Учебное пособие Ставрополь сф мггу им. М. А. Шолохова 2009

239 любое время без необходимости в осуществлении дорогостоящих междугородних и международных телефонных вызовов для соединения с серверами.
2. Сотрудники, работающие из дома, могут осуществлять доступ к службам сети, как и сотрудники, работающие в организации, без аренды дорогостоящих выделенных каналов.
Оба эти преимущества можно приписать к экономии денежных средств. Экономия может заключаться в отказе от использования дорогостоящих междугородних и международных соединений, арендуемых каналов связи и т.д.
Самой большой проблемой безопасности при использовании VPN сотрудником является одновременное соединение с другими сайтами интернета. Как правило, программное обеспечение VPN на компьютере пользователя определяет, должен ли трафик передаваться через VPN, либо его необходимо отправить на какой-либо другой сайт в открытом виде. Если на компьютер пользователя была произведена атака с использованием
«троянского коня», возможно, что некий внешний нелегальный пользователь использует компьютер сотрудника для подключения к внутренней сети организации. Атаки данного типа осуществляются довольно сложно, но они совершенно реальны.
17.2.3 Узловые VPN
Узловые виртуальные частные сети используются организациями для подключения к удаленным узлам без применения дорогостоящих выделенных каналов или для соединения двух различных организаций, между которыми необходима связь для осуществления информационного обмена, связанного с деятельностью этих организаций. Как правило, VPN соединяет один межсетевой экран или пограничный маршрутизатор с другим аналогичным устройством (см. рис. 17.5).
Рис. 17.5 - Межузловое соединение VPN, проходящее через интернет
Чтобы инициировать соединение, один из узлов осуществляет попытку передать трафик другому узлу. Вследствие этого на обоих противоположных узлах соединения VPN инициируется VPN. Оба конечных узла определяют параметры соединения в зависимости от политик, имеющихся на узлах. Оба сайта будут аутентифицировать друг друга посредством некоторого общего предопределенного секрета либо с помощью сертификата с открытым

240 ключом. Некоторые организации используют узловые VPN в качестве резервных каналов связи для арендуемых каналов.
Основным преимуществом узловой VPN является экономичность.
Организация с небольшими, удаленными друг от друга офисами может создать виртуальную частную сеть, соединяющую все удаленные офисы с центральным узлом (или даже друг с другом) со значительно меньшими затратами. Сетевая инфраструктура также может быть применена значительно быстрее, так как в удаленных офисах могут использоваться локальные ISP для каналов ISDN или DSL.
Проблемы, связанные с узловыми VPN. Узловые VPN расширяют периметр безопасности организации, добавляя новые удаленные узлы или даже удаленные организации. Если уровень безопасности удаленного узла невелик, VPN может позволить злоумышленнику получить доступ к центральному узлу и другим частям внутренней сети организации.
Следовательно, необходимо применять строгие политики и реализовывать функции аудита для обеспечения безопасности организации в целом. В случаях, когда две организации используют узловую VPN для соединения своих сетей, очень важную роль играют политики безопасности, установленные по обе стороны соединения. В данной ситуации обе организации должны определить, какие данные могут передаваться через
VPN, а какие - нет, и соответствующим образом настроить политики на своих межсетевых экранах.
17.2.4 Понятие стандартных технологий функционирования VPN
Сеть VPN состоит из четырех ключевых компонентов/
1. Сервер VPN. Сервер VPN представляет собой компьютер, выступающий в роли конечного узла соединения VPN. Данный сервер должен обладать характеристиками, достаточными для поддержки ожидаемой нагрузки. Большая часть производителей программного обеспечения VPN должна предоставлять рекомендации по поводу производительности процессора и конфигурации памяти, в зависимости от числа единовременных VPN-соединений.
2. Алгоритмы
шифрования.
Выбор алгоритма не имеет принципиального значения, если он будет стандартным и в достаточной степени мощным. Гораздо больше влияет на общий уровень безопасности реализация системы. Неправильно реализованная система может сделать бесполезным самый мощный алгоритм шифрования. Приняв во внимание сказанное выше, давайте изучим риски, связанные с использованием VPN.
3. Система аутентификации. Система аутентификации VPN должна быть двухфакторной. Пользователи могут проходить аутентификацию с использованием того, что они знают, того, что у них есть или с помощью данных о том, кем они являются. Хорошей комбинацией средств аутентификации являются смарт-карты в паре с персональным

241 идентификационным номером или паролем. Производители программного обеспечения, как правило, предоставляют организациям на выбор несколько систем аутентификации. В данном перечне присутствуют ведущие производители смарт-карт.
4. Протокол VPN. Протокол VPN определяет, каким образом система
VPN взаимодействует с другими системами в интернете, а также уровень защищенности трафика. Протокол VPN оказывает влияние на общий уровень безопасности системы. Причиной этому является тот факт, что протокол VPN используется для обмена ключами шифрования между двумя конечными узлами. Если этот обмен не защищен, злоумышленник может перехватить ключи и затем расшифровать трафик, сведя на нет все преимущества VPN. В настоящее время стандартным протоколом для VPN является IPSec. Этот протокол представляет собой дополнение к
IP, осуществляющее инкапсуляцию и шифрование заголовка TCP и полезной информации, содержащейся в пакете. IPSec также поддерживает обмен ключами, удаленную аутентификацию сайтов и согласование алгоритмов (как алгоритма шифрования, так и хэш-функции). IPSec использует UDP-порт 500 для начального согласования, после чего используется IP-протокол 50 для всего трафика. Для правильного функционирования VPN эти протоколы должны быть разрешены.
Эти компоненты реализуют соответствие требованиям по безопасности, производительности и способности к взаимодействию. То, насколько правильно реализована архитектура VPN, зависит от правильности определения требований.
Определение требований по безопасности в VPN должно включать
в себя следующие аспекты:
- Количество времени, в течение которого необходимо обеспечивать
защиту информации.
- Число одновременных соединений пользователей.
- Ожидаемые
типы
соединений
пользователей
(сотрудники,
работающие из дома или находящиеся в поездке).
- Число соединений с удаленным сервером.
- Типы сетей VPN, которым понадобится соединение.
- Ожидаемый объем входящего и исходящего трафика на удаленных
узлах.
- Политика безопасности, определяющая настройки безопасности.
При разработке системы также может оказаться полезным указать дополнительные требования, связанные с местоположением сотрудников, находящихся в поездке (имеются в виду узлы в других организациях или в номерах отелей), а также типы служб, которые будут работать через VPN.

242
17.2.5 Типы систем VPN
На настоящее время можно выделить три типа систем на основе
которых организуются VPN:
- аппаратные системы;
- программные системы;
- веб-системы.
Аппаратные системы VPN, как правило, базируются на аппаратной
платформе, используемой в качестве VPN-сервера. На этой платформе
выполняется программное обеспечение производителя, а также, возможно,
некоторое специальное программное обеспечение, предназначенное для
улучшения возможностей шифрования. В большинстве случаев для построения VPN на системе удаленного пользователя необходимо наличие соответствующего программного обеспечения.
Аппаратная система VPN имеет два преимущества.
- Скорость. Оборудование, как правило, оптимизировано для поддержки VPN, посредством чего обеспечивается преимущество в скорости по сравнению с компьютерными системами общего назначения. За счет этого достигается возможность поддержки большего числа одновременных VPN-соединений.
- Безопасность. Если аппаратная платформа специально разработана для приложения VPN, из ее системы удалены все лишние программы и процессы. За счет этого снижается степень подверженности атакам по сравнению с компьютерной системой общего назначения, в которой работают другие процессы. Это не значит, что компьютер общего назначения не может быть должным образом защищен. Как правило, использование компьютера общего назначения требует дополнительных усилий по настройке безопасности.
Программные VPN работают на компьютерных системах общего
назначения. Они могут быть установлены на выделенной для VPN системе
либо совместно с другим программным обеспечением, таким как
межсетевой экран. При загрузке программного обеспечения необходимо обеспечить достаточную мощность аппаратной платформы для поддержки
VPN. Так как VPN-продукт устанавливается на компьютеры, имеющиеся в организации, руководство организации должно позаботиться о соответствии компьютеров предъявляемым требованиям.
Веб-системы.Главным недостатком большинства пользовательских систем VPN является потребность в установке программного обеспечения на систему-клиент. Указанные проблемы привели к тому, что некоторые
производители VPN стали рассматривать веб-браузеры в качестве VPN-

243
клиентов и реализовывать этот подход на практике. Он заключается в
том, что пользователь с помощью браузера подключается к VPN через SSL.
SSL обеспечивает шифрование трафика, а подтверждение подлинности
пользователя
выполняется
с
помощью
средств
аутентификации,
встроенных в систему. Для предоставления пользователю необходимых услуг используется несколько различных механизмов. Среди них можно выделить надстройки браузера и виртуальные машины Java.
В то время как стоимость поддержки и обслуживания несомненно ниже, на момент написания этой книги ни одна из бесклиентных систем VPN не обеспечивает полную функциональность. Этим сетям VPN присущи ограничения, заключающиеся в наборе используемых приложений и методе подключения пользователей к внутренним системам.
17.3 Системы предотвращения вторжений (IDS)
17.3.1 Общие понятия о функционировании IDS
Обнаружение вторжений - это еще одна задача, выполняемая
сотрудниками,
ответственными
за
безопасность
информации
в
организации, при обеспечении защиты от атак, это активный процесс, при
котором происходит обнаружение хакера при его попытках проникнуть в
систему.
Системы обнаружения вторжений (Intrusion detection system - IDS)
обнаруживают
несанкционированные
попытки
проникновения
в
зашищаемый
периметр.
Обнаружение вторжений помогает при превентивной идентификации активных угроз посредством оповещений и предупреждений о том, что злоумышленник осуществляет сбор информации, необходимой для проведения атаки.
Базовая концепция системы обнаружения вторжений заключается в необходимости определения периметра защиты компьютерной системы или сети.
Периметр
защиты
сети
представляет
собой
виртуальный
периметр, внутри которого находятся компьютерные системы. Этот
периметр может определяться межсетевыми экранами, точками
разделения соединений или настольными компьютерами с модемами.
Данный периметр может быть расширен для содержания домашних компьютеров сотрудников, которым разрешено соединяться друг с другом, или партнеров по бизнесу, которым разрешено подключаться к сети. С появлением в деловом взаимодействии беспроводных сетей периметр защиты организации расширяется до размера беспроводной сети. В случае если компания имеет части информационных ресурсов доступных напрямую из глобальной сети периметр защиты дополняется димилитаризированной зоной (DMZ). Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней

244 может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей — там располагаются только серверы.
Демилитаризованная зона (Demilitarized Zone — DMZ) служит для
предотвращения доступа из внешней сети к ресурсам и компьютерам
внутренней сети за счет выноса из локальной сети в особую зону всех
сервисов, требующих доступа извне.
Сигнализация, оповещающая о проникновении злоумышленика, предназначена для обнаружения любых попыток входа в защищаемую область т. е. система обнаружения вторжений IDS предназначена для разграничения авторизованного входа и несанкционированного проникновения.
Цели использования IDS определяют требования для политики
IDS. Потенциально целями применения IDS являются следующие:
- Обнаружение атак. Распознавание атак является одной из главных целей использования IDS. Система IDS запрограммирована на поиск определенных типов событий, которые служат признаками атак. В качестве простого примера приведем соединение через TCP-порт 80
(HTTP), за которым следует URL, содержащий расширение .bat. Это может быть признаком того, что злоумышленник пытается использовать уязвимость на веб-сервере IIS.
- Предотвращение атак. При обнаружении атаки IDS должна выполнить действия по нейтрализации угрозы.
- Обнаружение нарушений политики. Целью системы IDS, настроенной на отслеживание политики, является отслеживание выполнения или невыполнения политики организации. В самом простом случае NIDS можно настроить на отслеживание всего веб- трафика вне сети. Такая конфигурация позволяет отслеживать любое несоответствие политикам использования Интернета.
- Принуждение
к
использованию
политик
безопасности.
Применение системы IDS в качестве средства принудительного использования политики выводит конфигурацию мониторинга политики на более высокий уровень. При отслеживании политики
IDS настраивается на выполнение действий при нарушении политики.
- Принуждение
к
следованию
политикам
соединений.
Использования принудительного блокирования незапрошенных или запрещенных соединений.
- Сбор доказательств. Система IDS может оказаться полезной после обнаружения инцидента. В этом случае с помощью IDS можно собрать доказательства. Сетевую IDS можно настроить на отслеживание определенных соединений и ведение полноценного журнала по учету трафика.

245
Существуют два основных типа IDS:
- узловые (Host IDS HIDS) - располагается на отдельном узле и отслеживает признаки атак на данный узел.
- сетевые (Network IDS - NIDS) - находится на отдельной системе, отслеживающей сетевой трафик на наличие признаков атак, проводимых в подконтрольном сегменте сети.
На рисунке 17.6 показаны два типа IDS, которые могут присутствовать в сетевой среде.
Рис. 17.6 - Примеры размещения IDS в сетевой среде
17.3.2 Узловые IDS
Узловые IDS (Host intrusion detection system - HIDS) представляют
собой систему датчиков, загружаемых на различные сервера организации и
управляемых центральным диспетчером. Датчики отслеживают различные типы событий (более детальное рассмотрение этих событий приводится в следующем разделе) и предпринимают определенные действия на сервере либо передают уведомления. Датчики HIDS отслеживают события, связанные с сервером, на котором они загружены. Сенсор HIDS позволяет определить, была ли атака успешной, если атака имела место на той же платформе, на которой установлен датчик.