20 Мая 2005 | 14:02

Комментарии: 0

Публикация 191 Федеральных стандартов Обработки Информации

Руководство по анализу безопасности ЛВС
1. ВВЕДЕНИЕ
1.1. Почему важна безопасность ЛВС
1.2. Цели
1.3. Обзор документа
1.4. Определение ЛВС
1.4.1. Распределенное хранение файлов
1.4.2. Удаленные вычисления
1.4.3. Обмен сообщениями
1.5. Проблемы безопасности ЛВС
1.5.1. Распределенное хранение файлов - проблемы
1.5.2. Удаленные вычисления - проблемы
1.5.3. Топологии и протоколы - проблемы
1.5.4. Службы Обмена сообщениями - проблемы
1.5.5. Прочие проблемы безопасности ЛВС
1.6. Цели безопасности ЛВС
2. УГРОЗЫ, УЯЗВИМЫЕ МЕСТА, СЛУЖБЫ И МЕХАНИЗМЫ
2.1. Угрозы и уязвимые места
2.1.1. Неавторизованный доступ к ЛВС
2.1.2. Несоответствующий доступ к ресурсам ЛВС
2.1.3. Раскрытие данных
2.1.4. Неавторизованная модификация данных и программ
2.1.5. Раскрытие трафика ЛВС
2.1.6. Подмена трафика ЛВС
2.1.7. Разрушение функций ЛВС
2.2. Службы и механизмы защиты
2.2.1. Идентификация и аутентификация
2.2.2. Управление доступом
2.2.3. Конфиденциальность данных и сообщений
2.2.4. Целостность данных и сообщений
2.2.5. Контроль участников взаимодействия
2.2.6. Регистрация и наблюдение
3. УПРАВЛЕНИЕ РИСКОМ
3.1. Текущие подходы
3.2. Участники
3.3. Элементы управления риском
3.4. Оценка риска
3.4.1. Этап 1 - Определение степени детализации, границ и методологии
3.4.2. Этап 2 - Идентификация и оценка ценностей
3.4.3. Этап 3 - Идентификация угроз и определение их вероятности
3.4.4. Этап 4 - Измерение риска
3.5. Уменьшение риска
3.5.1. Этап 5 - Выбор подходящих мер и средств защиты
3.5.2. Этап 6 - Внедрение и тестирование средств защиты
3.5.3. Этап 7 - Одобрение остаточного риска
ПРИЛОЖЕНИЕ A. ПОЛИТИКА БЕЗОПАСНОСТИ ЛВС
Пример Политики Безопасности ЛВС
Цель
Степень детализации
Цели
Ответственность
Наказания
ОБЩИЕ ПРАВИЛА РАЗГРАНИЧЕНИЯ ДОСТУПА В ЛВС
ОСОБЫЕ ОБЯЗАННОСТИ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЛВС XYZ
ПРИЛОЖЕНИЕ B. СПЕЦИФИКА ПЕРСОНАЛЬНЫХ КОМПЬЮТЕРОВ
ПРИЛОЖЕНИЕ C. ПЛАНЫ ВОССТАНОВЛЕНИЯ И ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ ЛВС
ПРИЛОЖЕНИЕ D. ОБУЧЕНИЕ И ИНФОРМИРОВАННОСТЬ
ЛИТЕРАТУРА
ЛИТЕРАТУРА ДЛЯ ДАЛЬНЕЙШЕГО ЧТЕНИЯ

1. Введение

1.1. Почему важна безопасность ЛВС Многие организации используют средства ЛВС для обеспечения нужд обработки и передачи данных. До использования ЛВС основная часть обработки и обмена данными была централизована; информация и управление ею были сосредоточены в одном месте и централизованы. Сейчас ЛВС логически и физически рассредоточили данные, а также вычислительную мощность и службы обмена сообщениями по всей организации.
Службы безопасности, защищающие данные, а также средства по их обработке и передаче, также должны быть распределены по всей ЛВС. Например, посылка конфиденциального файла, который защищен с помощью сильной системы управления доступом в некоторой ЭВМ через ЛВС в другую ЭВМ без системы управления доступом делает бесполезными усилия первой ЭВМ. Пользователи должны быть уверены в том, что их данные и ЛВС адекватно защищены. Защита ЛВС должна быть интегрирована во всю ЛВС и должна быть важной для всех пользователей.
Электронная почта, важнейшее приложение, обеспечиваемое большинством ЛВС, заменила обычную почту при обмене сообщениями между отделами как одной, так и разных организаций, которая традиционно использовала записи на бумаге, помещенные в конверт. Эти конверты обеспечивают конфиденциальность между отправителем и получателем, и кроме того, в случае целостности бумаги конверта, обеспечивают получателя высокой степенью уверенности в том, что послание не было подменено. Использование электронной почты не обеспечивает этих гарантий. Простая передача по незащищенной ЛВС неадекватно защищает сообщения электронной почты, которые могут быть перехвачены и прочтены или возможно даже подменены. Для многих ЛВС характерно, что отсутствуют гарантии того, что сообщение действительно послано названным отправителем. К счастью, существуют средства, такие, как шифрование, цифровая подпись и коды аутентификации сообщений, которые помогают решить проблемы и обеспечить гарантии.
Понимание необходимости обеспечения защиты в ЛВС и того, какие соответствующие меры защиты необходимы, являются главными задачами этого документа.

1.2. Цели В число предполагаемых читателей этого документа входят верхнее звено управления организацией, администраторы ЛВС, системные администраторы, администраторы безопасности, пользователи ЛВС и прочие лица, которые отвечают за защиту информации, обрабатываемой, хранимой или тесно связанной с ЛВС. Целью этого документа является помощь читателям в понимании необходимости защиты ЛВС и обеспечение рекомендаций по определению эффективных средств защиты ЛВС.

1.3. Обзор документа

Раздел 1 - Введение - в этом разделе обсуждаются свойства ЛВС и проблемы с защитой, являющиеся следствиями этих свойств.
Раздел 2 - Угрозы, уязвимые места, службы и механизмы - Этот раздел описывает угрозы, соответствующие уязвимые места и возможные службы и механизмы защиты, которые могут быть использованы для защиты ЛВС от этих угроз.
Раздел 3 - Управление риском - Этот раздел описывает процесс управления риском и как он может быть использован для планирования и внедрения соответствующей защиты ЛВС.

1.4. Определение ЛВС Институт Инженеров Электриков и Электроников (IEEE) определяет ЛВС как "систему передачи данных, обеспечивающую некоторому числу независимых устройств возможность прямого взаимодействия в ограниченном географическом пространстве посредством физического канала взаимодействия ограниченной производительности" [MART89]. Типичная ЛВС принадлежит только одной организации, которая ее использует и управляет ею . Обычная ЛВС с помощью сетевой ОС объединяет серверы, рабочие станции, принтеры и стриммеры, позволяя пользователям совместно использовать ресурсы и функциональные возможности ЛВС.
В соответствии с [BARK89] типы приложений, обеспечиваемые ЛВС, включают распределенное хранение файлов, удаленные вычисления и обмен сообщениями.

1.4.1. Распределенное хранение файлов

Распределенное хранение файлов обеспечивает пользователей прозрачным доступом к части дисковой памяти удаленного сервера. Распределенное хранение файлов предоставляет такие возможности, как удаленную работу с файлами и удаленную печать. Удаленная работа с файлами позволяет пользователям получать доступ, читать и сохранять файлы. В общем случае, удаленная работа с файлами обеспечивается путем предоставления пользователям возможности подключения к части удаленного устройства дисковой памяти (файлового сервера) так, как будто это устройство подключено напрямую. Этот виртуальный диск используется так, как будто он является локальным диском рабочей станции. Удаленная печать позволяет пользователю печатать на любом принтере, подключенном к любому компоненту ЛВС. Удаленная печать решает две проблемы пользователей:
организацию фоновой печати в ходе обработки данных и совместное использование дорогих принтеров. Серверы печати ЛВС могут сразу после запроса на печать принимать весь файл, позволяя пользователям продолжать работу на их рабочих станциях, вместо того, чтобы ожидать окончания выполнения задания печати. Многие пользователи, используя один и тот же принтер, смогут оправдать покупку быстрого принтера высокого качества.

1.4.2. Удаленные вычисления

Удаленными вычислениями называют запуск приложения или приложений на удаленных компонентах. Удаленные вычисления позволяют пользователям

• удаленно подключаться к другим компонентам ЛВС,
• удаленно выполнять приложение, находящееся на другой компоненте или
• удаленно запускать приложение на одной или более компонент,

в то же время создавая для пользователя представление, что они выполняются локально. Удаленное подключение позволяет пользователям устанавливать сеанс с удаленной ЭВМ (такой, как многопользовательская ЭВМ) так, как будто пользователь непосредственно подключен к удаленной ЭВМ. Возможность запуска приложений на одной или более компонент позволяет пользователю использовать всю вычислительную мощь ЛВС.

1.4.3. Обмен сообщениями

Приложения обмена сообщениями связаны с электронной почтой и возможностями телеконференций. Электронная почта является одной из наиболее важных возможностей, доступных посредством компьютерных систем и сетей. Почтовые серверы действуют, как локальные почтовые отделения, обеспечивая пользователям возможность посылать и получать сообщения через ЛВС. Возможности телеконференций позволяют пользователям активно взаимодействовать друг с другом по аналогии с телефоном.

1.5. Проблемы безопасности ЛВС Преимущества использования ЛВС были кратко обсуждены в предыдущем разделе. Эти преимущества, однако, сопряжены с дополнительным риском, который приводит к проблемам безопасности ЛВС.

1.5.1. Распределенное хранение файлов - проблемы

Файловые серверы могут контролировать доступ пользователей к различным частям файловой системы. Это обычно осуществляется разрешением пользователю присоединить некоторую файловую систему (или каталог) к рабочей станции пользователя для дальнейшего использования как локальный диск. Это представляет две потенциальные проблемы. Во-первых, сервер может обеспечить защиту доступа только на уровне каталога, поэтому если пользователю разрешен доступ к каталогу, то он получает доступ ко всем файлам, содержащимся в этом каталоге. Чтобы минимизировать риск в этой ситуации, важно соответствующим образом структурировать и управлять файловой системой ЛВС. Следующая проблема заключается в неадекватных механизмах защиты локальной рабочей станции. Например, персональный компьютер (ПК) может обеспечивать минимальную защиту или не обеспечивать никакой защиты информации, хранимой на нем. Копирование пользователем файлов с сервера на локальный диск ПК приводит к тому, что файл перестает быть защищенным теми средствами защиты, которые защищали его, когда он хранился на сервере. Для некоторых типов информации это может быть приемлемо. Однако, другие типы информации могут требовать более сильной защиты. Эти требования фокусируются на необходимости контроля среды ПК.

1.5.2. Удаленные вычисления - проблемы

Удаленные вычисления должны контролироваться таким образом, чтобы только авторизованные пользователи могли получать доступ к удаленным компонентам и приложениям. Серверы должны обладать способностью аутентифицировать удаленных пользователей, запрашивающих услуги или приложения. Эти запросы могут также выдаваться локальными и удаленными серверами для взаимной аутентификации. Невозможность аутентификации может привести к тому, что и неавторизованные пользователи будут иметь доступ к удаленным серверам и приложениям. Должны существовать некоторые гарантии в отношении целостности приложений, используемых многими пользователями через ЛВС.

1.5.3. Топологии и протоколы - проблемы

Топологии и протоколы, используемые сегодня, требуют, чтобы сообщения были доступны большому числу узлов при передаче к желаемому назначению. Это гораздо дешевле и легче, чем иметь прямой физический путь между каждой парой машин. (В больших ЛВС прямые связи неосуществимы). Вытекающие из этого возможные угрозы включают как активный, так и пассивный перехват сообщений, передаваемых в линии. Пассивный перехват включает не только чтение информации, но и анализ трафика ( использование адресов, других данных заголовка, длины сообщений, и частоту сообщений). Активный перехват включает изменение потока сообщений (включая модификацию, задержку, дублирование, удаление или неправомочное использование реквизитов).

1.5.4. Службы Обмена сообщениями - проблемы

Службы Обмена сообщениями увеличивают риск для информации, хранимой на сервере или передаваемой между источником и отправителем. Неадекватно защищенная электронная почта может быть легко перехвачена, изменена или повторно передана, что влияет как на конфиденциальность, так и на целостность сообщения.

1.5.5. Прочие проблемы безопасности ЛВС

Прочие проблемы безопасности ЛВС включают:

• неадекватную политику управления и безопасности ЛВС,
• отсутствие обучения особенностям использования ЛВС и защиты,
• неадекватные механизмы защиты для рабочих станций и
• неадекватную защиту в ходе передачи информации.

Слабая политика безопасности также увеличивает риск, связанный с ЛВС. Должна иметься формальная политика безопасности, которая бы определяла бы правила использования ЛВС, для демонстрации позиции управления организацией по отношению к важности защиты имеющихся в ней ценностей. Политика безопасности является сжатой формулировкой позиции высшего руководства по вопросам информационных ценностей, ответственности по их защите и организационным обязательствам. Должна иметься сильная политика безопасности ЛВС для обеспечения руководства и поддержки со стороны верхнего звена управления организацией. Политика должна определять роль, которую имеет каждый служащий при обеспечении того, что ЛВС и передаваемая в ней информация адекватно защищены.
Политика безопасности ЛВС должна делать упор на важности управления ЛВС и обеспечения его поддержки. Управление ЛВС должно иметь необходимые финансовые средства, время и ресурсы. Слабое управление сетью может привести к ошибкам защиты. В результате этого могут появиться следующие проблемы: ослабленная конфигурация защиты , небрежное выполнение мер защиты или даже не использование необходимых механизмов защиты.
Использование ПК в среде ЛВС также привносит риск в ЛВС. В общем, в ПК практически отсутствуют меры защиты в отношении аутентификации пользователей, управления доступом к файлам, ревизии деятельности пользователей и т.д. В большинстве случаев защита, оказываемая информации, которая хранится и обрабатывается на сервере ЛВС, не сопровождает информацию, когда она посылается на ПК.
Отсутствие осведомленности пользователей в отношении безопасности ЛВС также увеличивает риск. Пользователи, не знакомые с механизмами защиты, мерами защиты и т.п. могут использовать их неправильно и, возможно, менее безопасно. Ответственность за внедрение механизмов и мер защиты, а также за следование правилам использования ПК в среде ЛВС обычно ложится на пользователей ПК. Пользователям должны быть даны соответствующие инструкции и рекомендации, необходимые, чтобы поддерживать приемлемый уровень защиты в среде ЛВС.

1.6. Цели безопасности ЛВС Должны быть поставлены следующие цели при разработке эффективной защиты ЛВС:

• обеспечить конфиденциальность данных в ходе их хранения, обработки или при передаче по ЛВС;
• обеспечить целостность данных в ходе их хранения, обработки или при передаче по ЛВС;
• обеспечить доступность данных, хранимых в ЛВС, а также возможность их своевременной обработки и передачи
• гарантировать идентификацию отправителя и получателя сообщений.

Адекватная защита ЛВС требует соответствующей комбинации политики безопасности, организационных мер защиты, технических средств защиты, обучения и инструктажей пользователей и плана обеспечения непрерывной работы. Хотя все эти области являются критическими для обеспечения адекватной защиты, основной акцент в этом документе сделан на возможных технических мерах защиты. Остальные области защиты, упомянутые выше, будут кратко рассмотрены в приложениях.

2. Угрозы, уязвимые места, службы и механизмы Угрозой может быть любое лицо , объект или событие, которое, в случае реализации, может потенциально стать причиной нанесения вреда ЛВС. Угрозы могут быть злонамеренными, такими, как умышленная модификация критической информации, или могут быть случайными, такими, как ошибки в вычислениях или случайное удаление файла. Угроза может быть также природным явлением, таким, как наводнение, ураган, молния и т.п. Непосредственный вред, вызванный угрозой, называется воздействием угрозы.
Уязвимыми местами являются слабые места ЛВС, которые могут использоваться угрозой для своей реализации. Например, неавторизованный доступ (угроза) к ЛВС может быть осуществлен посторонним человеком, угадавшим очевидный пароль. Использовавшимся при этом уязвимым местом является плохой выбор пароля, сделанный пользователем. Уменьшение или ограничение уязвимых мест ЛВС может снизить или вообще устранить риск от угроз ЛВС. Например, средство, которое может помочь пользователям выбрать надежный пароль, сможет снизить вероятность того, что пользователи будут использовать слабые пароли и этим уменьшить угрозу несанкционированного доступа к ЛВС.
Служба защиты является совокупностью механизмов защиты, поддерживающих их файлов данных и организационных мер, которые помогают защитить ЛВС от конкретных угроз. Например, служба аутентификации и идентификации помогает защитить ЛВС от неавторизованного доступа к ЛВС , требуя чтобы пользователь идентифицировал себя , а также подтвердил истинность своего идентификатора. Средство защиты надежно настолько, насколько надежны механизмы, процедуры и т.д., которые составляют его.
Механизмы защиты являются средствами защиты, реализованными для обеспечения служб защиты, необходимых для защиты ЛВС. Например, система аутентификации, основанная на использовании смарт-карт (которая предполагает, что пользователь владеет требуемой смарт-картой), может быть механизмом, реализованным для обеспечения службы идентификации и аутентификации. Другие механизмы, которые помогают поддерживать конфиденциальность аутентификационной информации, могут также считаться частью службы идентификации и аутентификации.
Этот раздел состоит из двух частей. В первой части обсуждаются угрозы, воздействия и соответствующие уязвимые места. Угрозы в общем классифицируются на основании вызванных ими воздействий, имевших место при реализации угроз. Для каждого типа воздействий здесь обсуждаются угрозы, которые могут стать причиной данного воздействия, потенциальные потери от угрозы, и уязвимые места, которые могут быть использованы угрозами. Вторая часть раздела обсуждает службы защиты ЛВС и возможные механизмы, которые могут быть реализованы для обеспечения этих служб.

2.1. Угрозы и уязвимые места Идентификация угроз предполагает рассмотрение воздействий и последствий реализации угроз. Воздействие угрозы, которое обычно включает в себя проблемы, возникшие непосредственно после реализации угрозы, приводит к раскрытию, модификации, разрушению или отказу в обслуживании. Более значительные долговременные последствия реализации угрозы приводят к потере бизнеса, нарушению тайны, гражданских прав, потере адекватности данных, потере человеческой жизни или иным долговременным эффектам. Последствия угроз будут обсуждаться в разделе 3, Управление риском. Подход, описываемый здесь, состоит в классификации типов воздействий, которые могут иметь место в ЛВС, так чтобы специфические технические угрозы могли быть сгруппированы по своим воздействиям и изучены некоторым образом. Например, такие технические угрозы, реализация которых влечет воздействие "Компрометация трафика ЛВС", могут быть отделены от тех угроз, которые влекут воздействие "Нарушение функционирования ЛВС". Следует понимать, что реализация многих угроз приводит к более чем одному воздействию, однако в рамках этого обсуждения каждая угроза будет рассматриваться в связи только с одним воздействием. Воздействия, которые будут использоваться для классификации и обсуждения угроз среде ЛВС:

• Неавторизованный доступ к ЛВС - происходит в результате получения неавторизованным человеком доступа к ЛВС.
• Несоответствующий доступ к ресурсам ЛВС- происходит в результате получения доступа к ресурсам ЛВС авторизованным или неавторизованным человеком неавторизованным способом.
• Раскрытие данных - происходит в результате получения доступа к информации или ее чтения человеком и возможного раскрытия им информации случайным или неавторизованным намеренным образом.
• Неавторизованная модификация данных и программ - происходит в результате модификации, удаления или разрушения человеком данных и программного обеспечения ЛВС неавторизованным или случайным образом.
• Раскрытие трафика ЛВС - происходит в результате получения доступа к информации или ее чтения человеком и возможного ее разглашения случайным или неавторизованным намеренным образом тогда, когда информация передается через ЛВС.
• Подмена трафика ЛВС - происходит в результате появлений сообщений, которые имеют такой вид, как будто они посланы законным заявленным отправителем, а на самом деле сообщения посланы не им.
• Неработоспособность ЛВС - происходит в результате реализации угроз, которые не позволяют ресурсам ЛВС быть своевременно доступными.

2.1.1. Неавторизованный доступ к ЛВС ЛВС обеспечивает совместное использование файлов, принтеров, файловой памяти и т.п. Поскольку ресурсы разделяемы и не используются монопольно одним пользователем, необходимо управление ресурсами и учет использования ресурсов. Неавторизованный доступ к ЛВС имеет место, когда кто-то, не уполномоченный на использование ЛВС, получает доступ к ней (действуя обычно как законный пользователь ЛВС). Три общих метода используются, чтобы получить неавторизованный доступ: общие пароли, угадывание пароля и перехват пароля. Общие пароли позволяют неавторизованному пользователю получить доступ к ЛВС и привилегии законного пользователя; это делается с одобрения какого-либо законного пользователя, под чьим именем осуществляется доступ . Угадывание пароля является традиционным способом неавторизованного доступа. Перехват пароля является процессом, в ходе которого законный пользователь, не зная того, раскрывает учетный идентификатор пользователя и пароль. Это может быть выполнено с помощью программы троянского коня, которая имеет для пользователя вид нормальной программы входа в ЛВС; однако программа - троянский конь предназначена для перехвата пароля. Другим методом, обычно используемым для перехвата пароля, является перехват пароля и идентификатора пользователя, передаваемых по ЛВС в незашифрованном виде. Методы перехвата открытого трафика ЛВС, включая пароли, широко доступны сегодня. Неавторизованный доступ к ЛВС может происходить с использованием следующих типов уязвимых мест:

• отсутствие или недостаточность схемы идентификации и аутентификации,
• совместно используемые пароли,
• плохое управление паролями или легкие для угадывания пароли,
• использование известных системных брешей и уязвимых мест, которые не были исправлены,
• однопользовательские ПК, не имеющие парольной защиты во время загрузки,
• неполное использование механизмов блокировки ПК,
• хранимые в пакетных файлах на дисках ПК пароли доступа к ЛВС,
• слабый физический контроль за сетевыми устройствами,
• незащищенные модемы,
• отсутствие тайм-аута при установлении сеанса и регистрации неверных попыток,
• отсутствие отключения терминала при многочисленных неудачных попытках установления сеанса и регистрации таких попыток,
• отсутствие сообщений "дата/время последнего удачного сеанса" и "неуспешная попытка установления сеанса" в начале сеанса,
• отсутствие верификации пользователя в реальном времени (для выявления маскарада).

2.1.2. Несоответствующий доступ к ресурсам ЛВС Одна из выгод от использования ЛВС состоит в том, что большое количество ресурсов легко доступны большому количеству пользователей, что лучше чем владение каждым пользователем ограниченных выделенных ему ресурсов. Эти ресурсы могут включать файловую память, приложения, принтеры, данные, и т.д.. Однако не все ресурсы должны быть доступны каждому пользователю. Чтобы предотвратить компрометацию безопасности ресурса (то есть разрушение ресурса, или уменьшение его доступности), нужно разрешать использовать этот ресурс только тем, кому требуется использование ресурса. Несоответствующий доступ происходит, когда пользователь, законный или неавторизованный, получает доступ к ресурсу, который пользователю не разрешено использовать. Несоответствующий доступ может происходить просто потому, что права доступа пользователей к ресурсу не назначены должным образом. Однако, несоответствующий доступ может также происходить потому, что механизм управления доступом или механизм назначения привилегий обладают недостаточной степенью детализации. В этих случаях единственный способ предоставить пользователю необходимые права доступа или привилегии для выполнения определенной функции состоит в том, чтобы предоставлять пользователю больше доступа, чем необходимо, или больше привилегий, чем необходимо. Несоответствующий доступ к ресурсам ЛВС может происходить при использовании следующих типов уязвимых мест:

• использование при назначении прав пользователям по умолчанию таких системных установок, которые являются слишком разрешающими для пользователей,
• неправильное использование привилегий администратора или менеджера ЛВС,
• данные, хранящиеся с неадекватным уровнем защиты или вообще без защиты,
• недостаточное или неправильное использование механизма назначения привилегий для пользователей, ПК, на которых не используют никакого контроля доступа на уровне файлов.

2.1.3. Раскрытие данных Так как ЛВС используются повсюду в организациях или отделах, некоторые из хранящихся или обрабатываемых данных в ЛВС могут требовать некоторого уровня конфиденциальности. Раскрытие данных или программного обеспечения ЛВС происходит, когда к данным или программному обеспечению осуществляется доступ, при котором они читаются и, возможно, разглашаются некоторому лицу, которое не имеет доступа к данным. Это может производиться кем-либо путем получения доступа к информации, которая не зашифрована, или путем просмотра экрана монитора или распечаток информации. Компрометация данных ЛВС может происходить при использовании следующих типов уязвимых мест:

• неправильные установки управления доступом,
• данные, которые считаются достаточно критичными, чтобы нужно было использовать шифрование, но хранятся в незашифрованной форме,
• исходные тексты приложений, хранимые в незашифрованной форме,
• мониторы, находящиеся в помещениях, где много посторонних людей
• станции печати, находящиеся в помещениях, где много посторонних людей
• резервные копии данных и программного обеспечения, хранимые в открытых помещениях.

2.1.4. Неавторизованная модификация данных и программ Поскольку пользователи ЛВС разделяют данные и приложения, изменения в этих ресурсах должны быть управляемы. Неавторизованная модификация данных или программного обеспечения происходит, когда в файле или программе производятся неавторизованные изменения (добавление, удаление или модификации).
Когда незаметная модификация данных происходит в течение длительного периода времени, измененные данные могут распространиться по ЛВС, возможно искажая базы данных, электронные таблицы и другие прикладные данные. Это может привести к нарушению целостности почти всей прикладной информации.
Если в программном обеспечении были произведены незаметные изменения, то все программное обеспечение ЭВМ может оказаться под подозрением, что приводит к необходимости детального изучения (и возможно переустановки) всего соответствующего программного обеспечения и приложений. Эти неавторизованные изменения могут быть сделаны в простых командных файлах (например, в пакетных файлах ПК), в сервисных программах, используемых в многопользовательских системах, в главных прикладных программах, или в любом другом типе программного обеспечения. Они могут быть сделаны неавторизованными посторонними лицами, а также теми, кто уполномочен делать изменения в программном обеспечении (хотя изменения, которые они делают, не разрешены). Эти изменения могут привести к передаче информации (или копии информации) другим пользователям, искажению данных при обработке или нанесению вреда доступности системы или служб ЛВС.
Вирусы на ПК могут оказаться неприятной новостью для любой организации, которая не обеспечила пользователей ЛВС инструментами для эффективного обнаружения и предотвращения внедрения вирусов в ЛВС. В настоящее время вирусы ограничиваются повреждением ПК и в общем случае не портят серверы ЛВС (хотя вирусы могут использовать ЛВС для инфицирования ПК). [WACK89] содержит рекомендации по обнаружению вирусов и предотвращению их проникновения в ЛВС.
Неавторизованная модификация данных и программного обеспечения может происходить при использовании следующих типов уязвимых мест:

• разрешение на запись, предоставленное пользователям, которым требуется только разрешение на доступ по чтению,
• необнаруженные изменения в программном обеспечении, включая добавление кода для создания программы троянского коня,
• отсутствие криптографической контрольной суммы критических данных,
• механизм привилегий, который позволяет избыточное разрешение записи,
• отсутствие средств выявления и защиты от вирусов,

2.1.5. Раскрытие трафика ЛВС Раскрытие трафика ЛВС происходит, когда кто-то, кому это не разрешено, читает информацию , или получает к ней доступ другим способом, в то время, когда она передается через ЛВС. Трафик ЛВС может быть скомпрометирован при прослушивании и перехвате трафика, передаваемого по транспортной среде ЛВС (при подключении к кабелю сети, прослушивании трафика, передаваемого по эфиру, злоупотреблении предоставленным подключением к сети с помощью присоединения сетевого анализатора, и т.д.). Большое количество пользователей понимают важность конфиденциальной информации, хранимой на их автоматизированных рабочих местах или серверах; однако, также важно поддерживать эту конфиденциальность при передаче информации через ЛВС. Информация, которая может быть скомпрометирована таким образом, включает системные имена и имена пользователей, пароли, сообщения электронной почты, прикладные данные и т.д. Например, даже если пароли могут быть зашифрованы при хранении в системе, они могут быть перехвачены в открытом виде в то время, когда их посылают от автоматизированного рабочего места или ПК к файловому серверу. Файлы сообщений электронной почты, к которым обычно имеется очень ограниченный доступ при хранении в ЭВМ, часто посылаются в открытом виде по среде передачи ЛВС, что делает их легкой целью для перехвата. Компрометация трафика ЛВС может происходить при использовании следующих типов уязвимых мест:

• неадекватная физическая защита устройств ЛВС и среды передачи,
• передача открытых данных с использованием широковещательных протоколов передачи,
• передача открытых данных (незашифрованных) по среде ЛВС.

2.1.6. Подмена трафика ЛВС Данные, которые переданы по ЛВС, не должны быть изменены неавторизованным способом в результате этой передачи либо самой ЛВС ,либо злоумышленником. Пользователи ЛВС должны быть вправе предполагать, что посланное сообщение будет получено неизмененным. Модификация происходит, когда делается намеренное или случайное изменение в любой части сообщения, включая его содержимое и адресную информацию.
Сообщения, передаваемые по ЛВС, должны содержать некоторый вид адресной информации, сообщающей адрес отправителя сообщения и адрес получателя сообщения (помимо другой информации). Подмена трафика ЛВС включает (1) способность получать сообщение, маскируясь под легитимное место назначения, либо (2) способность маскироваться под машину-отправитель и посылать сообщения кому-либо. Чтобы маскироваться под машину-получатель, нужно убедить ЛВС в том, что данный адрес машины - легитимный адрес машины-получателя. (Получение трафика ЛВС может также быть осуществлено путем прослушивании сообщений, поскольку они в широковещательном режиме передаются всем узлам). Маскировка под машину-отправитель для убеждения машины-получателя в законности сообщения может быть выполнена заменой своего адреса в сообщении адресом авторизованной машины-отправителя или посредством воспроизведения трафика. Воспроизведение предполагает перехват сеанса между отправителем и получателем и повторную передачу впоследствии этого сеанса (или только заголовков сообщений с новыми содержаниями сообщений). Подмена трафика ЛВС или модификации трафика ЛВС может происходить при использовании следующих типов уязвимых мест:

• передача трафика ЛВС в открытом виде,
• отсутствие отметки даты / времени (показывающей время посылки и время получения),
• отсутствие механизма кода аутентификации сообщения или цифровой подписи,
• отсутствие механизма аутентификации в реальном масштабе времени (для защиты от воспроизведения).

2.1.7. Разрушение функций ЛВС ЛВС - инструмент, используемый организацией для совместного использования информации и передачи ее из одного места в другое. Эта потребность удовлетворяется функциональными возможностями ЛВС, описанными в пункте 1.4 Определение ЛВС. Разрушение функциональных возможностей происходит, когда ЛВС не может своевременно обеспечить необходимые функциональные возможности. Разрушение может охватывать как один тип функциональных возможностей, так и группу возможностей. Разрушение функциональных возможностей ЛВС может происходить при использовании следующих типов уязвимых мест:

• неспособность обнаружить необычный характер трафика (то есть намеренное переполнение трафика),
• неспособность перенаправить трафик, выявить отказы аппаратных средств ЭВМ, и т.д.,
• конфигурация ЛВС, допускающая возможность выхода из строя из-за отказа в одном месте,
• неавторизованные изменения компонентов аппаратных средств ЭВМ (переконфигурирование адресов на автоматизированных рабочих местах, изменение конфигурации маршрутизаторов или хабов, и т.д.),
• неправильное обслуживание аппаратных средств ЛВС,
• недостаточная физическая защита аппаратных средств ЛВС.

2.2. Службы и механизмы защиты Служба защиты - совокупность механизмов, процедур и других управляющих воздействий, реализованных для сокращения риска, связанного с угрозой. Например, службы идентификации и аутентификации (опознания) помогают сократить риск угрозы неавторизованного пользователя. Некоторые службы обеспечивают защиту от угроз, в то время как другие службы обеспечивают обнаружение реализации угрозы. Примером последних могут служить службы регистрации или наблюдения. Следующие службы будут обсуждены в этом разделе:

• идентификация и установление подлинности - является службой безопасности, которая помогает гарантировать, что в ЛВС работают только авторизованные лица.
• управление доступом - является службой безопасности, которая помогает гарантировать, что ресурсы ЛВС используются разрешенным способом.
• конфиденциальность данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не раскрыты неавторизованным лицам.
• целостность данных и сообщений - является службой безопасности, которая помогает гарантировать, что данные ЛВС, программное обеспечение и сообщения не изменены неправомочными лицами.
• контроль участников взаимодействия - является службой безопасности, посредством которой гарантируется, что объекты, участвующие во взаимодействии, не смогут отказаться от участия в нем. В частности, отправитель не сможет отрицать посылку сообщения (контроль участников взаимодействия с подтверждением отправителя) или получатель не сможет отрицать получение сообщения (контроль участников взаимодействия с подтверждением получателя).
• регистрация и наблюдение - является службой безопасности, с помощью которой может быть прослежено использование всех ресурсов ЛВС.

Механизмы, процедуры и рекомендации, предлагаемые в этом разделе, не должны рассматриваться как нечто обязательное и полное. Этот документ является рекомендательным, и приведенные здесь меры защиты должны рассматриваться как возможные, а не обязательные решения. За определение соответствующих организационных и программно-технических мер для конкретной среды ЛВС, отвечает каждая организация, заботящаяся об обеспечении адекватной защиты ЛВС.

Продолжение статьи

20 Мая 2005 | 14:02

Комментарии: 0