Byte/RE ИТ-издание

Проблемы безопасности современных мультисервисных сетей

Константин Соколов,
эксперт компании "Микротест"

Конвергенция сетевых технологий и в первую очередь сужение числа применяемых протоколов третьего уровня модели OSI до единственного, повсеместно распространенного IP привели к тому, что сегодня нет смысла говорить о сетях, предоставляющих только один-два сервиса, — интерес вызывают лишь мультисервисные сети. И как это ни парадоксально, такой подход особенно актуален в России, где практически все крупные поставщики сетевых услуг, а также значительное число государственных и корпоративных клиентов используют собственные первичные сети. Поэтому в данной статье под "сетью" мы будем подразумевать все ее мультисервисные составляющие.

Что же происходило с сетями в последние два-три года, какие факторы играют сегодня основную роль в развитии телекоммуникационной отрасли? Ответы на эти вопросы для нашей российской действительности определяются как технологическими предпосылками, так и действиями регулирующих органов. В целом среди основных факторов можно назвать:

  • завоевание рынка технологиями VoIP;
  • рост пропускной способности беспроводных устройств и расширение зон покрытия Wi-Fi, внедрение аппаратуры pre-WiMax;
  • интеграция услуг передачи данных сотовыми операторами;
  • внедрение услуг triple play;
  • выдача лицензий на дальнюю телефонную связь нескольким компаниям, до того в основном предоставлявшим услуги передачи данных;
  • определенные проблемы с регулированием для конвергентных мультисервисных сетей (в части классификации услуг, регулирования взаимодействия между старыми, традиционными и новыми сервисами) для операторов, предоставляющих сервисы на возмездной основе.

Этот список приводит нас к следующим выводам об основных тенденциях развития современных сетей: первая тенденция — рост "вверх и вширь", т. е. безусловное и постоянное наращивание пропускной способности, количества подключенных портов и все большее разнообразие сервисов и услуг. Вторая — по порядку, но не по значимости — тенденция состоит в том, что технологии повернулись лицом к бизнесу. С каждым днем можно все отчетливее видеть, что нас окружает все больше бизнес-моделей не просто обслуживаемых сетями, но и создаваемых на основе сетей новых услуг, рожденных сетевой конвергенцией.

В эту радужную картину нужно добавить несколько темных штрихов. Остановимся на развитии сегмента информационной безопасности (ИБ).

До недавнего времени основные усилия поставщиков решений информационной безопасности были сосредоточены на защите инфраструктуры. Как классические межсетевые экраны, системы обнаружения и предотвращения вторжений (IDS/IPS), так и более поздние сетевые антивирусные системы в первую очередь обеспечивали безопасный периметр, защищая "нежные внутренности" корпоративных сетей от атакующих любую свободно движущуюся информацию "акул" из мира внешних сетей.

В то же время набор средств защиты корпоративных LAN от внутренних угроз нередко ограничивался антивирусами на рабочих станциях сотрудников, изредка дополняемых средствами контроля почты и Интернет-серфинга. И это несмотря на то, что, по данным различных исследователей, количество инцидентов, вызванных умышленными или неумышленными действиями собственных сотрудников, составляет от 70 до 90% всех угроз ИБ.

Рынок решений ИБ быстро перенасытился, и растущая конкуренция вынудила разработчиков совершенствовать свои продукты, расширять их поддержку и снижать цены. В результате довольно длительного периода разработок и конкуренции, сопровождавшейся чередой поглощений компаний, разрабатывающих инновационные подходы к проблеме ИБ, на рынке осталось несколько крупных производителей, о которых можно сказать — их решения действительно хороши и постоянно совершенствуются.

В итоге все мы как потребители можем заключить, что технологии защиты информационной инфраструктуры сегодня обеспечивают достаточно высокую устойчивость к внешним несанкционируемым воздействиям. Однако это верно только в случае грамотного построения системы защиты и ее адекватной эксплуатации. Но какой уважающий себя руководитель признается, что его сеть дурно спроектирована, компьютеры устарели на пару поколений, а персонал плохо все это обслуживает?

Итак, классические системы защиты периметров и инфраструктурного оборудования хороши и даже в большинстве случаев могут масштабироваться, если построены с учетом действующих международных стандартов, однако на практике они не решают основной задачи, на которую и нацелены современные ИТ — обеспечивать непрерывность ведения бизнеса. И дело здесь в том, что бизнес — это не оборудование сетей и периметров, не собственные или арендованные у оператора каналы связи, не новейшие компьютеры в бухгалтерии и службе продаж, хотя это все, конечно, тоже очень важно. Проекция бизнеса в ИТ — это потоки данных, которые должны пересечься в нужной точке, в нужное время и двинуться дальше, развиваясь как в финансовом, так и в информационном смысле.

Трудности роста

Каковы основные трудности и проблемы, возникающие при попытках создать систему защиты современной сети? Несомненно, важную роль здесь играют факторы, связанные с закрытостью большинства современных ИС и с экспоненциальным ростом числа обнаруженных уязвимостей, однако наибольшую сложность представляют проблемы, вытекающие из основных тенденций сетевого развития.

Начнем с проблемы роста, т. е. с масштабируемости — наиболее заметной тенденции. Некоторое технологическое отставание средств защиты в производительности и в количестве поддерживаемых приложений и протоколов приводит либо к удорожанию защиты (и снижению прибыльности), либо к задержке внедрения таких средств в динамично растущих сетях (и значительному росту рисков), так как зачастую именно наиболее критичные для бизнеса приложения требуют такого роста. Экономия на безопасности во время роста ставит под удар самые уязвимые точки.

К сожалению, наблюдаемый рост производительности оборудования для систем обеспечения ИБ (в частности, межсетевых экранов и систем обнаружения/предотвращения вторжений), достигающей уже нескольких гигабит в секунду, и возможности кластеризации подобных устройств не всегда успевают за ростом производительности сетей и не добавляют им гибкости. Рассмотрим простейший пример: когда широкое использование технологий VoIP шагнуло с магистральных каналов операторов в межофисные соединения, существенно выросла потребность в средствах межсетевого экранирования с поддержкой QoS — что и было сделано, правда, с задержкой в пару лет. А когда IP-телефоны получили широкое распространение внутри локальных сетей, задача обеспечения конфиденциальности генерируемого ими трафика сразу же привела к "усилению связанности" VPN и необходимости использования инфраструктуры открытых ключей даже при незначительном количестве абонентов. Использование же продуктов класса softswitch, особенно распределенных, еще больше осложняет ситуацию.

Подтверждением проблем с масштабированием служит отсутствие массового предложения на рынке IP-телефонов с поддержкой шифрования. Дороговизна, трудности развертывания и эксплуатации систем защиты офисной IP-телефонии задерживают массовые инсталляции, несмотря на то, что соответствующие технологии шифрования VoIP-трафика прекрасно обкатаны как зарубежными, так и частью отечественных производителей на WAN-каналах. В то же время, если спросить сотрудника службы ИБ о потенциальных путях утечки конфиденциальной информации, — телефония будет названа в числе первых.

Российская специфика

Вернемся с высокотехнологичных небес на землю и поговорим о российской специфике.

Проблемы маштабируемости, как было показано выше, в первую очередь актуальны (и, следовательно, требуют затрат) для сетей, в которых необходимо обеспечивать конфиденциальность и целостность передаваемой информации. В соответствии с действующим законодательством для этих целей следует использовать средства шифрования, построенные на алгоритмах ГОСТ-Р (алгоритмы шифрования ГОСТ 28147-89, алгоритмы электронно-цифровой подписи ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001).

Подавляющее большинство платформ, реализующих этот механизм, сегодня представляют собой аппаратно-программные или чисто программные комплексы. Подобные решения не содержат специализированных микросхем, ускоряющих шифрование трафика в достаточной степени, чтобы закрыть одним устройством гигабитный канал, а в современных сетях уже не редкость каналы с производительностью 10 Гбит/с и более, такие, как CWDM/DWDM.

Следующая особенность отечественных реализаций криптографических средств — отсутствие единого набора стандартов на протоколы защищенного обмена данными, в отличие от всего остального мира, давно и повсеместно применяющего IKE/IPsec. Отсутствие же единых стандартов приводит к сложности, а иногда просто к невозможности интеграции систем безопасности сетей, использующих различные отечественные средства обеспечения ИБ.

Создается порочный круг — узость рынка нестандартизованных средств обеспечения ИБ и конкуренция со стороны ведущих мировых производителей, вооруженных едиными стандартами и предлагающих практически совместимые между собой продукты, не позволяют отечественным разработчикам вкладывать значительные ресурсы в повышение качества и совершенствование технологий. С другой стороны, не самое высокое качество и отсутствие единых стандартов еще больше сужают рынок, отталкивая потенциальных заказчиков. При этом такой кажущийся простым способ, как закрытие рынка и ужесточение контроля, не приведет к положительным результатам. За аналогией не надо ходить далеко — достаточно взглянуть на постоянно обсуждаемый отечественный автопром. Думаю, комментарии тут излишни.

Вернемся, однако, к тому, без чего обсуждаемые системы были бы просто не нужны — к непрерывности бизнеса. Любой процесс управления или производства представляет собой бизнес-процесс: управление крупной отраслевой корпорацией, работа чиновников на государственной службе или бессонная ночь за старенькой персоналкой бухгалтера маленького магазинчика на углу — это бизнес-процесс, который в современном обществе может и должен быть не только автоматизирован, но и обеспечен адекватным уровнем защиты.

Вот основные факторы, влияющие на непрерывность оказания услуг мультисервисной сети при внедрении в ней средств обеспечения информационной безопасности:

  • дополнительное время перехода на резервное устройство при отказе основного в случае изменения сетевой топологии;
  • необходимость в дополнительной системе управления средствами обеспечения ИБ и в обученном персонале;
  • трудность разделения трафика на "полезный" и "вредоносный" в одном потоке данных традиционными средствами, например, во время DDoS-атаки.

Для отечественных разработок, в дополнение к перечисленным, следует назвать меньшую по сравнению с сетевым оборудованием надежность отечественных средств обеспечения безопасности и проблемы с сервисным обслуживанием и технической поддержкой.

Как снизить риски

Несколько слов о том, какие меры позволяют снижать риски при росте и развитии сетей, использовании новых сетевых услуг.

"Кластеризация" классических средств обеспечения ИБ (межсетевых экранов,
средств IDS/IPS, VPN-концентраторов) для повышения производительности систем
защиты до уровня канальных скоростей. Кроме того, использование "кластерных"
решений позволяет повышать скорость переключения трафика на резервные устройства
и балансировать нагрузку. Как пример можно привести интеграционное решение компании
"Микротест", обеспечивающее шифрование по ГОСТу каналов до 3 Гбит/с с использованием
средств коммутации контента Cisco и VPN-шлюзов S-terra CSP.

Использование систем управления средствами ИБ с элементами эвристического
анализа и корреляции событий.

Использование средств защиты от атак типа DoS и DDoS для повышения устойчивости
бизнес-систем. Пример подобных средств — система Cisco Guard, способная отражать
атаки типа "отказ в обслуживании" (DoS), обнаруженные специализированными средствами
обнаружения вторжений, в качестве которых могут выступать Cisco Anomaly Traffic
Detector, Cisco IDS/IPS 42xx, Arbor Peakflow и т. д. Подобные средства защиты
отводят "загрязненный" атакой трафик и отделяют вредоносные пакеты от пакетов
с полезными данными. Эта технология позволяет важным ресурсам сохранить работоспособность
в ситуациях, когда классические средства обеспечения безопасности просто блокировали
бы трафик.

Комплексный подход к ИБ всей цепочки средств автоматизации бизнес-процесса.
Сочетание традиционных средств обеспечения безопасности на уровне сети с технологиями
персонификации защиты рабочих станций и серверов уменьшит число атак и, следовательно,
позволит обойтись менее производительными и более дешевыми межсетевыми экранами
и IPS, контролирующими наиболее критичные сегменты. Примером таких технологий
могут служить Cisco Security Agent (CSA), ISS RealSecure Server/Desktop Protection
и Network Admission Control. Вышеупомянутые средства обеспечивают защиту от
червей, вирусов и генерируемого ими вредоносного трафика, в частности, DDoS.
Как пример: CSA будет блокировать работу почтовых клиентов, пытающихся инсталлировать
ПО. Network Admission Control (NAC) обеспечивает проверку состояния ОС, средств
защиты и антивирусного ПО на ПК каждого пользователя. Если состояние средств
защиты на ПК не соответствует политике безопасности, то доступ к сети и информационным
ресурсам может быть ограничен или полностью запрещен, а возможные атаки со стороны
данного хоста предотвращены; снижается также нагрузка на сетевые IPS.

Своевременный аудит ИС и ИБ на основе утвержденных стандартов, что позволяет выявить узкие места в сети и модифицировать защиту. Примером четкого подхода к контролю уровня защищенности ИС может служить разработка Банком России стандарта СТО БР ИББС-1.0-2004 — документа, формализующего требования к "обеспечению эффективного и бесперебойного функционирования платежной системы Российской Федерации". Наличие подобного стандарта позволяет проводить аудит систем обеспечения ИБ банков на соответствие необходимому и достаточному уровню информационной безопасности, принятому для организаций банковской сферы России. Методология аудита на соответствие стандарту СТО БР ИББС-1.0-2004 учитывает особенности банковских систем, в частности, их ориентацию на собственников и клиентов.

Определенный оптимизм внушает тот факт, что сегодня уже существуют сертифицированные в России реализации технологии IKE/IPsec, которые обеспечивают:

  • аутентификацию, шифрование и целостность данных на уровне передаваемых IP-пакетов;
  • защиту от повторной передачи пакетов или сообщений (replay attack);
  • создание, автоматическое обновление и защищенное распространение криптографических ключей;
  • использование стойких криптографических алгоритмов шифрования, хеширования и электронно-цифровой подписи, включая российские ГОСТ 28147-89 (шифрование), ГОСТ Р 34.11-94 (хеширование), ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001 (электронная цифровая подпись).

Тем не менее крайне желательно в рамках отрасли добиться совместимости средств разных производителей на основе общего стека протоколов. В качестве такой объединяющей технологии логично было бы использовать IKE/IPsec (RFC 2401-2412, 2451), которая в настоящее время служит базой для построения систем безопасности сетевого уровня для протокола IP как версии 4 (IPv4), так и версии 6 (IPv6). Основная предпосылка к этому состоит в том, что технология IKE/IPsec реализована большинством крупнейших производителей (Cisco Systems, Check Point, IBM, Microsoft, Nortel).

Вам также могут понравиться