Дина Погонышева - Безопасность информационных систем. Учебное пособие

3. Межкорпоративные (extran et VPN). Обеспечивают прямой защищенный доступ из сети одной компании к сети другой компании (партнера, клиента и т. д.).

По способу технической реализации различают VPN на основе маршрутизаторов (задача шифрования трафика ложится на маршрутизаторы, через которые проходит вся исходящая из локальных сетей информация), на основе межсетевых экранов, на основе программного обеспечения и на основе специализированных аппаратных средств .

Рассмотрим набор протоколов IPSec , предназначенный для обеспечения защиты данных, передаваемых по протоколу IP. Он позволяет осуществлять подтверждение подлинности и шифрование IP-пакетов, а также включает протоколы для защищенного обмена ключами через Интернет.

Протоколы IPsec работают на сетевом уровне модели OSI. Они подразделяются на два класса: протоколы, отвечающие за защиту потока передаваемых пакетов (ESP, AH), и протоколы обмена ключами (IKE). Протоколы защиты передаваемого потока могут работать в двух режимах – в транспортном режиме и в режиме туннелирования. В транспортном режиме шифруется (или подписывается) только информативная часть IP-пакета, а заголовок не затрагивается (поэтому процедура маршрутизации не изменяется). В туннельном режиме IP-пакет шифруется целиком. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. Именно этот режим используется для организации виртуальной частной сети.

Режим IPSec-тунеллирования работает следующим образом:

1. IP-пакет посылается на отправляющее IPSec-устройство (межсетевой экран или маршрутизатор), где он должен быть зашифрован и направлен в конечную систему по локальной сети.

2. Отправляющее IPSec-устройство проводит аутентификацию принимающего устройства.

3. Два IPSec-устройства «договариваются» о шифре и алгоритме аутентификации, которыми будут пользоваться.

4. Отправляющее IPSec-устройство шифрует IP-пакет с информацией и помещает его в другой пакет с AH (аутентифицирующим заголовком).

5. Пакет пересылается по сети (по протоколам TCP/IP).

6. Принимающее IPSec-устройство читает IP-пакет, проверяет его подлинность и извлекает зашифрованное вложение для расшифровки.

7. Принимающее устройство отправляет исходный пакет в пункт его назначения.

Системы обнаружения вторжений (IDS)

Система обнаружения вторжений (Intrusion Detection System – IDS) – программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими (в основном через Интернет).

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, нарушающие безопасность системы или сети. К ним относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения (вирусов, «троянских коней»).

Структурно IDS состоит из следующих компонентов: 1. Сенсорная подсистема отслеживает события, которые могут затрагивать безопасность защищаемой системы.

2. Подсистема анализа выявляет среди этих событий те, которые представляют угрозу или нарушения безопасности (атаки, подозрительные действия). В пассивных IDS при обнаружении такого события информация о нем помещается в хранилище, после чего сигнал опасности по определенному каналу направляется администратору системы. Активные IDS (системы предотвращения вторжений) могут также предпринять ответные действия (например, прервать соединение или автоматически настроить межсетевой экран для блокирования трафика от злоумышленника).

3. Хранилище обеспечивает накопление и хранение данных сенсорной подсистемы и результатов их анализа.

4. Консоль управления используется для настройки IDS, наблюдения за состоянием защищаемой системы, просмотра выявленных подсистемой анализа инцидентов.

Разновидности современных систем обнаружения вторжений.

1. Системы обнаружения вторжений, защищающие сегмент сети. Развертываются на специализированном сервере, на котором не работают никакие другие приложения. Поэтому сервер может быть особенно надежно защищен от нападения. Кроме того, этот сервер может быть сделан «невидимым» для нападающего. Для защиты сети устанавливаются несколько таких серверов, которые анализируют сетевой трафик в различных сегментах сети. Несколько удачно расположенных систем могут контролировать большую сеть.

К недостаткам таких систем относят проблемы распознавания нападений в момент высокой загрузки сети, и неспособность анализировать степень проникновения. Система просто сообщает об инициированном нападении.

2. Системы обнаружения вторжений, защищающие отдельный сервер. Собирают и анализируют информацию о процессах, происходящих на конкретном сервере. Благодаря узкой направленности, могут проводить высоко детализированный анализ и точно определять, кто из пользователей выполняет злонамеренные действия. Некоторые IDS этого класса могут управлять группой серверов, подготавливая централизованные обобщающие отчеты о возможных нападениях. В отличие от предыдущих систем могут работать даже в сети, использующей шифрование данных, когда информация находится в открытом виде на сервере до ее отправки потребителю. Однако системы этого класса не способны контролировать ситуацию во всей сети, так как видят только пакеты, получаемые «своим» сервером. Снижается эффективность работы сервера вследствие использования его вычислительных ресурсов.

3. Системы обнаружения вторжений на основе защиты приложений. Контролируют события, проявляющиеся в пределах отдельного приложения. Знания о приложении, а также возможность анализировать его системный журнал и взаимодействовать с ним посредством API, позволяет таким системам контролировать деятельность пользователей, работающих с данным приложением, с очень высокой степенью детализации.

Аналогично антивирусным программам системы обнаружения вторжений используют два основных подхода к методам обнаружения подозрительной активности.

1. Подход на основе сигнатуры выявляет деятельность, которая соответствует предопределенному набору событий, уникально описывающему известное нападение. Эта методика чрезвычайно эффективна и является основным методом, используемым в коммерческих программах. Однако такая система обнаружения вторжений не может бороться с новыми видами нападений, а также с видоизмененными вариантами традиционных нападений, сигнатура которых незначительно отличается от имеющейся в базе.

2. Система обнаружения вторжений на основе аномалий обнаруживают нападения, идентифицируя необычное поведение на сервере или в сети. Они способны обнаруживать нападения, заранее не запрограммированные в них, но производят большое количество ложных срабатываний.