1 к~ч
= - | [2ехр{-А1)-ехр{-2Аф +
1к [ О тк
+ | ехр(-М)М =
+ -^гехр[~2Л{Тк-тк)]-
2 ЛТ„ 2ЛТ.
1-ехр Лтк , ч -£—-ехр(-ЛТк).
ЯТ,
Используя уравнение (5) можно так выбрать период контроля работоспособности ИНС рассматриваемой НКС, чтобы обеспечить заданное значение К гн (Тк )3 средней готовности нейрокомпьюгерной системы.
Очевидно, что если структура резервирования НКС с периодическим контролем будет иная (например, троирование ИНС), то, определив закон изменения во времени ее вероятности безотказной работы, можно аналогичным образом выбрать необходимый период контроля Тк работоспособности системы.
В заключение следует отметить, что выражение (5) для средней готовности рассмотренной нейроком-
пьютерной системы с дублированной структурой нейронных сетей при периодическом контроле их работоспособности позволяет оценить эффективность данной системы контроля НКС по сравнению с другими типами и режимами контроля нейроком-пьютерных систем.
Библиографический список
1. Потапов В.И., Потапов И.В. Отказоустойчивые нейроком-пьютерные системы на базе логически стабильных искусственных нейронных сетей //Омский научный вестник. - 2004,- №3( 28).-С. 119-123.
2. Черкесов Г.Н. Надежностьтехнических систем с временной избыточностью. - М.:Сов. Радио, 1974. - 295 с.
3. Потапов В.И., Потапов И.В. Математические модели, методы и алгоритмы оптимизации надежности итехнической диагностики искусственных нейронных сетей. - Омск: Изд-во ОГУП. -2004. - 220с.
ПОТАПОВ Виктор Ильич, доктор технических наук, профессор, заведующий кафедрой информатики и вычислительной техники.
ПОТАПОВ Илья Викторович, кандидат технических наук, старший преподаватель кафедры информатики и вычислительной техники.
УДК «813 С. А. КОГУТ
В. А. РОМАНОВ В. Г. ШАХОВ
Омский государственный университет путей сообщения
ПРОЕКТИРОВАНИЕ И ЭКСПЛУАТАЦИЯ КОМПЬЮТЕРНЫХ СЕТЕЙ В ЗАЩИЩЕННОМ РЕЖИМЕ_
Приводятся анализ и обобщение опыта безопасной работы структурированной компьютерной сети на примере сети университета. Даются рекомендации по использованию дополнительных программных продуктов и основные направления работы сетевых администраторов по повышению безопасности на разных этапах.
При проектировании, реализации и эксплуатации компьютерных сетей предприятия возникает ряд проблем, связанных с поддержкой информационной безопасности. Вопросы и их решения частично освещены в данной статье.
На первом этапе проектирования информационной системы необходимо составить представление о деятельности предприятия и собрать сведения, касающиеся:
• структуры предприятия;
• информационных потоков между подразделениями;
• уровня подготовки сотрудников;
• системы материальной ответственности;
• порядка доступа к документам;
• службы охраны.
Эти аспекты обычно игнорируются из-за значительной нагрузки на проектировщиков и сжатых сроков проектирования, однако практический опыт показывает, что отсутствие подобных сведений существенно удлиняет сроки работ и создает проблемы в будущем, Так как заказчик обычно слабо разбирается в области информационных технологий, то проектировщик должен самостоятельно сформировать свое мнение:
• о задачах, решаемых информационной системой и целях, для которых она создается;
• о требуемом уровне информационной безопасности;
• о возможностях размещения оборудования и использования персонала.
Только после подобного анализа собранных данных имеет смысл проектировать собственно информационную систему.
Важным этапом построения системы является создание структурированной кабельной системы (СКС) и выбор ее сетевой структуры.
Практика показывает, что использование интегрированных стандартных решений СКС приводит не к увеличению затрат, а к их снижению, поэтому применение подобных решений является не рекомендацией, а необходимостью. Оборудование и кабельные каналы необходимо размещать таким образом, чтобы максимально затруднить несанкционированный доступ, даже жертвуя строительной целесообразностью. Обязательным требованием является централизация материальной и организационной ответственности за сохранность коммуникационных узлов и их обязательная охрана.
Под выбором сетевой структуры понимается выбор топологии ЛВС на 2-м и 3-м уровнях модели OSI/ ISO [4]. Для предприятий наиболее целесообразно использование структуры с двумя уровнями: магистрали и распределения.
Назначение уровня магистрали — высокоскоростное соединение физических сегментов ЛВС и серверных группировок (ферм). Уровень распределения предназначен для подключения конечных пользователей. В качестве канального протокола наиболее оптимально использование Fast Ethernet, сетевого — IP.
На уровне магистрали обязательно необходимо использовать механизм виртуальных сетей (VLAN), позволяющий создавать территориально распреде-: ленные изолированные сети Ethernet безнеобходи-.,: мости проектирования физически разделенной СКС. Для передачи или маршрутизации пакетов между подсетями целесообразно применять маршрутизирующие коммутаторы, работающие натретьем, сетевом уровне модели OSI/ISO (L3 switches). Эти устройства обладают выгодным соотношением «цена/качество» за счет отсутствия дополнительных функций, имеющихся у классических маршрутизаторов и не требующихся в ЛВС предприятия [2].
На уровне распределения требования к аппаратуре не такие строгие — достаточно применения неуправляемых коммутаторов Fast Ethernet. Не рекомендуется применение концентраторов, которые всегда транслируют передаваемые данные на все свои порты. Так как коммутаторы не имеют подобной особенности, то эта мера позволяет, совместно с контролем доступа к СКС, эффективно противостоять перехвату пакетов в ЛВС.
Применение управляемых коммутаторов позволяет реализовать систему контроля доступа на уровне МАС-адресов, так как стандартными функциями подобных устройств являются возможность ограничения подключений к своим портам на основе списков допустимых адресов сетевых карт и отображение сведений об адресах уже подключенных клиентских ПК.
Наличие маршрутизации дает возможность фильтрации передаваемых данных по IP-адресам получателя и типу используемых протоколов прикладного уровня (HTTP, FTP, SMTP и т.п.) [2]. Кроме того, имеется возможность контролировать таблицы отображения адресов сетевых карт на IP-адреса узлов [6]. Задача проектировщика заключается в разбиении ЛВС на подсети и создании правил фильтрации на
основе сведениями об информационных потоках и структуре предприятия, причем этот процесс может быть итерационным.
Все эти меры позволяют затруднить работу злоумышленника, значительно ограничивая возможность несанкционированного подключения к ЛВС и уменьшая возможность осуществления подмены IP-адресов.
Важным этапом в проектировании ИС является выбор базовой ОС, причем наиболее важен тип системы, устанавливаемый на серверы предприятия. В данный момент выбор ОС для серверов достаточно велик, причем их характеристики примерно одинаковы. Набор пользовательских служб так же достаточно стандартен, поэтому наиболее важна реализация корпоративных систем управления работой ЛВС.
Практика показывает, что на предприятии обязательно должны функционировать следующие комплексы:
• система управления адресами (DHCP) и регистрации имен (DNS и, возможно, WINS);
• серверы проверки подлинности;
• центр выдачи цифровых сертификатов;
• корпоративная почтовая система и служба мгновенных сообщений;
■ корпоративная антивирусная система;
• система управления и анализа дискового пространства серверов;
• система мониторинга работы сетевого и серверного оборудования;
• службы обновления ОС, клиентских и серверных программных продуктов.
Все эти службы должны функционировать только на серверах, управляемых непосредственно администраторами предприятия.
Системы управления адресами важны для упорядочения подключения ПК к ЛВС. С их помощью администратор может удаленно конфигурировать сетевые параметры клиентских систем, оперативно меняя их принадлежность к той или иной подсети. Благодаря возможности привязки МАС-адресов к IP-адресам создается пространство адресов, управляемое администраторами, позволяющее выявлять случайные подключения по неосторожности и попытки подключения к ЛВС со стороны злоумышленников.
Процессы проверки подлинности входа пользователя в систему и его идентификации при доступе к сетевым ресурсам являются фундаментом ИС предприятия, обеспечивающим необходимый уровень информационной безопасности. Их реализация обычно осуществляется средствами, штатными для базовой ОС и не требующими дополнительных финансовых затрат. Например, система, построенная с помощью контроллеров домена (специализированных серверов) Windows 2000/2003 является достаточно эффективным решением |1, 5]. Основным недостатком доменной системы Windows является ограниченная совместимость с другими операционными системами.
В ситуациях, когда не все клиентские и серверные системы способны проходить проверку подлинности, стандартную для предприятия, необходимо организовать систему аутентификации, не зависящую от ОС. Эффективным решением этой проблемы является установка сервера RADIUS, изначально созданного для проверки подлинности подключения любого типа удаленных клиентов. Сервер способен принимать запрос на аутентификацию и переадресовывать его другим системам, например, контрол-
лерам домена Windows или серверам с ОС Unix/Linux. В настоящий момент протокол RADIUS поддерживается всеми известными ОС, бесплатно включается в их состав и фактически является стандартом де-факто.
К недостаткам централизованных систем проверки подлинности можно отнести требование наличия постоянной связи внутри ЛВС, допускающей только незначительные перебои. Помимо этого, многие серверные продукты изначально были ориентированы на децентрализованное использование или не имели необходимого уровня защищенности. К их числу можно отнести практически все известные службы Интернета, например, серверы HTTP, FTP и SMTP. В современные варианты этих систем для обеспечения необходимого уровня информационной безопасности встроена технология использования цифровых сертификатов.
Цифровой сертификат — специализированный документ, гарантирующий, что субъект, его предъявляющий, является тем, за кого себя выдает. С их помощью можно осуществлять проверку подлинности, выполнять шифрование данных, устанавливать и проверять электронные цифровые подписи. Рассмотрение теоретических основ технологии применения сертификатов выходит за рамки данной статьи.
При выполнении соединения с сервером клиент предъявляет свой цифровой сертификат, позволяющий его идентифицировать. В свою очередь сервер передает свой сертификат клиенту, убеждая его в том, что он имеет дело именно с этой серверной системой. Подобная схема требует обязательного существования третьей стороны, центра выдачи цифровых сертификатов (ЦС), контролируемого администраторами предприятия.
В связи с широким распространением технологий, использующих сертификаты, установка ЦС на крупном предприятии является практически обязательной. Соответствующее ПО обычно включается в состав дистрибутивов всех распространенных ОС.
Корпоративная почтовая система должна быть основным механизмом передачи администратору сообщений о работе ЛВС. Опыт показывает, что использование различных систем управления, отчетности и анализа, не способных к отправке сигналов в виде почтовых сообщений, возможно только эпизодически. Выбор корпоративных почтовых систем достаточно велик, к их числу относятся MS Exchange (http: //www.microsoft.com), IBM Lotus Notes (http://www. ibm.com), HP Open Mail (http://hp.com). Однако, из-за их высокой стоимости иногда удобнее использовать менее дорогие или бесплатные серверы SMTP/POP/ IMAP с функциями шифрования трафика и выполнения проверки подлинности пользователя при приеме и отправке почты. В этом случае значительную помощь может оказать наличие уже упомянутого центра выдачи цифровых сертификатов. К недостаткам подобного решения можно отнести более длительный период развертывания, большие затраты на сопровождение и отсутствие ряда функций коллективной работы, свойственных корпоративным системам, в частности продукту Lotus Notes/Domino (http://www-306.ibm.com/software/Iotus).
Несмотря на кажущееся разнообразие антивирусных систем, значительная их часть не удовлетворяет корпоративным требованиям. Антивирус должен иметь следующие возможности:
• обновление клиентских компонентов с ресурса ЛВС без доступа к Интернету;
• дистанционная установка на клиентский ПК;
• дистанционная настройка и управление как отдельным ПК, так и их группами;
• запуск антивирусных средств на ПК в режиме службы (демона);
• возможность ограничения доступа к функциям настройки клиентской антивирусной программы.
Перечисленные функции обусловлены требованиями целостности и полной управляемости антивирусной системы без предоставления пользователю права изменения настроек антивирусных клиентских приложений. Подобные требования кажутся излишне строгими, тем не менее практика показывает, что обычный сотрудник практически не замечает работу современных антивирусов и не использует их возможности. Поэтому в распоряжение пользователя необходимо предоставлять исключительно возможность антивирусной проверки объектов файловой системы, а все остальные функции, такие как мониторинг вирусной активности в режиме реального времени, защита почтовой системы и сканирование ПК по расписанию должны настраиваться только администраторами предприятия.
Доступными продуктами можно считать семейство антивирусов Trend Micro (http://www.trendmicro. www), Symantec (http://www.symantec.com) и Panda Antivirus (http://www.lc.ru/vendors/panda/). Наш опыт показывает, что в ситуации возникновения эпидемий вирусных рассылок требуется эффективная антивирусная защита, с периодом обновления базы с сервера производителя не более 3-4 часов.
Системы управления дисковым пространством (установки квот) позволяют избежать простейших, но эффективных действий злоумышленника, нарушающего работу организации, переполняя доступные сетевые ресурсы. При наличии необходимого уровня доступа пользователь имеет право размещать на сетевом ресурсе файлы, размер которых ничем не ограничен, что не является нарушением . Если система квотирования отсутствует, то злоумышленник может осуществлять копирование информации в доступный ему сетевой ресурс до полного заполнения соответствующего диска (раздела) сервера. При этом он не нарушает никаких правил работы в ЛВС и не использует никаких дополнительных программных средств. Последствием такой деятельности является временный вывод из строя файл-сервера и нарушение работы значительного количества сотрудников.
Подобный сценарий может быть реализован без личного участия злоумышленника, например с помощью командных файлов или некоторых вирусов. Этот прием может быть использован для отвлечения внимания служб поддержки пользователей и администраторов безопасности от других систем предприятия. В случае квотирования объема дискового пространства, которое может занимать отдельная папка, злоумышленник сможет заполнить только ее, что затронет намного меньшее число сотрудников и не вызовет значительного числа обращений пользователей. ПО квотирования или встроено в ОС или приобретается дополнительно. Наиболее известным продуктом для ОС Windows является WQuinn Storage-Central (http://www.wquinn.com).
Системы мониторинга серверной и сетевой активности позволяют собирать, накапливать и обрабатывать сведения о функциональном состоянии оборудования ЛВС, серверов и запущенных на них служб (демонов). Помимо этого, важно наличие возможности оперативного оповещения администраторов о возникновении критических событий с помощью электронной почты. Здесь можно упомянуть такой извест-
ньгй продукт, как HP Open View (http://www.hp.com) и его более дешевый аналог — WhatsUp Gold (http:// www.ipswitch.com). В настоящее время существует широкий выбор коммерческих и бесплатных систем мониторинга для различных ОС.
Ряд продуктов, выполняющих другие задачи, оснащен подобными системами, например в MS Exchange встроенные средства наблюдения за работой почтового сервера легко превратить в средство наблюдения за состоянием служб, загруженностью процессоров, использованием ОЗУ и жестких дисков. Вообще говоря, при выборе серверных продуктов, выполняющих какие-либо прикладные задачи, необходимо отдавать предпочтение тем из них, которые имеют возможность выполнять генерацию и отправку отчетов о своем состоянии и проделанной ими работе с помощью почтовой системы или же предоставляют эту информацию по запросу внешних служб мониторинга.
Службы мгновенных сообщений, позволяющие собеседникам общаться непосредственно между собой в режиме реального времени, обычно популярны у сотрудников предприятия. С точки зрения администраторов, эта система обеспечивает обратную связь с сотрудниками предприятия, которые получают удобную возможность сообщать о возникающих проблемах. Это дает дополнительную страховку в ситуациях, когда развернутые технические системы наблюдения не способны сообщить о возникновении нештатных ситуации.
Подобные службы поставляются отдельно или в комплекте с почтовой системой. Необходимо обратить внимание на механизмы аутентификации, реализованные в службах сообщений. Они должны гарантировать защиту от подделки имени отправителя, обеспечивая проверку подлинности пользователя при подключении к службе. Если злоумышленник имеет возможность отправлять сообщения от имени других пользователей, то он сможет отвлекать внимание администраторов от атакуемых систем. Для ОС Windows 2003 корпоративным требованиям удовлетворяют системы на базе протоколов SIP (Session Initiation Protocol), например Microsoft Live Communication Server 2003/2005 (http://www.microsoft.com), или ПО компании Jabber (http://www.jabber.com).
Службы обновления ОС и программных продуктов, централизованно устанавливающие «заплатки» (patches) и пакеты исправлений (service packs), позволяют своевременно исправлять ошибки в программном обеспечении. Это эффективный инструмент безопасности, позволяющий избежать подавляющей части вирусных и других атак. Для ОС Windows эту функцию в настоящее время выполняет бесплатный продукт Software Update Service 1.0 (SUS). Согласно различным источникам, многие администраторы не уделяют должного внимания этой службе, считая, что риск от не установленных обновлений невелик или наоборот, риск сбоев от ошибок в исправлениях чрезмерно высок. Считаем, что эти причины не являются препятствием к своевременной установке заплаток, а являются поводом к более продуманной организации этого процесса с проведением предварительных тестов ит.п. Следует отметить, что SUS 1.0 обладает недостаточной гибкостью, однако Microsoft готовит к выпуску в 2005 г. более совершенную бесплатную систему обновлений — Windows Update Service (WUS), удовлетворяющую практически всем требованиям к подобному ПО.
Вышеперечисленные службы позволяют осуществлять текущее управление информационной
средой, а кроме того, выполняют профилактику или выявление большого числа нештатных ситуаций. Тем не менее они недостаточны для борьбы со злонамеренными действиями.
В ходе проведенного на нашем предприятии исследования были выделены следующие основные угрозы (в порядке убывания уровня опасности):
• сотрудники предприятия, использующие зарегистрированные рабочие места и учетные записи;
• входящий трафик Интернет;
• подключения сотрудников предприятия к его ресурсам извне, с помощью серверов удаленного доступа.
Угроза со стороны сотрудников представляется наиболее реальной, гак как они уже находятся внугри ЛВС и имеют легальные учетные записи пользователей, что резко уменьшает количество защитных барьеров. Ситуация усугубляется тем, что внутри предприятия действуют факторы, облегчающие задачу злоум ышленника:
• большое количество объектов для атаки, затрудняющее их защиту;
• высокая скорость работы ЛВС, позволяющая сократить время атаки;
• отношение сотрудников к выполнению правил безопасности при работе в ЛВС, особенно к дисциплине хранения паролей;
■ сложная административная структура организации, иногда приводящая к появлению областей ЛВС, недоступных для управления со стороны администраторов предприятия и серверов, используемых злоумышленниками в качестве плацдармов или мест хранения данных.
Последний фактор следует рассмотреть отдельно. Во многих организациях самостоятельность подразделений выражается в том числе и в предоставлении права самостоятельной настройки ПК его сотрудникам. Подобная практика часто является оправданной, например, для групп разработчиков ПО, служб технической поддержки или кафедр вузов. Сотрудники этих структур обычно должны иметь возможность изменять рабочую среду ПК для эффективного выполнения производственных функций. В ряде случаев подобный подход не является обоснованным, например, для бухгалтерии, служб складского учета, сбыта и т.п. Тем не менее по самым различным причинам сотрудники, не обладающие соответствующим уровнем квалификации и ответственности, обладают правом администрирования своих ПК. Подобные узлы сети и могут быть использованы злоумышленниками .
Тем не менее можно выработать определенные меры противодействия:
• группировка ПК по подсетям;
• установка фильтров на внутреннем маршрутизаторе, развертывание на серверах и ПК средств фильтрации, применение к ним шаблонов настроек ОС, увеличивающих ее защищенность (рис.1);
• осуществление шифрования трафика и внедрение технологии цифровой подписи сетевых пакетов;
• внедрение эффективных систем аутентификации, разработка и утверждение правил безопасности, обязательных для сотрудников;
• поиск несанкционированных подключений к ЛВС, использование специализированных анализаторов пакетов и систем выявления подозрительных действий на ПК пользователей;
• применение автоматического развертывания прикладного ПО и отказ от широко распространенной практики работы пользователей в режиме администраторов ПК.
Списки доступа
подсеть
Рис. 1. Использование списков доступа и фильтров пакетов.
Группировку по подсетям достаточно легко осуществить, классифицировав подразделения предприятия по характеру выполняемых ими задач и требованиям к защищенности данных, атак же потенциальной способности администраторов эти требования обеспечить, после чего используется механизм VLAN.
Для выполнения фильтрации пакетов, реализуемой с помощью списков доступов маршрутизаторов, персональных файрволов и средств IPSec, необходимо составить полный перечень протоколов и сетевых служб, используемых на предприятии, после чего задача становится достаточно простой, так как решается штатными средствами. Шаблоны настроек безопасности ОС обычно представляют собой значения ключевых параметров системы, заранее выбранные производителем с целью достижения наилучшей защищенности системы в зависимости от ее роли. Поэтому достаточно составить список всех используемых ролей (контроллеры домена, файл-серверы, службы печати, почтовая система ит.п.). Значительную помощь в этой работе оказывают руководства, выпускаемые производителями ОС [5].
Технологии шифрования передаваемых данных и использования цифровой подписи сетевых пакетов позволяют избежать целого ряда атак, таких как активная модификация сообщений (active message modification), набег (hijacking), «downgrade», «man-in-the-middle» и пассивное подслушивание (eavesdropping) [6]. Подобная практика незаменима в сетях, использующих концентраторы Ethernet. Большинство современных ОС оснащено соответствующими встроенными средствами.
Даже самые изощренные меры становятся малоэффективными в случае игнорирования сотрудниками правил безопасности при работе с ЛВС. Помимо утвержденного порядка получения учетных записей, подключения ПК к ЛВС и других организационных мероприятий технические средства аутентификации должны буквально вынуждать работника следовать политике организации. Если администраторы не способны обеспечить ее реализацию для каких-либо отдельных подразделений, то необходимо пересмотреть состав подсетей ЛВС и свести к минимуму связи подобных сегментов с другими подсетями.
Кроме обычных мер, сводящихся к установке требований сложности паролей и частоты их изменения, желательно осуществлять наблюдение за перечнем ПК, используемых пользователем для входа в систему и числом их одновременных регистрации. В ОС Windows, в отличие от продуктов Novell, этой проблеме традиционно уделялось меньше внимания, однако, в 2005 г. планируется выпуск средства Limit Logon, предназначенного именно для управления количеством регистрации сотрудника в системе.
Поиск несанкционированных подключений к ЛВС является достаточно сложной задачей. Применение DHCP не решает этой проблемы, так как пользователь с правами администратора своего ПК способен установить IP-адрес вручную. Использование возможностей управляемого активного оборудования, позволяющего определять перечни допустимых МАС-адресов на уровне каждого порта коммутатора не всегда удобно и эффективно, особенно если в ЛВС имеются неуправляемые коммутаторы. Многочисленные рекомендации позволяют утверждать, что многие задачи, связанные с контролем ситуации в сети, решаются с помощью пакета Fluke Networks (http://www.flukenetworks.com), позволяющего как выяв2ять несанкционированные подключения, гак и производить анализ пакетов [6].
Возможно использование более интеллектуальных систем обнаружения вторжений (IDS), ориентированных на защиту и выявление несанкционированных действий в ЛВС предприятия, однако мы придерживаемся мнения, что их установка и настройка могут оказаться чрезмерно трудоемкими. Это связано с тем, что недостаточно просто установить подобную систему. Следует осуществить ее настройку, как минимум обеспечив отсутствие ложных сигналов об обнаружении следов деятельности злоумышленников. При этом администратор должен быть уверен в том, что система способна распознать случаи реальных атак. Все это требует высокого уровня квалификации, большого объема наладочных работ и высоких трудозатрат на сопровождение системы, требующей непрерывной корректировки.
Их применение оправдано в случае обоснованно высоких требований к безопасности и наличии финансовых ресурсов. Большим подспорьем в решении этой задачи с малыми затратами является организация процесса автоматического анализа журналов ОС, собираемых с серверов предприятия и некоторых «ключевых» рабочих станций, построенной на базе штатных и бесплатных средств в сочетании со сценариями, создаваемыми самими администраторами. Например, после появления встроенного брандмауэра в Windows ХР из журналов ПК можно извлечь данные о попытках использовать блокированные порты TCP/UDP, что позволяет организовать систему сбора информации без установки каких-либо агентов на компьютеры пользователя.
Значительную помощь в работе могут оказать системы дистанционного развертывания прикладного ПО, например ZENWorks (Novell) или System Management Server (Microsoft). С точки зрения безопасности их основное преимущество — отсутствие необходимости предоставлять пользователю права локального администратора, т.к. ему теперь не требуется самому устанавливать программное обеспечение.
Рис.2. Доступ к ЛВС из Интернета.
Рис. 3. Двухступенчатая почтовая система.
Кроме того, эти средства дают возможность быстро восстанавливать ПК, что неоценимо при вирусных эпидемиях.
Отсутствие у пользователя прав администратора собственного компьютера позволяет создать защищенную рабочую среду и является очень эффективным решением, сильно снижающим возможности злоумышленников, так как процессы, запущенные ими в контексте текущего пользователя, сильно ограничены в правах. Очевидно, что управляемость подобных ПК всегда гарантирована, так как в системе со своевременно установленными «заплатками» пользователь не может ни лишить администраторов предприятия их привилегий, ни присвоить себе право администрирования. Такие ПК можно использовать в качестве точек для размещения агентов систем IDS. Наш опыт показывает, что подобная мера позволяет поддерживать устойчиво работающую среду в течение нескольких лет, тогда как при наличии у пользователей полного набора прав переустановка ПК выполняется менее чем через год.
Недостатком всех этих мер является высокая стоимость систем дистанционного развертывания, значительные трудозатраты на создание установочных пакетов ПО и обязательное тестирование его работы на ПК пользователей. Их реализация требует хорошо организованной службы обслуживания клиентов, позволяющей своевременно выявлять как ошибки настройки программного обеспечения, так и события, служащие потенциальным источником опасности, например учетные записи уволившихся сотрудников. Кроме того, среди администраторов должны иметься сотрудники, отвечающие за создание защищенных рабочих сред пользователя, что является достаточно узкой специализацией.
Внешние угрозы, такие как входящий поток данных из Интернета и пользователи, подключившиеся с помощью средств удаленного доступа, представляют собой меньшую угрозу, так как являются более предсказуемыми и контролируемыми. Защитой от них является в первую очередь «контроль периметра». Использование брандмауэров и прокси-серверов в сочетании с антивирусами способно свести ущерб от атаки из Интернета к минимуму (рис.2).
Серверы удаленного доступа должны устанавливаться только в случае крайней необходимости, так как удаленные узлы по определению находятся вне контроля администраторов и их состояние неизвестно. Вместе с группировкой серверов, используемых
для публикации материалов и систем предприятия в Интернете, они должны устанавливаться в т.н. «демилитаризованной зоне», что уменьшает количество прямых подключений к внутренним серверам. Демилитаризованная зона должна управляться централизованно.
Тем не менее существует минимум три пути доступа к ЛВС. Во-первых, сеансы сотрудников, работающих с внутренними ресурсами предприятия удаленно, например из дома. Во-вторых, это входящие почтовые сообщения и наконец, поток данных, получаемый сотрудниками с внешних сайтов.
Средства организации удаленного доступа, входящие во все современные системы, позволяют провести полноценную аутентификацию и создать для подключившегося пользователя виртуальную сетевую среду, состоящую только из разрешенных к использованию серверов предприятия. С учетом уже установленных систем безопасности уровень защищенности можно считать вполне приемлемым [5).
Входящий поток из Интернета проходит через прокси-сервер, возможно оснащенный антивирусной защитой, и попадает в среду ПК, где в обязательном порядке необходимо устанавливать корпоративный антивирус. В сочетании с применением систем обновления ОС в защищенной среде пользователя риск несанкционированной установки различных вредоносных программ сводится к минимуму.
Как показывают материалы компаний-производителей антивирусных средств, наибольшую угрозу представляют собой почтовые рассылки зараженных сообщений [7]. В этой ситуации считаем эффективной двухступенчатую систему обмена почтой (рис. 3).
Внешний контур системы оснащается бесплатным сервером —перенаправителем SMTP сообщений, а в качестве внутреннего выступает корпоративная почтовая система. Целесообразно оснастить внутренний контур антивирусными средствами, а внешний — системами борьбы с несанкционированными почтовыми рассылками, т.н. «спамом». Следует учесть тенденцию роста случаев совместной работы хакерских и спамерских групп. Работа почтовых фильтров, использующих списки запрещенных узлов, размещенных в специализированных DNS (DNS Black Lists) может дать значительный эффект, отказывая в приеме зараженных писем [7|. В списках содержатся IP-адреса, классифицированные владельцем списка как отправители несанкционированной
корреспонденции. Выбирая списки с подходящей политикой классификации, администраторы предприятия имеют возможность предотвратить прием заведомо бесполезных сообщений, что существенно снижает затраты предприятия на Интернет.
Таким образом, двухконтурная система может дать два барьера защиты на уровне серверов и два — на уровне ПК сотрудников (средства, встраиваемые в почтовую программу и клиентский антивирус общего назначения).
Опыт эксплуатации почтовой системы ОмГУПС показывает, что количество зараженных писем, отбрасываемых ежедневно, достигает 5—10% от их общего количества. Несанкционированные почтовые рассылки составляют еще около 20% трафика. За два года функционирования подобной системы обнаружены только единичные случаи прохождения зараженных писем.
Недостаток защищенных почтовых систем заключается в высокой стоимости антивирусного ПО и значительном риске ложных срабатываний средств борьбы со спамом. На нашем предприятии доля рабочего времени, затрачиваемая одним из сотрудников на настройку и мониторинг почтовой системы может достигать 20 — 30%.
Проведенные авторами исследования позволили развернуть в нашем университете значительное количество описанных систем и увеличить централизацию управления предприятием.
ЛВС ОмГУПС построена на базе ОС Windows 2003 Server и состоит из одного домена Windows, управляемого администраторами университета. Использование домена позволило реализовать единую систему проверки подлинности без значительных трудовых и финансовых затрат. Кроме того, в состав служб домена входят система управления адресами
и регистрации имен, центр выдачи цифровых сертификатов и служба обновления ОС.
Использования инструментов обеспечения безопасности Windows позволило не только уменьшить количество сетевых ресурсов, для доступа к которым не требуется авторизация, но и упорядочить сетевой доступ к ПК административных подразделений. В сочетании с применением антивирусной системы это позволило уменьшить риск возникновения вирусных эпидемий. Достаточно сказать, что развитие систем защиты, вызванное этой угрозой, привело к полному отсутствию широкомасштабных вирусных заражений в корпоративной сети за последние два года.
Библиографический список
1. Зубанов Ф.В. Microsoft Windows 2000. Планирование, развертывание, установка. — М.: «Русская редакция», 2000. - 600с.
2. Олифер В.Г., Олифер Н А Новые технологии и оборудование IP-сетей. - СПб.: «БХВ-Санкт-Петербург»,2000. - 512с.
3. Ретано А. Принципы проектирования корпоративных IP-сетей: Пер. с англ. — М.: «Вильяме», 2002. — 36В с.
4.Руководство «Internetworking Guide», http://www.cisco.com.
5. Руководство «Windows Server 2003 Security Guide», http:// leclinel.microsoft.com.
6. Сайт «BugTrack», http://bugtrack.ru.
7. Сайт «Лаборатория Касперского», http://kv.ni.
КОГУТ Станислав Алексеевич, кандидат технических наук, сетевой администратор корпоративной сети.
РОМАНОВ Валерий Александрович, инженер, сетевой администратор корпоративной сети. ШАХОВ Владимир Григорьевич, кандидат технических наук, профессор.
Информация
В соответсвии с приказом Министерства образования Российской Федерации от 21 мая 2004 г. 2282 "Об эксперименте по созданию новых специальностей «Информационные технологии в дизайне» и «Информационные технологии в медиаиндустрии» в Омском государственном техническом университете в 2005 году открыт набор на указанные специальности. ОмГТУ является одним из трех вузов России лицензировавших новые специальности и принимающих участие в эксперименте.
Квалификация дипломированного специалиста - инженер.
Специалист по информационным технологиям в дизайне обеспечивает проектирование и эксплуатацию информационных систем, функционирующих во всех областях, связанных с дизайн-проектированием: промышленным дизайном, дизайном и проектированием изделий, графическим дизайном, дизайном интерьера, дизайном среды, ландшафтным и архитектурным дизайном, дизайн-менеджментом, дизайн-маркетингом.
Инженер по информационным технологиям в медиаиндустрии имеющий специальную подготовку в области производства печатных и электронных средств массовой информации обеспечивает функционирование компьютерных систем в издательствах, типографиях и полиграфических комплексах, медиапредприятиях, Web- и дизайн-студиях, рекламных агентствах, на телевидении и в других областях, связанных с производством печатных и электронных изданий, средств мультимедиа, Web-публикаций.