Большие проблемы малых фирм
Владимир Игнатов, Александр Кальфа
Практически любой компьютер, любая локальная сеть хранят достаточный объем конфиденциальной информации - деловых бумаг, сведений о партнерах и конкурентах, договоров, бухгалтерских отчетов. А закономерным этапом развития локальной сети рано или поздно становится подключение к глобальной сети Интернет. Но не все в полной мере сознают, что связь с Интернетом - это не только выход из локальной сети в глобальную, но и вход из глобальной в локальную, и после установления связи локальная сеть становится уязвимой для несанкционированного доступа. По мнению заместителя председателя Госкомсвязи А. Волокитина, “...к наиболее распространенным видам угроз безопасности работы в сети относятся порча программного обеспечения, изъятие конфиденциальной информации, искажение информации, информационное блокирование серверов и др.” (ComputerWeekly, № 22/98, с. 19).
Как правило, руководство банков, крупных корпораций и фирм прекрасно понимает, насколько важно обеспечить защиту своих сетей, и используют широкий спектр соответствующих программных, аппаратных и программно-аппаратных средств, предлагаемых отечественными разработчиками, такими, как “ИнфоТеКС”, “Оптима”, “Информзащита”, “Сигнал-Ком”, “Конфидент” и др.
Иное дело относительно небольшие фирмы. К восприятию проблемы защиты своих сетей они в большинстве своем не готовы. И не только в России. “Тех, кто не понимал, что Windows 95 представляет собой открытую всему миру дверь (когда она подключена к внешней сети и включен режим разделения файлов), оказалось неожиданно много, - пишет Билл Макроун, вице-президент фирмы Ziff-Davis (PC Week/RE, № 21/98, c. 27). - Мелкие фирмы являются наиболее вероятными кандидатами на столкновение с такого рода проблемами, ибо многие из них пользуются Windows 95 в простых одноранговых сетях”.
Наиболее распространенным средством защиты локальной сети считается межсетевой экран (его еще называют брандмауэром или firewall), который, как правило, представляет собой программно-аппаратный комплекс, устанавливаемый между сетями для контроля трафика. В настоящее время Гостехкомиссия при Президенте России сертифицировала девять межсетевых экранов (обновляемые списки сертифицированных Гостехкомиссией систем приведены на сервере www.infotecs.ru/gtc). К достоинствам программно-аппаратных систем можно отнести небольшое время, требуемое на их запуск, и относительную простоту обслуживания. Но для малого бизнеса они дороговаты: цена одного межсетевого экрана колеблется от нескольких тысяч до десятков тысяч долларов.
Выход здесь видится в использовании брандмауэров, организованных чисто программными методами. Потребителю можно рекомендовать драйвер сетевой защиты IP-LIR разработки “ИнфоТеКСа”, программные пакеты Inter-PRO (“Сигнал-Ком”), SKIP (ELVIS+) и AltaVista Firewall (“Анкей”). Как утверждают представители “Оптимы”, их система Optima-WorkFlow LAN Edition также пригодна для фирм среднего размера. Кроме того, в конце апреля эта компания получила сертификат Гостехкомиссии РФ на партию из 20 экземпляров межсетевого экрана CyberGuard версии 4.0, реализованного программными методами.
Продемонстрируем возможности программных средств защиты локальных сетей на примере драйвера IP-LIR, разработанного ОАО “ИнфоТеКС”.
Драйвер сетевой защиты IP-LIR
Общая характеристика. IP-LIR загружается в стек ТСР/IP и работает на транспортном уровне, непосредственно взаимодействуя с сетевым драйвером. Благодаря такой реализации шифрование и фильтрация входящего и исходящего IP-трафика, формируемого любыми Windows-приложениями, осуществляются в режиме реального времени. Использованная при разработке драйвера технология позволяет осуществлять закрытую связь через публичные сети (например, Интернет), а также внутри локальных сетей для таких приложений, как WWW, FTP, Telnet, Voice, служба конференций и т. д., создавая таким образом виртуальную защищенную сеть (VPN, virtual private network).
В зависимости от места установки IP-LIR способен выполнять разные функции (см. рисунок). Даже два человека, имеющие выход в Интернет и инсталлировавшие на своих компьютерах IP-LIR, могут установить между собой защищенную (в том числе голосовую) связь через глобальную сеть. В процессе их общения данные, сохраняемые на жестких дисках компьютеров и передаваемые по открытой сети, окажутся закрытыми для несанкционированного доступа.
Схема установки драйвера IP-LIR в локальной сети
Драйвер, установленный на корпоративном Web-сервере и компьютерах, между которыми происходит обмен информацией, обеспечивает для различных прикладных систем (платежных, информационных и др.) надежную защиту от внешнего вмешательства и разграничение по доступу для внутренних пользователей.
От аналогичных систем он отличается тем, что не привязан к конкретному IP-адресу. Благодаря этому пользователь может свободно путешествовать с переносным компьютером по всему миру и из любой точки земного шара и через любого провайдера подключаться к Интернету для обмена конфиденциальной информацией или ведения защищенных переговоров.
IP-LIR целесообразно устанавливать на каждый компьютер локальной IP-сети, включая серверы, предоставляющие общие ресурсы, или на особо ответственные станции. Таким образом разграничивается доступ к компьютерам локальной сети, а самое главное, к сетевому трафику. В результате, например, менеджер отдела продаж не сможет контролировать информацию бухгалтерии, а бухгалтерыиспользовать драйверы IP-LIR без функций жесткой централизации управления. При этом можно обойтись без ЦУС и “Ключевого центра”, настраивая драйвер на каждом компьютере.
Драйвер сетевой защиты, установленный только на серверах, выполняющих функции маршрутизаторов (шлюзов) во внешнюю сеть, защищает как трафик между маршрутизаторами, так и локальную сеть от нападений из сети внешней. При такой установке IP-LIR выполняет роль межсетевого экрана. Однако сеть, к сожалению, остается беззащитной от угроз изнутри.
Вместе с тем практика показывает, что в большинстве случаев несанкционированный доступ осуществляется именно из ЛВС либо собственными сотрудниками компании, заинтересованными в искажении информации, либо посторонними лицами, допущенными к компьютерам или коммуникациям (например, для их обслуживания). Специалистам известно несколько простых, но эффективных программ, позволяющих легко, практически не обнаруживаемым способом дезорганизовать работу сети, перехватить секретные файлы из разграниченных по доступу каталогов, модифицировать информацию, получить права администратора и сделать еще многое другое, несмотря на использование современных средств защиты. Однако эта тема выходит за рамки статьи.
Принцип функционирования. IP-LIR функционирует в операционных средах Windows 95 и Windows NT, готовится версия и для различных систем UNIX. Установленный на рабочих станциях, серверах локальной сети и серверах баз данных, он при пересылке IP-пакета добавляет в его тело сетевой идентификатор абонента-отправителя, дату и время отправления (для защиты от навязывания ранее переданных пакетов), подменяет порты источника и назначения (а при необходимости и IP-адрес источника), формирует имитозащитную сигнатуру заголовка и тела пакета (что позволит впоследствии проверить целостность сообщения), шифрует пакет и передает его стандартному сетевому драйверу.
При получении IP-пакета IP-LIR расшифровывает его, проверяет целостность, восстанавливает и регистрирует новый IP-адрес отправителя (если таковой имеется), блокирует пакеты с нарушенной целостностью, а также защищенные пакеты, предназначенные для закрытых служб, и ведет журнал трафика IP-пакетов. Кроме того, в зависимости от настройки он либо полностью блокирует входящие и исходящие незарегистрированные незащищенные пакеты, либо позволяет зарегистрировать и соответственно разрешить прохождение IP-пакетов, которые не вызывают подозрений.
Если же драйвер устанавливается на серверах, выполняющих роль стандартных маршрутизаторов к внешним сетям или служб удаленного доступа, то при соответствующей настройке IP-пакет может быть зашифрован целиком и инкапсулирован в новый с подменой IP-адреса источника единым адресом. В результате удается полностью скрыть структуру локальной сети со стороны сети внешней.
Роль ЦУС в управлении сетью заключается в регистрации рабочих станций и конкретных пользователей на узлах сети, установлении допустимых связей, задании полномочий по доступу различным службам и приложениям, формировании и автоматическом обновлении на узлах сети адресных справочников и справочников полномочий доступа, ключевой информации и программного обеспечения.
Особо следует остановиться на ключевой структуре защищенной сети, создаваемой с помощью драйверов IP-LIR. Как известно, передаваемые сообщения можно шифровать с помощью симметричных и асимметричных ключей, каждый из которых имеет свои достоинства и недостатки.
В сетях, построенных на основе IP-LIR, использована комбинированная ключевая структура: ключ шифрования определяется как симметричными ключами, распределяемыми центром, так и асимметричными, которые вырабатываются абонентами. В результате удалось до определенной степени совместить достоинства обеих систем, нейтрализовав их недостатки. Качество ключей всегда остается высоким, поскольку оно зависит от “Ключевого центра”, гарантирующего их случайность и равновероятность. В то же время достигается очень строгое разграничение доступа пользователей к различной информации и ресурсам сети. Асимметричные ключи формируются и распределяются по сети автоматически, без участия пользователей.
Алгоритмы шифрования информации и электронная подпись соответствуют ГОСТ 28147 - 89, ГОСТ Р34.10 - 94 и ГОСТ Р34.11 - 94.
Для установки IP-LIR необходим IBM-совместимый компьютер с операционной системой Windows 95/NT и не менее 7,5 Мбайт свободного места на диске. Драйвер чрезвычайно прост в инсталляции и работе. Его подробное описание и демоверсию можно найти на сервере www.infotecs.ru.
А куда податься ну очень маленькой фирме и компьютерщику-одиночке?
Очень маленькой фирме и владельцу индивидуального компьютера, подключенного к Интернету, можно порекомендовать версию драйвера IP-LIR без средств централизованного управления. Уже сейчас эта версия стоит относительно недорого, и работа по ее упрощению и удешевлению продолжается.
В сети из нескольких компьютеров IP-LIR устанавливается только на компьютер, имеющий выход в Интернет. В этом случае, как и при установке у индивидуального владельца, драйвер выполняет роль экрана, защищающего ПК от нежелательного потока информации. Он поможет не только предотвратить несанкционированный доступ извне, но и попытки сотрудников фирмы (или членов семьи) получить информацию из нежелательных IP-адресов. Можно, например, запретить работникам компании посещать игровые сайты в рабочее время или детям закрыть доступ к порносайтам навсегда, а ко всем прочим узлам - на время, когда они должны учить уроки. В крайнем случае, если любознательный отпрыск или сотрудник найдет неизвестный вам сайт, его увлечения нетрудно будет отследить.
Драйверы сетевой защиты могут оказаться полезными небольшим фирмам, если они имеют сеть филиалов (магазинов, складов) или компаньонов (поставщиков, дилеров) в разных городах и даже странах, с которыми необходимо иметь постоянную и защищенную связь. Размещая IP-LIR на выходе из локальных сетей (или на отдельных компьютерах) филиалов и компаньонов, можно установить между ними защищенную связь (в том числе голосовую) по открытым телефонным каналам и глобальным сетям, в частности через Интернет. Это может оказаться значительно дешевле, чем при использовании обычной открытой междугородной связи.
Следует, однако, подчеркнуть, что средствам защиты информации малых фирм пока уделяется недостаточно внимания, а требования к ним окончательно не сформулированы. Мы были бы благодарны всем читателям, имевшим терпение дочитать этот материал до конца и просмотреть демоверсию IP-LIR на сервере www.infotecs.ru, за отзывы (в том числе нелестные) и пожелания по адаптации драйвера к их потребностям.
С авторами можно связаться по Е-mail: soft@infotecs.ru.