Требования к защищенной инфраструктуре

Использование прокси-систем

Использование прокси-систем может обеспечить защиту серверных приложений и Web-серверов. Считайте, что прокси является разновидностью брандмауэра, которая работает за пределами уровня протокола TCP/IP. На них иногда ссылаются как на "шлюзы приложений", хотя этот термин в последнее время используется менее часто. Протоколы приложений обычно поддерживают HTTP, FTP и telnet, но виртуально могут включать любой протокол TCP/IP. Прокси-системы для конечного пользователя обычно прозрачны. Мы исследуем характеристики брандмауэров и прокси, а также выполняемые прокси специфичные функции в последующих лекциях. На этой стадии в качестве ключевого момента вы должны понимать, что прокси являются неотъемлемым компонентом передового опыта обеспечения безопасности.

Не так давно эксперты в области безопасности регулярно использовали термин "хост-бастион". Этот термин выпал из общего использования и попал в жаргон безопасности, возможно, благодаря оригинальной концепции хоста-бастиона, выполняющего роль "принесенного в жертву хоста" между Интернетом и внутренней сетью. В последние несколько лет функции, выполняемые уровнями защиты между Интернетом и внутренней сетью, становятся более совершенными. Вместо того чтобы располагать хост в области, уязвимой для атак (и в худшем случае "приносить его в жертву"), сегодня принято минимизировать уязвимость всех компонентов инфраструктуры, а также избегать хранения любых данных прямо в сетях, доступных извне. Лучше, чем быть готовым принести в жертву сервер и потенциально данные на нем, мы применим архитектуру, которая использует технологию и методы разделения для удаления данных из сетей, смежных с Интернетом.

Прокси-системы являются полезным инструментом для обеспечения высокой степени разделения ресурсов, которые предоставляет мост для перемещения избранных пакетов из одной сети в другую. Прокси-системы маскируют или скрывают то, что находится на противоположной для конечного пользователя стороне, и это делают проводимую возможным нарушителем защиты разведку затруднительной или невозможной. В отличие от TCP/IP маршрутизатора, выполняющего простое преобразование сетевых адресов (NAT), прокси обычно переписывают части заголовков данных приложения в дополнение к информации заголовка сетевого пакета. Если прокси-системы и имеют одно основное слабое место, то оно относится к ограничениям в работе по причине определенного количества непроизводительных потерь на фильтрацию, просмотр и перезапись пакетов данных при передаче с одного сетевого порта на другой.

Реализация обнаружения вторжения

Вторжение подразумевает ситуации, когда некая сторона (или стороны) получает доступ, пытается получить доступ или пытается разрушить компьютерный ресурс, который ей не разрешено использовать. Вовлеченной стороной может выступать человек, программа либо их комбинация. Компьютерным ресурсом, выбранным в качестве цели, может быть сервер, приложение, база данных, сетевая ссылка и т. д. Системы обнаружения вторжения (IDS) являются важной мерой обеспечения безопасности, потому что они могут предупредить вас об атаке еще в процессе ее выполнения (успешная или нет). Раннее обнаружение является важным моментом в обеспечении безопасности, поскольку попытки взломов или атак, как правило, начинаются с "исследования" цели для нахождения возможных уязвимостей или перспектив доступа. Это исследование обычно выполняется посредством сканирования TCP/IP портов для последующей их эксплуатации с целью определения возможности атаки. В идеальном случае ваши методы обнаружения вторжений позволят обнаружить подозрительную активность на ранних фазах попыток атаки.

Использование обнаружения вторжения способно не только обнаружить предпринимаемую атаку в процессе ее выполнения, но также и предупредить вас о том факте, что была выполнена успешная атака, которая произвела взлом определенной области. В то время как некоторые взломы достаточно очевидны, например хулиганство на вашей корпоративной Web-странице, некоторые атаки могут легко пройти незамеченными.

Существует вопрос, который мы слышим от некоторых клиентов: "Подразумевает ли обнаружение сетевого вторжения перехват сообщений?" Это поднимает интересные этические вопросы, однако правовые понятия относительно определения перехвата сообщений широко расходятся в разных странах. В большинстве стран разрешено производить мониторинг активности на вашем собственном оборудовании, хотя могут быть установлены ограничения на то, какой контент может, а какой не может подвергаться мониторингу. Возможны также различия в зависимости от того, проводится ли мониторинг для внутренних пользователей (служащих) либо для внешних клиентов. В США действует легальное преимущество, позволяющее нанимателю отслеживать использование собственного оборудования компании ее служащими. Однако мы рекомендуем, чтобы весь внутренний мониторинг активности служащих был четко разъяснен либо в трудовой политике, либо в политике безопасности (либо в обеих).

Существует четыре основные категории систем обнаружения вторжения (IDS): сетевые (NIDS), системы проверки целостности хоста, системы мониторинга активности и сканеры контента. Последние не всегда рассматриваются как IDS, но большинство людей согласится, что e-mail-вирус является разновидностью атаки, поэтому и сканер-вирусов может рассматриваться как специализированный тип IDS. Мы рассмотрим все эти различные типы IDS в разделе 4.1.5, "Системы обнаружения вторжения".

Критическим фактором эффективности большинства вариантов обнаружения вторжения является использование современных сигнатурных файлов (файлов характерных признаков). Сейчас постоянно появляются новые уязвимости, все время открываются новые методы для атакующих систем. Сигнатурные файлы обеспечивают IDS последними образцами, которые отображают тип атаки, например отказ в обслуживании или новый вирус, червь и т. д. Заметьте, что обновление сигнатурных файлов это не то же самое, что обновление самого кода IDS. Мы обсудим обновления кода ОС и приложений в разделе "Применение обновлений об уязвимости в безопасности".

Обеспечение целостности данных

В этом разделе мы опишем следующие методы обеспечения целостности данных:

• Гарантирование неизменности данных во время транзита.
• Обеспечение целостности управления доступом для фильтрации обновлений и администрирования.
• Поддержка непрерывности ведения бизнеса во время резервирования и обработки отказов.
• Использование безопасных инструментов для поддержки требуемых подсистем.
• Требование к компонентам инфраструктуры иметь все обновления об уязвимостях в безопасности, применяя их регулярным образом.
• Использование рабочих процедур, включающих аудит и отчетность.
• Реализация системы доступа для обеспечения требований безопасности.

Гарантирование неизменности данных во время транзита

"Целостность данных" в простейшем смысле означает, что данные не были изменены. В сетевом контексте существует две содержащиеся в пакете части: заголовок и полезная нагрузка данных. Предотвращению или обнаружению изменений в информации заголовка способствует управление доступом и аутентификацией с точки зрения сетевого (IP) адреса. Аутентификация (в этом контексте) означает, что мы можем идентифицировать адреса источника и получателя. С сетевой точки зрения можно применить управление сетевым доступом, основанное на IP-адресах и транспортных протоколах. Но сетевые адреса источника и получателя в пакете обычно представляются в незашифрованном виде; таким образом, мы нуждаемся в средствах предотвращения или обнаружения несанкционированного изменения данных либо их фальсификации.

Уникальными средством доказательства того, что данные не были изменены, является использование цифровых подписей, или, если более конкретно, включение случайной информации из данных (хеша) вместе с самими данными, причем целостность этих случайных данных защищается криптографией. Цифровая подпись или другие шифрованные случайные данные используются для гарантии того, что переданные данные не были испорчены либо изменены другим образом. Отправитель генерирует хеш данных, шифрует его и отправляет вместе с самими данными. После этого получатель дешифрует как данные, так и хеш, получает собственный хеш из принятых данных (с использование того же алгоритма хеширования) и сравнивает эти два хеша. Если значения двух хешей совпадают, мы имеем высокую степень доверия к тому, что данные были переданы неповрежденными и неизмененными.

Средства невозможности отказа от авторства гарантируют, что переданные данные были отправлены и получены сторонами, заявившими об отправке и получении данных. Цифровая подпись предусматривает средство подтверждения подлинности источника. Поскольку больше никто другой не может (теоретически) создать подпись, то она является доказательством того, что данные исходят от подписавшегося. Другим аспектом невозможности отказа от авторства является способ получения подтверждения того, что данные (или сообщение) были получены получателем. Этот механизм "подтверждения доставки" обычно выполняется на уровне приложения, а не на сетевом уровне. В этой лекции мы фокусируем внимание в основном на вопросах сетевого уровня.

Управление доступом для безопасного администрирования

Мы уже упоминали об особом беспокойстве относительно доступа администраторов в разделе "Идентификация абонентов и разрешение доступа". В этом разделе мы начнем с определения двух категорий "полномочий" для различения того, что мы имеем в виду под "безопасным администрированием".

• Системные полномочия – полномочия, данные лицу путем задания атрибутов, привилегий или прав доступа, которые связаны с операционными системами и требуются для выполнения действий по эксплуатации и поддержке системы.
• Административные полномочия безопасности – полномочия, данные лицу путем задания атрибутов или привилегий, которые связаны с системами управления доступом и требуются для установки и администрирования элементов управления безопасностью в масштабе всей системы.

Пользователи с административными полномочиями безопасности могут неправильно применять свои полномочия таким способом, который позволит им вносить изменения в системные компоненты. Пользователи с системными полномочиями могут неправильно применять свои полномочия таким способом, который позволит им обойти систему управления доступом. Каждая из этих ситуаций должна рассматриваться как злоупотребление полномочиями.

Каждая из основных системных платформ и подсистем в инфраструктуре должна включать в себя систему управления доступом. Для достижения приемлемого уровня безопасности системы политика безопасности организации должна содержать:

• определение стандартных систем управления доступом;
• определение административных полномочий безопасности, связанных с этими системами управления доступом;
• обязательные стандарты управления и реализации по умолчанию для этих систем управления доступом.

Обеспечение доступности

Обеспечение гарантии доступности системы сталкивает между собой требования к ведению бизнеса в вашей организации с понятиями резервирования и обработки отказа. Несмотря на то что доступность системы не всегда сопоставима с безопасностью, DoS-атаки (отказ в обслуживании) весьма реальны, в связи с чем системы с едиными точками отказа становятся чрезвычайно уязвимыми. Команда создателей этого курса имеет собственный опыт в том, что DoS-атака может произойти в каком угодно месте сети просто благодаря непреднамеренной разблокировке вируса-червя. Таким образом, не рассчитывайте, что резервирование должно фокусироваться только на внешнем доступе в вашу систему.

По большей части резервирование должно быть разработано таким образом, чтобы оно скрывало физическое резервирование с точки зрения пользователя. Необходимо предусмотреть создание не только такой системы, которая была бы проще для конечных пользователей, но и такой, которая создает среду, делающую для нарушителя более затруднительной прямую атаку на определенный компонент.

Еще одним ключевым компонентом доступности является мониторинг системы. Системные и сетевые отказы должны быть обнаружены, и ответственные стороны должны быть уведомлены настолько быстро, насколько это возможно.