1. Введение

За последние несколько лет возможности вычислительных систем в области обработки и передачи информации резко увеличились. Подобный скачок произошел главным образом не в силу совершенствования элементной базы компьютеров, и не в силу внедрения новых технологий и стандартов в области программирования, СУБД и операционных сред. Главным образом это произошло из-за бурного развития телекоммуникаций, появления отрытых систем и появления международных стандартов в области информационных технологий. Не последнюю роль сыграли массовость и доступность вычислительных средств. Подобное положение привело к объединению большого количества компьютерных систем разного назначения и разной мощности в крупные вычислительные сети, которые, в свою очередь, соединены между собой и образуют единую глобальную сеть Internet. Кроме того, активно используется возможность подключения отдельных компьютеров и малых вычислительных сетей к Internet через коммутируемые линии, используемые для телефонной связи.

Сегодня Internet - это объединение такого большого и постоянно растущего числа компьютеров и пользователей, которое даже трудно оценить. Трудно найти и область сферы жизнедеятельности человечества, которую бы не захватывала сеть Internet. Internet - это также огромное хранилище самой разнообразной информации - настолько огромное, что существуют оценки по которым половина знаний всего человечества окажется в электронном виде в Internet в ближайшие пять-десять лет.

Но у сети Internet есть и свои недостатки. Самый серьезный недостаток - это низкий уровень защиты информационных и вычислительных ресурсов от несанкционированного доступа (НСД) к ним. А, ведь, в Сети хранится огромное количество конфиденциальной информации и информации, представляющей коммерческий интерес. С помощью НСД можно не только получить конфиденциальную информацию, исказить ее или сделать ее недоступной для ее легальных пользователей, но еще и вывести из строя целые компьютерные системы или дезорганизовать работу крупной сети. Стоит отметить, что подобные попытки злоумышленников НСД зачастую удачны, а их общее количество неукоснительно растет. Пренебрегать такой угрозой просто недопустимо!

В связи с существованием такой угрозы были созданы международные и национальные организации, комиссии и исследовательские группы по вопросам безопасности (CERT, NCSA, NASIRC, ASSIST и др., из отечественных - ГосТехКомиссия при президенте РФ). Сформировался новый раздел в области информационных технологий - информационная безопасность. Появилось большое количество публикаций и изданий (в т.ч. периодических) различного характера, посвященных вопросам информационной безопасности. Появилось также множество коммерческих компаний, предлагающих те или иные программно-аппаратные решения для усиления защиты от НСД (в том числе от НСД из Сети). Между тем, всеми признанных общих стандартов, технологий и подходов в данной области пока еще нет.

Одним из подходов к обеспечению информационной безопасности в Сети является технология экранирования сетей различного назначения. При его правильном применении он позволяет экранировать (делать недоступными) часть ресурсов данной сети для внешних сетей, подключенных к данной (для всей сети Internet, общем случае), оставляя при этом доступ к ресурсам внешних сетей из данной полностью свободным. Экранирование достигается путем установки специальных программно-аппаратных устройств - межсетевых экранов (Firewall) в местах подключения данной сети к другим сетям. Этот подход к обеспечению безопасности является очень гибким, достаточно эффективным и надежным, относительно недорогим и простым с точки зрения использования. Действительно, гибкость достигается путем возможности применения большого числа вариантов правил разграничения доступа (ПРД), наиболее адекватно отражающих требования организации-владельца данной сети к ее потребностям в сфере информационной безопасности, относительные простота применения и дешевизна получаются из-за концентрации всех механизмов информационной безопасности в одном месте - месте подключения к сети Internet. Уровень надежности определяется возможностью НСД к самому межсетевому экрану (МЭ), а поскольку конструктивно МЭ представляет собой автономный модуль и в некоторых случаях не имеет сетевого адреса (т.е. невидимый в сетевом окружении), то теоретически надежность МЭ может быть достаточно высокой. Эффективность защиты с использованием МЭ следует из предположения, что источником большинства угроз НСД является злоумышленник, находящийся в Internet, т.е. в сети, являющейся внешней по отношению к защищаемой. Следовательно, уровень защиты всей локальной сети (Intranet) будет определяться (в основном) возможностями конкретного МЭ по фильтрации информации, проходящей через него.

Но это только теория, на практике на сегодняшний день существует десяток крупных компаний, производящих по несколько видов МЭ каждая. И степень надежности и эффективности у каждого МЭ разная. А, так как, из-за новизны технологии защиты с использованием МЭ в этой области отсутствуют какие-либо стандарты, то и критерии оценки степени надежности и эффективности у каждого МЭ может быть свои. При таких условия реальный покупатель, желающий защитить свою сеть с помощью МЭ, будет вынужден осуществлять свой выбор на основе цены и производительности МЭ, на основе репутации производителя МЭ, на основе собственных субъективных признаков. А какая будет достигнута реальная защищенность сети при установке такого МЭ. В подобных условиях ответить на данный вопрос можно только с помощью тестовых испытаний. С другой стороны, альтернативой могла бы стать сертификация межсетевых экранов.

Целью данной дипломной работы является комплексное исследование проблемы сертификационного тестирования МЭ, т.е. анализ требований к информационной безопасности в контексте использования МЭ, анализ требований к МЭ, исследование критериев, подходов и методов тестирования и сертификации МЭ, и, наконец, проектирование и разработка инструментального программного средства, автоматизирующего процесс сертификационного тестирования МЭ.

Прежде всего, необходимо отметить новизну работы и самой технологии в целом технологии: если сама технология МЭ появилась сравнительно недавно то, область сертификационного тестирования МЭ вообще еще не сформировалась, хотя и очень актуальна! Сейчас существует лишь несколько подходов к сертификационному тестированию МЭ, которые основаны на личном опыте людей, занимающихся разработкой МЭ. Как же сейчас тестируют МЭ? Существуют отдельные крупные организации (CERT, NCSA и др.), которые располагают своими специалистами, занимающиеся тестированием по своим собственным методологиям, которые являются коммерческой тайной. Они также располагают собственными инструментами тестирования, которые тоже тщательно оберегают. Есть и свободно распространяемые средства автоматического тестирования, такие как Internet Security Scanner и System Administrator Tool for Analyzing Network (SATAN), предназначенные для тестирования конкретных вычислительных систем (т.е. не для сертификационного тестирования МЭ) путем осуществления попыток проникновения. Дальше всего в этой области продвинулась NCSA, которая выдает сертификат того, что данный продукт успешно прошел тестирование. Это дает (?) некоторую гарантию надежности продукта. Но стоит это довольно дорого. Большинство же МЭ, которые реально установлены и работают в различных организациях, не прошли никакого тестирования или тестирование производилось без какой-либо обоснованной методологии, и было проверено только то, что было известно как проверить. Помимо всего прочего существуют организации (например, CERT), которые накапливают базу данных о существующих уязвимых местах различных систем и о возможных/существующих угрозах для них, а также о методах реализации данных угроз злоумышленниками. Эти организации располагают основой как для проектирования МЭ, так и для построения инструментов и методологи для их сертификационного тестирования.

Центральным в данной дипломной работе является понятие сертификации и сертификационного тестирования. По определению сертификация средств защиты информации по требованиям безопасности - это деятельность по подтверждению их соответствия требованиям государственных и/или международных стандартов или иных нормативных документов по защите информации. Сертификационное тестирование - это метод, применяемый при сертификации и позволяющий с заданной степенью гарантии ответить на вопрос о соответствии сертифицируемого изделия предъявляемых к нему требований либо указать на требование, которому изделие не удовлетворяет. По окончании процесса сертификации тестовой организацией может выдаваться сертификат (в случае положительных результатов тестирования) установленного образца стороне, в целях которой проводилась сертификация. Для МЭ сертификат фактически описывает максимальный уровень защищенности, который может быть достигнут при использовании данного аппаратно-программного продукта. К каждому сертификату обязательно должен прилагаться документ, описывающий требования к политике безопасности, при которой может быть достигнут уровень защищенности, соответствующий сертификату.

Но каким образом проводится сертификационное тестирование МЭ? На основе каких тестов? Насколько тестовый набор полон и адекватен проверяемым критериям безопасности? В данной дипломной работе будут проводиться исследования в области сертификации МЭ, которые и позволят обоснованно ответить на поставленные выше вопросы.

Прежде всего, в данной работе необходимо рассмотреть математические модели, связанные с обеспечением сетевой информационной безопасности и МЭ. Эти модели во многом помогут при выборе того или иного решения по проведению сертификационного тестирования. Кроме того, без этих моделей невозможно будет обоснование применяемых решений.

Первой используемой базовой моделью является семиуровневая модель информационного взаимодействия открытых систем (OSI). В ней вводятся и связываются вместе такие понятия как открытая система уровень взаимодействия (сетевой, транспортный, прикладной и др.), протокол, стек протоколов, интерфейс и предоставляемый сервис. В данной дипломной работе будет использоваться только стек протоколов TCP/IP, поскольку только он используется в сети Internet при межсетевом взаимодействии. Относительно определения открытости системы следует отметить, что оно не противоречит концепции защиты с помощью МЭ: "Открытая система - это система, которая способна взаимодействовать с другой системой посредством реализации международных стандартных протоколов. Открытыми системами являются как конечные, так и промежуточные системы. Однако, открытая система не обязательно может быть доступна другим открытым системам. Эта изоляция может быть обеспечена или путем физического отделения или путем использования технических возможностей, основанных на защите информации в компьютерах и средствах коммуникаций."

Вторая используемая модель - это модель информационной безопасности. В ней вводят определения защищаемого информационного ресурса, уязвимого места, угрозы информационной безопасности, риска, средства защиты, остаточного риска. Применимо к информационным сетям и МЭ защищаемым ресурсом является сеть организации, а средством защиты от сетевых угроз - МЭ, что и отражено в другой модели - модели безопасности доступа к сетевым ресурсам. Эти две модели, а так же модель управления информационной безопасностью были детально исследованы и описаны в предыдущих работах автора в области защиты информации, и в данной работе подробно рассматриваться не будут (за исключением аспектов, непосредственно связанных с МЭ).

Третья используемая модель - модель (или модели) функционирования типового МЭ. Она представляет собой детализацию предыдущей модели, и описывает принципы фильтрации на различных уровнях сетевого взаимодействия и преобразования трафика, проходящего через МЭ. Необходимость существования множественного числа моделей функционирования МЭ объясняется существенными различиями в возможных конфигурациях МЭ (пакетный фильтр на основе маршрутизатора, прикладной посредник с двумя сетевыми интерфейсами, экранированный посредник, экранированная подсеть).

И, наконец, последняя используемая модель - это модель процесса сертификационного тестирования. Данная модель отражает суть предлагаемой автором оригинальной методики сертификационного тестирования МЭ. На основе данной модели предполагается спроектировать и реализовать программный инструмент, автоматизирующий процесс сертификационного тестирования МЭ.

Следует отметить, что кроме варианта сертификационного тестирования МЭ как "черного ящика", существует также метод тестирования путем анализа исходного текста и/или принципиальных электрических схем МЭ. Данный метод позволяет проверить степень соответствия МЭ требованиям с любой заданной точностью, вплоть до абсолютной. Но этот метод требует очень много людских и временных ресурсов, практически не поддается автоматизации и, вследствие чего, является очень дорогостоящим. К тому же, при его использовании очень высока вероятность ошибки. На практике он обычно применяется только для доказательства отсутствия "закладок" или "люков" в системе, то есть недокументированных возможностей МЭ, снижающих неявным образом его эффективность и надежность. Данный подход выходит за рамки данной дипломной работы и не будет в дальнейшем рассматриваться.

Практической задачей, решаемой в данной дипломной работе, является задача проектирования и реализации программного инструментального средства для автоматизации процесса сертификационного тестирования МЭ. Данный инструмент будет автоматизировать оригинальную методику сертификационного тестирования МЭ, которая будет разработана на основе предлагаемой архитектуры и модели процесса тестирования. Этот инструмент является специальной программой, моделирующей активности во внутренней и внешней сетях одновременно, реализующей сетевые атаки как на сам МЭ, так и на моделируемые смежные сети, фиксирующей и анализирующей по определенному алгоритму внешнее поведение МЭ, на основе чего составляется отчет о надежности и уровне защиты сертифицируемого МЭ. Предполагается реализация данного инструментального средства на языке C под операционную систему Linux RedHat v5.2. После реализации инструмента предполагается его (и предлагаемой методики) апробация в лабораторных условиях на доступных МЭ, имеющихся в свободном распространении.

Данная дипломная работа состоит из трех частей:

Итак, в данной дипломной работе обязательно должны быть решены следующие задачи:

  1. Рассмотрена модель информационной безопасности в контексте применения ее для систем защиты локальных сетей на основе МЭ;
  2. Выполнен анализ и классификация сетевых ресурсов с учетом особенностей применения МЭ;
  3. Проведен анализ основных типов уязвимых мест МЭ и рассмотрены все наиболее характерные и часто встречающиеся угрозы сетевой безопасности (атаки);
  4. Рассмотрена и проанализирована технология МЭ, т.е. принципы и модель функционирования, типовая структура МЭ, основные компоненты, достоинства и недостатки МЭ;
  5. Исследованы существующие подходы и методы тестирования МЭ, существующие инструменты для тестирования, методы составления тестов по критериям;
  6. Рассмотрена классификация наиболее распространенных типов ошибок в реализации МЭ;
  7. Исследованы и возможно дополнены (путем анализа сетевых угроз) существующие критерии сертификации МЭ;
  8. Разработана и обоснована методика сертификационного тестирования МЭ;
  9. На основе методики спроектирован и реализован программный инструментарий для автоматизации процесса сертификационного тестирования МЭ.

Конечно, невозможно создать универсальный тест для МЭ, который будет гарантировать надежность продукта. Это невозможно и в силу свойств модели тестирования (т.е. невозможность перебора всех значений входных параметров для всех состояний исследуемого реального объекта), и из-за постоянного обнаружения новых уязвимых мест в вычислительных сетях и появления новых угроз, с ними связанных. Также возможности и средства Internet растут с каждым днем, предоставляя, как и большее число средств защиты, так и большее число ошибок и дыр в безопасности. Более того, производители МЭ борются за стандарт критерия сертификации МЭ так, чтобы их продукт проходил эту сертификацию. Скорее всего, несколько организаций и в будущем будут заниматься сертификацией МЭ. По одному ли критерию они будут сертифицировать МЭ? Скорее всего, да, если он будет разработан и принят для всех производителей МЭ. Но эти организации будут использовать свои методологии и подходы к тестированию. Вопрос в том, какая методология будет наиболее эффективной, то есть будет наиболее полной при невысокой ресурсоемкости и относительной простоте и "прозрачности". И самое главное, что методология не будет сильно зависеть от опыта человека, проводящего тестирование.

Существует также и следующая проблема. Многие требования "Оранжевой и Красной книг" уже устарели, не уделяется должного внимания некоторым важным в настоящее время аспектам защиты систем, и объясняется это тем, что соответствующие атаки на защищенные системы были изобретены уже после их написания. Дело даже не столько в том, что стандарты по информационной безопасности уже во многом устарели, а в том, что невозможно построить эффективную и надежную защиту вычислительных систем, основываясь только на руководящих документах, - ведь злоумышленника не интересует, каким стандартам удовлетворяет конфигурация подсистемы защиты компьютера или сети, для него важно только то, сможет ли он обойти эту защиту или нет. А защитить систему от НСД и добиться соответствия конфигурации системы некоторому стандарту - это совсем разные вещи. Очевидно, что к защите разных вычислительных систем предъявляются разные требования. Защитить автоматизированную банковскую систему - это совсем не то же самое, что защитить Web-сервер. Но большинство подобных стандартов никак не учитывают особенности конкретных систем. Кроме того, ни один документ не может охватить все ситуации, которые могут возникнуть в процессе функционирования компьютерной системы. Ни в "Красной книге", ни в документах ГосТехКомиссии РФ нет ни слова про SYN flood, а ведь это - один из опаснейших типов атак для сервера. Злоумышленники изобретают новые атаки практически каждый день, а новые стандарты информационной защиты появляются гораздо реже. Впрочем, из сказанного не следует вывод, что стандарты информационной безопасности не нужны.

Существуют проблемы и практического характера, связанные с построением инструмента для автоматизации сертификационного тестирования МЭ. Во-первых, существует масса требований, которые нельзя или очень сложно проверить в автоматическом режиме (например, полноту и качество документации). Во-вторых, так как МЭ могут представлять собой устройства аппаратного, либо программного, либо смешанного программно-аппаратного типов, то тестовый инструмент должен (по возможности) иметь интерфейсы к МЭ практически на всех уровнях от физического до прикладного (в терминах модели OSI). И, в-третьих, это проблема гибкости инструмента, связанная с расширяемостью и адаптацией инструмента при появлении новых типов МЭ, критериев безопасности и сетевых угроз.

В общем, ожидаемым комплексным результатом данной дипломной работы должны стать общий анализ проблемы сертификационного тестирования МЭ, разработка оригинальной методики сертификационного тестирования и реализация инструментального программного средства для автоматизации процесса сертификационного тестирования. Важность и актуальность проводимой работы позволяет надеяться автору на ее практическое применение в области новейших информационных технологий.