Обеспечение безопасности компьютерных коммуникаций в высшем учебном заведении

Вид материала

Документы

Подобный материал:

• Статья посвящена проблеме гражданско-правового регулирования договора оказания услуг, 119.17kb.
• Овательном учреждении высшего профессионального образования (высшем учебном заведении), 110.11kb.
• 1. 6      Физическая культура и спорт в высшем учебном заведении, 2364.44kb.
• Литература 106, 3299.41kb.
• А. М. Горького Факультет журналистики Диплом, 227.95kb.
• Примерный перечень тем курсовых работ, 111.37kb.
• Экземпляр №1 Лист 1 Всего листов, 318.47kb.
• Самостоятельная работа студентов в высшем учебном заведении Учебное пособие, 2665.29kb.
• Лингвистический университет, 126.48kb.
• Министерство образования, 111.24kb.

ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ КОММУНИКАЦИЙ В ВЫСШЕМ УЧЕБНОМ ЗАВЕДЕНИИ

Д.Л.Губанов, В.Я.Михновец, А.О.Сергеев

Санкт-Петеpбуpгский госудаpственный институт точной механики и оптики (технический унивеpситет), Санкт-Петербург

Тел.: (812) 232-84-94, e-mail: goobanov@spb.runnet.ru, mikhnovets@mail.ifmo.ru, sergeev@mail.ifmo.ru

Подсоединение локальных компьютерных сетей организаций к Интернет приводит к необходимости уделять достаточно серьезное внимание вопросам обеспечения компьютерной информационной безопасности.

В данной работе рассматривается реальный опыт повседневной деятельности сетевых администраторов локальной сети СПбГИТМО по обеспечению бесперебойных и безопасных компьютерных коммуникаций и те особенности, которым нужно уделять большее внимание в условиях работы в высшем учебном заведении.

Перенесение на компьютерную основу повседневного документооборота, деловой и личной почтовой переписки, финансовой документации, элементов учебного процесса предъявляет весьма высокие требования к надежности и безопасности функционирования всего компьютерного хозяйства. И хотя использование компьютеров давно уже стало привычным и необходимым явлением, при объединении их в сеть возникает целый класс совершенно новых проблем.

Истоки общих проблем безопасности и надежности использования программного обеспечения в условиях работы в сети можно разделить на три группы:

• проблемы программного обеспечения (ПО) – операционных систем и программ, связанные с чрезвычайно высокими темпами внедрения технических новшеств, приводящими зачастую к выходу на рынок ПО beta-качества, с резко возросшими объемами и сложностью ПО, давлением рынка, требующим новых возможностей, с изначально заложенными архитектурными особенностями конкретных программных пакетов, которые зачастую просто невозможно поменять "на ходу";
  
• проблемы системных и сетевых администраторов – неправильное или неполное понимание отдельных сторон функционирования программных и аппаратных комплексов, приводящее к некорректным их настройкам;
  
• наличие в компьютерных сетях, кроме администраторов, и собственно пользователей, которые чаще всего не только не заботятся об обеспечении защиты и надежности функционирования своих систем, но и просто не подозревают о существовании подобных проблем.
  

Наличие в Интернете огромных архивов соответствующего программного обеспечения, предназначенного для защиты, взлома и исследования сетей, также стимулирует опыты и "изыскания" пользователей в этих областях, в особенности в вузах, обучающих студентов по компьютерным специальностям.

Из-за весьма широкого диапазона требований пользователей подразделений вуза к сетевому сервису, различного стартового уровня подготовки системных администраторов и пользователей подразделений в вузе практически невозможно сразу разработать единую для всех политику по вопросам компьютерной безопасности и надежности (security policy).

Чрезвычайно важно учитывать в такой работе и психологические факторы. Так, например, любые попытки без предварительных детальных разъяснений административно или технически ограничивать свободу действий пользователей в сети (что обычно приводит к необходимости изменить повседневный образ действий), всегда первоначально наталкиваются на резкое неприятие и сопротивление. Характерные примеры – жесткие требования к идентификации и аутентификации пользователей, перевод клиентов на обязательное использование HTTP/FTP proxy-серверов, четкое формулирование правил relay'инга (пересылки) почты на почтовых машинах, разрешение работать с отдельными серверами по уязвимым протоколам (Telnet, FTP, POP-3) только из конкретных защищенных внутренних сетей.

Поэтому в нашей работе мы выбрали путь постепенного внедрения в функционирование сети различных защитных механизмов. Так, на основе предварительных консультаций с системными администраторами подразделений и анализа сетевого трафика определялись основные используемые сетевые сервисы и виды сетевых взаимодействий и большая их часть была явно разрешена, некоторые же, наоборот, явно запрещены, т.е. был подведен базис под имеющееся положение дел "де-факто". А уже затем в процессе повседневной работы начали производиться рабочие консультации по вопросам конкретных security policy, ужесточения или ослабления ограничений, балансу распределения функций защиты между самими подразделениями и LAN-backbone.

В повседневной работе сетевых администраторов необходимо уделять равноценное внимание, как минимум, следующим областям деятельности:

1. Непрерывный сбор и визуализация статистики загрузки коммуникационных каналов, как внешних, так и внутренних – по подразделениям-клиентам, причем не только по суммарному объему трафика, но и раздельно по протоколам (в частности, WWW, FTP, proxy, UDP, ICMP), и по доступу к конкретным ключевым серверам. Это один из весьма существенных источников информации для оперативного выявления проблем в сети, обнаружения попыток атак и поиска уязвимых компьютеров, систем и сервисов, т.к. подобные события часто связаны с заметным изменением характера трафика.

2. Анализ свежей информации по security (защита, секретность, надежность, уязвимости), распространяемой через специализированные почтовые листы рассылки и WWW-сайты с целью оперативного закрывания дыр в защите операционных систем серверов, самого сетевого оборудования, отдельных сервисов и программ, клиентских машин. В наличии имеется очень широкий диапазон тематики этих информационных ресурсов – с акцентами на сетевых аспектах защиты и атак, на уязвимостях в ОС, сервисах и программах (локальных и сетевых), на конкретных системах – *nix, Windows, сетевое оборудование (маршрутизаторы, коммутаторы) и др.

Прослеживается четкая корреляция вспышек сканирования сетей и хостов и атак, направленных на конкретные уязвимости с первоначальным опубликованием информации о них в Интернет.

В частности, на данный момент, чтобы быть в курсе текущих проблем, желательно отслеживать следующие источники информации:

• почтовые листы рассылки: bugtraq@netspace.org, ntsecurity@iss.net, listserv@ntbugtraq.com;
  
• WWW-сайты: org, et/xforce/, .org;
  
• русскоязычные серверы: tsu.ru, one.ru, lgg.ru, r.ru/cgi-bin/secring и др.
  

3. Необходимо производить также отслеживание обновлений, дополнений и исправлений для ОС и программ от фирм-производителей (Cisco, Microsoft, Sun, Novell, Netscape, SCO, фирм-дистрибьюторов Linux, BSD-like систем и т.п.). Ведение файловых архивов обновлений, bugfixes, Service Packs основных серверных и клиентских ОС и распространенных программных пакетов. Их тестирование и установка на ключевых серверах и подопечных машинах, распространение информации о появившихся обновлениях среди администраторов и пользователей.

4. Защита хостов от атак по сети – не только по внешнему периметру, но и внутренних подразделений института друг от друга. Активное использование пакетных фильтров на входе/выходе из внутренней сети в мир и между клиентами. Реализация их как extended ACL (access control lists) на маршрутизаторе LAN backbone (Cisco 4500-M) и, как правило, локальных Firewalls на серверах и отдельных рабочих станциях (в частности, на рабочих станциях администраторов сетей). Фильтрование с протоколированием пакетов с поддельными и неверными исходными IP-адресами, адресованных на уязвимые TCP/UDP сервисы.

Адекватное реагирование на массированное сканирование – временное или постоянное блокирование IP-трафика "криминальных" атакующих хостов/сеток. Эти действия имеют смысл даже в условиях анализа журнальных файлов (logs) не в реальном времени – очень часто хакеры запускают сканирование больших диапазонов IP-адресов с целью определения номеров версий работающих на конкретных открытых TCP/UDP портах потенциально уязвимых программ, а уже затем после анализа полученных отчетов производят более направленные атаки.

Почтовая переписка с администраторами этих сетей по вопросам принятия действенных мер к "нарушителям спокойствия". Блокирование также и аналогичных атак, направленных наружу от пользователей внутренних хостов.

Сканирование сетей/хостов с целью выявления уязвимостей чаще всего направлено на следующие наиболее "популярные" TCP/UDP порты: ftp, tftp, http, pop3/imap, rpc, NBT (Netbios over TCP/IP – UDP/TCP 135,137-139), DNS, r-commands (rlogin, rsh), NFS, netstat, systat, TCP/UDP-порты троянских Windows-программ. Также весьма часто производится и сканирование на наличие хостов и сетевых устройств, управление которыми возможно по SNMP с оставленными по умолчанию community (public/private) – т.е. полностью открытых для дистанционного администрирования.

Попытки массированного сканирования открытых уязвимых портов часто довольно легко определить, т.к. при этом обычно затрагиваются и broadcast (широковещательные) адреса IP-сеток и подсеток, а весь входящий трафик, направленный на них, фильтруется и фиксируется в logs маршрутизатора.

Необходимо осуществлять Фильтрование по внешнему периметру (да и между подразделениями также) коммуникаций по большинству из этих TCP/UDP портов, а также Simple TCP/UDP services (echo, chargen, discard) и определенных типов ICMP-сообщений (например, redirect), часто используемых для проведения атак.

5. Защита внутренних подразделений друг от друга при работе не только по протоколам TCP/IP, но и по широко используемому протоколу IPX – защита (с помощью ACL на роутере) определенных кафедральных серверов Netware от доступа из отдельных сетевых сегментов, защита Windows-машин от доступа к их ресурсам через Netbios over IPX.

6. Обеспечение достаточной полосы пропускания для различных видов трафика, для различных подразделений и серверов. Использование таких возможностей маршрутизаторов как policy routing в сочетании с traffic shaping для выделения отдельных информационных потоков и ограничения полосы пропускания для них: например, для входящего трафика по отдельным протоколам (WWW, FTP, UDP трафик для приложений типа Web-вещания – RealAudio и др.) или для выходящего наружу трафика с внутренних FTP/WWW-серверов с объемным и популярным контентом – дистрибутивы программ, архивы MP3-файлов и т.п. Если не уделять этому внимания, то в условиях "узких" загруженных внешних каналов это очень быстро начинает сильно сказывается на эффективности нормальной работы пользователей (почта, WWW, FTP).

7. Воспрепятствование попыткам использования внутренних хостов как промежуточных машин для атак и сканирования чужих хостов:

• препятствование вовлечению в smurf-атаки (ICMP-"шторм") – фильтрование ICMP-пакетов, направленных на broadcast-адреса сеток и подсеток; traffic shaping входящего и выходящего ICMP-трафика – препятствование как внешним ICMP-атакам на внутренние хосты, так и атакам, направленным наружу (непосредственно или в результате использования внутренних хостов в качестве размножающих ICMP-экранов);
  
• от атак на почтовые сервера – препятствование relay'ингу чужой почты;
  
• от "паразитного" трафика – например, UDP-echo/chargen, часто направляемого хакерами на такие ключевые сервисы, как dns(UDP/53), запросы между proxy-серверами по UDP/3130;
  
• FTP bounce attack – попытки сканирования сервисов, находящихся за Firewalls, с использованием "доверенных" FTP-серверов;
  
• от сканирования и атак через внутренние proxy-сервера (через незащищенные и/или некорректно настроенные Squid, MS Proxy, WinProxy, Socks4/5) и т.п.
  

8. Препятствование внешним попыткам использовать внутренние корпоративные ресурсы в своих целях – рассылка своей почты, использование нелокальными пользователями внешних коммуникационных корпоративных каналов через незащищенные внутренние proxy-серверы, использование внутренних FTP-серверов с anonymous доступом в качестве warez-сайтов для неконтролируемого хакерского файлового обмена и др.

9. Мониторинг всех серверов и маршрутизаторов – анализ журнальных файлов (logs) на выявление аномальных и подозрительных событий, автоматические наблюдение за функционированием, запуск и перезапуск основных критичных сервисов (Mail, DNS, FTP, HTTP) на ключевых серверах, периодическая проверка на целостность, подмену и изменение файлов и файловых систем с оповещением администраторов по почте.

10. Вынесение сетевых коммуникаций с основными критичными сервисами и оборудованием в виртуальные каналы связи (VPN), в криптованные каналы (SSH, SSL), в физически изолированные сетевые сегменты для администрирования и мониторинга маршрутизаторов, коммутаторов, основных серверов – DNS, WWW, FTP, HTTP/FTP-proxy, Mail. Максимальное использование ACL для ограничения доступа к этим сервисам через сеть общего доступа.

Использование коммутаторов для ограничения возможностей прослушивания трафика (sniffing), ведение статических ARP-таблиц на маршрутизаторах для наиболее критичных хостов, жесткое использование ACL для защиты от подмены source IP адресов.

11. Обеспечение конечного уровня защиты – конфигурирование, администрирование и сопровождение ПО на клиентских компьютерах.

Это, в частности, защита от вирусов и троянских программ с помощью резидентных антивирусов, блокирование NBT (Netbios over TCP/IP) для доступа извне (против заражения вирусами и доступа к критической информации, находящейся в каталогах, предоставленных для общего доступа (share) на компьютерах под управлением операционных системах семейства MS Windows), использование для этих целей локальных Firewalls, установка только необходимых программ из проверенных источников, поддержка корпоративных FTP-архивов с проверенным программным обеспечением, ограничение сетевых коммуникаций до минимально необходимого уровня для таких наиболее важных и уязвимых клиентов, как административные подразделения вуза, бухгалтерия и т.п.

12. Защиты подсетей продвинутых подразделений-клиентов (компьютерные учебные кафедры, подразделения, работающие с общеинститутскими информационными архивами, базами данных) в соответствии с внутренними security policy. Это использование Firewalls, "локальных" IP-адресов в сочетании с IP-masquerading, NAT (Network Address Translation), Socks4/5 и др.

В дальнейшем предполагается также более активно использовать возможности NAT непосредственно на маршрутизаторе LAN backbone (Cisco) для предоставления доступа к сети из факультетских компьютерных классов общего доступа.

Следует заметить, что на LAN-backbone невозможно абсолютно централизованно производить в реальном времени полный контекстный анализ содержимого сетевого трафика с точки зрения атак и противодействия им, да и вообще навряд ли возможно сформулировать общие для всех критерии допустимого – существуют, например, учебные кафедры, которые сами в полной мере занимаются вопросами обеспечения информационной безопасности в силу их специфики и образовательной направленности, с другой же стороны, есть и компьютерные пользователи гуманитарных кафедр, административных подразделений института, не обладающие специфическими компьютерно-сетевыми знаниями.

К тому же и собственно ПО сетевого оборудования LAN-backbone не всегда напрямую предоставляет такие возможности. Так, в частности, ПО Cisco IOS IP Firewall Feature Set, позволяющее производить детальный контекстный анализ и фильтрование трафика на маршрутизаторах фирмы Cisco, не существует в версиях для магистральных роутеров (для Cisco 4000 и выше). Пропускать же весь трафик института через обычный компьютер общего назначения с установленным специализированным ПО для обнаружения в реальном времени атак на сеть (IDS – Intrusion Detection System), не представляется возможным по соображениям производительности.

Подводя итог, необходимо отметить, что решение вопросов обеспечения надежной бесперебойной работы и защиты компьютерных сетей, серверов и компьютеров пользователей можно осуществлять только на пути сотрудничества системных и сетевых администраторов всех уровней – от LAN-backbone до отдельных подразделений и клиентских компьютеров.

Отдавая должное имеющимся классическим моделям, следует подчеркнуть, что вышеописанная повседневная деятельность сетевого администратора хорошо описывается известной моделью сетевого управления ISO:

• управление производительностью (сбор данных о производительности, определение нормальных базовых уровней производительности сети);
  
• управление системными конфигурациями;
  
• управление учетом (accounting) для обеспечения равного доступа для всех пользователей сети;
  
• управление отказами (определение, изолирование, устранение и предупреждение проблем);
  
• управление безопасностью (идентификация важных сетевых ресурсов, контроль за доступом к ресурсам сети, создание и следование в работе локальным и глобальным security policy).