных отделов. Без такого разрешения вряд ли стоит начинать проверку, например, сервера финансового отдела на устойчивость к атаке типа «отказ в обслуживании».

Отвечая на вопрос «что?», вспомните следующее. Все проверки обычно сосредотачиваются на устройствах трех категорий: компьютерах, активном и пассивном сетевом оборудовании, межсетевых экранах.

Ответ на вопрос «когда?» должен содержаться в документах, определяющих корпоративную политику в области защиты данных. Имеется некое общепринятое эмпирическое правило, согласно которому компьютеры и сетевые устройства надо проверять раз в год, а межсетевые экраны — раз в полгода. Кроме того, имеет смысл проводить ревизии после обнаружения бреши в системе защиты и перед вводом новой системы в эксплуатацию.

Вопрос «как?» означает: «Какими инструментальными средствами следует пользоваться, чтобы проверка оказалась максимально эффективной?» Чтобы помочь вам в принятии решения, мы рассмотрели, как работает ряд лучших средств, доступных на рынке. Тот, кто остановит свой выбор на бесплатно распространяемых средствах (типа Satan), должен будет внимательно проследить за целостностью получаемого дистрибутива. Если этим пренебречь, можно попасть в крайне неприятную ситуацию: результаты крупномасштабной проверки будут поставлены под сомнение из-за дефектов, обнаруженных в самом использованном средстве. Никто не сочтет вас параноиком даже в том случае, если вы затеете проверку целостности коммерческого программного продукта по цифровой сигнатуре (например, компания ISS публикует на своем Web-сервере рассчитанные по алгортиму MD5 контрольные суммы для всех продуктов, поступающих в продажу в виде двоичных файлов).

Необходимо также продумать, с какой сетевой станции производить проверку. Доступ к ней по сети должен быть полностью закрыт — в противном случае какой-нибудь недобросовестный пользователь способен завладеть управлением средствами проверки и обратить их во зло. В идеале, используемое инструментальное средство должно представлять собой небольшое переносное устройство, которое можно отсоединять от сети и запирать на ключ. Время от времени требует проверять и степень защищенности самого средства.

ШАГ 2: ПРОВЕРКА

Можно начинать?

Справившись со стремлением немедленно что-нибудь сделать, мы совершили все необходимые приготовления. И вот, наконец, настало время достать припасенные инструменты и приступить к работе. Вернее, почти настало. Прежде будет уместно вспомнить, что проверка может потребовать привлечения не только технических, но и иных средств.

Вам придется обойти все помещения компании и выяснить, каким образом пользователи обычно работают с системой. Следует узнать, кто из них имеет привилегии, какие системы критически важны для работы сети и в чем заключаются их функции, какова топология сети и кто решает основные сетевые проблемы. Необходимо уточнить, насколько сотрудники компании знакомы с политикой в области информационной безопасности, до какой степени готовы (или не готовы) к чрезвычайным ситуациям, грамотно ли составлены инструкции по поведению в критических ситуациях. Тут опять не обойтись без разговоров с людьми.

Средства, которые мы тестировали, предоставляют много полезной информации, однако они не скажут вам, в какое время обычно входят по утрам в систему пользователи из финансового отдела и почему секретарь генерального директора имеет корневые привилегии (root privileges) на сервере отдела проектов. Такие данные ничуть не менее важны для обеспечения информационной безопасности организации, чем устойчивость Web-сервера к внешним атакам того или иного рода. Выполнив все действия, не связанные с применением технических средств, можно вытереть пот со лба и обратиться к мощи современной техники.

Различные архитектуры

Если говорить по существу, все протестированные нами инструментальные средства служат для автоматизации утомительного и занимающего много времени процесса просмотра всех системных журналов, проверки целостности файлов и сетевых услуг. Проверяются также возможные пути проникновения злоумышленников, выявленные самими производителями либо такими организациями, как CERT (Computer Emergency Response Team Coordination Center, Центр координации действий команд быстрого реагирования на компьютерные инциденты) или CIAC (Computer Incident Advisory Capability, Комиссия советников по компьютерным инцидентам при Министерстве энергетики США).

Эффективность использования тех или иных технических средств в значительной степени определяется их архитектурой. С точки зрения архитектуры, опробованные нами средства можно подразделить на две категории: диспетчер/агент и сетевой сканер.

Архитектура диспетчер/агент представлена только одним продуктом, Enterprise Security Manager (ESM) от Axent Technologies. Он осуществляет проверку работы сетевых станций с центральной консоли, которая получает информацию от программных агентов, установленных на конечных системах. В этом заключается и слабость, и главная сила ESM.

Сначала у нас не вызвала большого энтузиазма перспектива инсталляции агентов ESM на разнообразных машинах, установленных в испытательной сети. Мы спрашивали себя, сколько же нам потребуется умения и труда, чтобы добавить лишний слой управляемого программного обеспечения к весьма объемистому пирогу из антивирусных программ и прочих утилит, установленных на серверах и рабочих станциях. Однако Axent не подвел: в прекрасно составленном руководстве по инсталляции продукта были даны описания нескольких красивых решений для дистанционной установки под NT, а также через FTP/Telnet под Unix.

В любом случае, пользователь на удаленной машине, с которой осуществляется установка, должен иметь привилегии для выполнения админстративных действий, в чем состоит одно из слабых мест описываемой системы. Сильная же сторона решения на основе архитектуры диспетчер/агент, на наш взгляд, заключается в том, что агент может собрать весьма «тонкую» информацию о сетевой станции. В особенности это хорошо для тех машин, о которых нельзя получить полную информацию с помощью стандартных зондов TCP/IP (например, применяемых нашем тестовом сервере NetWare 4.11).

Все прочие испытанные нами средства — бесплатный Satan, Internet Scanner от Internet Security Systems, NetSonar от WheelGroup — представляют собой сетевые сканеры. Поскольку на анализируемых машинах ничего устанавливать не надо, инсталляция сетевых сканеров проходит значительно легче, чем при использовании архитектуры диспетчер/агент. Сетевые сканеры способны собирать на удивление подробную информацию об отдельных машинах, однако, как правило, эти данные не выходят за рамки того, что можно получить благодаря обычным средствам удаленного доступа. Однако сетевые сканеры позволяют администратору анализировать работу всех машин подсети без вхождения с ними в непосредственный контакт.

Что же касается общего удобства работы, мы обнаружили: все средства снабжены интуитивным графическим интерфейсом пользователя, поэтому для конфигурирования и запуска проверки достаточно нескольких щелчков мышью. ESM и NetSonar способны запускать проверки по расписанию, а вот в ISS и Satan такая функция отсутствует (правда, для активизации этих средств можно использовать стандартные планировщики операционной системы — например, AT в NT или cron в Unix).

Всем инструментальным средствам требовалось значительное время для сканирования наших тестовых сетей, содержащих более 100 узлов. Они часто нарушали работу сети, причем это зависело от глубины требуемой нам информации. Можно избежать нарушений в работе сети, спланировав запуск сетевых средств на нерабочее время. Во время своей работы все эти программы позволяют вам заниматься другими делами. Настоящая охота начинается, когда их работа заканчивается.

ШАГ 3: ОТЧЕТ

Эффект разорвавшейся бомбы

Средства оценки информационной безопасности обеспечивают генерацию огромного количества текстовой информации и более чем достаточного числа графиков по каждой из обнаруженных «дыр» в системе защиты. Если данная информация попадет не в те руки, последствия могут оказаться самыми ужасными. Необходимо заранее оговорить, кто именно получит копии отчета. Причем должны распространяться только распечатки (а не копии файлов) и только под роспись: получивший отчет принимает на себя ответственность за его хранение. Копии предоставляются очень ограниченному числу людей, а оригинал следует хранить в надежном месте (т. е. не в сети и, желательно, в зашифрованном виде) — он может понадобиться для сравнения с результатами следующей проверки.

Какое впечатление произвели на нас полученные отчеты? Все рассмотренные средства позволяли значительно сэкономить время при обследовании системы защиты большинства стандартных узлов сети TCP/IP; тем не менее они еще не в состоянии распознать все потенциальные дефекты в характеризуемой значительным разнообразием сети масштаба предприятия. Главная точка входа в нашу сеть — сервер удаленного доступа с модемным пулом — выпал из поля зрения практически всех средств.

Поразило нас и то, до какой степени различались отчеты, сгенерированные сетевыми сканерами и детищем Axent (имевшим, как мы помним, архитектуру диспетчер/агент). Сканеры выдали нам перечень «дверей», оказавшихся незапертыми, приоткрытыми или широко распахнутыми. Напротив, ESM снабдил нас информацией о том, что находится за этими «дверями», с деталировкой вплоть до уровня отдельных файлов.

Например, Internet Scanner распознал все сетевые службы, запущенные в нашей испытательной сети, и даже обнаружил ряд потенциальных дефектов NT, из-за которых обычные пользователи могли получить привилегии, достаточные для доступа к критически важным ресурсам. Кроме того, этот сканер всячески «нападал» на наш межсетевой экран, пытаясь применить к нему как предложенные производителем уловки, так и грубую силу — впрочем, без всякого успеха.

ESM оказался не в состоянии в полной мере отработать перечисленные проблемы. Он занимается оценкой целостности файлов и объектов, привилегий на доступ к файлам, целостности учетных записей и надежность паролей, целостности файлов, используемых при начале работы, и резервных копий. Проверялся также целый ряд других возможных признаков наличия бреши в системе защиты. Для решения всех этих задач применялся метод сравнения с параметрами, заданными пользователем. Таким образом, ESM ищет не сами уязвимые места, а нарушения правил информационной безопасности, установленных в организации.

Мы рекомендуем использовать одновременно сканеры и средства архитектуры диспетчер/агент — таким образом вы сможете получать точную картину работы сети. И дело здесь не только в планировании развития сети. Когда у вас под руками оба средства, вы способны разрабатывать «глубоко эшелонированную оборону», воздвигая на пути потенциального злоумышленника несколько контрольных пунктов. Так снижается риск прозевать какую-нибудь «дыру».

Данные в избытке

Проанализированные нами средства генерируют колоссальное количество данных (даже для нашей сети из 15 узлов), в которых легко утонуть. Например, запустив ESM с целью анализа корпоративной политики, мы слегка вышли за планировавшиеся рамки и потребовали оценить привилегии владельцев некоторых локальных файлов. В результате была получена распечатка более чем 100 страниц, содержащая информацию о коллективном владении всеми файлами типа .inf на одной из наших рабочих станций под NT. Это, конечно, крайний случай, однако он служит хорошей иллюстрацией того, насколько важна оценка реально необходимого для работы количества информации.

Еще один вывод: крайне важно, чтобы средство проверки системы защиты было снабжено хорошей системой генерации отчетов. Здесь в лидерах оказался Internet Scanner, выдававший прекрасные отчеты для персонала различных уровней (руководителей высшего и среднего звена, технических сотрудников). В отчеты были встроены цветные диаграммы и ссылки на более подробную информацию об обнаруженных уязвимых местах. Напротив, ESM предоставляет только слепенькие тексты, напечатанные через один интервал и практически указывающие лишь количество обнаруженных «дырок». Воспользовавшись графическим интерфейсом пользователя, можно получить и цветные диаграммы, и более точную информацию об уязвимых местах, однако текущая версия ПО не позволяет их распечатывать.

В обеих программах предусмотрена возможность получения глубокой информации (до машинного уровня) обо всех возникающих проблемах — достаточно просто дважды щелкнуть мышью на соответствующем объекте на диаграмме. Некоторые из полученных таким образом данных указывали на редкие и трудные для исследования уязвимые места, устранение которых может отнять у администратора сети немало времени.

Например, Internet Scanner выдал информацию о серьезном (severe) слабом месте одной из машин Sun под Solaris; при этом указывалось на наличие на данной машине инструментального средства admind. Мы потратили не один час, выясняя, о чем идет речь, но не добились ни вразумительного описания дефекта, ни даже ответа на вопрос, имеет ли он отношение к установленной у нас конкретной версии. Местоположение «заплаток» нам тоже не удалось выяснить.

Администратор системы должен быть готов потратить львиную долю общего времени ревизии на то, чтобы ознакомиться с полученными данными и определить приоритеты выявленных проблем. Затем требуются повторный анализ рисков и переоценка политики в области информационной безопасности. Далее — повторная проверка и интерпретация сгенерированных отчетов. Не кажется ли вам забавным периодическое повторение проверок системы защиты? Этот цикл должен повторяться снова и снова — до тех пор, пока компьютеры связаны в сеть... Один совет напоследок: даже если в вашем распоряжении имеется всемогущий сетевой сканер, получивший одобрение испытательного центра Infoworld, это еще не повод для отказа от проверок. Не забывайте, что во мраке сети может притаиться зловещее Нечто.

Где найти средства проверки безопасности сети