Рекомендации по усилению защиты корпоративных сетей от внутренних нарушителей На основании рассмотренных угроз и методов защиты сформулированы рекомендации, цель которых – снизить вероятность угроз, исходящих от внутренних нарушителей. 1. Заменить все имеющиеся в сети концентраторы на коммутаторы. Это позволит усложнить несанкционированное прослушивание трафика. Если позволяют финансовые возможности установить «интеллектуальные» управляемые коммутаторы 3-го уровня, обладающие расширенными возможностями в плане безопасности, например функцией port-security. 2. При использовании корпоративной почты рекомендуется задействовать механизмы шифрования, например, S/MIME или POP3S. Рекомендуется ограничить пользователям доступ к бесплатным электронным ящикам в Интернет. 3. Администраторам рекомендуется постоянно держать запущенными две программы: утилиту обнаружения атаки ARP-spoofing и сниффер, например, Cain, запущенный на маршрутизаторе или МЭ. Использование сниффера позволит увидеть сеть глазами потенциального нарушителя, выявить нарушителей политики безопасности. 4. Рекомендуется периодически анализировать защищенность корпоративной сети, используя сканеры уязвимостей. 5. Использовать шифрование сетевого трафика на прикладном, а лучше на сетевом уровне. Рекомендуется использование протокола IPSec. 6. Установить ПО, препятствующее запуску других программ, кроме назначенных администратором исходя из принципа: «Любому лицу предоставляются привилегии, необходимые для выполнения конкретных задач, но не больше». Все неиспользуемые порты компьютера должны быть аппаратно или программно дезактивированы. Это позволит значительно снизить вероятность всех угроз, осуществимых с рабочих станций пользователей. Поскольку, например, большинству снифферов для работы необходимо установить специальный драйвер. Существуют сертифицированные Гостехкомиссией средства защиты для локальных станций – Secret Net (НИП Информзащита), Spectr-M (СЦПС Спектр).
152 7. Для уменьшения риска угрозы расшифрования паролей рекомендуется: • Активизация опции политики безопасности Windows «Password must meet complexity requirements»; • Установка минимальной длины пароля в Windows 15 символов; • Периодическая смена паролей; • Обучение пользователей надежно хранить пароли. 8. Пользователь за своей рабочей станцией должен иметь пользовательские права. 9. Своевременное обновление всего ПО – для ОС, СОА, МЭ, антивирусного ПО значительно снижает риск использования эксплойтов, проникновения троянских программ, сетевых червей, вирусов. 10. Использование на рабочих местах по возможности и на серверах обязательно комплекта средств защиты – МЭ, СОА, антивирусное ПО. Лучше и удобнее, когда все составляющие от одного производителя, например, Symantec или Kaspersky. Если это дорого, можно обратится к ПО с открытыми исходными кодами – например, Snort. Есть и бесплатные антивирусы. 11. Важным элементом снижения возможного ущерба является процедура регулярного резервного копирования важной информации (backup). 12. Использование виртуальных ловушек для защиты корпоративной среды от внутренних нарушителей рекомендуется следующим образом: • Размещение ловушек, эмулирующих сервисы, на рабочих машинах администраторов и начальников вместе с рабочими сервисами. • Создание специальных серверов, полностью имитирующих уязвимые для атаки компьютеры. • Данные о польстившихся на легкую добычу использовать в защите всех машин своей сети. Часто менять имитацию уязвимых мест в сервисах. 13. Стратегия безопасности корпоративной сети, контроль, архитектура, политика, стандарты, процедуры и руководящие указания должны определяться и внедряться с учетом возможности атак умного, рационального и иррационального недоброжелателя, имеющего намерение навредить данной компании. 14. Ответственность и привилегии должны быть распределены таким образом, чтобы не допустить частных лиц или группу вступивших в сговор частных лиц к неправомерному управлению процессами по методу составных ключей, что может привести к серьезному ущербу и потерям. 153 15. Все незанятые слоты (порты, разъемы) компьютеров должны быть опечатаны, отключены физически и программно. Это позволит снизить вероятность угрозы использования личных съемных носителей информации, таких как флэш-память и USB-винчестеры, а также предотвратит несанкционированное подключение модема. Заключение Согласно результатам исследования компании «Ibas», проведенного в январе 2004 года, 70% сотрудников воруют конфиденциальную информацию с рабочих мест . Больше всего с работы уносят такие вещи, как книги электронных адресов, базы данных клиентов, а также коммерческие предложения и презентации. И, более того, 72% опрошенных не страдают этическими проблемами, считая, что имеют законные права на нематериальное имущество компании. С другой стороны, согласно существующей статистике, в коллективах людей, занятых той или иной деятельностью, как правило, только около 85% являются вполне лояльными (честными), а остальные 15% делятся примерно так: 5% - могут совершить что-нибудь противоправное, если, по их представлениям, вероятность заслуженного наказания мала; 5% - готовы рискнуть на противоправные действия, даже если шансы быть уличенным и наказанным складываются 50% на 50%; 5% - готовы пойти на противозаконный поступок, даже если они почти уверены в том, что будут уличены и наказаны. Такая статистика в той или иной мере может быть применима к коллективам, участвующим в разработке и эксплуатации информационно-технических составляющих компьютерных систем. Таким образом, можно предположить, что не менее 5% персонала, участвующего в разработке и эксплуатации программных комплексов, способны осуществить действия криминального характера из корыстных побуждений либо под влиянием каких-нибудь иных обстоятельств. Следовательно, затронутая в работе проблема вполне актуальна. И только в последнее время компании, специализирующиеся на разработке средств защиты, осознали необходимость в разработке средств защиты от внутренних нарушителей. Одну из первых систем подобного рода выпустила отечественная компания «Праймтек» в конце 2003 года. Система предназначена для контроля политики безопасности организации. Ярким примером актуальности проблемы защиты от внутренних нарушителей являются конфиденциальные базы данных по владельцам 154 недвижимости, движимости, телефонам, сводкам по криминалу и антикриминалу, базы данных ОВИР и многие другие, распространяемые нелегально на специализированных рынках в Москве и Санкт- Петербурге, а также через Интернет. Все эти базы похищаются недобросовестными сотрудниками, бороться с которыми власти пытаются организационными мерами. Так мэрия Москвы предлагает установить персональную ответственность соответствующих начальников отделов за нарушение конфиденциальности материалов государственных организаций. Важно, что во многих организациях недооценивают опасность, исходящую от внутренних нарушителей. Как показало исследование, проведенное журналом eWeek, 57% респондентов и не полагали, что угрозы изнутри организации гораздо более реальны, чем извне. 22% исследуемых вообще не задумывались о такой угрозе. А в 43% организаций учетные записи уволенных сотрудников не удаляются. Важным выводом является тот факт, что для совершения высокотехнологичного преступления злоумышленнику необязательно быть специалистом по информационным технологиям. Это означает, что практически любой сотрудник организации потенциально в состоянии нанести серьезный ущерб компании с использованием программных средств. Конкретные примеры иллюстрируют, что в сети Интернет можно найти огромное число обучающих материалов и готовых программных продуктов для реализации несанкционированного доступа к компьютерам в локальных вычислительных сетях. Многие статьи написаны доступным языком и снабжены подробными инструкциями по реализации атак. Однако проблема конечно не в наличие таких материалов, а в слабости современных технологий защиты сетей.
155 Список использованной литературы 1. Осовецкий Л.Г., Немолочнов О.Ф., Твердый Л.В., Беляков Д.А. Основы корпоративной теории информации. СПб: СПбГУ ИТМО, 2004 2. Гайкович В., Першин А. Безопасность банковских электронных систем, М.:1993 3. Наумов В. Отечественное законодательство в борьбе с компьютерными преступлениями // Computer World Россия, №8, 1997. 4. Гайкович В.Ю., Ершов Д.В. «Основы безопасности информационных технологий», – М.: МИФИ, 1995. 5. А. Астахов «Анализ защищенности корпоративных автоматизированных систем», Москва, информационный бюллетень Jet Info N7-2002 6. Лукацкий А.В. Как работает сканер безопасности. Hackzone, 1999 7. Александр Астахов «IDS как средство управления рисками» Internet URL http://www.globaltrust.ru/security/Pubs/Pub2_part5.htm 8. [А. В. Соколов, В. Ф. Шаньгин Защита информации в распределенных корпоративных сетях и системах, ДМК Пресс, 656 стр., 2002 г. 9. Internet URL http://www.robergraham.com/hacker-dictionary Hacker Dictionary 10. Deborah Russell, G. T. Gangemi, «Computer Security Basics», O’Reilly & Associates, Inc., Sebastopol, CA, 1991. 11. Крысин В.А. Безопасность предпринимательской деятельности. — М:Финансы и статистика, 1996 г. 12. Аджиев В. Мифы о безопасности программного обеспечения: уроки знаменитых катастроф. — Открытые системы, 1998 г., №6. 13. Internet URL http://www.globaltrust.ru/security/knowbase/Policies/Guide_Struct.htm «Структура руководства по обеспечению информационной безопасности» 14. Internet URL http://www.iitrust.ru/articles/zat_ibezop.htm "Как обосновать затраты на информационную безопасность?" 15. РД Гостехкомиссии «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» 16. Демин В.С. и др. Автоматизированные банковские системы. — М: Менатеп-Информ, 1997 г. 17. Whalen, Sean. "An Introduction to ARP Spoofing". Revision 1. April 2001 156 18. RFC 1734 POP3 Authentication command Internet URL http://www.faqs.org/rfcs/rfc1734.html 19. RFC 959 File Transfer Protocol Internet URL http://www.faqs.org/rfcs/rfc959.html 20. Internet URL http://www.securityfriday.com Cracking NTLMv2 Authentication 21. Internet URL www.hut.fi/autikkan/kerberos/docs/phase1/pdf/LATEST_final_report.pdf Kimmo Kasslin Antti Tikkanen Attacks on Kerberos V in a Windows 2000 Environment 09.05.2003 22. Internet URL http://www.brd.ie Frank O'Dwyer Feasibility of attacking Windows 2000 Kerberos Passwords 05.03.2002 23. Internet URL http://lasecwww.epfl.ch/php_code/publications/search.php?ref=Oech03 24. Internet URL http://www.antsight.com/zsl/rainbowcrack/ 25. Internet URL http://www.izone.kiev.ua Цифры на стороне Microsoft 26. Internet URL http://www.microsoft.com/technet/security/bulletin/ms03- 026.mspx 27. Internet URL http://securityfriday.com Daiji Sanai Detection of Promiscuous Nodes Using ARP Packets 31.08.2001 28. Internet URL http://www.sans.org SANS Bulletin Why your switched network isn't secure 29. Internet URL http://www.sans.org Tom King Packet Sniffing In a Switched Environment, August 2002 SANS Institute 30. Internet URL http://www.securitylab.ru/33493.html arp_antidote - средство для активной борьбы с атаками типа arpoison 31. Internet URL http://www.securitylab.ru/34607.html IP Smart Spoofing - новый метод отравления ARP кэша, 27 ноября 2002 года 32. Д. Аникин Против кого работает служба безопасности? Безопасность.Достоверность.Информация. №3 2003 стр. 18-19 33. Internet URL http://www.securitylab.ru/29827.html Михаил Разумов «Десять мифов о паролях в Windows» 34. Internet URL http://www.securitylab.ru/40572.html «Сканирование. За и Против» 35. Internet URL http://www .infosec.ru НИП Информзащита «СЗИ Secret Net 2000. Принципы построения»
157 Список рекомендуемой литературы Не надо читать много книг Мао Цзе Дун 1. А. В. Соколов, В. Ф. Шаньгин Защита информации в распределенных корпоративных сетях и системах, ДМК Пресс, 656 стр., 2002 г. 2. Х. Остерлох TCP/IP. Семейство протоколов передачи данных в сетях компьютеров. «ДиаСофтЮП», 576 стр., 2002 г. 3. В. Зима, А. Молдовян, Н. Молдовян Безопасность глобальных сетевых технологий, БХВ-Санкт-Петербург, 368 стр., 2002 г. 4. А.В. Лукацкий Обнаружение атак, БХВ-Санкт-Петербург, 596 стр., 2003 г. 5. И. Д. Медведковский, Б. В. Семьянов, Д. Г. Леонов, А. В. Лукацкий Атака из Internet, 368 стр., 2002 г. 6. И. Конев, А. Беляев Информационная безопасность предприятия СПб-БХВ-Санкт-Петербург, 2003 – 752 с. 7. Д. Скляров Искусство защиты и взлома информации, БХВ- Петербург, 288 стр., 2004 г. 8. А. Ю. Щеглов Защита компьютерной информации от несанкционированного доступа, Наука и Техника, 384 стр., 2004 г. 9. В. В. Домарев Безопасность информационных технологий. Методология создания систем защиты, ТИД "ДС", 688 стр., 2002 г. 10. Ховард М., Лебланк Д. Защищенный код/Пер. с англ. – М.: Издательско-торговый дом «Русская редакция», 2003. – 704 стр.
158 Контрольные вопросы 1. Корпоративная теория информации. Понятие корпорации, ресурсов, системы, языковых связей. Понятие ценности корпоративной информации. 2. Проблемы безопасности корпоративных компьютерных систем. 3. Комплексный подход к обеспечению ИБ. 4. Принципы обеспечения ИБ. 5. Концепция обеспечения безопасности информационных ресурсов корпоративных сетей 6. Основные понятия корпоративной сети. Особенности корпоративных сетей 7. Особенности и классификационные признаки корпоративных сетей. 8. Обобщенная структура корпоративной сети. 9. Структура управления эффективностью корпоративной сети. 10. Структура управления безопасностью корпоративной сети. 11. Защищенность АС. Нормативная база анализа защищенности (Общие критерии, РД Гостехкомиссии, ISO17799). 12. Методика анализа защищенности. Исходные данные по обследуемой АС. 13. Анализ конфигурации средств защиты внешнего периметра ЛВС. Методы тестирования системы защиты. Сетевые сканеры. Механизмы работы сканеров безопасности. 14. Межсетевые экраны, классификация, политика работы, схемы подключения. 15. Системы обнаружения атак. 16. Виртуальные частные сети. Общий обзор. 17. Функции и компоненты сети VPN. Механизмы туннелирования и инкапсуляции. 18. Классификация VPN. Общий обзор 19. Классификация VPN по уровню модели OSI. 20. Классификация VPN по архитектуре технического решения. Классификация VPN по способу технического решения. 21. Технические и экономические преимущества внедрения технологий VPN в корпоративные сети 22. Характеристика внутренних нарушителей. Классификация методов воздействия внутренних нарушителей на корпоративные сети 23. Угрозы прослушивания сетевого трафика в корпоративных сетях на основе концентраторов и коммутаторов. Атаки ARP-spoofing, MAC- Flooding и MAC-Duplicating. 24. Последствия угрозы прослушивания сетевого трафика.
159 25. Использование внутренними злоумышленниками сканеров уязвимостей 26. Классификация сетевых атак. Сетевые атаки, основанные на использовании уязвимостей в ПО. 27. Троянские программы и утилиты для сокрытия фактов компрометации системы. 28. Вирусы и сетевые черви. Несанкционированная установка дополнительных программно-технических средств. 29. Методы противодействия угрозе прослушивания трафика. (обнаружение снифферов ARP- и Ping-методами не надо). 30. Методы, снижающие риск угрозы расшифрования паролей 31. Обнаружение сканирования. Противодействие эксплойтам. 32. Противодействие троянским программам, сетевым червям и вирусам. Обнаружение утилит Rootkits. 33. Противодействие несанкционированной установке модемов 34. Системы централизованного мониторинга безопасности и виртуальные ловушки. 35. Рекомендации по усилению защиты корпоративных сетей от внутренних нарушителей.
160 Кафедра безопасных информационных технологий (БИТ) Санкт-Петербургского государственного университета информационных технологий, механики и оптики (СПб ГУ ИТМО) Кафедра Безопасные информационные технологии осуществляет подготовку специалистов по специальности 075300 – Организация и технология защиты информации. Квалификация: специалист по защите информации. Кафедра является базовой кафедрой Государственной технической комиссии при Президенте Российской Федерации и функционирует на базе органа по сертификации и аттестации по требованиям безопасности информации Научно-технического центра «Критические информационные технологии». На кафедре БИТ осуществляется выполнение научно- исследовательских работ в области безопасности и защиты информации телекоммуникационных вычислительных систем, включающие: 1. Проведение анализа защищенности автоматизированных систем обработки данных и средств вычислительной техники. 2. Построение и проектирование комплексных систем защиты информации. 3. Сертификация средств защиты и автоматизированных систем с имеющимися средствами защиты на предмет соответствия определенному классу защищенности по руководящим документам (РД) Гостехкомиссии России. 4. Аттестация объектов информатизации. Кафедра БИТ является разработчиком Концепции информационной безопасности региона, разработчиком Концепции защиты информации в банковских информационных технологиях. Кафедра БИТ имеет большой опыт эксплуатации и внедрения средств защиты сетевого взаимодействия пользователей корпоративных сетей при подключении к общедоступным каналам связи (в том числе Интернет). Для обеспечения безопасного взаимодействия клиентов и защиты ресурсов собственной корпоративной сети предлагаются высокоэффективные решения на базе сертифицированных Гостехкомиссией России средств защиты информации. К таковым относятся межсетевые экраны, функционирующие на базе различных UNIX-платформ, защищенные программные маршрутизаторы, позволяющие организовывать виртуальные частные сети и ряд других
161 средств, обеспечивающих безопасное сетевое взаимодействие. Указанные средства имеют гибкие механизмы настройки под определенную конфигурацию сети и требования пользователей. Специалисты кафедры БИТ проводили сертификационные испытания множества сетевых средств защиты, что позволяет им наиболее полно использовать достоинства каждой из систем в целях достижения максимальной степени защищенности и удобства для Заказчика. Специалисты кафедры БИТ ведут научные работы по созданию новой технологической схемы защиты информации от вирусных воздействий, по созданию иммунной системы защиты, методические исследования в области проведения сертификационных испытаний средств защиты и автоматизированных систем обработки информации с имеющимися системами защиты. Специалисты кафедры БИТ являются авторами некоторых основополагающих Руководящих Документов Гостехкомиссии России. Результаты научных работ и исследований, полученные специалистами кафедры БИТ, неоднократно обсуждались в научных статьях, опубликованы в ряде российских научно-технических и специализированных журналах, а также докладывались на многих конференциях, посвященных вопросам обеспечения информационной безопасности как в России, так и за рубежом. Кафедрой заключены договора о сотрудничестве и ведутся работы с ведущими западными фирмами в области информационных технологий (Oracle, CyberGuard, Ericsson, Internet Security Systems, Microsoft). Возглавляет кафедру БИТ Осовецкий Леонид Георгиевич, доктор технических наук, профессор, академик Международной Академии Информатизации, лауреат Государственной Премии СССР.
162 БЕЗОПАСНОСТЬ КОРПОРАТИВНЫХ СЕТЕЙ Учебное пособие. Тимур Александрович Биячуев под редакцией Леонида Георгиевича Осовецкого В авторской редакции Компьютерная верстка и дизайн Т.А. Биячуев Дизайн обложки П.А. Гречников Зав. РИО Н.Ф. Гусарова Лицензия ИД №00408 от 05.11.99 Подписано к печати 25.09.04 Отпечатано на ризографе. Заказ №726. Тираж 100 экз.
163 Редакционно-издательский отдел Санкт-Петербургского государственного университета информационных технологий, механики и оптики 197101, Санкт-Петербург, ул. Саблинская, 14
|