В России, как и в других странах мира, коммерческие и государственные организации все активнее используют общедоступные порталы Web для решения самых разнообразных практических задач, будь то реклама в Internet, организация Internet-торговли или же обеспечение работы системы «Клиент-Банк».
На отечественном рынке информационных технологий представлено несколько готовых решений, благодаря которым возможно построение полнофункциональных порталов Web, в частности это семейство продуктов Internet Information Services компании Microsoft, Sun ONE Portal от Sun Microsystems и WebSphere производства IBM.
Типовая архитектура портала Web, как правило, включает в себя следующие основные компоненты:
- общедоступные серверы Web, обеспечивающие доступ пользователей Internet к информационным ресурсам портала;
- кэширующие серверы, где временно хранятся копии ресурсов, к которым обращались пользователи Internet. Первоначально запрос направляется кэширующему серверу и передается общедоступным серверам Web только тогда, когда затребованный контент на нем отсутствует. Использование таких серверов позволяет снизить нагрузку на основные общедоступные серверы, а также сократить время доступа пользователей к кэшированным ресурсам;
- серверы DNS, необходимые для преобразования символьных имен серверов портала Web в соответствующие им IP-адреса;
- серверы приложений, где установлено специализированное программное обеспечение для управления информационным содержимым портала Web;
- серверы баз данных, осуществляющие централизованное хранение информационных ресурсов портала Web;
- коммуникационное оборудование, благодаря которому становится возможным взаимодействие между различными серверами портала Web.
Как правило, серверы порталов Web размещаются на площадках провайдеров Internet, поскольку они могут обеспечить необходимую пропускную способность каналов. Управление порталом Web в этом случае осуществляется удаленно через Internet с автоматизированных рабочих мест (АРМ) администраторов. Обобщенная архитектура портала Web изображена на Рисунке 1.
Учитывая тот факт, что ресурсы общедоступного портала ввиду его назначения доступны и, следовательно, открыты любому пользователю сети Internet, они становятся потенциальной мишенью для атак. Необходимо отметить, что за последние годы число самых разнообразных информационных атак значительно выросло, причем основная их часть направлена именно на общедоступные ресурсы. Целью злоумышленников может быть нарушение конфиденциальности, целостности или доступности данных, хранящихся на серверах портала Web.
Для защиты наиболее целесообразно применять комплексный подход, сочетающий организационные и технические средства. Организационные меры предусматривают разработку и внедрение нормативно-правовых документов, таких, как политика и концепция обеспечения информационной безопасности портала Web, должностные инструкции по работе персонала с автоматизированной системой портала и т. д. Технические же реализуются при помощи соответствующих программных, аппаратных или программно-аппаратных средств и призваны обеспечить выполнение целей и задач, определенных в соответствующих нормативно-правовых документах.
Использование комплексного подхода предполагает объединение технических средств защиты портала Web в интегрированный комплекс, включающий в себя подсистемы антивирусной защиты, контроля целостности, разграничения доступа, обнаружения вторжений, анализа защищенности, криптографической защиты информации, а также подсистему управления. Ниже приведено описание основных функциональных возможностей этих подсистем, а также особенностей их применения.
ПОДСИСТЕМА РАЗГРАНИЧЕНИЯ ДОСТУПА
Подсистема разграничения доступа является основным компонентом комплекса безопасности портала Web и предназначена для защиты его информационных ресурсов от несанкционированного доступа. При помощи входящих в нее средств защиты портал делится на четыре функциональных сегмента (см. Рисунок 2):
- сегмент демилитаризованной зоны, где находятся серверы, доступ к которым могут получить любые пользователи Internet (кэширующие серверы, общедоступные серверы Web и серверы DNS);
- сегмент служебных серверов, доступ к их ресурсам предоставляется только администраторам или служебным сервисам портала Web;
- сегмент управления, где размещаются средства, необходимые для управления комплексом безопасности портала Web;
- коммуникационный сегмент, включающий в себя маршрутизаторы и коммутаторы, посредством которых осуществляется взаимодействие между другими сегментами портала.
Разделение на отдельные сегменты позволяет изолировать различные ресурсы портала друг от друга, тогда при компрометации сервера одного из сегментов портала нарушитель не сможет получить доступ к информационным ресурсам, расположенным в других сегментах.
Разграничение доступа реализуется подсистемой на трех уровнях стека TCP/IP — канальном, сетевом и прикладном. На канальном уровне для этого используются виртуальные локальные сети (Virtual Local Area Network, VLAN), на которые портал Web разделяется путем соответствующих настроек коммутаторов, когда каждый физический порт включается в определенную виртуальную сеть. Хосты могут свободно обмениваться данными друг с другом в рамках одной виртуальной сети, а управление взаимодействием между различными виртуальными сетями осуществляется посредством списков контроля доступа (Access Control List, ACL). В этих списках устанавливаются правила, в соответствии с которыми разрешается или запрещается информационный обмен между разными сетями VLAN. Так, если для функционирования портала Web двум общедоступным серверам Web не надо обмениваться информацией, то их лучше поместить в разные виртуальные сети, взаимодействие между которыми должно быть запрещено. Даже если нарушитель «взломает» один из общедоступных серверов портала, ему не удастся получить доступ к информационным ресурсам на других серверах, поскольку они находятся в других виртуальных сетях.
На сетевом уровне разграничение доступа реализуется при помощи двух межсетевых экранов, осуществляющих фильтрацию пакетов данных в соответствии с заданными критериями. Примеры критериев фильтрации для различных уровней стека протоколов TCP/IP приведены в Таблице 1.
Один (внешний) межсетевой экран следует установить в точке сопряжения портала с Internet, при этом на него возлагается задача фильтрации пакетов данных, поступающих из Internet в сегмент демилитаризованной зоны. Фильтрация осуществляется на основе критериев сетевого, транспортного и прикладного уровня стека TCP/IP. Другой (внутренний) межсетевой экран размещаются таким образом, чтобы через него проходили все пакеты, которыми серверы сегмента демилитаризованной зоны обмениваются со служебными серверами. Этот экран выполняет фильтрацию только на сетевом и транспортном уровнях. Схематично установка межсетевого экрана в коммуникационном сегменте портала Web показана на Рисунке 3.
Внутренний межсетевой экран дублирует функции защиты на тот случай, если нарушитель сможет взломать внешний экран. Надо сказать, что потенциальная уязвимость последнего обусловлена тем, что он выполняет сложную фильтрацию пакетов данных на прикладном уровне при помощи программных модулей, которые сами могут содержать ошибки. Так, недавно выявленные ошибки в модулях межсетевого экрана CheckPoint FW-1 позволяли получить полный контроль над экраном путем «переполнения буфера» (http://www.us-cert.gov/cas/techalerts/TA04-036A.html) и использовать его как плацдарм для атаки на серверы портала Web. Между тем внутренний экран осуществляет лишь базовую фильтрацию на сетевом и транспортном уровнях, поэтому оказывается устойчивым по отношению к тем атакам, в которых используются уязвимости модулей обработки пакетов данных на прикладном уровне.
Кроме того, внешний межсетевой экран служит для защиты от атак по типу «отказ в обслуживании» (Denial of Service, DoS), когда общедоступному серверу Web посылается множество запросов на установление сетевых соединений. В результате подобной атаки серверы не справляются с обработкой всех запросов, что приводит к недоступности всего портала Web. Защита от такого рода атак достигается путем ограничения максимального количества входящих соединений TCP, которые могут быть установлены с одного IP-адреса. В этом случае межсетевой экран будет блокировать все попытки установить сетевые соединения, количество которых превышает заданное ограничение, чем предотвращается перегрузка вычислительных ресурсов серверов Web.
Разграничение доступа на прикладном уровне реализуется средствами прикладного программного обеспечения, установленного на серверах портала Web. Это ПО должно обеспечивать идентификацию и аутентификацию администратора и некоторых пользователей и назначать им соответствующие права доступа к файловым ресурсам. Аутентификация может проводиться на основе паролей или цифровых сертификатов.
ПОДСИСТЕМА АНТИВИРУСНОЙ ЗАЩИТЫ
Подсистема антивирусной защиты должна гарантировать выявление и удаление компьютерных вирусов, если таковые окажутся в информационных ресурсах портала Web. Она состоит из двух компонентов — модулей-датчиков для обнаружения вирусов и модуля управления антивирусными датчиками. Сами датчики устанавливаются на все серверы портала и на АРМ администратора портала. Такая схема установки датчиков обеспечивает условия для проведения периодической проверки файлов портала на предмет наличия вирусов или «троянцев». Чтобы подсистема антивирусной защиты была способна эффективно выявлять и новые типы вирусов, базу данных ее сигнатур необходимо регулярно обновлять.
ПОДСИСТЕМА КОНТРОЛЯ ЦЕЛОСТНОСТИ
Подсистема контроля целостности призвана обеспечить выявление несанкционированного изменения содержимого портала Web. Датчики подсистемы, как правило, устанавливаются на серверах портала и с заданной периодичностью проверяют целостность файловых ресурсов портала на основе контрольных сумм или хэшей. Проверка на целостность должна проводиться для файлов не только прикладного, но и общесистемного программного обеспечения. Алгоритм работы подсистемы следующий. Для заданного множества файлов вычисляются эталонные контрольные суммы. По истечении определенного временного интервала контрольные суммы файлов рассчитываются заново и сравниваются с ранее сохраненными эталонными значениями. Несоответствие между эталонным и полученным значением свидетельствует о факте искажения файлового ресурса, о чем немедленно оповещается администратор безопасности.
Подсистема контроля целостности не является превентивным средством защиты, поскольку позволяет выявить лишь последствия информационного вторжения. Однако наличие такой подсистемы жизненно необходимо: если все имеющиеся средства защиты пропустили информационную атаку, то подсистема контроля целостности позволяет выявить сам факт ее проведения.
ПОДСИСТЕМА ОБНАРУЖЕНИЯ ВТОРЖЕНИЙ
Подсистема обнаружения вторжений (Intrusion Detection System, IDS) предназначена для выявления сетевых атак против информационных ресурсов портала. Подсистема включает в себя следующие компоненты:
- модули-датчики для сбора информации о пакетах данных, циркулирующих в пределах портала Web;
- модуль выявления атак для обработки собранных датчиками данных, с целью обнаружения информационных атак нарушителя;
- модуль реагирования на обнаруженные атаки;
- модуль хранения данных для архивирования всей конфигурационной информации и результатов работы подсистемы обнаружения вторжений. В качестве такого модуля, как правило, используется стандартная СУБД, например MS SQL Server, Oracle или IBM DB2;
- модуль управления компонентами средств обнаружения атак.
В состав подсистемы обнаружения вторжений должны входить два типа датчиков — хостовые и сетевые. Сетевые датчики представляют собой отдельный программно-аппаратный блок и предназначены для пассивного сбора и анализа информации обо всех пакетах данных, проходящих через тот сегмент, где установлен датчик. Хостовые датчики — это программные модули, устанавливаемые на серверы портала и анализирующие только те пакеты данных, которые поступают на соответствующие серверы. Хостовые датчики, в отличие от сетевых, позволяют не только выявлять, но и блокировать сетевые атаки посредством фильтрации потенциально опасных пакетов данных.
Схема установки сетевых датчиков подсистемы обнаружения вторжений в коммуникационном сегменте портала Web показана на Рисунке 4.
Первый сетевой датчик подсистемы обнаружения вторжений устанавливается до внешнего межсетевого экрана и предназначен для выявления всех внешних атак на серверы портала, а также на сам межсетевой экран. Второй датчик размещается таким образом, чтобы перехватывать весь сетевой трафик в демилитаризованную зону и выявлять атаки на общедоступные и кэширующие серверы, которые были пропущены внешним межсетевым экраном. Анализ результатов работы обоих датчиков позволяет контролировать работу внешнего экрана и при необходимости изменять его правила фильтрации. Третий датчик осуществляет мониторинг сетевой активности в сегменте служебных серверов портала Web.
Хостовые датчики подсистемы обнаружения вторжений устанавливаются на всех серверах демилитаризованной зоны и в сегменте служебных серверов. Подобные датчики должны быть реализованы в виде активных фильтров на уровне прикладного программного обеспечения портала Web. Это необходимо для того, чтобы их работа не влияла на производительность серверов портала, а сами они могли обрабатывать трафик, передаваемый по криптозащищенным каналам связи.
Информация, собранная сетевыми и хостовыми датчиками, анализируется модулем выявления атак с целью обнаружения возможных вторжений. Анализ данных может проводиться с применением двух основных методов — сигнатурного и поведенческого. Первый описывает каждую атаку в виде специальной модели или сигнатуры. В качестве сигнатуры атаки могут выступать: строка символов, семантическое выражение на специальном языке, формальная математическая модель и др. Алгоритм работы сигнатурного метода заключается в поиске сигнатур атак в исходных данных, собранных сетевыми и хостовыми датчиками. В случае обнаружения искомой сигнатуры фиксируется факт информационной атаки. База данных сигнатур атак подсистемы обнаружения вторжений должна регулярно обновляться.
Второй метод, поведенческий, в отличие от сигнатурного, базируется не на моделях информационных атак, а на моделях штатного процесса функционирования портала Web. Принцип его работы заключается в обнаружении несоответствия между текущим режимом функционирования автоматизированной системы и параметрами модели штатного режима работы. Любое несоответствие рассматривается как информационная атака. Как правило, модуль выявления атак интегрируется с сетевыми и хостовыми датчиками подсистемы обнаружения вторжений.
ПОДСИСТЕМА АНАЛИЗА ЗАЩИЩЕННОСТИ
Подсистема анализа защищенности предназначена для выявления уязвимостей в программно-аппаратном обеспечении портала Web. Примеры таких уязвимостей — неправильная конфигурация сетевых служб портала, наличие программного обеспечения без установленных модулей обновления (service packs, patches, hotfixes), использование неустойчивых к угадыванию паролей и др. По результатам работы подсистемы анализа защищенности формируется отчет с информацией о выявленных уязвимостях и рекомендациями по их устранению. Своевременное устранение уязвимостей позволяет предотвратить возможные информационные атаки против них. Сканирование портала Web необходимо осуществлять по регламенту с заданной периодичностью, а базу данных проверяемых уязвимостей регулярно обновлять. Подсистема анализа защищенности устанавливается на АРМ администратора безопасности в сегменте управления портала Web.
ПОДСИСТЕМА КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ
Подсистема криптографической защиты предназначена для поддержки безопасного удаленного взаимодействия с порталом Web. Подсистема базируется на технологии виртуальных частных сетей (Virtual Private Network, VPN) и позволяет создавать защищенные сетевые соединения, в рамках которых проводится аутентификация пользователей, обеспечивается конфиденциальность и контроль целостности передаваемых данных. Установка, управление и закрытие таких соединений осуществляются при помощи специализированных протоколов шифрования. Для организации сети VPN могут использоваться разные типы протоколов, функционирующие на различных уровнях стека TCP/IP (см. Таблицу 2).
В состав подсистемы криптографической защиты информации входят шлюз VPN, устанавливаемый на портале Web, и клиенты VPN, которыми оснащаются рабочие станции администраторов портала, а также станции пользователей, нуждающихся в защищенном взаимодействии с серверами портала. Шлюз VPN размещают в коммуникационном сегменте портала между внешним и внутренним межсетевым экраном. Такая схема установки позволяет использовать внутренний экран для фильтрации пакетов данных уже после того, как они будут расшифрованы шлюзом VPN. Если для организации сети VPN применяется протокол SSL, то на стороне пользователей портала Web дополнительного программного обеспечения не требуется — стандартных браузеров Internet с интегрированными в них функциями клиента SSL вполне достаточно.
ПОДСИСТЕМА УПРАВЛЕНИЯ СРЕДСТВАМИ ЗАЩИТЫ ПОРТАЛА WEB
Подсистема управления средствами защиты размещается в одноименном сегменте портала Web. Подсистема включает в себя АРМ администратора безопасности, откуда осуществляется управление, а также служебные серверы, необходимые для функционирования соответствующих средств защиты. Дополнительно подсистема может содержать модуль корреляции событий, зарегистрированных различными подсистемами защиты портала. Наличие такого модуля позволяет автоматизировать обработку большого объема информации о событиях на портале и, в соответствии с заданным набором правил, выделять наиболее критические, на которые требуется немедленная реакция.
Архитектура защищенного портала Web, обладающего всеми рассмотренными выше подсистемами защиты, изображена на Рисунке 5.
Для повышения надежности работы портала наиболее критические элементы комплекса средств безопасности, например межсетевой экран и шлюз VPN, должны резервироваться путем создания отказоустойчивых кластеров. В этом случае их сбой или отказ не приведут к нарушению работоспособности всего портала Web.
Комплекс средств защиты портала сам может стать целью возможной атаки, поэтому все его подсистемы должны быть оснащены механизмами собственной безопасности, которые позволяли бы обеспечивать выполнение следующих требований:
- конфиденциальности и контроля целостности информации, передаваемой между компонентами подсистем по каналам связи;
- взаимной аутентификации компонентов подсистем перед обменом информацией;
- контроля целостности собственного программного обеспечения подсистем на основе контрольных сумм;
- аутентификации администратора безопасности при доступе к консоли управления подсистем на основе пароля. При этом должна регистрироваться информация обо всех успешных и неуспешных попытках аутентификации.
ЗАКЛЮЧЕНИЕ
В настоящее время нормальное функционирование портала Web с открытым доступом из Internet оказывается практически невозможным, если при его создании и обслуживании не уделяется должного внимания проблеме обеспечения информационной безопасности. Наиболее эффективен комплексный подход к защите ресурсов портала от возможных атак. Для этого в состав комплекса средств защиты должны входить подсистемы антивирусной защиты, обнаружения вторжений, контроля целостности, криптографической защиты, разграничения доступа, а также подсистема управления — каждая должна быть оснащена элементами собственной безопасности.
Виктор Сердюк — ведущий инженер-программист Департамента развития технологий безопасности ЗАО РНТ. С ним можно связаться по адресу: vas@rnt.ru.
? AWi Verlag