Периметр корпоративной сети можно сравнить с забором, скрывающим внутренний двор от посторонних глаз. В нем имеются широко распахнутые ворота Web-приложений, потайные калитки для VPN-клиентов, а кроме того, его можно «перепрыгнуть», воспользовавшись брешами в беспроводных фрагментах сети
Способы эффективной защиты периметра корпоративной сети обсуждались на выставке InfoSecurity?2005 и специализированном семинаре, организованном УЦ «Информзащита».
Эшелонированная оборона Web-приложений
Владимир Лепихин: «Web-приложения, VPN и беспроводные фрагменты — наиболее уязвимые места корпоративной сети» |
Для работы современного Web-приложения предприятию недостаточно иметь один сервер, на котором хранится информация для представления в сети Internet. Функционирование системы обеспечивает и специальный сервер с установленными на нем серверными компонентами бизнес-приложения. Именно он выполняет основные задачи обработки данных и их передачи Web-серверу, откуда информация поступает на браузер клиента. Поскольку ни одно современное Web-приложение не обходится без собственной СУБД, в этой информационной системе нередко задействуется сервер баз данных. Наконец, в процессе работы Web-приложения применяется механизм аутентификации пользователей, а следовательно, возникает необходимость в организации службы каталогов для хранения учетных записей клиентов.
Таким образом, защита Web-приложений превращается в нетривиальную комплексную задачу. «Internet-приложение следует защищать, исходя из его типовой архитектуры и выстраивая систему барьеров на нескольких уровнях, — говорит Владимир Лепихин, заведующий лабораторией сетевой безопасности учебного центра «Информзащиты». — Обезопасить отдельно взятое Web-приложение практически невозможно». В самом деле, если ограничить доступ к данным средствами защиты СУБД, то их можно будет легко перехватить на сетевых устройствах, и тогда система безопасности потеряет всякий смысл.
На уровне сетевого взаимодействия, связывающем воедино все компоненты Web-приложений, следует уделять пристальное внимание средствам фильтрации трафика. Нельзя забывать, что этот механизм должен быть направлен не только на входящий, но и на исходящий из сети трафик. Получив доступ к Web-серверу, злоумышленник может средствами операционной системы получить доступ к нужному узлу сети и переслать на него вирус или шпионскую программу. Поэтому нужно обращать внимание и на защиту системы удаленного управления Web-сервером.
Неиспользуемые сетевые службы представляют собой угрозу даже в том случае, если они отфильтрованы межсетевым экраном. Например, системный администратор запретил трафик какого-либо сервиса, сделав его недоступным для пользователей вне корпоративной сети, но эта служба остается активной на локальном уровне, что увеличивает возможности внутреннего нарушителя. Он сумеет получить доступ к конфиденциальным данным с помощью командной строки Web-сервера. Кроме того, администратор должен заботиться о правильной настройке криптографических системы, в том числе механизмов выдачи сертификатов и PKI.
Определенные угрозы таят в себе предустановленные настройки ОС, на которых базируются серверы приложений и Web-сервисы. Конфигурации ОС, принятые по умолчанию, обычно содержат имена пользователей и пароли, представляя собой желанную добычу для хакеров. Для поддержания безопасности ОС важны своевременные обновления, устанавливаемые по мере выявления новых угроз.
Защиту СУБД тоже необходимо организовывать на разных уровнях. В частности, на уровне сетевого взаимодействия должны быть правильно настроены средства фильтрации трафика. Иногда следует вообще скрыть наличие сервера СУБД в сети, например путем замены номера порта.
Виртуальные замки
При строительстве корпоративных информационных сетей все чаще применяются технологии VPN, обеспечивающие защищенное взаимодействие центрального офиса с филиалами (Intranet VPN), компании с партнерами (Extranet VPN) или удаленный доступ клиентов к ресурсам корпоративной сети (Personal VPN). Основные угрозы при использовании виртуальной частной сети исходят от компонентов, отвечающих за ее работоспособность. К таковым относятся клиент, сервер и шифрованный тоннель между ними. Следовательно, в отношении VPN-сетей существуют три типа угроз. Остановимся на каждом из них подробнее.
Активный клиент VPN всегда задействует два соединения. Одно (удаленное) связывает его с собственной корпоративной сетью, а другое — с той сетью, из которой он получает доступ к требуемым ресурсам. Однако с точки зрения остальных пользователей этот клиент представляет собой обычный компьютер с обычными уязвимостями, поэтому защита клиента VPN должна строиться как на сетевом уровне, так и на уровне приложений. На сетевом уровне защита реализуется средствами фильтрации трафика. VPN-клиент может быть отделен от остальных потребителей межсетевым экраном. Кроме того, на удаленном компьютере должен работать комплекс, нацеленный на обнаружение и предотвращение сетевых атак. Для защиты прикладного уровня удаленным пользователям необходимо установить антивирусные системы, блокирующие запуск зловредного кода. Крайне полезны и средства контроля над работой приложений.
Основными угрозами для VPN-шлюзов являются несанкционированный сбор информации и бесполезное расходование вычислительных ресурсов в результате атак, направленных на отказ в обслуживании (DoS-атак). В процессе сбора разведывательной информации основная задача злоумышленника заключается в определении типа VPN-сервера, установленного в корпоративной сети. Как правило, для этого служит специальное хакерское ПО, которое посылает шлюзу запрос на соединение. По ответной реакции шлюза (времени задержки и количеству повторных пакетов, адресуемых клиенту) злоумышленник может определить тип используемого VPN-шлюза.
Попытки злоумышленников блокировать работу VPN-системы основаны на посылке запросов, которые затем не подтверждаются контрольным, третьим, пакетом. При DoS-атаках реализуется простейший алгоритм: запрос отправляется на VPN-шлюз, тот отсылает ответ, но пакета от нарушителя не получает, зато хакер посылает новый запрос от имени следующего узла, и так далее — по цепочке. Естественно, при этом ресурсы сервера VPN расходуются напрасно.
Как и всякая компьютерная система, VPN-шлюзы имеют «врожденные» уязвимости. Ошибки в программном обеспечении регулярно обнаруживаются в продуктах разных производителей. Значит, защита VPN-серверов корпоративной сети должна строиться по двум направлениям. Первое заключается в своевременном отслеживании информации о выявленных уязвимостях и их устранении, а второе — в обнаружении и предотвращении атак.
Что касается VPN-трафика, одной из главных проблем Владимир Лепихин считает передачу имени пользователя в открытом виде. Другая угроза исходит от систем автоматического подбора имени потребителя. Как подчеркивают специалисты, начальное взаимодействие VPN-клиента и шлюза может вестись в двух режимах — «основном» и «агрессивном». Именно агрессивный режим таит в себе угрозу упомянутых инцидентов. В нем специальные идентификаторы сторон (всего три пакета) передаются в незащищенном виде, причем в роли идентификатора пользователя зачастую выступает его имя. Если нарушитель перехватил этот пакет, он может извлечь из него имя VPN-клиента. Если же его нельзя перехватить, у злоумышленника остается шанс задействовать механизмы случайного подбора. Хакер может сам отправить на шлюз запрос в агрессивном режиме, указав в качестве идентификатора некое имя. При неправильном варианте шлюз отправит стандартное сообщение об ошибке. На скорости линии 64 Кбит/с нарушитель способен ежесекундно делать 14 попыток подбора имени VPN-клиента, а при 2 Мбит/с — 67 попыток.
Отсюда следует вывод: при конфигурировании VPN-соединений необходимо отказаться от взаимной аутентификации на базе технологии Preshared Key и применения «агрессивного» режима взаимодействия. Кстати, на базе Preshared Key, как правило, невозможно использовать другой режим, кроме агрессивного, поэтому для безопасной аутентификации больше подходят механизмы сертификатов и PKI. Несмотря на усложнение настройки VPN-системы, безопасность удаленных соединений значительно возрастет.
Сторож для WLAN
Беспроводные технологии угрожают безопасности периметра корпоративной сети на еще более низком, канальном уровне. Для получения доступа к данным не требуется подсоединяться к розетке или кабелю — достаточно находиться в зоне действия точки доступа. Но даже если подключиться к корпоративной точке доступа невозможно, злоумышленник способен прослушивать трафик пользователей.
Разработчики беспроводных технологий постарались предусмотреть защиту от обеих угроз, и в первом же стандарте семейства 802.11x содержались механизмы аутентификации и шифрования трафика WEP (Wired Equivalent Privacy). Впрочем, они давно признаны неэффективными, поэтому им на смену пришли более надежные средства WPA (Wi-Fi Protected Access) и спецификация 802.11i. Дополнительно к ним для защиты беспроводного сегмента корпоративной сети можно задействовать технологию фильтрации по МАС-адресам. В некоторых случаях рекомендуется уменьшить мощность излучающей антенны, дабы исключить прослушивание трафика снаружи офисного здания.
Сотрудники «Информзащиты» советуют использовать скрытый режим работы точки доступа. В широковещательном режиме базовая станция WLAN рассылает фреймы Beacon, содержащие уникальный идентификатор сети SSID (Service Set Identifier). Эта информация нужна для подключения клиентов. Скрытый режим предполагает отключение опции рассылки фреймов, что, к сожалению, не всегда можно осуществить на практике. Тогда следует настроить режим рассылки Beacon так, чтобы в нее не попадали данные SSID.
Конечно, эти меры увеличивают степень защищенности данных, но не гарантируют абсолютной безопасности. Если легальный клиент уже прошел аутентификацию и подключился к точке доступа, то наблюдающий за беспроводным трафиком злоумышленник может отправить в сеть фрейм деаутентификации, содержащий МАС-адреса этого клиента и точки доступа. Потеряв связь с точкой доступа, клиент, скорее всего, попытается восстановить соединение и пошлет специальный запрос, в котором SSID будет передан обязательно.
«Защитить беспроводную сеть только средствами беспроводной связи практически невозможно», — делает вывод Лепихин. В частности, стандарт 802.11i не решает таких проблем, как подключение несанкционированных замаскированных точек доступа в зоне действия корпоративного фрагмента WLAN, и не защищает беспроводное оборудование от DoS-атак. Нападения, провоцирующие отказ в обслуживании, могут помешать функционированию сети как на физическом, так и на канальном уровнях. Кроме того, беспроводная сеть использует различные радиоустройства, для которых совсем несложно создать эфирные помехи.
«Клиенты беспроводной сети чем-то напоминают клиентов VPN», — говорит Лепихин. Подключившись к WLAN самостоятельно, хакер наверняка наткнется на межсетевой экран, но сможет опереться на уязвимость клиентского ПО, чтобы добыть нужную информацию через компьютеры пользователей. Поэтому в корпоративных беспроводных сетях непременно нужно устанавливать две системы обнаружения вторжений. Одна (на уровне узла доступа) будет реагировать на сетевые атаки, традиционные для стека TCP/IP, а другая — отражать нападения, типичные для беспроводных сетей.