лекция№16 (Лекции по дисциплине)

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

«МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ

ПРИБОРОСТРЕНИЯ И ИНФОРМАТИКИ»

Кафедра ИТ-7 «Автоматизированные системы обработки информации и управления»

УТВЕРЖДАЮ

Ректор МГУПИ

_____________Михайлов Б.М.

«___» ______________ 200__г.

Для студентов <номер> курса факультета ИТ

специальности 230100

<уч.степень, уч.звание, фамилия, инициалы автора>

ЛЕКЦИЯ № <16>

по дисциплине <шифр> <Защита Информации>

ТЕМА <Средства Контроля Эффективности Защиты Информации в Компьютерных Сетях >

Обсуждена на заседании кафедры

(предметно-методической секции)

«___» _______________ 200__г.

Протокол № _____

МГУПИ — 200_ г.

Тема лекции: <Вводная лекция>

Учебные и воспитательные цели:

1. ??

2. ??

3. ??

Время: 2 часа (90 мин.)

Литература (основная и дополнительная):

1.Средства защиты информации в компьютерных системах: учебное пособие. – М. МГУПИ, 2007.

2. Торокин А. Основы инженерно-технической защиты информации. – М.: Ось, 1998

Учебно-материальное обеспечение:

1. Рис. 57. Роль СЗИ в процессе функционирования КС

ПЛАН ЛЕКЦИИ:

Введение – до 5 мин.

Основная часть (учебные вопросы) – до 80 мин.

1-й учебный вопрос Сканеры безопасности КС - ? мин

Заключение – до 5 мин.

ТЕКСТ ЛЕКЦИИ

Введение – до 5 мин.

Контроль эффективности защиты информации в КС является неотъемлемой частью комплекса системы мер безопасности не объекте информатизации. Он направлен на:

- проверку соответствия предпринимаемых защитных мер предъявленным к ним требованиям;

- выявление уязвимостей реализованной системы защиты.

Контроль эффективности защиты должен включать в себя применение организационных мероприятий и программно-технических методов.

Основные направления контроля эффективности ЗИ в КС:

-инспектирование повседневной работы защитных служб и элементов;

-проверка соответствия фактически реализованных и спроектированных (запланированных) мер;

-тестирование программно-технических средств ЗИ;

-моделирование угроз системе безопасности.

Инспектирование системы защиты должно регулярно проводиться специалистами по ЗИ с помощью заранее подготовленных контрольных списков, включающих все потенциально уязвимые точки КС. Полученные в ходе инспектирования результаты используются при подготовке рекомендаций для совершенствования защиты. Инспектирование может быть плановым и “случайным”, комплексным и выборочным. На практике следует сочетать различные формы и методы проведения инспектирования СЗИ КС.

Задача тестирования программно-технических средств ЗИ и моделирование угроз системе безопасности должна решаться с момента их проектирования (выбора) и далее периодически при изменении компонентов или конфигурации информационной системы.

Для крупных КС проведение такого рода проверок для всех узлов корпоративной сети представляет собой сложную и трудоемкую задачу. Автоматизировать этот процесс помогают средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner).

Данные средства могут быть как самостоятельными (в том числе узкоспециализированными) программными продуктами, так и входить в состав систем защиты, основанных на модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS).

Такие системы позволяют обнаруживать атаки и реагировать на них в режиме реального времени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты. Система обеспечения адаптивной безопасности сети должна включать в себя компоненты:

-анализа защищенности (security assessment);

-поиска уязвимостей (vulnerabilities assessment);

-обнаружения атак (intrusion detection);

-настройки (адаптации) и управления.

Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищенности предполагает исследование сети для выявления в ней “слабых мест” и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются:

-«люки» в системах (back door) и программы типа «троянский конь»;

-слабые пароли;

-восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»;

-отсутствие необходимых обновлений (patch, hotfix) операционных систем;

-неправильная настройка межсетевых экранов, Web-серверов и баз данных.

Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Средств анализа защищенности приложений на сегодняшний день не так много. Такие средства пока существуют только для широко распространенных прикладных систем - Web-броузеров и СУБД.

1-й учебный вопрос Сканеры безопасности КС - ? мин

Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).

Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. Данный метод получил название "логический вывод" (inference). Этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.

Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость. Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").

На практике указанные механизмы реализуются следующими несколькими методами.

"Проверка заголовков" (banner check) - ряд проверок типа "сканирование", пзволяющий делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.

Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.

Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков "по умолчанию". Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.

"Активные зондирующие проверки" (active probing check) также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки - контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.

Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.

Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков".

"Имитация атак" (exploit check) - данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в программном обеспечении. Некоторые уязвимости не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.

Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.

Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа "Packet Storm"), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании"). При включении любой из проверок этой группы система Internet Scanner выдает сообщение "WARNING: These checks may crash or reboot scanned hosts" ("Внимание: эти проверки могут вывести из строя или перезагрузить сканируемые узлы").

Этапы сканирования

Практически любой сканер проводит анализ защищенности в несколько этапов: