Московский Государственный Университет им. Ломоносова
Факультет Вычислительной Математики и Кибернетики
Кафедра Автоматизации Систем Вычислительных Комплексов



Введение в дипломную работу "Сертификационное Тестирование Межсетевых Экранов"




За последние несколько лет возможности вычислительных систем в области обработки и передачи информации резко увеличились. Подобный скачок произошел главным образом не в силу совершенствования элементной базы компьютеров, и не в силу внедрения новых технологий и стандартов в области программирования, СУБД и операционных сред. Главным образом это произошло из-за бурного развития телекоммуникаций, появления отрытых систем и появления международных стандартов в области информационных технологий. Не последнюю роль сыграли массовость и доступность вычислительных средств. Подобное положение привело к объединению большого количества компьютерных систем разного назначения и разной мощности в крупные вычислительные сети, которые, в свою очередь, соединены между собой и образуют единую глобальную сеть Internet. Кроме того, активно используется возможность подключения отдельных компьютеров и малых вычислительных сетей к Internet через коммутируемые линии, используемые для телефонной связи.

Сегодня Internet - это объединение такого большого и постоянно растущего числа компьютеров и пользователей, которое даже трудно оценить. Трудно найти и область сферы жизнедеятельности человечества, которую бы не захватывала сеть Internet. Internet - это также огромное хранилище самой разнообразной информации - настолько огромное, что существуют оценки по которым половина знаний всего человечества окажется в электронном виде в Internet в ближайшие пять-десять лет.

Но у сети Internet есть и свои недостатки. Самый серьезный недостаток - это низкий уровень защиты информационных и вычислительных ресурсов от несанкционированного доступа (НСД) к ним. А, ведь, в Сети хранится огромное количество конфиденциальной информации и информации, представляющей коммерческий интерес. С помощью НСД можно не только получить конфиденциальную информацию, исказить ее или сделать ее недоступной для ее легальных пользователей, но еще и вывести из строя целые компьютерные системы или дезорганизовать работу крупной сети. Стоит отметить, что подобные попытки злоумышленников НСД зачастую удачны, а их общее количество неукоснительно растет. Пренебрегать такой угрозой просто недопустимо!

В связи с существованием такой угрозы были созданы международные и национальные организации, комиссии и исследовательские группы по вопросам безопасности (CERT, NCSA, NASIRC, ASSIST и др., из отечественных - ГосТехКомиссия при президенте РФ). Сформировался новый раздел в области информационных технологий - информационная безопасность. Появилось большое количество публикаций и изданий (в т.ч. периодических) различного характера, посвященных вопросам информационной безопасности. Появилось также множество коммерческих компаний, предлагающих те или иные программно-аппаратные решения для усиления защиты от НСД (в том числе от НСД из Сети). Между тем, всеми признанных общих стандартов, технологий и подходов в данной области пока еще нет.

Одним из подходов к обеспечению информационной безопасности в Сети является технология экранирования сетей различного назначения. При его правильном применении он позволяет экранировать (делать недоступными) часть ресурсов данной сети для внешних сетей, подключенных к данной (для всей сети Internet, общем случае), оставляя при этом доступ к ресурсам внешних сетей из данной полностью свободным. Экранирование достигается путем установки специальных программно-аппаратных устройств - межсетевых экранов (Firewall) в местах подключения данной сети к другим сетям. Этот подход к обеспечению безопасности является очень гибким, достаточно эффективным и надежным, относительно недорогим и простым с точки зрения использования. Действительно, гибкость достигается путем возможности применения большого числа вариантов правил разграничения доступа (ПРД), наиболее адекватно отражающих требования организации-владельца данной сети к ее потребностям в сфере информационной безопасности, относительные простота применения и дешевизна получаются из-за концентрации всех механизмов информационной безопасности в одном месте - месте подключения к сети Internet. Уровень надежности определяется возможностью НСД к самому межсетевому экрану (МЭ), а поскольку конструктивно МЭ представляет собой автономный модуль и в некоторых случаях не имеет сетевого адреса (т.е. невидимый в сетевом окружении), то теоретически надежность МЭ может быть достаточно высокой. Эффективность защиты с использованием МЭ следует из предположения, что источником большинства угроз НСД является злоумышленник, находящийся в Internet, т.е. в сети, являющейся внешней по отношению к защищаемой. Следовательно, уровень защиты всей локальной сети (Intranet) будет определяться (в основном) возможностями конкретного МЭ по фильтрации информации, проходящей через него.

Но это только теория, на практике на сегодняшний день существует десяток крупных компаний, производящих по несколько видов МЭ каждая. И степень надежности и эффективности у каждого МЭ разная. А, так как, из-за новизны технологии защиты с использованием МЭ в этой области отсутствуют какие-либо стандарты, то и критерии оценки степени надежности и эффективности у каждого МЭ может быть свои. При таких условия реальный покупатель, желающий защитить свою сеть с помощью МЭ, будет вынужден осуществлять свой выбор на основе цены и производительности МЭ, на основе репутации производителя МЭ, на основе собственных субъективных признаков. А какая будет достигнута реальная защищенность сети при установке такого МЭ. В подобных условиях ответить на данный вопрос можно только с помощью тестовых испытаний. С другой стороны, альтернативой могла бы стать сертификация межсетевых экранов.

Целью данной дипломной работы является анализ требований к МЭ, исследование критериев и методов сертификации, и разработка тестового набора для сертификации МЭ.

Прежде всего, необходимо отметить новизну работы и самой технологии в целом технологии: если сама технология МЭ появилась сравнительно недавно то, область сертификационного тестирования МЭ вообще еще не сформировалась. Сейчас существует лишь несколько подходов к сертификационному тестированию МЭ, которые основаны на личном опыте людей, занимающихся разработкой МЭ. Как же сейчас тестируют МЭ? Существуют отдельные крупные организации (CERT, NCSA и др.), которые располагают своими специалистами, занимающиеся тестированием по своим собственным методологиям, которые являются коммерческой тайной. Они также располагают собственными инструментами тестирования, которые тоже тщательно оберегают. Есть и свободно распространяемые средства автоматического тестирования, такие как Internet Security Scanner и System Administrator Tool for Analyzing Network, предназначенные для тестирования конкретных вычислительных систем (т.е. не для сертификационного тестирования МЭ) путем осуществления попыток проникновения. Дальше всего в этой области продвинулась NSCA, которая выдает сертификат того, что данный продукт успешно прошел тестирование. Это дает (?) некоторую гарантию надежности продукта. Но стоит это довольно дорого. Большинство же МЭ, которые реально установлены и работают в различных организациях, не прошли никакого тестирования или тестирование производилось без какой-либо обоснованной методологии, и было проверено только то, что было известно как проверить. Помимо всего прочего существуют организации (например, CERT), которые накапливают базу данных о существующих уязвимых местах различных систем и о возможных/существующих угрозах для них, а также о методах реализации данных угроз злоумышленниками. Эти организации располагают основой как для проектирования МЭ, так и для построения инструментов и методологи для их сертификационного тестирования.

Центральным в данной дипломной работе является понятие сертификации и сертификационного тестирования. По определению сертификация средств защиты информации по требованиям безопасности - это деятельность по подтверждению их соответствия требованиям государственных и/или международных стандартов или иных нормативных документов по защите информации. Сертификационное тестирование - это метод, применяемый при сертификации и позволяющий с заданной степенью гарантии ответить на вопрос о соответствии сертифицируемого изделия предъявляемых к нему требований либо указать на требование, которому изделие не удовлетворяет. По окончании процесса сертификации тестовой организацией может выдаваться сертификат (в случае положительных результатов тестирования) установленного образца стороне, в целях которой проводилась сертификация. Для МЭ сертификат фактически описывает максимальный уровень защищенности, который может быть достигнут при использовании данного аппаратно-программного продукта. К каждому сертификату обязательно должен прилагаться документ, описывающий требования к политике безопасности, при которой может быть достигнут уровень защищенности, соответствующий сертификату.

Но каким образом проводится сертификационное тестирование МЭ? На основе каких тестов? Насколько тестовый набор полон и адекватен проверяемым критериям безопасности? В данной дипломной работе будут проводиться исследования в области сертификации МЭ, которые и позволят обоснованно ответить на поставленные выше вопросы.

Прежде всего, в данной работе необходимо рассмотреть математические модели, связанные с обеспечением сетевой информационной безопасности и МЭ. Эти модели во многом помогут при выборе того или иного решения по проведению сертификационного тестирования. Кроме того, без этих моделей невозможно будет обоснование применяемых решений.

Первой используемой базовой моделью является семиуровневая модель информационного взаимодействия открытых систем (OSI). В ней вводятся и связываются вместе такие понятия как открытая система уровень взаимодействия (сетевой, транспортный, прикладной и др.), протокол, стек протоколов, интерфейс и предоставляемый сервис. В данной дипломной работе будет использоваться только стек протоколов TCP/IP, поскольку только он используется в сети Internet при межсетевом взаимодействии. Относительно определения открытости системы следует отметить, что оно не противоречит концепции защиты с помощью МЭ: "Открытая система - это система, которая способна взаимодействовать с другой системой посредством реализации международных стандартных протоколов. Открытыми системами являются как конечные, так и промежуточные системы. Однако, открытая система не обязательно может быть доступна другим открытым системам. Эта изоляция может быть обеспечена или путем физического отделения или путем использования технических возможностей, основанных на защите информации в компьютерах и средствах коммуникаций."

Вторая используемая модель - это модель информационной безопасности. В ней вводят определения защищаемого информационного ресурса, уязвимого места, угрозы информационной безопасности, риска, средства защиты, остаточного риска. Применимо к информационным сетям и МЭ защищаемым ресурсом является сеть организации, а средством защиты от сетевых угроз - МЭ. Данная модель, а так же модель управления информационной безопасностью были детально исследованы и описаны в предыдущих работах автора в области защиты информации, и в данной работе подробно рассматриваться не будут (за исключением аспектов, непосредственно связанных с МЭ).

Третья используемая модель - модель (или модели) функционирования типового МЭ. Она представляет собой детализацию предыдущей модели, и описывает принципы фильтрации и преобразования трафика, проходящего через МЭ. Необходимость существования множественного числа моделей функционирования МЭ объясняется существенными различиями в возможных конфигурациях МЭ (пакетный фильтр на основе маршрутизатора, прикладной шлюз с двумя сетевыми интерфейсами, экранированный шлюз, экранированная подсеть).

Следующая используемая модель - модель сетевой угрозы или атаки. В ней будут рассматриваться все известные на сегодня виды атак и их последствия. На основе этой и предыдущей модели главным образом и будут строиться тестовый набор для сертификации МЭ.

Наконец, последней моделью является модель стенда для сертификационного тестирования МЭ путем "проникновения". Этой моделью также будет описываться инструментарий для автоматизации процесса тестирования МЭ.

Следует отметить, что кроме варианта сертификационного тестирования МЭ как "черного ящика", существует также метод тестирования путем анализа исходного текста и/или принципиальных электрических схем МЭ. Данный метод позволяет проверить степень соответствия МЭ требованиям с любой заданной точностью, вплоть до абсолютной. Но этот метод требует очень много людских и временных ресурсов, практически не поддается автоматизации и, вследствие чего, является очень дорогостоящим. К тому же, при его использовании очень высока вероятность ошибки. На практике он обычно применяется только для доказательства отсутствия "закладок" или "люков" в системе, то есть недокументированных возможностей МЭ, снижающих неявным образом его эффективность и надежность. Данный подход выходит за рамки данной дипломной работы и не будет в дальнейшем рассматриваться.

Практической задачей, решаемой в данной дипломной работе, является задача проектирования и реализации стенда, наиболее адекватно подходящего для проведения сертификационного тестирования МЭ. Он должен полностью соответствовать модели сетевого тестирования и быть достаточно компактным. Наилучшим по критерию эффективность/стоимость автору представляется решение об использовании двух персональных компьютеров (класса не ниже IBM PC/486) с встроенной сетевой картой и установленным программным обеспечением, моделирующим активности во внутренней и внешней сетях, соответственно. Сам МЭ в такой схеме должен включаться между этими компьютерами. Если же МЭ - это программный продукт, то аппаратной платформой для него во время тестирования будет служить персональный компьютер аналогичного класса, но только с двумя сетевыми картами (для моделирования двух различных сетей). В рамках дипломной работы такой стенд предполагается сконструировать на базе компьютеров, размещенных в сетевой лаборатории кафедры, и использовать в исследовательских и учебных целях как для данной работы, так и для других работ, связанных с информационной безопасностью. Следует отметить, что автор предполагает провести сертификационное тестирование на данной программно-аппаратной базе нескольких МЭ, имеющихся в свободном распространении.

Итак, в данной дипломной работе обязательно должны быть решены следующие задачи:

  1. Рассмотрены модель сетевого многоуровневого информационного взаимодействия (модель OSI), модель информационной безопасности и модель системы управления информационной безопасностью (модель СУБ ИТ) в контексте применения их для систем защиты сети на основе МЭ;
  2. Проанализированы (или разработаны) модели функционирования МЭ всех основных типов, а также модели известных сетевых угроз с целью их дальнейшего применения как для добавления новых необходимых критериев сертификации МЭ, так и для разработки тестового набора для сертификации исходя из критериев;
  3. Проанализированы существующие в стандартах критерии сертификации МЭ и выработаны дополнительные критерии путем анализа моделей сетевых угроз;
  4. На основе рассмотренных моделей выведен исчерпывающий набор тестов для сертификации МЭ;
  5. Разработана и обоснована модель стенда для сертификационного тестирования путем проникновения;
  6. Разработан инструментарий для автоматизации процесса сертификации МЭ при использовании модели тестирования путем проникновения;
  7. На имеющейся в лаборатории аппаратной базе собран стенд и проверены несколько программных МЭ, имеющихся в свободном распространении, в целях практического апробирования разработанной методологии и подходов к сертификационному тестированию МЭ.

Конечно, невозможно создать универсальный тест для МЭ, который будет гарантировать надежность продукта. Это невозможно и в силу свойств модели тестирования (т.е. невозможность перебора всех значений входных параметров для всех состояний исследуемого реального объекта), и из-за постоянного обнаружения новых уязвимых мест в вычислительных сетях и появления новых угроз, с ними связанных. Также возможности и средства Internet растут с каждым днем, предоставляя как и большее число средств защиты, так и большее число ошибок и дыр в безопасности. Более того, производители МЭ борются за стандарт критерия сертификации МЭ так, чтобы их продукт проходил эту сертификацию. Скорее всего, несколько организаций и в будущем будут заниматься сертификацией МЭ. По одному ли критерию они будут сертифицировать МЭ? Скорее всего, да, если он будет разработан и принят для всех производителей МЭ. Но эти организации будут использовать свои методологии и подходы к тестированию. Вопрос в том, какая методология будет наиболее эффективной, то есть будет наиболее полной при невысокой ресурсоемкости и относительной простоте и "прозрачности". И самое главное, что методология не будет сильно зависеть от опыта человека, проводящего тестирование.

Существует также и следующая проблема. Многие требования "Оранжевой и Красной книг" уже устарели, не уделяется должного внимания некоторым важным в настоящее время аспектам защиты систем, и объясняется это тем, что соответствующие атаки на защищенные системы были изобретены уже после их написания. Дело даже не столько в том, что стандарты по информационной безопасности уже во многом устарели, а в том, что невозможно построить эффективную и надежную защиту вычислительных систем, основываясь только на руководящих документах, - ведь злоумышленника не интересует, каким стандартам удовлетворяет конфигурация подсистемы защиты компьютера или сети, для него важно только то, сможет ли он обойти эту защиту или нет. А защитить систему от НСД и добиться соответствия конфигурации системы некоторому стандарту - это совсем разные вещи. Очевидно, что к защите разных вычислительных систем предъявляются разные требования. Защитить автоматизированную банковскую систему - это совсем не то же самое, что защитить Web-сервер. Но большинство подобных стандартов никак не учитывают особенности конкретных систем. Кроме того, ни один документ не может охватить все ситуации, которые могут возникнуть в процессе функционирования компьютерной системы. Ни в "Красной книге", ни в документах ГосТехКомиссии РФ нет ни слова про SYN flood, а ведь это - один из опаснейших типов атак для сервера. Злоумышленники изобретают новые атаки практически каждый день, а новые стандарты информационной защиты появляются гораздо реже. Впрочем, из сказанного не следует вывод, что стандарты информационной безопасности не нужны.

Существуют проблемы и практического характера, связанные с построением инструмента для автоматизации сертификационного тестирования МЭ. Во-первых, существует масса требований, которые нельзя или очень сложно проверить в автоматическом режиме (например, полноту и качество документации). Во-вторых, так как МЭ могут представлять собой устройства аппаратного, либо программного, либо смешанного программно-аппаратного типов, то тестовый инструмент должен (по возможности) иметь интерфейсы к МЭ практически на всех уровнях от физического до прикладного (в терминах модели OSI). И, в-третьих, это проблема гибкости инструмента, связанная с расширяемостью и адаптацией инструмента при появлении новых типов МЭ, критериев безопасности и сетевых угроз.

В общем, ожидаемым комплексным результатом данной дипломной работы должны стать тестовый набор правил и инструментальное средство для автоматизации сертификации межсетевых экранов. Важность и актуальность проводимой работы позволяет надеяться автору на ее практическое применение в области новейших информационных технологий.

Литература

  1. Сухомлин В.А. "Методологический базис открытых систем" - Открытые системы, #4, 1996г.
  2. Галатенко В.А. "Информационная безопасность" - Открытые системы, ##4-6, 1995г., ##1-4, 1996г.
  3. Галатенко В.А. "Защитные средства Intranet" - LAN Magazine/Русское издание, #8, 1996.
  4. Грушо А.А., Тимонина Е.Е. "Теоретические основы защиты информации" - издательство "Яхтсмен", Москва 1996г.
  5. "Теория и практика обеспечения информационной безопасности." под редакцией П.Д. Зегжды - издательство "Яхтсмен", Москва 1996г.
  6. Азаркин А.В., Фоменков Г.В. "Средства обеспечения защищенности информационных систем." - Защита информации. Конфидент, #1, 1998г.
  7. Ёрхов Е.В., Фоменков Г.В. "Средства обеспечения защищенности информационных систем. Часть 2. Средства анализа информационных потоков." - Защита информации. Конфидент, #3, 1998г.
  8. Линде С. "Несанкционированный доступ - примеры вторжения" - Отрытые системы, #1, 1996г.
  9. Проскурин В.Г. "Некоторые мифы компьютерной безопасности" - Банковские технологии, #8, 1998г.
  10. Димари К., Хендерсон Т., Роббинс М. "Оборона лагеря IP" - LAN Magazine/Русское издание, #1, 1997.
  11. Bellovin, Steve "Security problems in the TCP/IP protocol suite" - Computer Communication Review, #19, 1989.
  12. Clark Weissman "Penetration Testing."
  13. Reto E. Haeni "Firewall Penetration Testing" - The George Washington University, 1997.
  14. David Newman, Brent Melson "Can Firewalls Take the Heat?" - Nov., 1995.
  15. Marcus J. Ranum "On the topic on Firewall Testing"
  16. Aurobino Sudaram "An Introduction to Intrusion Detection"
  17. W. Timothy Polk "Automated Tools for Testing Computer System Vulnerability" - NIST Special Publication, 800-6, December 1992.

Нормативно-методологические документы

  1. Руководящий документ ГосТехКомиссии России "Защита от несанкционированного доступа к информации. Термины и определения."
  2. Руководящий документ ГосТехКомиссии России "Средства вычислительной техники. Межсетевые экраны. Показатели защищенности от несанкционированного доступа."
  3. ISO/IEC 7498-2-89 - "Информационные технологии. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура информационной безопасности."
  4. ISO/IEC DTR #13335-1,2,3 - "Информационные технологии. Руководство по управлению безопасностью информационных технологий."
  5. "Firewall Policy Guide" - NSCA, 1997.
  6. "Trusted Computer System Evaluation Criteria" ("The Orange Book") - DoD 5200.28-STD, CSC-STD-001-83.
  7. "Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria" ("The Red Book") - NCSC, 1987.