ТВОРЧЕСТВО

ПОЗНАНИЕ

А  Б  В  Г  Д  Е  Ж  З  И  Й  К  Л  М  Н  О  П  Р  С  Т  У  Ф  Х  Ц  Ч  Ш  Щ  Э  Ю  Я  AZ

 

А. В. АЗАРКИН, Г. В. ФОМЕНКОВ

ИКСИ АКАДЕМИИ ФСБ РФ

ЗАЩИТА ИНФОРМАЦИОННЫХ РЕСУРСОВ СЕТИ INTERNET

ПУТЕМ ИНСПЕКЦИИ ПОТОКОВ ДАННЫХ

Предлагаем вашему вниманию первую часть доклада на Российской научно-технической конференции по Северо-Западному региону "Методы и технические средства обеспечения безопасности информации".

Введение

Современные сетевые технологии предоставляют пользователям сети Internet всевозможные сервисные услуги, обеспечивающие удобный и прозрачный доступ к информации, находящейся на различных компьютерах, независимо от их местонахождения и применяемого программно-аппаратного обеспечения. Поскольку наиболее широко распространенные протоколы информационного обмена не имеют встроенных средств защиты данных, предаваемая информация становится объектом интереса лиц, нацеленных на получение несанкционированного доступ а.

С начала 1995 рядом американских и европейских специализированных центров по компьютерной безопасности зафиксировано широкое применение средств перехвата информации.

С января по март 1995 года компьютерными злоумышленниками, использующими программные средства типа Sniffer, было скомпрометировано более 100 000 пользовательских паролей. Используя уязвимости, обнаруженные в программном обеспечении, злоумышленники встраивали средства перехвата данных в скомпрометированные системы. Встроенные средства собирали информацию, предаваемую по сети при подключении пользователей к удаленным системам и предавали ее на компьютеры злоумышленников [1].

Средства перехвата трафика, применяемые злоумышленниками, обнаружить достаточно трудно, так как они, как правило, ничего не передают в канал связи, и факт их функционирования в системе может определить только опытный администратор.

Одним из средств защиты от этой угрозы является шифрование, которое помимо таких недостатков, как непрозрачность для пользовательских приложений и снижение производительности системы, не позволяет в полной мере обеспечить защиту потоков данных. Злоумышленник, перехватив зашифрованный трафик, может получить сведения о направлениях и объеме передаваемой информации, а исходя из этого, сделать выводы о направлениях потоков распоряжений и определить расположение руководителей. Полученные таким образом сведения дают возможность злоумышленнику осуществлять целенаправленный перехват информации, относящейся к определенному лицу, делать заключения о его функциональных обязанностях и сфере интересов, а впоследствии и дешифровать выделенные данные.

В тоже время, используемые компьютерными злоумышленниками методы и средства получения несанкционированного доступа к ресурсам сети Internet используют базовые протоколы семейства TCP/IP и стандартные технологии информационного обмена, а значит, сами являются уязвимыми для соответствующих средств инспекции информационных потоков.

Инспекция информационных потоков локальной сети организации, подключенной к Internet, осуществляется с целью обеспечения безопасности информационных ресурсов организации, а также используется для выявления попыток несанкционированного доступа к внутренним данным и случаев утечки информации.

Средства инспекции применяются для отслеживания обмена данными с ведением и последующим анализом регистрационных журналов. В задачи средств инспекции не входит принятие в режиме реального времени решения о возможности передачи данных между сетью организации и Internet.

Данные задачи решают специализированные программно-аппаратные устройства - межсетевые экраны (firewall). Межсетевые экраны реализуют политику безопасности организации путем анализа потоков данных по совокупности критериев и принятия решения о возможности распространения информации в локальную сеть организации или за ее пределы. По отношению к межсетевым экранам средства инспекции выполняют вспомогательные функции по предварительному выявлению атак злоумышленников и некорректных действий внутренних пользователей.

Обзор средств инспекции потоков данных

Существующие средства инспекции потоков данных можно разделить на коммерческие и свободно распространяемые. Свободно распространяемое программное обеспечение доступно, как правило, в виде исходных текстов программ, что является его преимуществом над коммерческим ПО, так как имеется возможность исследования исходных текстов на предмет используемых алгоритмов (методов) и их реализации, а также гарантия отсутствия вредоносного кода.

Кроме того, исходные тексты ПО можно модифицировать под определенную задачу, добавить новые функции, адаптировать под другую платформу. При всех вышеперечисленных достоинствах у свободно распространяемого ПО имеется и отрицательная сторона: нет никаких гарантий корректности работы и полного соответствия внешним спецификациям.

Применение неисследованных, бесплатно распространяемых средств инспекции может привести к любым неблагоприятным последствиям, так как все эти средства, как правило, запускаются от имени системного администратора, который наделен неограниченными правами. Поскольку технология анализа трафика предполагает наличие доступа ко всему информационному потоку, циркулирующему по кабельной системе, применение неисследованных средств может повлечь несанкционированную утечку всей передаваемой информации. Программные средства, содержащие закладки или выполняющие недокументированные действия, могут транслировать весь информационный обмен за пределы участка сети. При этом несанкционированная утечка данных может маскироваться легальным трафиком.

Авторами были проанализированы следующие средства инспекции: свободно распространяемые - Sniffit, Netlog, Arpwatch, Clog, Netmon, Tcpdump; коммерческие - Net Access Manager, Xni, Sniffer Analyzer, HP NetMetrix, IP-Watcher, RealSecure. В результате исследования и сравнения вышеперечисленных средств можно выделить Netlog и Sniffit, которые являются наиболее приемлемыми с точки зрения соотношения цена-производительность и полноты решения поставленной задачи [2].

NETLOG - средство инспекции сетевого трафика

Программный комплекс NETLOG является средством инспекции информационных потоков сети Internet и предназначен для сбора данных о запросах на установление соединения по протоколам семейства TCP/IP.

Принцип работы программного комплекса NETLOG основан на фильтрации трафика сети при прохождении пакетов с особыми атрибутами, то есть приемная часть программы просматривает все пакеты, проходящие по сети, но фиксирует только определенные. Механизм фильтрации пакетов, применяемый в пакете NETLOG, использует системный модуль pfmod (Packet Filter Module). Pfmod является потоковым (Streams) модулем, который перенаправляет приходящие сообщения на очередь чтения пакетным фильтром и выдает только такие сообщения, которые пропустил фильтр пакетов.
1 2 3 4 5