Анализируя средства дополнительной защиты систем с ОС Solaris, прежде всего необходимо выяснить, с какой целью такая защита устанавливается. В самом деле, как следует из приведенного выше материала, Solaris является достаточно надежной системой, соответствующей пятому классу защищенности средств вычислительной техники по классификации Гостехкомиссии РФ (классу C2 по критериям Национального Центра Компьютерной безопасности США). Существует, однако, некоторая разница между защищенностью самой ОС и безопасностью информационной системы, работающей под ее управлением. В этом смысле верна аналогия с физическим прибором, который всегда измеряет исключительно свои собственные параметры (термометр знает только о собственной температуре, амперметр измеряет только ток, который течет непосредственно через него и т.д.).
Конечно, те правила и инструментальные средства, с помощью которых осуществляется защита ОС, могут и должны использоваться при построении защиты информационной системы в целом, однако при этом необходимо учитывать, что ряд сервисов, критичных для данной информационной системы, может быть защищен недостаточно. Кроме того, для больших распределенных систем возникают сложности с администрированием и проведением политики безопасности непосредственно средствами ОС, что увеличивает вероятность ошибок администратора, крайне нежелательных с точки зрения информационной безопасности.
Средств, позволяющих расширить в том или ином направлении возможности защиты информационных ресурсов систем, находящихся под управлением ОС Solaris, существует немало, и их полное описание не является целью данной статьи. Приводимые примеры лишь показывают разные варианты применения дополнительных средств защиты на основных функциональных уровнях.
Говоря об уровне системной защиты, где сосредоточены основные встроенные средства ОС Solaris, целесообразно кратко рассмотреть одно из наиболее сильных средств защиты от несанкционированного доступа — CA-Unicenter.
CA-Unicenter является программным продуктом, обеспечивающим поддержку администрирования больших распределенных систем.
В CA-Unicenter вся информация, относящаяся к обеспечению защиты, хранится в особой базе данных (под управлением СУБД Ingres). Эта реляционная база обеспечивает гибкость в описании политики безопасности путем определения защищаемых ресурсов или активов (assets). Системе безопасности доступна вся информация, касающаяся каждой пары ресурс/пользователь, и на ее основе вырабатывается решение о доступе либо запрете доступа пользователя к запрашиваемым ресурсам. Наличие такой базы данных позволяет легко вводить дополнительные ограничения, такие как временной контроль, или новые группы — пользователей или ресурсов. Кроме того, вновь создаваемые файлы защищаются сразу и без вмешательства пользователя в соответствии с критериями политики безопасности. Подобный подход открывает возможность администрирования системы с большим количеством пользователей без дополнительных усилий.
Все решения, касающиеся защиты системы, должны быть предварительно определены и поддержаны центральной или корпоративной политикой безопасности. Политика снабжает системных администраторов руководящими принципами, определяющими доступ к корпоративным активам, и предоставляет работникам возможности для поддержания режима безопасности. Кроме того, должны быть определены общие принципы выдачи паролей и процедуры, используемые для получения доступа к приложениям и связанной с ними информации.
По каждому запросу на доступ к ресурсам принимаются два основных решения. Во-первых, проверяется, имеются ли соответствующие права доступа к данному ресурсу для пользователя, делающего запрос, и если нет, то выдается диагностика "нарушение". Затем определяется поведение системы при наличии нарушения.
Для любого ресурса или группы ресурсов могут быть установлены следующие режимы доступа:
Утилиты calendars и criteria profiles позволяют устанавливать дополнительные ограничения на доступ к тем или иным группам ресурсов.
Реакция на нарушение прав доступа определяется в CA-Unicenter значением параметра enforcement mode . Возможны следующие значения:
fail. запрет доступа к любым неразрешенным ресурсам, фиксация нарушения, возрастание числа нарушений в счетчике, который определяет, когда полностью прекращается доступ пользователя в систему. Этот режим обеспечивает ресурсам безусловную защиту.
warn. доступ к неразрешенным ресурсам открыт, но CA-Unicenter выдает пользователю предупреждение и протоколирует его действия.
monitor. реакция аналогична предыдущей, но пользователь не предупреждается.
quiet. система разграничения доступа не действует.
Необходимо также заметить, что CA-Unicenter предваряет действия операционной системы по защите ресурсов, то есть механизм контроля доступа ОС UNIX начинает действовать в случае успешного прохождения запроса на использование ресурсов через "фильтр" CA-Unicenter.
В числе других возможностей CA-Unicenter по обеспечению безопасности упомянем средства контроля за назначением и использованием паролей. Эти средства позволяют для каждого пользователя проводить назначение и изменение пароля, устанавливать временные ограничения на его действие, генерировать случайный пароль, отслеживать историю изменения пароля, а также попыток некорректного входа и нарушений установок службы безопасности.
CA-Unicenter снабжен дружественным пользовательским интерфейсом, позволяющим быстро и эффективно устанавливать перечисленные компоненты и режимы службы безопасности.
CA-Unicenter предоставляет мощные и, в то же время, гибкие механизмы разграничения доступа. Имеется легко настраиваемый инструментарий для установки прав доступа к ресурсам в системе с практически неограниченным числом пользователей. Указанная возможность, несомненно, дает администратору CA-Unicenter значительные преимущества по сравнению с обычной ОС (например, Solaris).
Механизмы определения реакции на нарушения прав доступа в сочетании с настраиваемыми средствами аудита также являются важными достоинствами CA-Unicenter, позволяющими, с одной стороны, обеспечивать строгий контроль за доступом пользователей к ресурсам, а, с другой стороны, не осложнять рядовому пользователю работу, если какое-то нарушение безопасности незначительно либо непреднамеренно.
В то же время, CA-Unicenter не является панацеей от всех бед. В частности, серьезным недостатком оказывается отсутствие средств защиты от перехвата пакетов в сети при работе процедур telnet, rlogin. В этом случае как имеющиеся в ОС Solaris собственные средства обеспечения безопасности при работе в сети с распределенными ресурсами (такие как NIS+, SecureRPC), так и независимые разработки (семейство программных продуктов класса Kerberos) эффективно дополняют службу безопасности, построенную на основе CA-Unicenter.
Рассмотрим теперь расширения средств ОС Solaris на уровне локальной сети. Как указывалось выше, далеко не все сетевые сервисы являются безопасными; скорее верно противоположное утверждение. Варианты применения сложных схем с сервером аутентификации типа Kerberos, во-первых, не всегда оправданы (поскольку усложняют управление и администрирование системы), а, во-вторых, не закрывают всего диапазона требуемых сервисов. Промежуточным средством в этом случае является, например, разработанная в Технологическом Университете Хельсинки программа Secure SHell (SSH).
SSH представляет собой программу, позволяющую получать удаленный доступ в распределенной информационной системе, а также удаленно выполнять команды и пересылать файлы. При этом осуществляется аутентификация по схеме RSA, а данные пересылаются по открытым каналам в зашифрованном виде, причем кодирование/декодирование проводится незаметно для пользователя ("прозрачный" режим). Кроме того, обеспечивается безопасность работы по X-протоколу, а также отсутствие недостатков в защите, связанных с DNS.
Рассмотрим схему получения сервиса при помощи SSH. Сначала клиент посылает запрос на выделенный порт сервера. Приняв запрос, сервер посылает клиенту свою версию идентификационной строки. Клиент производит аутентификацию сервера и посылает ему свой идентификатор. Такая посылка подтверждает, что соединение проходит через правильный порт, а также сообщает номер используемой версии протокола и программного обеспечения как сервера, так и клиента. Если какая-то сторона не может правильно расшифровать идентификационную строку, сервис не разрешается.
После проведения обмена идентификационными строками, клиент и сервер переходят в режим двоичного протокола обмена. В этом случае сервер пересылает клиенту свой открытый ключ и некоторую другую информацию. Клиент генерирует 256-битный ключ сеанса, шифрует его открытым ключом сервера и отправляет на сервер вместе с информацией о принятой схеме шифрования, которую обе стороны используют в дальнейшем. Сервер возвращает клиенту подтверждение по поводу получения информации.
После проведения аутентификации, клиент генерирует некоторое количество запросов, требуемых для этого сервиса. К типичным запросам относятся выделение псевдотерминала, запуск X11, старт агента аутентификации либо запуск команды/командного интерпретатора.
В протокол заложены возможности будущего расширения, для чего в идентификационное сообщение включается номер версии. Кроме того, там же содержится поле флагов протокола, приводящее в соответствие установки клиента и сервера.
Протокол обеспечивает поддержку нескольких типов шифрования. Во время инициализации сервер посылает информацию о поддерживаемых им типах, а клиент выбирает один из них.
Применение SSH совместно с встроенными средствами ОС Solaris повышает безопасность использования большинства сервисов на уровне локальной сети.
До сих пор из четырех функциональных уровней рассматривались преимущественно два: системный и уровень локальной сети. Вопросы защиты на уровне приложений слишком многочисленны и разнородны, поэтому они находятся за рамками данной статьи. Что касается внешней защиты, то на этом уровне существует сложившийся набор подходов, а также рекомендуемых инструментов для реализации этих подходов.
Классическая задача внешней защиты предполагает разделение локальной сети предприятия и внешней открытой сети. Считается, что локальная сеть полностью контролируется администратором. Напротив, открытая сеть предполагается неуправляемой и потенциально враждебной.
Если организация не ставит своей целью предоставление своих информационных и вычислительных ресурсов в свободное пользование, ей приходится проводить политику ограничения (или по крайней мере контроля) взаимодействия между сегментами внешней и локальной сети. Для организации подобного контроля служат межсетевые экраны (firewalls). Межсетевой экран представляет собой систему (группу систем), осуществляющих контроль доступа из открытой сети в локальную и наоборот. Отметим, что рассматриваемая технология может применяться и на уровне развитой локальной сети.
Существует несколько десятков реализаций firewall-систем, как чисто программных, так и программно-аппаратных. Они значительно различаются между собой по функциональности, контролируемым сервисам, надежности, удобству использования и администрирования, а также по цене.
Sun Microsystems предлагает в качестве решения для уровня внешней защиты продукт Solstice Firewall-1, представляющий собой набор функциональных модулей, позволяющих реализовать управление информационными потоками на всех уровнях семиуровневой модели ISO/OSI, начиная со второго. Firewall-1 устанавливается на физически защищенный компьютер, через который проходит весь трафик, передаваемый между внутренней и внешней сетями. Различают следующие виды функциональных модулей.
Модули фильтрации пакетов (Packet Filter Module, PFM) анализируют все входящие и исходящие пакеты в соответствии с правилами, устанавливаемыми сетевым администратором и записанными в соответствующей базе данных. PFM реализует нормативную политику безопасности — все данные, по поводу которых нет явного разрешения, отбрасываются. Разумеется, ведется регистрационный журнал.
Кроме обычного PFM, может использоваться модуль с проведением аутентификации, схема которой аналогична схеме аутентификации клиента в NIS+.
Для управления работой PFM используется модуль управления фильтрами (Filter Manage-ment Module, FMM). Один FMM может контролировать несколько модулей PFM, что дает дополнительные удобства централизованного администрирования в случае предприятий с несколькими межсетевыми экранами. Важное достоинство модуля управления в Firewall-1 — дружественный графический интерфейс.
Для формирования списков управления доступом и проведения мониторинга/аудита отдельных серверов и маршрутизаторов используются модули расширений (Router & Server security extension).
В целом Firewall-1 представляет собой мощное и легко настраиваемое средство внешнего уровня защиты.
Обеспечение доступности данных с помощью Online DiskSuite/Networker | Содержание | Заключение |
Copyright ╘ 1993-2000, Jet Infosystems |