2005
НАУЧНЫЙ ВЕСТНИК МГТУ ГА серия Информатика. Прикладная математика
№ 92(10)
УДК 004.78.056
РАЗРАБОТКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА ЗАЩИТЫ ЭЛЕКТРОННОЙ ИНФОРМОТЕКИ ОТ НЕСАНКЦИОНИРОВАННОГО ПОЛЬЗОВАТЕЛЯ
В.И. КОТИКОВ, В.М. КОТИКОВ
Статья представлена доктором технических наук, профессором Соломенцевым В.В.
Рассматриваются основные подходы к созданию программно-аппаратного комплекса защиты информационных ресурсов электронной информотеки с контролируемым доступом злоумышленника в систему и приводятся статистические данные сканирования на наличие уязвимостей и доступных сетевых ресурсов электронной информотеки через Интернет.
Вопросы защиты информации, содержащейся в электронных информотеках (ЭИ) в виде полнотекстовых электронных документов по всем отраслям знаний, от постороннего доступа и нежелательных воздействий становятся сегодня очень важными и актуальными, так как позволяют решить задачи, связанные с защитой интеллектуальной собственности авторов [1]. В работах [2-3] рассматриваются методология и различные средства защиты информации в распределенных системах. Защита информации основана на создании защитной среды в виде некоторых ограничений и процедур, способных под управлением внутреннего ядра безопасности запретить несанкционированный и обеспечить санкционированный доступ пользователей к информационным ресурсам и защиту последних от множества преднамеренных и случайных внешних и внутренних угроз. В данной статье представлены результаты работы созданного программно-аппаратного комплекса защиты информации в электронной информотеке нового поколения от внешних угроз.
Структурная модель электронной информотеки с системой контроля и защиты от несанкционированного внешнего доступа представлена на рис. 1.
Входной поток посетителей Э1/ через Интернет
ПРОГРАММНО-
АППАРАТНЫЙ
КОМПЛЕКС
ЭЛЕКТРОННОЙ
ИНФОРМОТЕКИ
ЭЛЕКТРОННАЯ
ИНФОРМОТЕКА
Рис. 1. Структурная модель ЭИ с системой защиты от несанкционированного доступа
Безопасность информационной системы - это совокупность всех предпринимаемых мер по предотвращению потери информации любого вида. Потеря может произойти из-за оплошности (ошибки) пользователя, ошибки в коде программного обеспечения, аппаратного дефекта системы или действий, совершенных со злым умыслом [4].
Под ошибкой пользователя электронной информотекой (ЭИ) можно рассматривать, во-первых, выбор простого пароля доступа, который можно подобрать путем перебора словарных слов, и, во-вторых, передачу конфиденциальной информации другим, сторонним лицам. Так же передаваемый пароль в распределенной системе доступа к информационным ресурсам ЭИ может быть перехвачен, если пользователь использует незащищенные каналы передачи. Для предотвращения возможных угроз в этой области применяется политика комплексного пароля, а также реализация шифрования передаваемых данных. Для веб-серверов используется технология Secure Socket Layer, которая гарантирует сохранность переданной и полученной информации [5].
Избежать ошибок при разработке программного обеспечения (ПО) открытой системы, (веб-сервера) практически невозможно, но их необходимо выявлять и устранять на стадии тестирования. Временной интервал анализа ПО и обнаружения ошибок зависит от сложности программно-аппаратного комплекса защиты (ПАКЗ) ЭИ для ее перевода в продуктивный режим. Это определяет и уровень финансовых затрат на построение ПАКЗ. Если ПАКЗ имеет недоработки и уязвимости, то при сканированиях они могут быть выявлены, и атакующий может провести успешную атаку на систему (http://www.securitylab.ru/ 47317.html). К сожалению, все ошибки (дыры) в программном обеспечении ПАКЗ устранить не удается, и они обнаруживаются уже на этапе эксплуатации, что сказывается на доверии авторов к ЭИ, которая должна обеспечивать защиту их интеллектуальной собственности. Своевременное обновление, установка необходимых «заплаток», поставляемых производителем клиентского и серверного ПО, повышает защищенность систем.
Публикация информации о «заплатках» для используемого ПО происходит, как минимум, через несколько дней после обнаружения уязвимости. В этот период времени ЭИ может быть подвержена атакам, которые используют найденную брешь в ПАКЗ. Для защиты сетевых ресурсов ЭИ можно использовать такие две распространенные технологии (http://www.Hnux-sec.net/IDS/): Intrusion-Detection System (IDS) - система обнаружения вторжений и firewall (брандмауэр). Существуют две разновидности систем обнаружения вторжений: Host-based IDS и Network-based IDS. К первой могут быть отнесены программы, которые выявляют аномалии в функционировании системы: необычно большое количество одновременно работающих процессов, повышенный трафик, передаваемый интерфейсами системы, или которые проводят проверку на наличие изменений в файлах. Эти возможности позволяют обнаружить непредвиденные изменения в системе (рис. 2).
Компьютер
несанкционированного пользователя Сканирование ЭИ
Внешняя среда
Внутренняя среда
Коммутатор
Пакеты, поступающие на порты веб-сервера
1—1
=
IDS система
Веб-сервер
информотеки
Рис. 2. Структурная схема построения системы обнаружения атак ПАКЗ ЭИ
Основными элементами реализованного ПАКЗ (рис. 2) являются брандмауер, который проводит фильтрацию Интернет трафика (разрешает доступ только к веб-сервису ЭИ), и IDS
система проводит анализ поступающего/исходящего трафика на веб-сервер ЭИ. На основании анализа этого трафика на наличие пакетов, содержащих опасные данные для функционирования ЭИ, выполняются автоматические действия по информированию системного администратора: посылается сообщение на указанный почтовый адрес и производится запись в базу данных (БД).
Наиболее часто для обнаружения вторжений применяются программа Tripwire (http://www.tripwire.org), а для проверки системных журналов программы LogWatch и LogCheck (http://www.linux-sec.net/Logger/logging.gwif.html).
Программа Tripwire предназначена для создания БД файлов, находящихся в системе. Она постоянно отслеживает изменения и сообщает о них администратору системы. БДTripwire хранится на диске в зашифрованном виде, что не дает возможность изменить базу данных Tripwire вместе с изменением системных файлов. Ниже приведены статистические данные работы ПАКЗ ЭИ, в котором использовалась программа Tripwire:
Section: Unix File System
Rule Name Severity Level Added Removed Modified
Configuration Files 66 1 0 0
Temporary Directories 33 0 0 0
Tripwire Data Files 100 0 0 0
Devices 100 0 0 0
Home Directories 100 0 0 0
Executables and Libraries 100 0 0 0
Tripwire Binaries 100 0 0 0
Variable Files 100 0 0 61
Web Files 100 24 24 3597
System Boot Files 100 0 0 0
Total objects scanned: Modified object name:
Property :
72390 Total violations found: 3707
/var/www/informoteka
Expected Observed
*
Object Type Device Number Inode Number * Mode
Num Links
UID
GID
Directory
2054
344065
drwxr-xr-x
8
root (0) root (0)
Directory 2054 344065 drwxr-x-----
8
root (0) root (0)
Следовательно, веб-каталог и файлы в нем, выделенные полужирным шрифтом, подверглись изменению, были добавлены и удалены. Для анализа системных журналов о нарушении системной безопасности и ненормальной активности в ПАКЗ ЭИ использовались программы Logwatch (http://www2.logwatch.org:81/) и Logcheck (http://packages.qa. de-bian.org/l/logcheck.html). Результаты работы программы Logwatch представлены ниже.
Users logging in through sshd:
elnone logged in from host.domain.com (192.168.0.1) using password: 2 Time(s) elnone logged in from 222.222.222.222 using password: 3 Time(s)
sshd: Invalid Users: Unknown Account: 6 Time(s)
Authentication Failures:
root (host114-160.pool195103.interbusiness.it ): 3 Time(s) unknown (host114-160.pool195103.interbusiness.it ): 6 Time(s)
Failed logins from these:
admin/password from 195.103.160.114: 2 Time(s) guest/password from 195.103.160.114: 1 Time(s) root/password from 195.103.160.114: 3 Time(s)
test/password from 195.103.160.114: 2 Time(s) elnone => root /usr/sbin/tripwire -init /usr/sbin/tripwire -check
Из полученных результатов видно, что с удаленного адреса 195.103.160.114 сделана попытка несанкционированного доступа к службе удаленного управления сервером ЭИ, путем подборки разных учетных записей и паролей. На рис. 3 приведены статистические данные по визитам пользователей в ЭИ, полученные на основе независимой от ПАКЗ ЭИ Интернет-системы, которые также подтверждают наличие атаки со стороны несанкционированных пользователей, что проявилось в почти пятикратном увеличении визитов в ЭИ 12 декабря 2004 года. Это позволяет говорить о высоком совпадении результатов и эффективной работе созданного программно-аппаратного комплекса защиты ЭИ.
визиты 1
200
180 160 140 120 100 80 60 40 20 0
10 ноя 14 ноя 18 ноя 22 ноя 26 ноя 30 ноя 4 дек 8 дек 12 дек 18 дек
---- Публичная Электронная Библиотека Научных Работ
http://e1ibrary.mstuea. ru
Рис. 3. Распределение визитов пользователей в электронную информотеку
Ко второй относятся системы, которые просматривают сетевой трафик и отслеживают несанкционированные действия (http://www.osp.ru/win2000/edu/85edu03_print.htm,
http://cnsteam.w6.m/security.php?secure=netatt). Сегодня существуют (http://www.cert.org/se-curity-improvement/implementations/i042.07.html) как коммерческие, так и свободно распространяемые системы для мониторинга сетей и выявления внутренних и внешних атак. При тестировании различных IDS выясняется, что система Snort (http://www.snort.org) показала хорошие результаты (http://www.osp.ru/os/2003/07-08/037.htm) и в настоящий момент её можно назвать самой распространенной системой сетевой сигнализации (http://www.osp.ru/lan/2004/08/084.htm) в мире. Этот программный продукт можно отнести к обоим видам IDS. Благодаря своей открытой архитектуре, Snort легко может быть расширена для решения различных задач и, в частности, при создании ПАКЗ ЭИ, представленного на рис. 2. Это сетевая IDS способна выполнять в режиме реального времени анализ трафика, передаваемого по контролируемому интерфейсу с целью обнаружения попыток взлома или попыток поиска уязвимостей (переполнение буфера, сканирование портов, CGI-атаки, идентификация операционной системы, идентификация версий используемых сетевых сервисов и др.). На основе Snort были созданы различные проекты [6]. Одной из наиболее известных является, опирающаяся на РНР, система анализа для визуализации журналов и поиска в соответствующей БД MySQL об инцидентах, связанных с проникновениями (Analysis Console for Intrusion Databases, ACID, http://www.cert.org/kb/acid). Эффективность системы обнаружения атак Snort зависит от количества и качества регулярных выражений, которые и описывают обнаруживаемые атаки. Для этого проводится сопоставление сетевых пакетов с сигнатурами известных атак. В Snort можно изменять исходный код и добавлять сигнатуры атак в систему, расширяя их функциональные возможности.
Настройка фильтров IDS, используемых в ПАКЗ, проводилась только для используемых в системе сервисов. Так как сетевой доступ к серверам ЭИ фильтруется в маршрутизато-
ре/брандмауэре (рис.2) по IP адресам и портам, то из глобальной сети Интернет доступны только некоторые разрешенные сервисы. Это позволяет отсеять нежелательный входящий трафик и не загружать канал передачи и БД IDS. Используя данные правила, был реализован ПАКЗ ЭИ и получены статистические данные о работе IDS системы электронной информотеки нового поколения (рис. 4 а-в).
ACID Chart — web—attack Time vs. Number o-F Alerts ( 08/11/2004 - 10/31/2004 )
1 1 М иш !
Рис. 4. Статистические данные о работе IDS системы электронной информотеки в период с 1 сентября по 31 октября 2004 года а - количество попыток сканирования на наличие известных уязвимостей б - количество попыток сканирования на наличие известных атак в- количество попыток сканирования на определение доступных сетевых ресурсов
а
б
в
После обработки и изучения полученных статистических данных выяснилось, что количество сканирований и обнаружение доступных сетевых ресурсов, попыток использовать известную уязвимость составляет до 98%, т.е. за весь исследуемый период было обнаружено свыше 2500 совпадений. В действительности эта цифра могла быть в несколько раз больше, если бы не был установлен брандмауэр перед IDS системой. В этом случае удалось часть запросов отфильтровать и они не влияли на трафик доступного веб-сервера электронной информоте-ки.
ЛИТЕРАТУРА
1. Котиков В.И. Электронная библиотека - информотека: структура построения, анализ и синтез ее основных элементов //Доклад на Международной конференции «EVA-2003 Москва». - М.: ГТГ, 2003.
2. Столингс В. Основы защиты сетей. Приложение и стандарты: Пер. с англ. - М.: Издательский дом «Вильямс», 2002.
3. Мельников В.В. Защита информации в автоматизированных системах. - М.: Финансы и статистика, 2003.
4. Бармен С. Разработка правил информационной безопасности: Пер. с англ. - М.: Издательский дом «Вильямс», 2002.
5. Компьютерная сеть: от чего и как ее защищать. - http://www.osp.ru/pcworld/ 2001/12/070.htm
6. Лукашов И. Первый шаг к безопасности // Мир ПК, № 10, 2003. С. 10-16
HARDWARE AND SOFTWARE DEVELOPMENT FOR ELECTRONIC INFORMATICS COMPLEX
FOR PROTECTION FROM MALEFACTOR
Kotikov V.I., Kotikov V.M.
The basic approach towards the creation of the hardware and software complex for, information resources of electronic informoteka from the malefactor controllable access to the system is being examined in the article. Statistical data of scanning of vulnerabilities and accessible Internet resources of electronic informoteka are being provided.
Сведения об авторах
Котиков Вячеслав Иванович, 1941 г.р., окончил МЭИС (1967), член-корреспондент Международной академии информатизации, кандидат технических наук, профессор МГТУ ГА, заместитель начальника ИВЦ, автор более 60 научных работ, область научных интересов -электронные информотеки и информационные технологии.
Котиков Василий Михайлович, 1979 г.р., окончил МТУСИ (2001), аспирант МГТУ ГА, автор 8 научных работ, область научных интересов - сетевые и информационные технологии.