Что такое периметр безопасности аппарата
периметр безопасности
Смотреть что такое «периметр безопасности» в других словарях:
периметр безопасности — Воображаемая граница между высоконадежным вычислительным ядром и другими системными функциями. [http://www.morepc.ru/dict/] Тематики информационные технологии в целом EN security perimeter … Справочник технического переводчика
Периметр — граница охраняемой зоны, оборудованная физическими барьерами и контрольно пропускными пунктами. Источник … Словарь-справочник терминов нормативно-технической документации
периметр охраняемой зоны — Граница охраняемой зоны, оборудованная физическими барьерами и контрольно пропускными пунктами. [РД 25.03.001 2002] Тематики системы охраны и безопасности объектов EN guarded area perimeter … Справочник технического переводчика
периметр охраняемой зоны — 2.22.2.1 периметр охраняемой зоны: Граница охраняемой зоны, оборудованная физическими барьерами и контрольно пропускными пунктами Источник: РД 25.03.001 2002: Системы охраны и безопасности объектов. Термины и определения … Словарь-справочник терминов нормативно-технической документации
Критерии определения безопасности компьютерных систем — Эту статью следует викифицировать. Пожалуйста, оформите её согласно правилам оформления статей. Критерии определения безопасности компьютерных систем (англ. Trusted Computer System Evaluation Criteria … Википедия
РД 25.03.001-2002: Системы охраны и безопасности объектов. Термины и определения — Терминология РД 25.03.001 2002: Системы охраны и безопасности объектов. Термины и определения: 2.36.8 аварийное освещение (на охраняемом объекте): Действующее при аварии на объекте только в момент отключения основного освещение, позволяющее… … Словарь-справочник терминов нормативно-технической документации
ТР 205-09: Технические требования по проектированию систем антитеррористической защищенности и комплексной безопасности высотных и уникальных зданий — Терминология ТР 205 09: Технические требования по проектированию систем антитеррористической защищенности и комплексной безопасности высотных и уникальных зданий: Безопасность состояние, при котором отсутствует недопустимый риск, связанный с… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р 52551-2006: Системы охраны и безопасности. Термины и определения — Терминология ГОСТ Р 52551 2006: Системы охраны и безопасности. Термины и определения оригинал документа: 2.2.1 безопасность: Состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз (по… … Словарь-справочник терминов нормативно-технической документации
ГОСТ Р ИСО 15025-2007: Система стандартов безопасности труда. Одежда специальная для защиты от тепла и пламени. Метод испытаний на ограниченное распространение пламени — Терминология ГОСТ Р ИСО 15025 2007: Система стандартов безопасности труда. Одежда специальная для защиты от тепла и пламени. Метод испытаний на ограниченное распространение пламени оригинал документа: 2.1 время воздействия пламени (flame… … Словарь-справочник терминов нормативно-технической документации
Критерии оценки доверенных компьютерных систем — стандарт Министерства обороны США (англ. Department of Defense Trusted Computer System Evaliation Criteria, TCSEC, DoD 5200.28 STD, December 26, 1985), более известный под именем Оранжевая книга (англ. Orange Book ) из за цвета обложки. Данный… … Википедия
Корейская война — Холодная война По часовой стрелке: Морская пехота США бе … Википедия
Концепция периметра безопасности устарела. Но как усложнить жизнь хакерам?
Потребность в коллективной работе на ниве информационной безопасности возникла не вчера: современные реалии диктуют нам необходимость объединять свои усилия, неважно, идет речь о партнерах или конкурентах по рынку, ведь в конечном итоге цель инфобеза — обезопасить клиента. Именно поэтому еще на заре интернета стали возникать различные союзы и альянсы.
Но почти ни один из них не оказался достаточно обширным, устойчивым или влиятельным, чтобы кардинально повлиять на происходящее в пространстве информационной безопасности продуктов и данных. При этом сама природа подобного сотрудничества невзирая на рыночные условия — прямо противоположна концепции свободной конкуренции. Да и вообще, совместный поиск эксплоитов и способов противодействия хакерам порочен, потому что в его основе лежит инструментарий взлома продукта — что может вылиться в банальный промышленный шпионаж, прикрытый благими целями коллективной безопасности. Да и почему бы не понаблюдать, как твой прямой конкурент отбивается от хакерской атаки? Такое типичное: «я сижу у реки, а мимо проплывает труп моего врага».
Вот только этот «труп» потом отравляет всю «реку», ведь в головах потенциальных клиентов, в том числе и в головах тех людей, которые подписывают бюджеты и внедрение новых решений, не задерживаются названия компаний, а задерживается сам концепт. В итоге у нас до сих пор «облака — это опасно», «данные крадут ежедневно» и так далее.
И сейчас мы имеем мир, где информация, в том числе и по теме инфобеза, ценна, закрыта и ею делятся крайне неохотно. И по этой причине хакеры побеждают, причем — уверенно.
Почему хакеры побеждают?
Первое: обмен информацией. В отличие от забившихся каждый в свой угол коммерческих компаний, хакерское сообщество весьма общительно и довольно открыто. И взломщики активно делятся между собой информацией. Временами, конечно, не ключевой, но сам факт: циркуляция данных в среде grey и black hat-хакеров намного активнее, нежели такая же на уровне компаний. У хакеров целые форумы, каналы, сообщества. Компании же, в лучшем случае, собираются на пару-тройку конференций в год, где докладчики, важно щелкая слайды на большом экране, рассказывают о чем-то, что уже минимум как полгода неактуально. Сейчас же, когда мир парализован, это и вовсе перешло в категорию записанных выступлений на 15-20 минут, которые можно просто посмотреть онлайн без какого-либо интерактива.
Второе: мы всегда в роли отстающих. Предусмотреть все векторы атаки и способы взлома невозможно. Мы — на стороне щита, а не меча, так что единственное, что нам остается — латать дыры в безопасности и делать так, чтобы этот конкретный эксплоит, механизм, сценарий или что там еще было использовано, более никогда в подобном ключе не сработал. Хакер может готовить свою атаку неделями, провести ее за минуту, а вы будете разгребать ее последствия месяцами. Или, как в случае со спекулятивным выполнением кода на процессорах — так и не сможете побороть проблему до конца. И вам повезет, если взломщик — White Hat, который предоставит вам все данные о том, как именно он провел атаку, а ваши данные никуда на сторону не уйдут. А если нет?
Стены рухнули, и мы проснулись в новом мире
Только ленивый не знает о концепции «периметра безопасности» и, мы уверены, практически каждый, кто работал в IT, сталкивался с ней в том или ином виде. Или выстраивал сам.
Суть периметра в том, что это вещь из бородатых 80-х. Просто однажды на стол 40 или около того крупных CTO технологических на тот момент компаний легла концепция обеспечения информационной безопасности по принципу периметра, который они и подписали… Или они вообще выдумали его сами. Или у военных подсмотрели. Не суть. А суть в том, что периметра больше не существует — COVID-19 его уничтожил на корню вместе с приходом концепции массовой удаленной работы.
Как раньше переводились сотрудники на удаленку или частичную удаленку? Этот процесс был поэтапным, отработанным. Доступ — часто через VPN, шифрование, отдельный рабочие спейсы для таких сотрудников и, само собой, их изоляция от самых лакомых и мягких частей внутри компании или проекта. Ну, чаще всего. На удаленку переводились либо абсолютно неважные в плане доступов сотрудники, либо подготовленные к такому взаимодействию специалисты. А что мы имеем сейчас?
Теперь туннели поднимаются для миллионов вынужденных удаленщиков по всему миру, но сколько из них соблюдает хотя бы основы информационной гигиены и безопасности на своих домашних компьютерах? Сколько проверяли свои пароли, да хотя бы убедились, что их машины можно подключать к корпоративной сети?
И если раньше мы имели распределенную инфраструктуру на виртуальных машинах, облачных дисках и SaaS-средах, что и так делало уровень безопасности от участка к участку, мягко говоря, неравномерным, от чего сам концепт «периметра» трещал по швам, то теперь этот самый концепт можно отправить в помойное ведро. Потому что с таким количеством потенциальных дыр и человеческого фактора ни один периметр в принципе невозможен.
И платные решения в области защиты устройств, DevOps, SecOps и так далее — далеко не панацея. Потому что все они, по факту, стоят на плечах проектов с открытым исходным кодом, со всеми вытекающими последствиями. Вы никогда не задумывались, почему компании, которые тратят на такой софт сотни миллионов долларов, до сих пор подвергаются кибератакам и успешно взламываются каким-нибудь одиночкой или группой хакеров?
Мы живем в мире, когда 100% эффективное решение просто нельзя купить, потому что его не существует. И мы получаем парадоксальную ситуацию, когда хакер-одиночка может терроризировать конкретную компанию или вообще — весь сектор. Просто потому что он умнее, способнее и внимательнее любого отдельно взятого нанятого этими компаниями инженера. Ну, или потому что ему просто повезло найти что-то такое в исходниках, что не замечали даже авторы кода.
Такая парадоксальная ситуация, когда хвост не просто виляет — вращает собакой вокруг своей оси — возможна только в нашей родной IT-сфере и сети 🙂
Мы все — в одной лодке
Наибольшую ценность для современных хакеров, на наш взгляд, имеют IP-адреса. Они — как маски, которые обеспечивают их анонимность и чем их больше в свободном доступе, тем лучше.
Но мы все уже давно живем в условиях дефицита свободных адресов в пространстве IPv4, а на IPv6 массового перехода пока так и не случилось. Так что каждый злоумышленник имеет ограниченный в плане доступности пул адресов. И чем дальше — тем дороже они для него стоят как в плане финансов, так и в плане трудозатрат.
Мы создавали свой продукт с простой мыслью: если повысить стоимость «игры», то в нее просто не будут «играть». Если для каждой атаки на цель придется добывать все новые и новые IP-адреса, или вовсе искать «чистые», которые не засветились в других «проектах» хакера, то мы сможем значительно повысить цену входа и начала «игры».
Сама концепция бана IP-адресов и создания каких-либо блок-листов несовершенна, и не спасает от реально гениальных ребят, которые способны поставить на колени корпорацию. Но она способна отсечь основную массу хакеров, которые занимаются взломом самостоятельно, не имеют огромных ресурсов и ценят свое время и деньги. Подобная практика, на наш взгляд, способна немного отбалансировать текущие «правила игры», которые заметно покосились в сторону хакерского сообщества после начала пандемии: ведь периметр как концепция, фактически, пал. И неизвестно, будет ли он восстановлен когда-либо вообще.
Причем в других отраслях и сферах подобная коллективизация — когда каждый открыто делиться информацией — уже работает. Стоит вспомнить, как Reddit под лозунгом «To the moon!» решил наказать играющих на понижение брокеров с Уолл-Стрит. Дурно пахнущая волна, которая поднялась после массового накачивания акций GameStop, катится по миру до сих пор, проверьте новости.
Концепция же коллективно сформированного и коллективно же проверенного бан-листа приводит нас в самое начало текста: к тезису о том, что нужно делиться критически важной информацией. Для хакера IP-адрес критически важен, это его точка входа. Для компании же информация о том, с какого адреса была проведена атака — не имеет никакой ценности и никак не угрожает ее секретам и тайнам. Мы получаем Win-Win ситуацию, когда и волки сыты, и овцы целы; ни один параноик внутри компании не упрекнет вас в сливе стратегических данных в общий доступ, но при этом мы имеем возможность больно бить по важным для злоумышленников точкам.
Именно по этой причине мы работаем над CrowdSec и призываем всех прочих присоединиться к нам в формировании бан-листов. Просто для того чтобы с минимальными трудозатратами сделать интернет и вообще, наш мир, чище и безопаснее.
Особенности периметральной охранной сигнализации, обзор популярных моделей
При установке и функционировании охранной сигнализации важно знать территорию, на которой она работает, которая называется периметром. Из всех видов сигнализаций считается самой сложной и дорогой, так как её датчики устанавливаются на улице и подвергаются воздействию осадков, ветра, амплитуды температур тумана и т.д. К тому же на неё оказывают воздействия и следующие факты, просчитать и исключить которые нет возможности:
Это всё приводит к ложным срабатываниям сигнализации, которые не запрограммировать, не предусмотреть заранее нельзя. Поэтому многие фирмы стараются не подключать такую сигнализацию к пульту централизованного наблюдения. Тем не менее, этот вид сигнализации очень важен при охране различных объектов.
Что такое периметральная охранная сигнализация?
В систему работы периметральной сигнализации входят датчики нескольких типов, блоки по обработке информации и соединительные линии. Поскольку периметр может охватывать большие площади и длинные участки, обычные датчики, которые используется в закрытых помещениях, не подходят. Кроме того, что они должны быть устойчивыми к климатическим условиям, должны работать на более далёкие расстояния, чем те, которые бывают в помещениях. В работе системы применяются виды датчиков:
В состав оптических датчиков входят два компактных блока, один из которых излучает инфракрасные лучи, а другой их принимает с помощью светодиодного приёмника. Если луч пересечь, тут же произойдёт срабатывание датчика и появится тревожный сигнал.
Длина, на которую датчик может передавать луч, достигает 80-100 м. Главном образом их устанавливают на верхах изгородей, предотвращая попытки пересечений через ограду. Система работает обычно ночью. Имеет большой недостаток, передатчик и приёмник заметны посторонним глазом, их может увидеть любой, кто подошёл к ограде.
На лёгких ограждениях (ограждения из металлической сетки), применяются вибрационные датчики. В данной системе с помощью стяжек на ограждении крепится специальный кабель. Как правило, подключаются две линии, которые присоединены к контроллеру.
При попытке проникнуть на охраняемую территорию или разрушить изгороди, в проводе на сенсорных проводах появляются электрические заряды, которые приводят в действие сигнализацию. Сама чувствительность такой системы может меняться из-за различных условий, чтобы уменьшить количество ложных срабатываний.
В радиоволновых системах расположены два параллельных отрезка провода, между которыми создаётся электромагнитное поле. При любом попадании между проводами посторонней вещи (объекта) произойдёт обычное изменение магнитного поля, которое тут же зафиксируют датчики. Рекомендуется такую сигнализацию устанавливать на тех изгородях, которые сделаны из немагнитного материала (бетон, кирпич, дерево).
Данный вид сигнализации может применяться и на территориях, где нет заграждений. Просто два провода вкапываются неглубоко в землю. Если кто-то пересечёт эту линию, тут же произойдёт срабатывание сигнала. Такой линейный датчик сможет охранять территорию до 120м. Не всегда есть возможность установить непрерывный забор, например из-за рельефа, объект расположен на крутом берегу реки, и необходимо, чтобы на территорию никто не приникал. Здесь и поможет данная сигнализация.
В состав микроволновых охранных систем для периметра, как и оптических, входят передатчик и приёмник. Устанавливаются на территории до 60 м., так, что бы создавалось объёмное пространство. От земли датчики должны находиться на расстоянии 1,5 м, а от плоскости поверхности ограждения 0,4-0,5 м. Если в этот объём попадёт нарушитель, сработает сигнализация.
На видео: Как подключить перимитральную сигнализацию.
Преимущества и недостатки
Главное преимущество системы охраны периметра – она предупреждает охранников о появлении посторонних объектов на охраняемой территории задолго да того, как нарушитель непосредственно проникнет на охраняемую территорию. Датчики ещё вдалеке зафиксируют движение, следовательно, у охраны будет время на подготовку, чтобы не допустить несанкционированного проникновения и определить уровень угрозы.
Довольно часто система охраны периметра оснащена и видеонаблюдением. Это облегчает работу охранников, помогает заранее определить причину срабатывания и возможные последствия. А так же уберегает от ненужных действий при ложном срабатывании.
К недостаткам системы относят:
Также при монтаже сигнализации необходим высокий объём проведения подготовительных работ и согласований. Необходимо проводить вырубку кустов и деревьев, быть внимательным, так как рядом могут быть такие объекты, как трубопроводы, газопроводы, линии электропередач, источники по ультро- и магнитному излучению, радиоволны и т.д. К тому же в таких местах могут появляться дикие животные и очень сложно настроить сигнализацию от ложных срабатываний. Тут на помощь придёт только видеонаблюдение.
Наиболее распространённые виды сигнализации
В нашей стране на данный момент периметральная охранная сигнализация представлена тремя комплексами.
В системе вибрационных типов представлена «Гюрза». Она, главным образом, устанавливается на лёгких металлических ограждений из сетки, колючей проволоки, профнастила. Обеспечивает защиту по периметру до 1000 м. и состоит из двух участков по 500 м. Так достигается наилучший вариант по охране объекта. На ограду монтируется трибоэлектрический кабель с высокой чувствительностью к вибрациям. Как только кто-то попытается пролезть через забор, сработает сигнализация.
Сигнализация типа «Болид» работает с помощью вибрационного принципа. Для охраны территории используют сенсорный кабель. Таким образом, сигнализация защищает не только от перелезания через изгородь, но и от подкопов и других попыток по разрушению изгороди. Данная система сигнализации из всех типов самая дешёвая. А компания «Болид» среди другой продукции выпускает и контролёр для датчиков по периметру С2000-Периметр. Эта система позволяет подключить одновременно до 32 различного типа датчиков и может обеспечивать охрану периметра до 1500 м. Сам контролёр преобразовывает все полученные сигналы от различных датчиков в один. А это в свою очередь даёт возможность контролировать территорию различными датчиками и не покупать на каждый отдельный свой контроллер. Поэтому, эта система пользуется спросом, среди охранных фирм.
3. Лучевая оптическая система «Рубеж» состоит из передатчика инфракрасного излучения и его приёмника. С помощью охранной системы «Рубеж-3М» можно организовывать либо охрану одной территории при помощи параллельных разведённых лучей на расстоянии 300 м., либо два участка с одним лазерным лучом на каждом с тем же расстоянием в 300 м. Главные помехи могут создавать животные, птицы, а также непогода (сильный ветер, туман). Поэтому, при охране больших территорий рекомендуется применять данный вид сигнализации в сочетании с видеонаблюдением.
Термин «периметр» только вредит информационной безопасности
 |
| Фрагмент лондонского Тауэра |
Кто-то воспринимает периметр как точку соединения с Интернет. Как бы забавно это не звучало в контексте геометрии, в которой периметр это всё-таки замкнутая линия. Кто-то воспринимает периметр как линию которая очерчивает корпоративную или ведомственную сеть. Кто-то воспринимает периметр как набор устройств которые имеют выход в интернет.
Но каждое из этих определений очевидно имеет свои плюсы свои минусы и они не равнозначны. Как воспринимать ситуацию даже с таким казалось бы простым вариантом как промышленный сегмент, возможно даже физически изолированным от внешнего мира, если туда пришел представитель подрядный организации с ноутбуком который подключён через 3G четыре же модем к интернету. Появляется ли у нас здесь периметр или не появляется? А если мы посмотрим на ситуацию когда сотрудник с мобильным устройством подключается к облаку внешнему в котором хранятся конфиденциальные данные компании или работает приложение, обрабатывающее данные. Здесь есть периметр или нет? Ведь мы вообще можем использовать личное устройство сотрудника и чужую инфраструктуру облачного провайдера и кроме как информация от компании здесь нет вообще ничего.
Ну допустим у нас и мобильные устройства принадлежит компании, а облака принадлежит провайдеру. При этом максимум, что мы можем знать, это свой кусок этого облака, в котором мы располагаем наши сервера, наши приложения, наши данные. Но кто к ним имеет доступ извне со стороны облачного провайдера, со стороны других его клиентов? В такой ситуации вообще невозможно очертить периметр. А это означает, что как бы мы не хотели, но мы вынуждены изменять свои подходы к тому, что мы привыкли называть защитой периметра. Например, в компании Cisco мы исходим из того, что сотрудник компании может работать в любой момент времени из любой точки мира с любого устройства. В такой концепции, разумеется, не может быть периметра в общеупотребимом смысле и это заставляет совсем по-другому защищать, нет, не периметр, а подключение к Интернет! А вы готовы к новой реальности?
А почему термин «периметр ИБ» вреден? А потому, что он, будучи построен на устаревшей парадигме, создает чувство ложной защищенности. Давайте сделаем экскурс в историю. Какой была модель угроз в 800-1400 годах нашей эры? Если быстренько составить перечень актуальных угроз, то получится следующее:
 |
| Линия Мажино |
В информационной безопасности все тоже самое. Старые подходы становятся бесполезными (это как рассчитывать на антивирус в борьбе с современным вредоносным ПО). Страны со слабой традиционной армией могут беспрепятственно выигрывать в кибервойне. Компании, успешные и добившиеся огромных успехов в реальном мире, проигрывают в киберпространстве. А все потому, что защита строится на старых подходах, которые перестали быть эффективными при современном развитии технологий. Их тоже пора выбросить в пропасть. Кстати, вспомните. В фильме «Кавказская пленница» Шурик («нарушитель») смог проникнуть в защищенный высокими стенами дом, стоящий на скале, а Нина («объект защиты») смогла покинуть периметр, несмотря на усилия Труса-Балбеса-Бывалого («службы ИБ»).
Ну и в заключение минутка юмора. Классический мультфильм на тему незащищенного периметра. Я его еще лет 20 назад показывал на различных мероприятиях по ИБ:
Периметр безопасности
Многоуровневые решения сохранят безопасность системы
озможно, вы еще помните те времена, когда защита чаще всего сводилась к использованию брандмауэров. Но даже тогда эта концепция считалась ограниченной. Установка внешних средств безопасности (периметра безопасности) подразумевает нечто большее, чем использование брандмауэров и обнаружение несанкционированных подключений. Брандмауэр является лишь одним из компонентов периметра безопасности, а периметр безопасности — только один из компонентов безопасности. Мне бы хотелось привести некоторые соображения, которые нужно обязательно принимать во внимание при создании периметра безопасности, а также контрольный список решений, которые можно использовать при планировании периметра безопасности в современной среде с растущим числом соединений.
И все же периметр безопасности начинается с почтенного брандмауэра. Многие ошибочно полагают, что брандмауэр внимательно просматривает каждый входящий пакет. Брандмауэры — это только первая линия обороны, и они отражают лишь самые примитивные атаки. Проще говоря, брандмауэры оценивают пакеты в соответствии с протоколом доступа сообщений и по состоянию соединения между внешним и внутренним компьютером. Если пакет согласуется с протоколом, разрешенным для входящих соединений, или является частью установленного исходящего соединения, брандмауэр пропускает его. Любое вредоносное содержимое внутри разрешенного протоколом или инициируемого исходящим сообщением соединения пройдет через брандмауэр незамеченным. Например, если у вас за брандмауэром имеется сервер электронной почты, вы, скорее всего, откроете на брандмауэре порт 25 (SMTP) для входящих соединений, который будет переадресовывать их на ваш сервер электронной почты. Как только брандмауэр обнаружит, что пакет соответствует SMTP, он немедленно направит его на сервер электронной почты.
Любой приобретаемый сегодня брандмауэр включает две основные характеристики: инспектирование пакетов с хранением адресов и преобразование (трансляция) сетевых адресов. Инспектирование пакетов повышает интеллектуальность брандмауэра и заставляет его более внимательно относиться к протоколам, ориентированным на установление логических соединений типа TCP, что лишает нарушителей возможности засылать через брандмауэр вредоносные пакеты под видом уже установленного соединения. Преобразование сетевых адресов позволяет скрывать информацию о внутренней сети, например внутренние адреса и топологию локальных сетей, сообщая вместо адреса и порта внутренней сети собственный адрес в Internet и новый номер порта.
Каждый протокол и приложение уязвимы из-за плохо сформированных данных и случайных ошибок разработчиков сопутствующих программ. Все больше приложений становятся открытыми для потенциально враждебных компьютеров и вредоносного контента и трафика Internet, который может содержать опасные данные. Риск продолжает расти по мере перехода на мобильные системы. Чтобы повысить гибкость эксплуатации для пользователей мобильных устройств, обычной практикой является переход от виртуальных частных сетей (VPN) к безопасному удаленному доступу на уровне приложений. Например, поддержка системой Microsoft Exchange 2003 вызовов удаленных процедур по HTTP позволяет пользователям задействовать Outlook внутри или вне локальной сети независимо от их опыта. Все чаще компании осуществляют сделки со своими деловыми партнерами через протокол SOAP и связанные с ним протоколы. В результате все больший объем информации предприятий становится доступным для атак на уровне приложений, чем и пользуются хакеры.
Вероятность атак, направленных на высокоуровневые приложения, можно уменьшить. Для этого нужно полностью обновить все приложения, использующиеся для связи с потенциально ненадежными внешними системами. Профилактическая постановка всех исправлений в операционных системах и приложениях является основным фактором обеспечения периметра безопасности. Нужно помнить о том, что установка исправления может быть сорвана, если новые уязвимые места станут известны до того, как она будет готова.
Можно реализовать проактивный подход к атакам по сети на уровне приложений путем использования шлюзов приложений (известных также как инвертированные proxy-серверы). Шлюзы приложений могут осуществлять поиск конкретных известных методов атаки, но это не является их основной функцией. Шлюз приложений представляет собой систему между Internet и сервером приложений, которая понимает релевантный протокол приложений, использующийся в настоящий момент. Эта система сo шлюзом приложений воспринимается извне как конечный сервер приложений, но на самом деле шлюз интерпретирует каждый входящий запрос, преобразовывает его в собственный внутренний формат сервера приложений, а затем заново создает новый запрос, чтобы аннулировать любое вредоносное содержание или предупредить его проникновение. Далее шлюз посылает новый запрос на фактический (действующий) сервер приложений и аналогичным образом обрабатывает ответ сервера. Например, шлюз SMTP, который тщательно разбирает входящее сообщение SMTP, а затем заново создает его в строгом соответствии со спецификациями протокола SMTP, отбрасывает любые дефектные данные, например нарушенные последовательности символов или избыточные данные в сообщении.
В разных компаниях требуются разные шлюзы приложений, но почти везде используются приложения и протоколы для просмотра Web-страниц (через HTTP), для электронной почты (через SMTP) и для оперативной пересылки сообщений (IM). Эти три протокола делают приложения особенно привлекательными мишенями для четырех видов атак: прямых атак, заражения вирусом, фишинга и атаки на исходящий контент. Прямые атаки, использующие переполнение буферов или другие уязвимые места, направлены на конкретные слабые места клиентов электронной почты и серверов, Web-серверов и клиентов IM. Поскольку HTTP, SMTP и IM поддерживают пересылку файлов, они подвержены заражению вирусом, а также уязвимы для атак методом социальной инженерии, например фишинга. Риски, связанные с этими протоколами, касаются не только входящих/исходящих сообщений, отправляемых сотрудниками, но угрожают конфиденциальности предприятия и нарушают соответствие требованиям нормативов.
Ни один продукт на рынке не поддерживает шлюз приложений для каждого протокола и приложения, однако ISA Server от Microsoft поддерживает самый широкий диапазон собственных протоколов (в том числе SMTP, HTTP, FTP и RPC). Помимо этого, ISA Server поддерживает множество разработанных партнерами дополнительных программных модулей для других протоколов и приложений. Расширяемая архитектура ISA Server и удачное сотрудничество Microsoft с партнерами делают ISA Server универсальным шлюзом приложений, но для конкретных применений можно воспользоваться и другими решениями (например, решениями FaceTime для защиты пересылки сообщений и создания «антишпионских» программ). Web-фильтры, разрабатываемые компаниями Barracuda Networks, Websense, St.Bernard Software и SurfControl, помогают применять политики, определяющие, к какой Web-странице внутренние пользователи могут перейти. Используя управление по ключевому слову, такие решения позволяют контролировать сотрудников или блокировать поступление к ним конфиденциальной информации либо почтовых сообщений, а также блокировать их доступ к не предназначенной для них информации.
Кроме Web, электронной почты и IM, слабыми местами периметра безопасности являются одноранговые сети (2Р2), Internet-конференции и XML. Многие разработчики шлюзов приложений, изначально предназначавшихся для Web-фильтрации и безопасности IM, расширили свои решения для поддержки одноранговых сетей и Internet-конференций.
Широкое применение коммуникаций в формате XML, особенно в виде SOAP, для осуществления финансовых сделок создает проблемы, которые отличаются от проблем технологий, в большей степени ориентированных на конечного пользователя, о которых я рассказывал. ИT используют XML для установления связи между важнейшими бизнес-системами и соответствующими системами деловых партнеров. Из-за текстового характера XML любое средство защиты сильно нагружает центральный процессор и потребляет ресурсы памяти из-за использования рекурсивного синтаксического разбора. Вполне понятно, что администраторы резко отрицательно относятся к дополнительной нагрузке на сервер приложений, и в организациях, использующих XML, количество поврежденных серверов может быстро увеличиться и выйти из-под контроля. Если в вашей организации используется XML, то к средствам защиты периметра придется добавить аппаратный брандмауэр XML. Решения предлагаются компаниями DataPower, Xtradyne, Reactivity и Layer7 Technologies.
Одной из самых грубых ошибок, которые могут быть допущены в отношении периметра безопасности, является создание политик, запрещающих применение определенных технологий, например IM или Web-конференций. Пользователи будут игнорировать эти политики, а провайдеры услуг и разработчики найдут способ обойти простые брандмауэры, призванные блокировать «несанкционированное» соединение. Не стоит рисковать своей репутацией профессионала в области ИТ, запрещая технологии вместо того, чтобы способствовать их развитию. Занимаясь вопросами безопасности, помогайте распространению новых технологий.
Виртуальные частные сети (VPN) и протоколы SSL для VPN
Несмотря на тенденцию обеспечения удаленного доступа на уровне приложений, доступ VPN все еще остается очень важным для пользователей мобильных и удаленных устройств. Появление так называемых VPN с Secure Socket Layer (SSL) вызвало некоторое смятение в рядах сторонников VPN. Поговорим сначала о традиционных VPN, а потом перейдем к определению SSL VPN и обсудим все «за» и «против».
Традиционно использование VPN для удаленного доступа означало просто установление связи с локальной сетью компании через Internet с помощью туннельного протокола, например PPTP и L2TP. Подсоединившись к сети, удаленные пользователи становились виртуальными членами внутренних локальных сетей и получали доступ через IP к ресурсам локальной сети, как если бы они находились в офисе (хотя из-за запаздывания дистанционного соединения доступ осуществлялся гораздо медленнее).
Истинные виртуальные частные сети на базе PPTP или IPsec незаслуженно имеют репутацию сетей, неудобных для управления и обслуживания (основная жалоба сводится к необходимости установки частного клиентского программного обеспечения на все компьютеры удаленных пользователей). Я не понимаю, почему компании так сильно рассчитывают на сторонние VPN, а не на внутренние Windows PPTP и L2TP. Сервер RRAS устанавливается просто, а Windows имеет встроенный клиентский VPN еще со времен Windows NT. Особенно прост в применении PPTP. Если вам нужно осуществить двухфакторную аутентификацию с использованием клиентских сертификатов, необходимо задействовать L2TP и развернуть клиентские сертификаты (это справедливо в отношении двухфакторной аутентификации любого типа). Используя комплект управления соединениями СМАК, вы можете создать мастер, который будет автоматически устанавливать VPN-соединение в папке сетевых соединений пользователя. Можно распространить мастер как приложение к электронной почте, на компакт-диске или путем загрузки с Web.
Самая большая проблема с VPN, с которой я столкнулся, была вызвана брандмауэрами между VPN-сервером и удаленным пользователем. Большая часть брандмауэров может быть сконфигурирована так, чтобы пропускать PPTP или IPsec (L2TP проходит внутри IPsec) при исходящих VPN-соединениях, на что соглашаются далеко не все администраторы. Эти периодически возникающие проблемы соединений и являются одной из причин использования SSL VPN вместо VPN.
Не все SSL VPN есть истинные VPN — многие являются просто реверсивными представителями защищенного протокола HTTP (HTTPS). С инвертированным proxy-сервером можно использовать приложения для браузера, первоначально предназначенные для доступа пользователей из внутренних локальных сетей, и сделать их доступными для удаленных пользователей без изменения внутреннего сервера приложений. Proxy-сервер является надежным Web-сервером в Internet; после успешного подсоединения и аутентификации удаленного пользователя с помощью обычных Web-браузеров proxy-сервер играет роль посредника между пользователем и сервером внутри сети. Это уже много лет делает ISA Server, но после того, как инвертированными proxy-серверами стали пользоваться новые компании, в обиход вошел термин SSL VPN. Основное преимущество использования инвертированных proxy-серверов заключается в том, что они позволяют сделать внутренние Web-приложения доступными для удаленных пользователей без какой-либо установки со стороны пользователя и без модификации внутреннего Web-приложения. Кроме того, у вас не будет проблем с соединениями, которые возникают в связи с блокировкой брандмауэрами исходящих туннельных протоколов.
Используйте инвертированный proxy-сервер, когда требуется обеспечить удаленный доступ к внутреннему Web-приложению. Используйте SSL VPN, когда необходим доступ от удаленной сети к внутренней сети на транспортном уровне (TCP/UDP). Истинные SSL VPN обеспечивают туннелирование трафика IP между внутренней локальной сетью и удаленным пользователем. OpenVPN является решением с открытым кодом для создания SSL VPN. Более подробная информация приведена в статье «Работаем с OpenVPN» (http://old.osp.ru/win2000/506_36.htm). Другие истинные SSL VPN выпускаются независимыми поставщиками программного обеспечения, например компаниями Aventail и Citrix. SSL VPN очень перспективны с точки зрения простоты применения и администрирования и низкой стоимости эксплуатации, но если вы используете такие возможности управления, как, например, CMAK, Group Policy и Certificate Services, то неплохо работают и собственные варианты VPN-соединений Windows. Если требуется поддерживать удаленных пользователей, работающих не с Windows, а с другими системами, более подходящим вариантом будет SSL VPN. Справочная информация по продуктам SSL VPN приведена в статье «Продукты SSL VPN» (опубликованной в Windows IT Pro/RE № 3 за 2005 г.).
Несмотря на самые серьезные намерения внедрить целый комплекс средств защиты периметра, риск проникновения злоумышленников в сеть все-таки сохраняется, поэтому следует подумать об обнаружении и предупреждении вторжений. Системы обнаружения вторжений (IDS) и системы предупреждения вторжений (IPS) используют для обнаружения нарушителей один или несколько из трех основных методов: проверку пакетов, настройку политики и анализ моделей. Большинство IDS- и IPS-решений проверяют пакеты на известные сигнатуры атак. Эффективность этого метода проверки зависит от того, сколько сигнатур атак производитель встраивает в свой продукт и как часто он обновляется. Большая часть систем позволяет также настраивать политики, определяющие предполагаемые модели сетевого трафика, но этот метод связан с проведением обширного анализа и с большим объемом работы, причем необходимо модифицировать политики при введении новых приложений и изменении моделей трафика. Некоторые системы используют разные алгоритмы и анализ моделей передачи для автоматического детектирования аномального трафика. Эти системы перспективны, но в данный момент они страдают теми же ограничениями и ложноположительными результатами, что и решения антиспама, основанные на эвристическом принципе и байесовском анализе.
Главные различия между IDS и IPS заключаются не столько в способах проверки, сколько в способах реагирования на обнаружение подозрительного или несанкционированного трафика. IDS действуют через регистрацию и оповещение. IPS пытаются остановить вторжение путем изменения конфигурации брандмауэра в реальном времени или путем обнуления протоколов управления передачей данных (TCP). Когда IDS ошибается (дает ложноположительный результат), ящик входящей почты заполняется и ваш пейджер приходит в аварийное состояние из-за слишком большого количества тревожных сигналов. Если ошибку допускает IPS, то важные деловые процедуры прочно застывают на своих маршрутах. Если нет возможности назначить специальный персонал для обслуживания IDS и IPS, лучше потратиться на средства прямой защиты периметра.
Безопасность периметра раньше сводилась к изменению правил настройки брандмауэра; теперь же периметр безопасности представляет собой многогранный, многоуровневый и гораздо более сложный аспект безопасности и является не просто границей между Internet и внутренней сетью. Сегодня многие приложения соединяют эти две сети через логические соединения, которые осуществляются в обход брандмауэра. Первый шаг планирования периметра безопасности заключается в идентификации как физических, так и логических соединений с внешним миром. Важно помнить о том, что периметр безопасности постоянно меняется, и неожиданно могут возникнуть новые соединения с периметром по мере разработки новых Internet-технологий. Например, быстро развиваются виды услуг, осуществляемые на основе удаленного управления, такие как GotoMyPC. Пользователи могут легко стать абонентом GotoMyPC и задействовать его для удаленного доступа, но при этом через свои компьютеры они открывают ход прямо в корпоративную сеть.
Как уже говорилось выше, сопротивление новым видам подключения к внешнему миру бесполезно и даже может оказаться пагубным для компании. Если вы попытаетесь остановить технический прогресс, например игнорируя системы IM и Web-конференции, ваши клиенты найдут способ обойтись без вашей компании. Будьте бдительны, планируйте заранее. Повышайте надежность своих систем.
Рэнди Франклин Смит (rdsmith@ultimatewindowssecuritu/com) — Редактор Windows IT Pro, консультант по вопросам информационной безопасности, главный управляющий компании Monterey Technology Group. Преподает на курсах Ultimate Windows Security и имеет сертификаты SSCP, CISA и MVP