Как сообщают различные средства массовой информации, в последнее время мощная волна хакерских атак захлестнула крупнейшие web-сайты, в числе которых оказались Yahoo, CNN, Amazon, eBay и др. Рассылка "Обзор высоких технологий в области защиты и взлома" (ведущий Андрей Барановский) по материалам из различных источников информировала и о том, что неизвестные вывели из строя новостной сервер ZDNet.com, а также сайты онлайновых брокеров E*Trade и Datek Online Holdings. По словам представителя ZDNet, 70% ресурсов сервера были недоступны в течение двух с половиной часов. Сайт Datek был недоступен для посетителей в течение 35 минут. Успех этих нападений может обойтись американскому коммерческому Интернету в сумму, превышающую $1,2 млрд. Эту цифру назвала компания Yankee Group, которая занимается рыночными исследованиями. В эту сумму входят убытки от прекращения торговли, падение акций и затраты на меры по предотвращению атак и обновлению системы безопасности. Однако компания не исключает и той возможности, что эта цифра может увеличиться.
Но не менее важным фактором становятся и вопросы пользователей электронных магазинов, которых начинают невольно волновать вопросы типа: "Если этот сайт не может противостоять атаке хакеров, то где гарантия, что информация, хранящаяся в моем досье на их сервере, в которой содержится номер кредитной карты, а также другая конфиденциальная информация, не станет достоянием электронных взломщиков?". Хотя практически никто не выразил сомнения в дальнейшем использовании ресурсов Сети в целом, чуть ли не 80% респондентов были озабочены проблемой перехвата конфиденциальной информации о пластиковых картах при ее передаче на сайтах Интернет-торговцев. 37% опрошенных заявили, что их доверие к сетевой безопасности теперь сильно подорвано. Скорее всего, в ближайшее время можно ожидать некоторого снижения объема сетевых продаж. Святая вера в неприступность таких столпов Интернет, как Amazon и Yahoo, была разрушена, при этом никто так и не смог толком объяснить, какая организация занимается отловом преступников.
Хакерскому взлому с последующей заменой главной страницы подвергся сайт одного из лидеров в области компьютерной безопасности компании RSA Security Inc. Как сообщает Newsbytes, хотя главный сайт компании www.rsasecurity.com не пострадал, на другом сайте компании, с более удобным названием www.rsa.com, была подменена главная страница. На ней вокруг логотипа RSA Security содержались слова "Взломано. Доверяйте нам свои данные! Молитесь Аллаху! Имя, которому больше других доверяют в компьютерной безопасности, куплено нами. Грядут большие дела. Вещи не всегда такие, какими кажутся" и т.д.
Замечу, что стоимость некоторых сайтов (порталов) сравнима с бюджетом крупных держав, в число которых попадает и Россия. Эти события заставляют обратиться к теме защиты столь важных сайтов и поставить вопрос ребром: если гиганты Интернет-индустрии не могут обеспечить свою безопасность, достижима ли безопасность в Интернете вообще в принципе? Есть ли шансы защититься от подобных и вновь изобретаемых хакерских атак? Этот вопрос повис в настоящее время в воздухе отнюдь не виртуально.
Взгляды вполне резонно обращаются в сторону военных, ибо, как всеми понимается, именно их всегда безопасность заботила более всего. Определяющим здесь является и тот фактор, что современные военные информационные системы используют для передачи важной, в том числе и секретной информации, общедоступные сети, к каковым относится Интернет, а практически все военные структуры представлены в этой сети на своих Web-сайтах.
Давайте попробуем ответить на этот вопрос, рассмотрев архитектуру системы безопасности виртуальной внутренней сети ВМС Naval Virtual Intranet (NVI), которая имеет сопряжение с глобальными сетями и использует для передачи информации Internet.
Для объединения различных локальных вычислительных сетей ЛВС (Local Area Network- LAN), находящихся на ограниченной площади (максимум несколько километров), например, на каком-либо военной базе, необходимо наличие физической связи между ними. Связанные в масштабах одной организации (военной базы, части) сети интегрируются в Base Area Network (BAN), а в масштабах города вычислительные сети образуют городскую вычислительную сеть Metropolitan Area Network (MAN). Роль же связующего звена между вычислительными сетями среднего уровня играет сервисный центр телепортации (преобразования) информации (Information Teleports Sevice Centrers - ITSC). Именно здесь происходит преобразование информации для её передачи в сети с другой архитектурой, протоколами обмена, способами передачи и т.д., а также в каналы радиосвязи. Таким образом, интеграция вычислительных сетей ВМС США различного уровня в глобальном масштабе образует глобальную виртуальную сеть ВМС, обладающую всеми преимуществами VPN.
Аспекты создания защищённой сети
Эка невидаль - защищённая сеть! Ведь существуют же и прекрасно функционируют многие военные сети, не подверженные взлому. Правда, по тривиальной причине - они попросту не имеют сопряжения с общедоступными сетями. Вот и вся защита от нападений извне...Просто, радикально и со вкусом. Но "бьются несчастные "люди-технари", страшно "безопасные" и умные внутри, что б они не делали, не идут дела, а ведь не всех их в понедельник мама родила". Так и тянет напеть и "решение всех проблем": им бы "провод" Интернетовский взять и отключить...
Но "люди - технари" и не собираются обрывать провода. В соответствии с программой "Качество жизни" (Quality of Life) они просто обязаны предоставить американским военным и свободную электронную (E-mail) переписку с домом, и возможность Web-серфинга, и доступ к научным, военным и другим базам данных и прочие услуги Интернет в не зависимости от того, берег какой страны будет виден из иллюминатора военного корабля. К слову, программа "Quality of Life" отнюдь и не в первую очередь предусматривает обеспечение таких вот удобств. Она охватывает гораздо более широкий спектр составляющих жизни американских государственных служащих, объединяемых понятием "качество жизни", куда входят и другие технологические усовершенствования, включающие теле-медицину, теле-обучение, теле-образование и пр., пр., пр.. В этом году для многих, в том числе и военных, все эти сервисы станут столь же простыми, как телефон. Отцы программы определили понятие "качество жизни" не только в технологических изысках, но и в квартирном, пенсионном, финансовом и других видах обеспечения американцев. Я почему-то уверен в том, что программа "не испустит дух" даже после ухода американских "немцовых", "чубайсов", унесших с собой "жизненную энергию" из программы жилищных сертификатов для российских военнослужащих.
"Вот тут собака и порылась...", как говорил наш незабвенный Михаил Сергеевич. Ну, правильно. Я не удивлюсь, если в американских истребителях пилот скоро начнёт требовать в полёте "принять ва-а-нну, выпить чашечку ко-о-фе". А компьютерная элита поставлена перед необходимостью обеспечить основные требования к военной сети, в данном случае к NVI:
NVI должна обеспечивать надежный и современный доступ к сервисным услугам и информации, например, сетевые соединения, виртуальные частные сети, Web-серфинг, электронную почту, доступ к публичным базам данных, электронным библиотекам и другим общедоступным компьютерным услугам с различных пользовательских терминалов.
NVI должна защищать от утечки несекретной, служебной, секретной информации и её модификации (изменения информации), а также от несанкционированного доступа в систему, случайных и преднамеренных атак на неё с целью вывода её из строя. При этом, должны быть защищены рабочие станции постоянных абонентов, размещённая и обрабатываемая на них информация, локальные сети, а также все виды сервиса как внутри сети, так и во внешних сетях, например, глобальных сетях WAN.
Начинали американцы, естественно, не с нуля, значительный опыт уже имелся. На его основании и в ходе экспериментов установлены объективно существующие реалии в защите военных сетей, с которыми на данный момент придётся считаться. Система безопасности NVI должна:
как говориться, наряду "с местным самоуправлением" управляться из единого центра;
защищать от атак не только извне, но и из самой сети;
распространяться на всю архитектуру сети и охватывать маршрутизаторы, ATM-коммутаторы, мультиплексоры и все "рычаги управления" различных видов сервиса и т.д.;
должна сама быть живучей, защищённой от несанкционированного доступа, модификации служебной информации, отказа в обслуживании;
предоставлять мощную и сбалансированную систему защиты в любом отдельном элементе (рвётся там, где тонко);
быть многоуровневой, при которой малоопытные кракеры "подрываются на минных полях" на дальних подступах к основным механизмам безопасности сети;
обеспечить в любом случае обмен информацией, пусть и с некоторыми ограничениями, внутри самой NVI;
максимизировать сопротивление попыткам несанкционированного проникновения в систему на всех уровнях;
минимизировать возможность появления "эффекта домино", когда один её изъян может привести к зависанию или разрушению всей системы.
В целом же, "безопасниками " признаётся, что:
если противник обладает инфраструктурой системы безопасности, то он обладает всей сетью;
на войне противник сконцентрирует усилия на ключевых точках NVI;
у противника уже есть эффективный атакующий потенциал, который он продолжает непрерывно пополнять и совершенствовать с целью уничтожения NVI;
с момента принятия на вооружение NVI, она будет "фокальной точкой" (центром внимания) сил информационной войны.
Подступы к NVI будут закрыты глубокоэшелонированной защитой, называемой буквально "Defense in Depth" (защита в глубину). Название защиты, вполне вероятно, навеяно разработчикам аналогиями защиты ядерного реактора, которая при проектировании созвучно называлась "defense in depth design concept" (концепция "защита в глубину"). Возможно, разработчики мысленно сопоставляют защиту NVI и последствия её разрушения с несрабатыванием защиты ядерного реактора (оружия). Действительно, пока трудно переоценить последствия разрушения защиты этой и ей подобных сетей.
Механизмы безопасности такой системы будут интегрированы в различные элементы различного уровня, во все слои архитектуры системы и будут задействоваться во всех режимах её работы и во всех видах сервиса. Помимо основных механизмов, в любой момент будут готовы к включению дополнительный и резервный.
На настоящий момент структура NVI определена не полностью, по крайней мере, насколько это известно из доступных источников. Существует общая функциональная схема и понятия работы, множество графических схем структур NVI, значительная часть которых уже реализована в реалиях, а следующая продолжает постепенно развертываться.. Что безусловно ясно, так это то, что решения о безопасности системы и составляющих её подсистем, сделанные одной группой системных разработчиков, постоянно воздействуют на другие решения как сообщающиеся сосуды.
Главной парадигмой защиты американцы выбрали изречение Карла фон Клаузевица ("On War", 1832), которое в свободном переводе может быть озвучено так: "Вся наша энергия должна быть сфокусирована против центра вражеской силы и его устремлений".
Объективные реалии
Разработки NVI поддерживают различные политики безопасности (Security Policies) для поддержки общности интересов (for different communities). Однако, считается, что этого достичь полностью невозможно, поскольку при ведении войны силами союзников набегает целый ряд ошибок. Технологические ошибки, проявившиеся в неточности, несвоевременности и утрате конфиденциальной информации, в конце концов, приведут к потерям в союзных войсках. В боевых подразделениях, кончено же, занимаются обеспечением безопасности, но там нет возможности уделять этим вопросам столько внимания. Кроме того, потенциал подразделений безопасности будет ограничен предоставленными им полномочиями в области изменения политики безопасности. Подразделения безопасности всех уровней должны быть готовы противодействовать нападающим, которые, предполагается, будут не просто и среднестатистическими инженерами, а настоящими кибервоинами, умудренными опытом и подготовленными для ведения информационной войны.
Уязвимыми местами инфраструктуры признаются:
Многие виды сигналов и устройств управления, процессы определения адреса, обновления (корректировки) маршутизаторов, процессов установления вызовов и т.д.
Такие узловые точки, как-то: пользователь - коммутатор, коммутатор - коммутатор, маршрутизатор - маршрутизатор, мультиплексор - мультиплексор, обращения пользователя к системе DNS, процессы взаимодействия DSN - DNS, процессы получения сертификатов и т.д.
Процесс передачи сигналов идентификации и аутентификации между элементами сети (spoofing может быть использован в различных модификациях в разнотиповых атаках).
Возможности блокировки, перенаправления или замедления потока передачи сообщений, что может привести к отказу служб сети.
Предоставление дополнительных услуг, таких как PKI (Public Key Infrastructure), вносит новые проблемы, выражающиеся в отказе в обслуживании (Denial of Service, DoS). Это может быть вызвано, например, подменой главного каталога PKI, что может привести к отправке секретной и зашифрованной электронной почты противнику. Эта возможность перенаправления трафика может быть реализована злоумышленниками и при криптографической атаке "встреча на середине" (Meet In The Middle), когда, осуществив подмену открытых ключей в главном каталоге, атакующий будет являться самозванцем-посредником между корреспондентами, и сможет свободно читать всю зашифрованную переписку пользователей.
Процесс передачи информации по общедоступным сетям. Как понятно, их задействование необходимо для максимального использования существующей инфраструктуры. Это влечёт за собой обязательность шифрования и сохранения целостности секретной информации, а также сокрытия трафика.
Примеры использования уязвимых мест NVI при её применении
Корректировка протоколов маршрутизации может быть отслежена с помощью спуфинга. Следствием этого может быть факт перенаправления незащищенной информации по заданным противником направлениям и последующий её перехват, а направление данных в "черные дыры" приводят к прекращению связи.
Однозначно будут применяться и атаки на доменный сервер DNS, целью которых будет его блокировка. Логично учитывать и те факторы, что существует потенциальная возможность атаки серверов или сетей, находящихся вне контроля ВМС, большинство сервисов (электронная почта, Web и т.д.) не будут функционировать без DNS, а чувствительная информация может быть послана и вовсе в неправильном направлении.
Могут быть отслежены сигналы управления сервисом АТМ (UNI, PNNI, NNI), за чем последует захват сетевых ресурсов.
Протоколами удалённого управления (такие как SNMP, Telnet) может быть подвергнуты спуфинговым атакам, что можно классифицировать как захват как отдельных подсистем NVI, так и всей виртуальной сети NVI.
Новый Вавилон
Если вы читаете этот материал, значит, Вы видели компьютер. Если Вы его видели, значит, Вы когда-нибудь играли на нём в игрушки. Если нет, то Вы - бабушка, дедушка, просто старый, но видели, как играют другие. Если нет, то, видимо, это был не компьютер...
Разработчики системы безопасности, судя по всему, компьютер видели. Наблюдение за тем, как они выстраивают свои оборонительные редуты, позволяет предположить, что им нравятся стратегические игры типа "WarCraft". И орков-кракеров они встречают глубокоэшелонированной защитой инфраструктуры NVI, компонентами которой являются:
Система мощной аутентификации при включении процедуры корректировки протоколов маршрутизации.
Мощный, не подверженный спуфингу, контроль за управлением сетью, охватывающий маршрутизаторы, серверы, коммутаторы и все другие элементы системы. В этом вопросе особо важна защита уязвимых сигналов переключения и перекоммутации, подробности чего составляют особый секрет. Известно, что будут использованы ограничения в передаче некоторых видов сигналов управления, которые не будут выходить за границы виртуальной сети NVI с общедоступными сетями. Признаётся приемлемым переход к передаче информации только внутри системы, при котором связь с остальными компонентами будет осуществляться посредством традиционных, не сопряжённых с WAN, каналов связи, что повлечёт целый ряд значительных ограничений, как по доступным видам сервиса, так и по объёму передаваемой информации. Контроль за управлением сетью может быть реализован посредством зашифрованных VPN-соединений, что позволит применять защищённое удалённое управление.
Усиленная система DNS. При её построении будут задействованы псевдокоренные механизмы продвижения данных и, предположительно, шифрование процесса аутентификации (DNSSEC). Однозначно произойдёт её разбиение на публичную и секретную.
Защита управления сервисами сети будет включать в себя межсетевые экраны, сетевые фильтры проникновений NIFs, системы обнаружения вторжения (вторжения) IDSs, безопасно сконфигурированные операционные системы и т.п.
Инструментарий администраторов для мониторинга и управления элементами безопасности, включающие и системы оценки уязвимости сети.
Для секретных сетей - сложное многоуровневое шифрование, охватывающее все уровни линий связи (соединений) и использующее систему INEs (In Line Network Encryptors, линейное шифрование). INE - встроенная система шифрования, обычно применяемая на границе между локальными и глобальными сетями, обеспечивает высокопроизводительное шифрование данных и контроль доступа к ним, ярким примером чего является Fastlane.
Сегодняшняя архитектура системы безопасности уже состоялась в вопросах:
Обеспечения многоуровневыми механизмами безопасности пользователей сети.
Управления механизмами безопасности, как местного, так и централизованного.
Построения четырёх зон безопасности.
Защита NVI выстроена из четырёх зон:
зона 1 (конечная система);
зона 2 (Intra-анклав и Inter-анклав). Этот уровень обеспечивает безопасность между одноранговыми локальными сетями и между локальными и общедоступными сетями;
зона 3 (зона Inter-COI и Intra-COI). Этот уровень обеспечивает защиту общности интересов COI (Community of Interest) как внутри самой NVI, так и во внешних сетях;
зона 4 (зона защиты общего доступа в сеть Internet). Основой зоны является система, построенная на межсетевых экранах Firewall.
Этап строительства продолжается, строго по плану, гм... чуть не сказал "с точностью до секунды". Система безопасности наращивается, стоятся новые "сторожевые и боевые башни", "крепостные стены", "ловушки", происходит их распределение по регионам. Сегодняшнее внедрение защиты направлено на построение уровневой архитектуры, постепенное усиление инфраструктуры системы защиты, разделение уровней безопасности физически или криптографическими методами. А я им сочувствую, по крайней мере - сегодня. Почему, спросите Вы? Неблагодарное это занятие, строить то, против чего постоянно обновляется атакующий потенциал и так много желающих "разрушить Карфаген" или попросту "бросить пустой пивной бутылкой". Внедряемое сегодня может быть уже сегодня и "обойдено", и, например, вечером уже придётся перестраивать заново, иногда выдирая с корнями, то, что ещё утром казалось таким надёжным. Но, помните, как говориться в "Откровении" Библии: "Знаю твои дела, и любовь, и служение, и веру, и терпение твоё, и то, что последние дела твои больше первых". Возможно, завтра я буду завидовать, ибо будет создан, нет, видимо, не "Новый Карфаген", но "Новый Вавилон", и повторить этот труд (создание таких сетей с такой защитой) в ближайшем будущем будет далеко ни каждому государству по силам. Задача будет похлеще, а её решение подороже, чем создание новой "windows"...
Но ближе к делу, пора посмотреть поближе на "крепостные сооружения". Они стоят того. Итак, посмотрите направо...
Инфраструктура системы защиты NVI и инфраструктура служб безопасности
Криптография как составляющая неприступности
Задача: NVI должна обеспечивать секретные службы с помощью несекретных сетей BANs и MANs.
Решение: Обеспечение и инсталляция одобренных АНБ (NSA) сетевых систем линейного шифрования FASTLANE и TACLANE.
ATM-шифратор FASTLANE - это высокоскоростной шифратор для локальных и глобальных сетей, предназначенный закрытия трафика при выполнении различных видов сервиса. FASTLANE поддерживает работу постоянных и коммутируемых виртуальных каналов, протоколов point-to-point (PPP) и point-to-multi-point, симплексных и дуплексных каналов. Он обеспечивает аутентификацию и защиту совершенно секретной и конфиденциальной информации на всём пути её передачи. Для каждого сеанса связи уровни секретности могут выбираться пользователем. Шифраторы FASTLANE могут встраиваться в аппаратуру, что позволяет создавать криптографически изолированные сети для работы на различных уровнях секретности. Шифраторы FASTLANE задействуются при обмене секретной информацией между индивидуальными пользователями, в многопользовательских группах или локальных сетях. Смена ключей может производиться как электронно, так и при помощи традиционных средств. Скорость шифрования достигает 622 Мбит/с для OC-12 (Optical Carrier-12), проведены испытания и готов к производству шифратор со скоростью шифрования данных до 1 Гбит/с. В целом, исследования подтверждают возможность повышения скорости шифрования до 2.5 Гбит/с (например, в транковом шифраторе KG-189).
Шифратор поддерживает 4096 активных соединения, причём каждый канал обеспечивается независимым и изолированным шифрованием, расширенная модификация позволяет увеличить количество соединений до 16 тысяч. Аппаратура сертифицирована для работы на всех уровнях секретности.
Объясняя, как говориться, на пальцах, можно сказать, что вся информация, которая попадёт в оптоволокно, лежащее глубоко под водой или проложенное под землёй, будет насмерть "закрыта", и станет невозможен не только перехват сообщений какого-либо корреспондента, но и его "селекция" в общем цифровом потоке. Естественно, кракер не сможет произвести и прямой подсчёт корреспондентов и выявить "круг общения" кого-либо. Говоря языком двоечника, "и здесь математика не понадобиться..."
Шифратор KG-175 (TACLANE), тактический вариант шифратора KG-75, разработан АНБ для обеспечения закрытой связи индивидуальных пользователей или групп пользователей, работа которых имеет одинаковый уровень секретности, в сетях, использующих стандартный межсетевой протокол Интернет (IP) и сетях, использующих асинхронный режим передачи (АТМ).
KG-175 удовлетворяет требованиям пользователей, которые работают в сетях Интернет, развёртываемым для создания тактических и стратегических сетей министерства обороны, таких как сети MSE, SIPRNET и сети ATM. KG-175 обеспечивает шифрование трафика и может использоваться для обеспечения безопасности сетей VPN.
Поскольку шифратор работает на множественных уровнях защит от U до TS/SCI TACLANE разрешает пользователям различных уровней использовать общедоступные сети (прежде всего, Internet), облегчая интеграцию мобильных и стационарных сетей передачи данных.
В сетях ATM TACLANE обеспечит FASTLANE-взаимодействующую защиту ячейки ATM на всех подключениях с использованием ATM. TACLANE будет автоматически использовать IP-защиту для подключения всякий раз, когда одни или оба корреспондента работают в IP-сетях.
Средство управления TACLANE требует небольшого участия оператора для работы в нескольких меню управления процедурами конфигурации. Управление ключами включает автоматическую поддержку шифрования с открытым ключом. TACLANE использует не только контроль за доступом, но и имеет функции по устранению последствий компрометации терминалов, что отвечает эксплуатационным условиям как тактических, так и фиксированных сетей. Для реализации этих возможностей используется технология Crypto-Ignition Key (CIK, в переводе - криптогафический ключ зажигания), при изъятии которого шифратор становиться непригодным и полностью несекретным.
TACLANE решает проблемы адресации и аутентификации, используя несколько основных служб безопасности. Он обеспечивает то, что:
подключение абонентов сети произведено с правильно и точно аутентифицированным удалённым компьютером или анклавом;
удалённый компьютер контролируется уполномоченным пользователем;
входящие подключения произведены только законными пользователями;
данные корреспондентов не могут быть контролироваться по пути передачи противником;
данные корреспондентов не были изменены, а трафик не был отслежен.
Во взаимодействии со службами безопасности TACLANE обеспечит:
Установление уровня полномочий подключённых с помощью удалённого TACLANE абонентов. Это выполняется через модуль CIK, вставленный пользователем. Каждый TACLANE гарантирует работу с тремя модулями, чтобы идентифицировать трех пользователей и их привилегии.
Управляемый доступ. Шифратор принимает подключения только от удалённого шифратора TACLANE, разрешённого во внутреннем перечне TACLANE.
Непрерывную скрытость и шифрование данных.
Криптографическую проверку того, что данные, передаваемые между шифраторами TACLANE, не изменялись скомпрометированными сетевыми устройствами и не модифицировались другими средствами.
Важнейшей целью TACLANE является полное соответствие существующей инфраструктуре сети, что выразится в том, что пользователи смогут в обычном режиме продолжать выполнять свои неизменяемые миссии. Добавление непрерывной защиты сетевого уровня не будет препятствовать современным функциям обработки данных, которые включают:
Удалённый вход в систему и интерактивную обработку.
Распределенную обработку совместных приложений, например, тактической информации.
Доступ к распределенным и/или локальным базам данных.
Передачу файлов и электронной почты.
Передачу голоса, видео-сервис и др.
Прозрачность TACLANE приведёт к тому, что компьютер пользователя и сеть будут функционировать обычным образом. Прозрачность поддерживается с помощью эмуляции самой сети. При включении TACLANE и инициализировавший его компьютер изучают существующие IP -адреса в пределах системы MSE (Mobile Subscriber Equipment) и регистра сервера доменных имен. Ниже приведён пример адресации в сети с поддержкой мобильных пользователей MSE:
TACLANE узнаёт свой собственный IP-адрес сразу после подключения.
TACLANE затем делает запрос на MSE-сервер тактических имён (Tactical Name Server, TNS) с целью получения IP-адреса TNS на установленном пользователем уровне безопасности TACLANE. Пользователь может установить уровни безопасности в соответствии предоставленными ему полномочиями, которые, в свою очередь, определяет компьютер при проведении процедуры регистрации пользователя в начале сеанса работы. Перезапуск TACLANE для изменения его уровня безопасности приводит к необходимости повторного поиска правильного TNS.
Компьютер пользователя запрашивает в сети свой IP-адрес.
TACLANE перехватывает адресный запрос и, эмулируя сеть, выдаёт компьютеру его IP-адрес.
Компьютер пользователя, теперь зная свой собственный IP-адрес, пытается посылать запрос на регистрацию на MSE-сервер тактических имён.
TACLANE перехватывает запрос и направляет его на TNS-сервер на надлежащем уровне безопасности, который пользователь назначил шифратору TACLANE при процедуре регистрации.
Шифратор TACLANE TNS-сервера устанавливает безопасное подключение с вызывающим TACLANE мобильного пользователя, который высылает сообщение о корректном завершении процедуры регистрации. Происходит регистрация компьютера мобильного пользователя на установленном им уровне безопасности на TNS-сервере.
При использовании защиты TACLANE, пользователи могут использовать обычные компьютеры (COTS), сохраняя их первоначальную конфигурацию, операционные системы, прикладное программное обеспечение, файлы данных, заказное программное обеспечение и программное обеспечение удалённого доступа.
TACLANE обеспечивает защиту VPN, создавая отделенные, криптографически защищённые, сообщества пользователей. VPN-соединение в общедоступной сети будет работать обычным образом, за исключением того, что в виртуальной частной сети (VPN) смогут работать только другие пользователи TACLANE с аналогичным уровнем доступа.
Если компьютер поддерживает единственный уровень безопасности, TACLANE будет работать только на этом уровне безопасности. Если пользователь имеет операционную систему, которая может работать на нескольких уровнях защиты, он может изменить уровень безопасности TACLANE, когда он изменяет уровень безопасности на ведущем компьютере.
При соединении без включения средств безопасности TACLANE не производит шифрования трафика. Если это разрешено пользователям сети, они могут открыть обычные соединения, активизировав TACLANE, и связываться с автоматизированными рабочими местами, не применяющими TACLANE. В этом случае, автоматизированные рабочие места должны быть выполнены в соответствии требованиями MLS. Пользователи должны быть уверены в том, что они могут эффективно управлять всеми видами сервиса и по своему выбору распределять через сеть Интернет информацию различного уровня секретности в зашифрованном виде. Эта возможность является основным требованием Министерства Обороны и АНБ и называется MLS (Multilevel Security - многоуровневая безопасность). Инициатива NSA по обеспечению многоуровневой безопасности (MLS) информационных систем MISSI (Multilevel Information Systems Security Initiative) является краеугольным камнем усилий, предпринимаемых NSA в этой области, задумана как саморазвивающаяся и включает в себя требования непрерывного обновления своих возможностей.
При работе в ATM-сетях, TACLANE будет способен обеспечить дуплексную связь с производительностью в 25 Мбит/с.
Задача: NVI должен обеспечить инфраструктуру асимметричной криптографии с открытым ключом (Public Key Infrastructure, PKI) с целью поддержки "Общностей интересов".
Решение: Обеспечить и установить серверы-каталоги на все ITSC и регистрирующие рабочие станции на военных объектах (см. рис.). Обеспечить их постоянную синхронизацию с главным каталогом, контролируемым и поддерживаемым агентством информационных систем Министерства Обороны США (Defense Information System Agency, DISA).
Задача: Условием нормальной эксплуатации является устойчивость DNS к спуфингу, искажению, атакам DoS.
Например, одним из главных последствий таких атак является искажение системы доменных имён DNS. Ничего не подозревающий пользователь получает ошибочный адрес от коррумпированной DNS и отправляет информацию по ошибочному адресу.
Решение: Установка надёжных, укреплённых, резервных, псевдокоренных DNS на ITSC. Все запросы проходят через псевдокоренные серверы, причем, если запрос предназначен домена navy.mil, его прохождение разрешается, и он идет по адресу. Если запрос следует во внешние для NVI сети, псевдокоренной сервер переправляет его действительному серверу-первоисточнику (Root Server). Эти проекты внедряются во внутренней структуре DNS NVI против неумышленных или преднамеренных атак эталонной DNS. Такое решение имеет дополнительные плюсы, выражающиеся, например, в повышении качества и быстродействия выполнения запросов внутри NVI. Такое же решение используется и для засекреченных сетей.
Проблема: NVI должна обеспечивать безопасность управления инфраструктурой различных компонентов сети.
Решение: Установка системы контроля (Token-Based Access Control (TBAC) System) на региональных ITSC, уникальным образом идентифицирующих зарегистрированного пользователя по маркерам доступа, идентификаторам безопасности пользователя (SID), идентификаторам безопасности групп, к которым принадлежит пользователь, и устанавливающих полномочия, которыми владеет пользователь и т. п.
...Тесны врата и узок путь, ведущие в жизнь, и немногие находят их... (Матф.7:14)
Кратко рассказав об криптографически защищённых "бастионах", приступаем к непосредственному описанию зон безопасности военной сети NVI, информации о которых даже в первично систематизированном виде крайне мало у российских специалистов по безопасности. Не знаю (но догадываюсь), как там с этим у кракеров...
Зона безопасности 4 - граница с общедоступными сетями
Зона является границей между NVI и публичными сетями, как бы "последней чертой", за которой начинается открытые сети общего доступа, например Niprnet, Siprnet и Internet. Этот уровень обеспечивает разделение между ними. Защитная зона 4 обеспечивает обоих пользователей и всю инфраструктуру безопасности их взаимодействия. Основные механизмы - это защита Firewall и система обнаружения проникновения (IDS - Intrusion Detection System). При этом, осуществляется мощнейшая антивирусная проверка и поддерживается шифрование VPN.
Проблема: NVI должна обеспечить мощную защиту на границах между WAN и NVI.
Например, атаки через Internet или Siprnet могут победоносно закончиться выводом из строя системы NTCSS (Navy Tactical Сommand Support System), являющейся частью глобальной системы управления GCCS, посредством которой осуществляется управление тыловым обеспечением ВМС.
Решение: Разработка и инсталляция системы защитных межсетевых экранов ВМС Firewall (NFSS - Navy Firewall security systems) на региональных центрах телепортации информации (ITSC).
Система безопасности ВМС, построенная на межсетевых экранах Firewall NFSS (зона 4), состоит из:
параллельно выстроенных Host Bastion 1, 2, 3 (Firewall);
разделённой системы доменных имён (Split DNS) и ретрансляторов системы электронной почты (Mail Relay 1 и 2);
Элементы защитной системы NFSS, выделенные фиолетовым цветом конфигурируются и централизованно управляются программным менеджером PMW-161.
Одной из современных тенденций в области защиты сетей интранет является изменение политики реагирования на вторжение, обусловленное пониманием того, что создание абсолютно безопасной сети в настоящее время попросту невозможно. Считается, что обеспечение абсолютной безопасности и целостности системы от всех без исключения угроз приведёт к полному истощению ресурсов. Следствием этого станет падение эффективности системы в целом, а значит и образование новых брешей в защите. Видимо, специалисты по безопасности военных информационных систем отказались от идеи превращения NVI в неприступную крепость, и, признавая эти реалии, ставят перед собой более достижимые цели. Внимание специалистов сконцентрировано на создании полиморфной защиты, призванной "сыграть роль" трясины, в которой увязнет кракер. Зона 4 может быть преодолена, но вторжение будет обнаружено, следствием чего станет принятие немедленных мер по локализации нападающего и минимизации последствий вторжения.
Построение защиты по зонам безопасности реализует следующий механизм: защита - обнаружение - реакция, выраженная в восстановлении и корректуре скомпрометированных элементов. Помните сказочного Змея Горыныча в картине "Василиса Прекрасная"? Трехглавый Змей был триединым символом стихий - каждая голова изрыгала свое: одна - огонь, другая - воду, третья - ветер. Иванушка здесь выступал как типичный представитель трудового класса, предок сталеваров, строителей плотин и авиаторов, подчинивших себе три стихии уже не сказочными, а промышленными методами. Чтобы эта скотина сдохла, богатырю необходимо было срубить все три головы. Но ещё более подходящей аналогией мог бы стать Кощей Бессмертный. Монстр был хоть куда, поганую голову рубить бесполезно, всё заново отрастала, потому, как бессмертие Кащея таилось вне самого объекта воздействия. Система безопасности NVI реализует тот же древний принцип. Сказок наших, видимо, начитались.
Основные принципы построения зоны защиты 4
Зона с помощью системы защитных межсетевых экранов ВМС Firewall обеспечивает защиту в реальном масштабе времени, одновременно поддерживая непрерывную связь с внешним миром и непрерывно контролируя безопасность пользователя и инфраструктуры, в которой он работает.
Зона не требует обязательного отражения любых попыток проникновения, являясь больше проактивной (профилактической, предупреждающей, упреждающей нападение, по результатам её работы начинаются действия предупредительного характера), чем реактивной (способной отвечать на воздействие извне).
Зона обеспечивает централизованный контроль за администрированием системы безопасности и централизованный мониторинг проникновений (например, в ITSC).
Зона скрывает уязвимые места NVI от внешнего мира, высвобождая время для восстановления операционных систем (patching, "латание дыр") в случае выявления брешей в системе безопасности и скрывая ошибки администрирования во внутренних зонах NVI.
Зона скрывает информацию, необходимую для функционирования внутренних зон NVI, но не подлежащую передаче во внешние сети (этакое тонированное стекло автомобиля). Примером такой информации могут служить IP-адреса внутренних абонентов системы.
Зона предоставляет возможности осуществлять более лояльную политику для коммуникаций внутри NVI.
Особенности зоны безопасности 4
Все прикладные системы (приложения) должны использовать надежные, безопасные протоколы обмена между сетью NVI и внешним миром:
Все протоколы сетей WAN должны дистанционно управляться менеджером PMW-161.
Все элементы NVI будут подвержены регулярным корректировкам и обновлениям в связи с появлением новых служб и новых угроз безопасности. Чтобы получить доступа из сетей WAN, пользователи за пределами системы NVI должны использовать не подверженную спуфингу систему аутентификации. Известно, что любая система защиты типа Firewall позволяет "жить" только определенным адресам IP. Это весьма серьезное препятствие для проникновения в сеть. Существует метод преодоления этого барьера - спуфинг IP. Сначала кракер выясняет, какие из адресов IP проходят через Firewall, затем использует один из вычисленных адресов в качестве своего, и, таким образом, получает доступ к системе. Впрочем, это не всегда так. Например, известная система защиты FireWall-1 действительно дает возможность установить прозрачное подключение к Internet, используя практически весь диапазон протоколов межсетевого взаимодействия, обеспечив при этом определённую защиту сети. Используя ряд ухищрений, кракер пытается осуществлять доступ к сети посредством Telnet, используя фальшивое имя пользователя и пароль или выявляя их посредством перебора.
Обнаруженные в системе безопасности бреши будут закрываться с помощью патчей.
Подготовлена база для использования VPN-соединений с шифрованным трафиком (VPN encryption) и очень сильной системой аутентификации.
Проблема: Система безопасности NVI должна обнаруживать возможные проникновения и организовывать отражение атак на службы, исходящие из сетей WAN.
Решение: Установка систем обнаружения проникновений IDS (Intrusion Detection System) с центральным мониторингом на региональных ITSC. Сразу же после (а, точнее в момент) обнаружения проникновения в NVI система безопасности в лице IDS производит немедленный доклад на флотский центр FIWC (Fleet Information Warfare Center). Первый такой центр открыт 1 октября 1995 года на базе амфибийных сил Атлантического флота ВМС США Литтл-Крик (район Норфолк, шт. Вирджиния). На тот момент штатная численность FIWC достигла 360 военнослужащих и гражданских специалистов. В соответствии с указаниями начальника штаба ВМС США (инструкция 5450) FIWC является основным координирующим органом по внедрению и обработке положений концепции "Информационной войны" в ВМС США. Функции FIWC включают разработку тактических приемов и способов ведения информационной войны, организацию подготовки кадров, выработку рекомендаций, закупки технических средств в интересах такой войны. Кроме того, FIWC формирует и выделяет в распоряжение различных командующих, а также командиров передовых группировок ВМС США, подразделения по планированию и ведению операций информационной войны, вооружённые соответствующими техническими средствами. При этом, информационная война будет вестись как в ходе решения задач оперативной и боевой подготовки, так и при реальных боевых действиях, осуществляя радиоэлектронное и "информационное" противодействие силам противника.
Зона безопасности 3 - Inter-COI и Intra-COI
Этот уровень обеспечивает защиту общности интересов COI (Community of Interest) как внутри самой NVI, так и во внешних сетях. Он может быть произвольным и сочетаться с уровнем 2, хотя в принципе предназначен для обеспечения системы защиты в более жёстком варианте и функционирует по нескольким протоколам. Внешние пользователи (вне зоны) не проходят зону защиты 3 для получения дальнейшего доступа. Основными механизмами зоны безопасности являются сетевой фильтр проникновений NIF (Network Intrusion Filter) и система обнаружения проникновений IDS, хотя в действительности обе системы, зачастую, функционально трудно различимы и использование одного из них или даже обоих вместе необязательно. В то же время, для обеспечения более высокой безопасности обе системы могут тесно взаимодействовать с механизмами зоны 4.
Проблема: NVI должна обнаруживать возможные проникновения и внешние атаки типа "отказ в обслуживании".
Сайты, упомянутые в начале статьи, были блокированы с помощью той же техники "Denial Of Service" (DoS), в ходе которой на сайт с нескольких мощных машин направляется большой поток ложных запросов, которые полностью лишают других посетителей возможности попасть на сайт.
Атаки организуются, в том числе, и с чужих компьютеров, которые были заранее взломаны, после чего на них были загружены кракерские программы, посылающие поток запросов на атакуемые сайты. Это могли быть компьютеры университетов или того же ФБР, так что даже отслеживание этих машин может и не дать много информации о реальном "центре управления", откуда запущена атака.
Инструменты для подобных распределенных атак - TFN, Trinoo, Stacheldraht - известны не менее года. О "дыре", которую они эксплуатируют, специалисты знают уже не менее пяти лет. Отличительной чертой некоторых программ является то, что они используют шифрование при коммуникации между агентами, так что системным администраторам непросто проследить появление агентов таких программ в локальной сети.
Решение: Установление системы обнаружения проникновения IDS на Farm-серверы ITSC ("ферма" - способ организации многомашинной системы, при котором одна из машин действует как планировщик, а другие - как рабочие) с текущим центральным мониторингом. Обнаруженные IDS атаки после срочного оповещения флотского центра FIWC будут сразу же им остановлены или, точнее говоря, блокированы. Улавливаете, где кроется "бессмертие" системы безопасности и NVI в целом? Только в отличие от Кащея, бессмертие которого было спрятано хоть и в разноплановых "носителях", но на неохраняемом "объекте", а также не имело обратной связи с самим злодеем, FIWC будет очень хорошо защищён. Кстати, помните, сколько было помощников и в воде, и в воздухе, и на суше у богатыря?
Задачу должен, в первую очередь, решить сетевой фильтр проникновений зоны безопасности 3. Он обеспечивает дифференцированное разделение для получения усиленных характеристик защиты и может обеспечивать:
Более детальный, я бы сказал - скрупулезный, контроль за доступом, базирующийся на значительно более жёстких требованиях.
Организацию всех коммуникационных связей, устанавливаемых в рамках NVI, с использованием VPN и их защиту шифрованием.
Дифференцированную политику внутри NVI, причём степень детализации варьируется как для групп пользователей, так и для каждого пользователя.
Сетевой фильтр проникновений NIF может быть реализован в виде:
системы обнаружения проникновений с уклонением от атак (Айкидо, прям какое-то);
фильтрующего маршрутиризатора;
мониторинга межсетевого экрана (firewall), отслеживающего направления атак и адаптивно, кумулятивно изменяющего параметры своего состояния в процессе исполнения защитных функций.
Зона безопасности 2 - Intra-анклав и Inter-анклав
Как известно, анклав - это территория или часть территории одного государства, окружённая со всех сторон территорией другого государства. Зона 2 обеспечивает некоторые распределение между местными локальными сетями (Inter-анклав) и между локальными сетями и сетями WAN (Intra-анклав). В зоне действует ограничения на некоторые виды протоколов, которые могут быть здесь использованы. В качестве главного механизма зоны выступает сетевой контроллер доступа NAC (Network Access Controller). Он способен останавливать множество атак на ближайшие локальные сети, подвергшиеся атаке как из соседних LAN, так и из WAN, т.е. как извне, так и из самой NVI.
Контролер построен на инструментальных фильтрующих маршрутизаторах, взаимосвязанных между собой. В вопросах формирования подходящего конфигурационного перечня, регламентирующего контроль доступа к маршрутам, его работа полностью подотчётна менеджеру безопасности PMW - 161. Характеристики контролера будут изменяться в зависимости от состава пользователей, групп пользователей, команд и прочего.
Работа, выполняемая PMW - 161 в зоне 2, определяется следующими задачами:
Определение правил фильтрации для существующих маршрутов, что уже первично апробировано при установке системы JMICS (Joint Maritime Command Information System - объединенная командно-информационная система) в 1998 году.
Персонал системы PMW-161 ASAT/BGSIT периодически производит проверки, как у нас говорят, "на местах" и оказывает помощь администраторам.
Все стандарты, протоколы и правила ограничиваются строгими требованиями к использованию программ и сетевого оборудования, делая невозможным кому-либо добавить собственные правила фильтрации.
Контроль за объектами и доклад о происшествиях во флотский центр информационной войны FIWC.
Эффективность системы мониторинга проникновений испытана в ходе опытовой установки её прототипа на военных объектах.
Более слабый механизм безопасности реализуют виртуальные локальные сети (VLAN) и эмулированные LAN (ELAN), которые также могут обеспечивать некоторые разделение. Некоторое расширение локальных сетей LAN может обеспечивать VPN-шифрование между маршрутизаторами зоны 2.
Другим эффективным средством борьбы с проникновениями в настоящее время признаются системы мониторинга, отслеживающие пакеты специальных программ типа Sniffer. Этот механизм реализуется посредством маршрутизаторов и контрольных журналов коммутаторов, каждый из которых, в свою очередь, подвержен постоянному аудиту. Главное (но не единственное) назначение программ Sniffer - перехват паролей и имён пользователей. Мониторинг призван вынудить Sniffer-а жалостливо так затянуть песенку "Сами мы не местные..."
На важных объектах могут дополнительно устанавливаться недорогие системы обнаружения проникновения IDS, разработанных для платформы Windows NT, с автоматической ответной реакцией, включающей и возможность и прерывания связи (во время атакующих попыток)
Зона безопасности 1 - оконечная система
Зона представляет последний эшелон защиты, глубочайший уровень безопасности, где, как говориться, должны точно срастись концы с концами. Многие из систем защиты могут быть дополнительно усилены.
Защита включает в себя:
Безопасно сконфигурированные операционные системы.
Разработанные по всем стандартам безопасности и безопасно сконфигурированные приложения.
Шифрование не использующихся в текущий момент данных.
Шифрование всех VPN-соединений.
Системы внутренней проверки безопасности и обнаружения вируса.
. Шифрование электронной почты S/MIME.
Шифрование WWW-узлов (в том числе и по протоколу SSL - Secure Sockets Layer).
Непрерывное управление системами безопасности (вот она, главная ошибка в системе безопасности Кащея. Кто за деревом следил-то и охранял его?).
Обучение, практику, периодическое повышение квалификации пользователей, администраторов и т.д.
Какие же документы и факторы определяют понятие "безопасно сконфигурированные системы"?
Это:
руководство PMW - 161 по конфигурированию Windows NT,
руководство DII/COE (Defense Information Infrastructure Common Operating Environment) по конфигурированию Windows NT,
руководство DII/COE по конфигурированию Unix,
поддержание обратной связи с Microsoft для своевременного устранения брешей в защите Windows NT (2000),
обязательность тщательной разработки приложений и операционных систем, в противном случае, возрастёт уязвимость внутренним угрозам NVI, защита зон может быть ослаблена, добавляются преднамеренные угрозы из внешних сетей и изнутри самой NVI.
При этом специалисты по безопасности чётко понимают тот фактор, что неуязвимой защиты не существует, но в их силах сделать всё, чтобы суперзащиту не смыло одной волной и "они все вместе уйдут вниз" (We all go down together).
Усовершенствование системы безопасности и поддержание её в высокой готовности будет находиться в неразрывной связи со следующими факторами:
PMW - 161 обеспечивает помощь в разработке системы безопасности и оценке уязвимости развивающихся систем;
PMW - 161 строит систему безопасности на начальных стадиях;
PMW - 161 занимается оценкой системы безопасности развивающихся систем;
система тестируется PMW - 161 во всех циклах развития;
проводится постоянный обмен опытом c подразделениями PMW - 161 по использованию инструментальных средств и методик;
предоставляется непрерывная помощь в создании защищенных систем.
Пример быстрого автоматического определения состояния системы пользователей центра телепортации информации ITSC приведённым рисунком. Все важные локальные сети также должны уметь определять состояние системы безопасности быстро и автоматически, что решается установкой автоматизированных сетевых систем проверки уязвимости в бортовых локальных сетях LAN.
Попытки использования PMW-161 в VPN- шифровании
Управление PMW - 161 попытается разработать и стандартизировать шифрование, аутентификацию и интегрированную защиту пакетов протокола TCP/IP, используя IETF как стандартную основу. В настоящее время готовятся к использованию безопасные протоколы IPsec. При этом используются спецификации RFCs 1825, 1826, 1827, 1828.
Ведутся работы по формированию инфрастуктуры обмена ключами для организации VPN-соединений, в первую очередь по радиоканалам.
И, наконец, вечные русские вопросы "что делать и кто виноват?"
Если же проникновение всё-таки произошло и своевременно обнаружено, реакция будет следующей:
Восстановление программного обеспечения в строго регламентированные временные интервалы к хорошо известному состоянию.
Разработка мер предотвращения повторных попыток проникновения.
Укрепление системы безопасности.
Принятие шагов по законному сдерживанию с помощью официальных силовых структур, в том числе и международных.
