Архитектурные вопросы

построения безопасных компьютерных сетей

Обзор стандартов и рекомендаций

International Standard Organization (ISO) и Internet Architecture Board (IAB)

Демченко Ю.В.

Киевский политехнический институт

demch@cad.ntu-kpi.kiev.ua

http://cad.ntu-kpih.kiev.ua/~demch/

tel.: +380 (44) 441-9030

Данный цикл статей предполагает рассмотрение рекомендаций и вопросов обеспечения безопасности компьютерных систем и сетей, использующих модель Взаимодействия Открытых Систем (ВОС) и соответствующие группы протоколов ВОС и Интернет (TCP/IP), а также вопросы безопасности UNIX-систем и организацию специальной службы анализа и предотвращения случаев нарушения безопасности компьютерных систем (CERT - Computer Emergency Response Team).

Первая статья из цикла посвящена вопросам архитектурной безопасности открытых систем, построенных на основе модели ВОС. В статье рассматриваются принципы построения безопасных систем, услуги и механизмы обеспечения безопасности на различных уровнях модели ВОС.

Часть 1. Архитектура безопасных компьютерных сетей в соответствии с рекомендациями стандарта ISO 7498-2

1. Введение

В современных условиях широкого применения сетевых информационных технологий и необходимости работать с распределенными информационными ресурсами успешная работа организаций зависит от безопасность и защищенности их компьютерных сетей. Основными обьектами (ценностями), которые подлежат защите в компьютерных сетях организаций являются

Общеизвестный факт, что большинство организаций начинают думать о безопасности своих сетей только после того, как происходит вторжение в их сеть. Поэтому рассмотрение вопросов обеспечения безопасности компьютерных сетей должно происходить на самом начальном этапе проектировнаия сети.

Основные компоненты стратегии построения безопасных сетей включают

  1. Обеспечение безопасности сети на уровне архитектуры сети, сетевых протоколов и оборудования
  2. Использование сертифицированных средств и технологий администрирования сети
  3. Использование квалифицированных специалистов или/и рекомендаций по обеспечению безопасности при конфигурации системы управлении сетью и сервисов
  4. Определение политики обеспечения безопасности сети на этапе ее проектирования.

Под политикой безопасности сети понимается формальная спецификация правил и рекомендаций, на основе которых пользователи/ сотрудники используют, накапливают и распоряжаются информационными ресурсами и технологическими ценностями.

  1. Постоянное изучение известных случаев нарушения безопасности и информирование соответствующих служб о собственных происшествиях

Архитектурные вопросы построения безопасных компьютерных сетей должны включать концепцию, терминологию по архитектурной безопасности сетей и руководство по разработке уровневых и межуровневых протоколов и услуг (или сервисов).

Архитектурным вопросам построения открытых компьютерных сетей на основе модели ВОС посвящен стандарт ISO 7498-2. В его состав включены обзор вопросов безопасности, определение услуг и механизмов обеспечения безопасности, а также анализ существующих опасностей (угроз) нарушения работы компьютерных сетей.

Стандарт также приводит рекомендации по контролю или оценке предлагаемых средств обеспечения безопасности для открытых сетей на основе модели ВОС. В частности, предлагается методическая информация какой использовать механизм обеспечения безопасности для реализации конкретных услуг безопасности, а также рекомендации, какие услуги безопасности могут быть реализованы конкретными протоколами на каждом из семи уровней модели ВОС.

Архитектурная концепция безопасности Internet или TCP/IP сетей, рассматриваемая во второй части статьи, дает более расширенные и конкретные рекомендации для разработчиков сетей и приложений, где и как применять услуги для обеспечения безопасности в сетях на основе протоколов Internet, при этом главное внимание уделяется обеспечению совместимости систем, что приводят к более конкретным и строгим рекомендациям, не допускающим множества вариаций конкретных приложений.


2. Услуги и механизмы обеспечения безопасности сетей на основе модели ВОС

Услуги и механизмы обеспечения безопасности сетей на основе модели ВОС регламентируются стандартом ISO 7492-2. Эти же рекомендации могут применяться и для разработки, создания аналогичных механизмов в Internet сетях, т.к. группа протоколов Интернет (TCP/IP) соответствует уровням 1-4 модели ВОС, а прикладной уровень в сетях Интернет соответствует верхним уровням 5-7 модели ВОС.

Архитектурная концепция безопасности ISO включает пять основных компонентов:

Услуги безопасности представляют собой абстрактные понятия, которые могут быть использованы для характеристики требований безопасности. Услуги отличаются от механизмов безопасности, которые являются конкретными мерами для реализации этих услуг. Важнейшим архитектурным элементом стандарта является определение, какие услуги безопасности должны обеспечиваться на каждом уровне эталонной модели. Основой для такого определения являются следующие принципы построения уровневой модели безопасности:

  1. Число альтернативных способов обеспечения безопасности должно быть минимизировано. Стандарт не устанавливает строгие рекомендации следовать этому принципу, однако даная рекомендация направлена на минимизацию стоимости разработки как самих безопасных услуг и протоколов, так и приложений на основе их..

  1. Услуги безопасности могут работать более, чем на одном уровне при построении безопасной системы, т.е. услуги могут появляться на многих уровнях в уровневой модели безопасности. Этот принцип является противоположным первому принципу и в реальной системе должен достигаться обоснованный баланс или компромис.

  1. Функции безопасности по возможности не должны дублировать существующие аналогичные коммуникационные функции, т.е. использовать эти функции, где это возможно без нарушения безопасности системы.

  1. Рекомендается не нарушать независимость уровней. Опасность, возникающая в случае несоблюдения этого принципа, состоит в том, что, если разработчик протокола будет предполагать наличие определенного протокола (сервиса) безопасности на соседнем уровне, но потом это предполоджение окажется ошибочным, то это приведет к нарушению архитектурной (уровневой) целостности системы безопасности. Это не запрещает использовать для обеспечения безопасности механизмы более низкого уровня, однако это должно производится в рамках хорошо специфицированных межуровневых инфтерфейсов.

Такая проблема особенно явно проявляется в маршрутизаторах и мостах, которые могут анализировать информацию о протоколах более высокого уровня для лучшего контроля трафика и доступа. Эти функции могут быть серьезно нарушены, если используется криптография или изменяются протоколы высшего уровня..

  1. Количество неконтролируемых (доверительных, trusted) функций должно быть минимизировано. Этот принцип достаточно хорошо хорошо представлен в арахитектуре безопасности DOD/Internet, описанной в части 2. Следуя этому принципу, необходимо выделять компоненты, которые собственно определяют безопасность системы, т.е. на которых основана безопасность системы. Этот принцип инициирует обеспечение безопасных услуг между конечными точками быстрее, чем с использованием доверительных промежуточных компонентов. Это стимулирует использование средств безопасности на более высоких уровнях. Однако принципы 1 и 3 возражают против исключения безопасных услуг на промежуточных уровнях. Следствием этого является появление элементов обеспечения безопасности для различных приложений на меж-сетевом и транспортном уровнях, что в дальнейшем приводит к естественной интеграции протоколов обеспечения безопасности в саму операционную систему и порождает свой собственный набор проблем..

  1. Если какой-либо защитный механизм одного уровня базируется на использовании услуг более низкого уровня, то не должно существовать никаких промежуточных уровней, запрещающих или не гарантирующих такую связь. Этот принцип апеллирует к принципу 4, т.к. невозможность установить независимость уровней может легко нарушить межуровневую безопасность. Эта рекомендация определенным образом соотносится с некоторыми другими. Так, минимизация доверительной функциональности (Принцип 5) рекомендует перемещение безопасных услуг на более высокие уровни, но использование механизмов безопасности на одном уровне для обеспечения безопасных услуг на более высоких уровнях позволяет избежать дублирования (Принципы 1 и 3).

  1. Безопасные услуги, реализуемые на каждом уровне, должны быть определены таким образом, чтобы допускать модульное дополнение к базовым коммуникационным услугам. Этот принцип ориентирован на очень практичный подход, т.к. не все реализации уровневых протоколов и сервисов требуют и/или предлагают все безопасные услуги. Таким образом, модульность должна способствовать облегчению разоработки конечных приложений.

Этот принцип имеет особое значение для Интернет, где уже имеется огромная база установленного оборудования и существующих услуг, в которые необходимо внедрять средства обеспечения безопасности.

2.1. Базовые сервисы для обеспечения безопасности компьютерных систем

Стандарт ISO 7498-2 определяет пять базовых услуг для обеспечения безопасности компьютерных систем и сетей: Конфиденциальность (Confidentiality), Аутентификация (Authentication), Целостность (Integrity), Контроль доступа (Access Control), Причастность ("неотпирательство", Nonrepudiation). Для всех этих услуг определены также варианты, как например, для коммуникаций с установлением соединения и без установления соединения, или обеспечения безопасности на уровнях коммуникации, пакетов или отдельных полей. Этот набор услуг не является единственно возможным, однако он является общепринятым. В данном разделе описаны услуги и варианты их реализации, а также их соотношение между собой и к модели ВОС.

2.1.1. Конфиденциальность

В стандарте ISO 7498-2 конфиденциальность определена как "свойство, которое гарантирует, что информация не может быть доступна или раскрыта для неавторизованых (неуполномоченных) личностей, обьектов или процессов". Вопросам обеспечения конфиденциальности уделяется наибольшее внимание в системах, где раскрытие информации возможно во многих точках по пути передачи.

Для этой услуги определяется четыре версии: для систем с установлением связи; для систем без установления связи; защита отдельных информационных полей; защита от контроля трафика. Первые две версии относятся к соответствующим протоколам с установлением или без установления связи. Конфиденциальность с установлением связи может быть обеспечена на любом уровне, кроме Сеансового или Представительного. Это согласуется с моделью ВОС, где коммуникационные услуги предлагаются на всех уровнях. Конфиденциальность без установления связи может реализовываться на всех уровнях, кроме Физического, Сеансового и Представительного, причем Физический уровень исключен потому, что он по своей природе требует установления связи.

Третья версия конфиденциальных услуг, предназначенных для защиты отдельных информационных полей, используется для обеих типов сетей (с установлением связи и без) и требует, чтобы только отдельные поля в пакетах были защищены. Эта услуга предлагается только для Прикладного уровня, где необходимое поле может иметь другой способ кодирования, чем обеспечивает стандартный протокол.

Защита от контроля трафика должна предотвращать возмождность анализа и контроля трафика. Это достигается за счет кодирования информации об источнике-назначении, количестве передаваемых данных и частоты передачи. Эти внешние характеристики могут быть доступны для злоумышленника, даже если пользовательские данные будут защищены. Например, легко различить трафик Telnet и FTP в зависимости от размера пакетов, даже если информация о порте сервиса и данных выше уровня IP будут защищены. Наиболее легко данная услуга реализуется на физическом уровне, но отдельные компоненты данной услуги могут предлагаться и на Сетевом и Прикладном уровнях. В этом плане естественную большую защищенность имеет широко внедряющаяся сейчас технология ATM (Asynchronous Transfer Mode), которая обеспечивает фиксированный размер пакетов и стандартную инкапсуляцию пакетов протоколов различного уровня.

2.1.2. Аутентификация

В стандарте ISO 7498-2 определяется два типа услуг уатентификации: достоверность происхождения (источника) данных и достоверность собственно источника соединения или обьекта коммуникации (peer-entity).

Достоверность источника данных предполагает подтверждение того, что "источник полученных данных именно тот, который указан или обьявлен". Эта услуга существенна для коммуникации без установления связи, при которой каждый пакет является независимым от других, и единственное, что может быть гарантировано с точки зрения aутентификации - это то, что источник пакета именно тот, который указан в заголовке пакета. Эта услуга очень близка к обеспечению целостности данных (см. раздел 2.1.3. Целостность) в сетях без установления связи, когда установление подлинности источника не очень существенно, если нарушена целостность данных.

В системах с установлением связи, аутентификация обьекта коммуникаций является необходимой функцией, определенной как "подтверждение того, что обьект коммуникации при соединении именно тот который обьявлен". Эта форма аутентификации подразумевает установление своевременности или фактора времени за счет включению идентификации обьекта коммуникации для конкретного случая соединения, которые недостижимы при помощи простой проверки происхождения данных. Т.о., атака, использующая воспроизведение данных, связанных с другим сеансом связи, даже между теми же обьектами коммуникации, может быть нарушена/предотвращена, благодаря использованию этой услуги.

Обе формы аутентификации определены для Сетевого, Транспортного и Прикладного уровней, на которых реализуются протоколы с установлением связи и без установления связи. Существует расхождение между стандартами IEEE и ISO в вопросах применения аутентификации на уровне Данных. Комитет IEEE 802.10 Secure Interoperable LAN Standards (SLIS) по стандартизации вопросов безопасности для локальных вычислительных сетей (ЛВС) определил Безопасный протокол Обмена Данными (БОД, SDE- Secure Data Exchange), который работает между подуровнем управления логическим звеном (УЛЗ, LLC - Logical Link Control) и подуровнем Управления Доступом к Среде (УДС, MAC - Media Access Control) и обеспечивает услугу контроля происхождения данных [2].

Благодаря тому, что SDE может быть использован с различными протоколами более высокого уровня - OSI, TCP/IP, а также нестандартными, - многие специалисты считают целесообразным примение этой услуги на уровне МАС, так как МАС-уровень является одинаковым для протоклов IEEE/ISO (802.3, 802.5, 802.6). Это один из случаев, когда стандарты ISO входят в противоречие с существующим опытом и целесообразностью.

2.1.3. Целостность

Согласно стандарта ISO 7498-2 целостность имеет две базовые реализации: для сетей с установлением связи и без установления связи, каждая из которых может применяться для избранных групп информационных полей. Однако услуги защиты целостности в сетях с установлением связи могут дополнительно включать функции восстановления данных в случае, если нарушена их целостность. Таким образом, обеспечение целостности данных в сетях с установлением связи предполагает обнаружение "любой модификации, включения, удаления, или повторной передачи данных в последовательности (пакетов)". Использование услуг обеспечения целостности данных в сетях с установленим связи совместно с идентификацией обьекта коммуникаций (peer-entity) позволяет достичь высокой степени защищенности. Эта услуга используется на уровнях Сетевом, Транспортном и Прикладном, при этом средства восстановления данных возможны только на двух верхних уровнях.

Целостность в сетях без установления связи ориентирована на определение модификаций каждого пакета, без анализа большего обьема информации, например, сеанса или цикла передачи. Таким образом, эта услуга не предотвращает умышленное удаление, включение или повторную передачу пакетов и является естественным дополнением аутентификации источника данных. Эта услуга также доступна на уровнях Сетевом, Транспортном и Прикладном. Здесь также возможно применение протокола IEEE802.10 SDE для обеспечения целостности на уровне данных при коммуникации без установления связи.

2.1.4. Контроль доступа

В стандарте ISO 7498-2 контроль доступа определен как "предотвращение неавторизованого использования ресурсов, включая предотвращение использования ресурсов недопустимым способом". Т.е. данная услуга не только обеспечивает доступ только авторизованных пользователей (и процессов), но и гарантирует только указанные права доступа для авторизованных пользователей. Таким образом эта услуга предотвращает неавторизованный доступ как "внутренних", так и "внешних" пользователей.

Контроль доступа часто путается с аутентификацией и конфиденциальностью, но на самом деле эта услуга с предоставляет более широкие возможности. Услуга контроля доступа используется для установления политики контроля/ограничения доступа. Политика контроля доступа (или авторизации) согласно ISO7498-2 устанавливается в двух измерениях: критерии для принятия решения о доступе и средства, при помощи которых регулируется контроль. Два типа политики доступа в зависимости от используемых критериев принятия решения могут быть основаны на идентичности явлений и обьектов (identity-based) или на правилах (последовательности) доступа (rule-based). Первый тип политики контроля доступа основан на использовании услуги аутентификации для проверки идентичности субьекта доступа (пользователя, процесса, промежуточной или конечной системы, или сети) прежде, чем предоставить им доступ к ресурсам. Форма идентичности зависит от различия и типа аутентификации для различных уровней, на которых эта услуга обеспечивается. Так, например, пользователь и процесс является обьектом контроля доступа на Прикладном уровне, но не на Сетевом уровне.

Политика, использующая регламентированные правила доступа, предполагает принятие решения о доступе на основе последовательности правил, которые соотносят аутентификацию с точностью. Например, правила могут быть выражены в терминах времени и даты доступа или "благонадежности", которую имеет данный пользователь.

Два типа политики управления доступом определены в ISO7498-2: определяемые пользователем и определяемые администратором. Большинство операционных систем реализуют первый вариант, но второй вариант часто реализуется в сетях общего пользования, как например, X.25, UUCP и др..

Услуга контроля доступа может использоваться на уровнях Сетевом, Транспортном и Прикладном, а также использовать протокол IEEE802.10 SDE на MAC-уровне для обеспечения контроля доступа в динамически устанавливаемых цепях, как в случае коммутируемых линий или соединений.

2.1.5. Причастность ("неотпирательство")

Данная услуга относится только к Прикладному уровню и, обычно, широко не обсуждается. В стандарте ISO 7498-2 причастность определяется, как "предотвращение возможности отказа одним из реальных участников коммуникаций от факта его полного или частичного участия в передаче данных". Две формы причастности определены: причастность к посылке сообщения и подтверждение (доказательство) получения сообщения.

Первая форма данной услуги предоставляет получателю доказательства, что сообщение было послано источником и его целостность не нарушена, на случай отказа отправителя от этого факта. Вторая форма причастности предоставляет источнику доказа тельства того, что данные были получены получателем, в случае попыток последнего отказаться от этого факта. Обе формы являются более мощными по сравнению с аутентификацией происхождения данных. Отличием здесь является то, что получатель или отправитель данных может доказать третьей стороне факт посылки (получения) данных и невмешательства посторонних. Основными обьектами реализации данных сервисов являются протоколы обмена данными, как например, Electronic Data Interchange.

2.1.6. Доступность

Доступность может быть определена как дополнительная услуга обеспечения защищенности сетей. Доступность, как одна из услуг обеспечения безопасности, может быть предметом атаки с целью сделать ресурсы или сервисы компьютерной системы недоступными (или сделать их "качество" неудовлетворительным) для пользователя.

Доступность может быть характеристикой качества даного ресурса или услуги, или, частично, определяться услугой контроля доступа. Однако характер атак с целью ограничения доступа пользователя и средства борьбы с ними не относяться к собственно услугам и ресурсам или не обеспечиваются услугами контроля доступа. Поэтому целесообразно выделение отдельно услуги обеспечения доступности, который должен реализовываться специальными механизмами на Сетевом уровне (как например, возможность использования альтернативного пути при атаке на доступную полосу основного канала) или Прикладном уровне.

2.2. Специальные механизмы обеспечения безопасности

Стандарт ISO7498-2 содержит краткое описание механизмов обеспечения безопасности и таблицу возможного соотнесения их к уровням модели ВОС и услугам. При этом не рассматриваются вопросы обеспечения безопасности сетей на Физическом уровне, включая средства контроля электромагнитного излучения систем обработки информации, что является важной задачей обеспечения безопасности информации в национальном понимании.

Выделяются специальныве механизмы обеспечения безопасности, которые используются для обеспечения специфических услуг и отличаются для различных услуг, и общие, не относящиеся к конкретным услугам. Ниже дано краткое описание специальных механизмов безопасности, а в таблице 1 приведена существующая связь между услугами безопасности и этими механизмами.

2.2.1. Шифрование

Шифрование (Encipherment, в отличие от Encryption) предполагает использование криптографии для преобразование данных, чтобы сделать их нечитаемыми или неосмысленными. Шифрование (кодирование) обычно применяется совместно с комплементарной функцией - дешифрованием (декодированием). Используется шифрование с симметричными ("закрытыми") ключами (secret key) или несимметричными ("открытыми") ключами (public key).

Шифрование обычно используетя для обеспечния конфиденциальности, но может также поддерживать другие услуги безопасности. Такая возможность существует потому, что любое изменение закодированного текста (шифрограммы) приводит к непредсказуемым измениям исходного текста. При использовании шифрования можно также реализовать механизмы обеспечения целостности и аутентификации для того же уровня или для более высоких уровней. Задача генерации, хранения и распространения криптографических ключей является отдельной задачей управления безопасностью систем.

2.2.2. Заполнение трафика

Заполнение трафика применяется для обеспечения конфиденциальности трафика (потока) информации для уровней, выше Физического (в частности, на Сетевом и Прикладном уровнях). Заполнение трафика может включать генерацию случайного трафика, заполнение дополнительной информацией информативных пакетов, передача пакетов через промежуточные станции или в "ненужном" направлении. Оба типа пакетов, как информативный, так и случайный, могут дополняться до постоянной или случайной длины.

2.2.3. Управление маршрутизацией

Управление маршрутизацией применяется для обеспечения конфиденциальности на Сетевом и Прикладном уровнях с целью предотвращения контроля пути следования данных от Отправителя (источника) до Получателя (приемника). Выбор пути может производиться конечной системой (source routing - маршрутизация, определяемая источником) или выполняться промежеточной системой, основываясь на использовании меток безопасности, вводимых в пакет конечной системой. Этот механизм требует специальной надежности (доверительности) промежуточных систем и может иметь существенные вариации при использовании различных промежуточных систем. Этот механизм может также использоваться для обеспечения целостности с функциями восстановления для выбора альтернативных путей в случаях возникновения атак, приводящих к прерыванию коммуникаций.

2.2.4. Цифровая подпись

Использование цифровой подписи является достаточно распространенным механизмом обеспечения безопасности. Цифровая подпись обычно использует открытые ключи, генерируется отправителем данных и проверяется получателем. Несимметричная криптография может использоваться для шифрования котрольной суммы подписываемого сообщения при помощи "закрытой" части ключа посылателя и в последующем дешифроваться получателем при помощи "открытой" части ключа отправителя.

Использование открытых ключей для цифровой подписи служит для подтверждения происхождения сообщения, но не контролирует получателя сообщения. Этот механизм используется для обеспечения услуг аутентификации и целостности, для которых субьект верификации подписанных данных заранее неизвестен. При определенном выборе контролируемого параметра цифровая подпись также может применяться для обеспечения услуги причастности.

2.2.5. Механизмы обеспечения контроля доступа

Механизмы обеспечения контроля доступа используются для обеспечения услуг контроля доступа. Большинство этих механизмов пришло из практики безопасности компьютерных систем и часто относяться к вопросам обеспечения политики контроля доступа. Например, для поддержки политики доступа на основе идентификации обьекта доступа используется специальная база данных, которая определяет права доступа к ресурсам для отдельных обьектов доступа. Другим вариантом данного механизма может быть использование специального маркера "полномочий" для определения текущих прав доступа к имеющимся ресурсам.

Многие механизмы контроля доступа используют механизмы аутентификации для идентификации обьекта доступа, или используют "метки безопасноти" в случае примения политики доступа на основе правил. Политика доступа на основе правил может использовать также другие данные - время и дату, последовательность (путь) доступа и др..

2.2.6. Механизмы обеспечения целостности данных

Целостность отдельного пакета может быть обеспечена добавление к нему контрольной величины, которая является функцией содержащихся в пакете данных. Контрольная величина может вычисляться с использованием шифрования или без него. Если контрольная величина вычисляется на уровне, где применяется шифрование, или выше, механизмы этого типа могут быть также использованы как для подтверждения целостности данных в системах без установления связи, так и для аутентификации источника данных. Обычно для этих целей используются симметричные ключи (известные только для посылателя и получателя информации). Применение несимметричных ключей требует большего времени расчетов и поэтому считается неэффективным.

Для обеспечения целостности последовательности пакетов в протоколах с установлением связи одновременно с контрольными величинами отдельных пакетов используются обычные средства протоколов с установлением связи - нумерация пакетов, повторная передача, удаление пакетов, а также дополнительные средства - временные или синхронизирующие метки, обычно используемые для таких применений, как цифровые видео или аудио приложения.

2.2.7. Механизмы аутентификации

Как было сказано выше аутентификация источника (происхождения) данных часто обеспечивается использованием механизма целостности совместно с шифрованием. Для широковещательных применений такие же функции может обеспечить цифровая подпись. Логическая аутентификация пользователя компьютерной системы выполняется на основе пароля.

Аутентификация обьекта коммуникации обычно выполняется посредством двойного или тройного подтверждения связи ("рукопожатия"), аналогичного механизмам синхронизации нумерации последовательности пакетов в протоколах с установлением связи. Односторонний (однократный) обмен обеспечивкает только однократный аутентификацию и не может гарантировать своевременность обмена. Двухсторонний (двухкратный) обмен обеспечивает взаимную аутентификацию источника и приемника, но не обеспечивает своевременность обмена без специальных средств синхронизации. Троектатный обмен позволяет достичь полной взаимной аутентификации систем без дополнительной синхронизации. Тут также аутентификация использует специальные механизмы управления криптографическими ключами. Вариант одно-, двух- или трехстороннего обмена для аутентификации источника и приемника реализован в стандарте распределенной службы директорий Х.500 (в частности, Х.509). При одно- и двухкратном обмене аутентификационными сообщениями обычно используются временные метки, но для распределенных приложений синхронизация системных времен является проблемой.

2.2.8. Нотаризация (заверение)

Механизмы нотаризации (заверения) используют третью сторону, пользующуюся доверием двух общающихся субьектов, для обеспечения подтверждения характеристик передаваемых данных. Наиболее часто механизм нотаризации применяется для обеспечения услуги причастности. В частности, нотаризация может применяться совместно с цифровой подписью на основе открытого ключа для подтверждения причастности отправителя данных. Использование нотаризации позволяет включить параметр времени для обеспечения достоверности механизма.

Нотаризация может также применяться для обеспечения надежной временной метки, обеспечиваемой "временным нотариусом". Такая метка может содержать цифровую подпись "нотариуса", идентификатор (кодированный) сообщения, имя отправителя и получателя, а также зарегистрованные время и дату получения сообщения. При этом "нотариус" не имеет доступа к самому сообщению, соблюдая его конфиденциальность.

Таблица 1

Связь между услугами безопасности и используемыми механизмами
Используемые механизмы
Услуги безопасности Шифрование Заполнение трафика Управление маршрутизацией Цифровая подпись Контроль доступа Обеспечение целостности Аутентификация Нотаризация (подтверждение)
Конфиденциальность

(системы с установлением связи)

да да
Конфиденциальность

(системы без установления связи)

да да да
Конфиденциальность

(отдельные информа- ционные поля)

Конфиденциальность

(трафик)

да
Аутентификация да да да да
Целостность

(с установлением связи)

да да
Целостность

(без установления связи)

да да да
Целостность

(отдельные информа- ционные поля)

да да
Контроль доступа да
Причастность

(отправка и доставка)

да да
Доступность да да да

2.3. Общие механизмы обеспечения безопасности

В стандарте ISO 7498-2 определены следующие общие механизмы обеспечения безопасноти: доверительная функциональность, метки безопасности, "аудиторская" проверка. Другие общие механизмы обеспечения безопасности, как например, управление криптографическими ключами относятся к более высоким уровням интеграции систем и их менеджмента.

2.3.1. Доверительная функциональность

Доверительная функциональность является явным общим механизмом обеспечения безопасности. Доверительная функциональность включает множество рекомендаций и способов, которые должны быть реализованы для обеспечения гарантии (уверенности) правильной работы других механизмов безопасности. Для обеспечения надежной (доверительной) работы программного обеспечения, реализующего механизмы безопасности, необходимо соблюдать стогие спецификации и специальную технологию разработки, использование безопасных каналов распространения и многое другое. Аппаратные средства должна разрабатыааться и проверяться на основе единой методики. На этом уровне также обеспечиваются все необходимые требования и рекомендация к електромагнитным излучениям и возможностям физического вмешательства.

2.3.2. Метки безопасности

Метки безопасновти могут быть ассоциированы с отдельными пакетами или последовательностями явно или косвенно. Метки безопасности обычно используются для реализации политики доступа на основе правил, а также могут использоваться для управления маршрутизацией в сервисах обеспечения конфиденциальности. Возможно также применения меток для контроля целостности. Если метки безопасности применяются явно, то пакеты с такими метками должны быть защищены от нарушения целостности.

2.3.3. Контроль безопасности

Контроль безопасности включает множество механизмов: обнаружение попыток нарушения безопасности, анализ случаев успешного вмешательства и возникших потерь и др. Но при этом необходимо решение вопросов, какую информацию в системе следует накапливать и как ее потом анализировать. Проблемой при этом является определение того минимума информации, который бы позволил выявить (не пропустить) возможные события по вмешательству в работу компьютерной системы.

2.4. Анализ использования услуг безопасности на различных уровнях модели ВОС

В стандарте ISO 7498-2 определена применимость различных услуг безопасности для различных уровней модели ВОС, которая может быть представлена в виде таблицы 2. Ячейки, обозначающие применимость даного типа услуги на определенном уровне модели ВОС, обозначены как "да". В ячейках, где возможно использование услуг IEEE 802.10 (SDE), которые не спицифицированы ISO, проставлен символ "?". Пустые ячейки указывают на то, что на данном уровне услугу не рекомендуется применять.

Ниже приведен более подробный анализ применимости описанных услуг на различных уровнях модели ВОС, в общем случае, для сложных интегрированных сетей, использующих различные межсетевые устройства, описанные в Приложении 1.

Таблица 2.

Применимость сервисов безопасности на различных уровнях модели ВОС
Уровни модели ВОС
Услуга безопасности 1 2 3 4 5 6 7
Конфиденциальность

(системы с установлением связи)

да да да да да
Конфиденциальность

(системы без установления связи)

да да да да
Конфиденциальность

(отдельные информа- ционные поля)

да
Конфиденциальность

(трафик)

да да да
Аутентификация ? да да да
Целостность

(с установлением связи)

да да да
Целостность

(без установления связи)

? да да да
Целостность

(отдельные информа- ционные поля)

да
Контроль доступа ? да да да
Причастность

(отправка и доставка)

да

2.4.1. Физический уровень

Услуги безопасности, предлагаемые на Физическом уровне, обычно обеспечивают защиту каналов "точка-точка", например, между двумя конечными системами или между конечной и промежуточной системами. Действие этой услуги заканчивается в точке окончания канала перед устройством приема или коммутации пакетов.

Однако средства и устройства, обеспечивающие безопасность на этом уровне, обычно привязаны к конкретной технологии передачи сигналов и интегрированы с физическим интерфейсом, что приводит к необходимости использовать идентичные устройства на обоих концах физического и/или виртуального соединения. Применеие средств защиты Физического уровня ограничивается услугами Конфиденциальности для коммуникаций с установлением связи и для защиты от контроля трафика. Другим ограничением использования средств защиты на Физическом уровне является сложность управления ими.

Бит- ориентированный интерфейс Физического уровня не позволяет реализовать услуги Целостности и Аутентификации из-за невозможности выполнять преобразование данных. Однако использование подходящей техники шифрования на этом уровне может создать хорошую базу для использования услуг на более высоких уровнях.

2.4.2. Уровень Данных (канальный)

Услуги безопасности уровня Данных реализуются для соединений "точка- точка" аналогично Физичекого уровня. Действие этой услуги заканчивается в точке приема (конечная система) или коммутации пакетов (включая транслирующие и инкапсулирующие мосты) в пределах использования единого интерфейса управления доступом к среде (УДС,МАС-интерфейса). Преимуществом применения услуг безопасности на этом уровне является их независимость от протоколов более высокого уровня. Однако здесь также существует сильная зависимость практической реализации услуги от используемой технологии Физического уровня.

Согласно рекомендациям стандарта ISO 7498-2 услуги, предлагаемые на этом уровне включают Конфиденциальность для систем с установлением и без установления связи. Возможность использования этого уровня для обеспечения услуг Целостности ограничивается недостаточным размером контрольных полей LLC- пакетов [8].

Однако предложенный комитетом IEEE SLIS [2] протокол SDE безопасной передачи данных позволяет реализовать услуги Аутентификации источника данных, Целостности без установления связи и Контроля доступа, используя специальные средства контроля ошибок на уровне Данных.

2.4.3. Сетевой уровень

Безопасность на Сетевом уровне обеспечивается между конечными системами, независимо от промежуточных межсетевых коммутаторов и мостов уровня Данных. Если услуги безопасности основываются полностью на протоколах Сетевого уровня, это обеспечивает безопасность коммуникаций между конечными системами вдоль разнородных сетей, формирующих Интерсеть (Internet). Стандарт ISO 7498-2 рекомендует применение нескольких услуг безопасности на Сетевом уровне: Конфиденциальность (для систем с установлением и без установления связ, для защиты от контроля трафика), Контроль доступа, Целостность в системах с установлением связи и без, а также Аутентификации источника данных и обьекта коммуникации.

Согласно рекомендациям ISO 7498-2 услуги безопасности должны быть совместимы с соответствующими коммуникационными услугами на каждом уровне и, по возможности, их использовать, что часто приводит к зависимости реализуемых услуг безопасности от протоколов сетевого уровня или делает невозможным их применение. Такая ситуация, в частности, наблюдается в сетях Х.25, которые имеют свой собственный протокол нумерации последовательностей с установлением связи, но не имеют средств обеспечения целостности отдельных пакетов, что делает невозможным применение стандартных услуг безопасности. В этом случае возможно применение соответствующих услуг на более высоких уровнях, но приводит к зависимости услуг безопасности от соответствующей технологии Сетевого уровня.

Услуги безопасности, полностью использующие протоколы Сетевого уровня, т.е. реализуемые "поверх" Сетевого уровня, могут обеспечивать защищенность коммуникаций в многопротокольных интерсетях. При этом услуги безопасности могут быть реализованы в межсетевых (или "промежуточных" - intermediate) системах или устройствах. Это дает ряд преимуществ, связанных с тем, что межсетевые устройства часто служат шлюзами или портами между различными локальными или локальными и глобальными сетями. Обеспечение услуг безопасности и защищенности в таких пограничных устройствах эффективно с точки зрения минимальной модернизации существующих систем. Дополнительные средства безопасности могут быть обеспечеиы между межсетевыми устройствами и конечными системами, используя те же протоколы и услуги.

Независимая реализация услуг безопасности на Сетевом уровне позволяет применять эти услуги только в отношении таких обьектов, как сети, что является достаточно "грубым" подходом. Для отдельных групп сетевых протоколов существуют возможности обеспечить избирательность таких услуг, основываясь на адресации конкретных конечных систем или при использовании дополнительных средств для адресации протоколов более высокого уровня в протоколах Сетевого уровня, как это сделано в протоколах TCP/IP с адресацией вышестоящих протоколов и портов в пакетах Сетевого и Транспортного уровня. Однако это нарушает принцип уровневости и, в общем случае, неприменимо.

Дополнительная возможность для обеспечения избирательности услуг безопасности на Сетевом уровне может быть реализована через параметр "качества- услуги" безопасности, определяемый конечной системой и обрабатываемый промежуточными системами. В частности, разрабатываемый стандарт безопасного протокола Сетевого уровня (NLSP - Network Layer Security Protocol) предполагает такую возможность [12].

Включение услуг безопасности Сетевого уровня в состав функций конечной системы, как правило, требует модификации ядра операционной системы, так как большинство сетевых операционных систем включают функции сетевого уровня в ядро в целях достижения большей производительности и безопасности системы. Отсюда следует, что включение услуг безопасности Сетевого уровня является задачей поставщиков программных и аппаратных средств конечных и промежуточных систем.

2.4.4. Транспортный уровень

На Транспортном уровне стандарт ISO 7498-2 определяет набор услуг безопасности, очень близкий по составу с Сетевым уровнем: Конфиденциальность (для систем с установлением и без установления связи), Контроль доступа, Целостность в системах с установлением связи и без, а также Аутентификации источника данных и обьекта коммуникации. Отличием является то, что услуги безопасности Транспортного уровня обеспечиваются только в конечных системах, в отличие от возможности релизации услуг на базе Сетевого уровня в промежуточных системах.

Услуги безопасности Транспортного уровня с установлением связи, в общем случае, обеспечивают более высокую защищенность коммуникаций по сравнению с реализацией таких же услуг на более высоких уровнях с использованием протоколов и услуг более низкого уровня. Но при правильном использовании коммуникационных возможностей Транспортного уровня такие отличия могут быть несущественными.

Так же как и для Сетевого уровня, многие механизмы безопасности Транспортного уровня интегрированы в состав сетевых операционных систем и определяется их разработчиками.

2.2.5. Сеансовый уровень и уровень Представления даннных

ISO 7498-2 не рекомендует применение услуг безопасности на Сеансовом уровне и уровне Представления даннных. Это вызвано тем, что эти уровни не имеют хорошо определенных коммуникационных услуг и функций. Кажущаяся уместность применения многих услуг на основе шифрования на уровне Представления данных нецелесообразна из-за того, что функции этого уровня обычно интегрированы в состав Прикладного уровня.

2.2.6. Прикладной уровень

Стандарт ISO 7498-2 разрешает применение всех услуг безопасности на Прикладном уровне, а применение услуги Причастности рекомендуется только на этом уровне. Однако использование услуг безопасности только на Прикладном уровне не позволяет полностью защитить системы коммуникаций от всех возможных атак, поэтому рекомендуется обеспечивать поддержку конкретных услуг также на более низких уровнях совместно с Прикладным.

При этом очевидно, что приложения типа обмена сообщениями или службы директорий могут быть реализованы только на Прикладном уровне. В частности, обмен сообщениями требует использования услуг безопасности на этом уровне по следующими причинам:

  1. Некоторые услуги обеспечения защиты сообщений разработаны только для Прикладного уровня, как например, контроль Причастности.
  2. Сообщения обычно могут быть адресованы нескольким адресатам и анализ адресов выполняется только на уровне сообщения (Агентом Передачи Сообщения, MTA - Message Transfer Agent).

Услуги безопасности более низких уровней обеспечиваются в реальном времени при обработке потоков данных "точка-точка" (или между MTA согласно рекомендациям Х.400), в то время как обработка сообщений на уровне "отправитель- получатель" требует полной функциональности сервисов Х.400.

Полная защищенность услуг директорий согласно Х.500 также не может быть обеспечена только использованием услуг более низких уровней. Например, принятие решения о доступе пользователя к серверу директорий или дальнейшая передача запроса должна выполняться только самим сервером.

Наиболее привлекательной чертой применения услуг безопасности на Прикладном уровне является их независимость от операционной системы и возможность реализовать эти услуги в составе приложений, но при этом используемые механизмы становятся специфицескими для конкретного приложения.

Приложение 1.

1. Модель Взаимодействия Открытых Систем (ВОС, OSI - Open System Interconnection)

Базовая модель Взаимодействия Открытых Систем (ВОС) определяет уровневую модель взаимодействия вычислительных систем и процессов. Модель ВОС является базовой для разработки уровневых и межуровневых протоколов, а также различных аппаратных и программных средств сетевого и межсетевого взаимодействия.

Базовая модель ВОС содержит 7 уровней:

  1. Физический уровень (Physical Layer) - битовые протоколы передачи информации.
  2. Канальный или Данных уровень (Data Link Layer) - формирование пакетов и фреймов данных, управление доступом к среде.
  3. Сетевой уровень (Network Layer) - маршрутизация и управление потоками данных.
  4. Транспортный уровень (TransportLayer) - обеспечение взаимодействия удаленных процессов.
  5. Сеансовый уровень (Session Layer) - поддержка диалога между удаленными процессами.
  6. Уровень Представления данных (Presentation Layer) - преобразование форматов данных.
  7. Прикладной уровень (Application Layer) - прикладные задачи, пользовательское управление данными.

1. Физический уровень

Обеспечивает интерфейс между компьютером (или станцией), участвующим во взаимодействии, и средой передачи (дискретных) сигналов. Управляет потоком данных. Определяются электрические, механические, функциональные и процедурные параметры для физической связи в системах. Для Физического уровня определяются различные типы физических интерфейсов (коммуникационные - V.24 CCITT, RS-232, X.21, ISDN; локальных сетей - Ethernet/IEEE802.3, IEEE802.5, FDDI) для различных типов физических сред (коаксиальный кабель, витая пара, оптоволокно, радиоканал).

2. Канальный уровень (уровень данных)

Формирует из данных, передаваемых первым (физическим) уровнем, так называемые пакеты или "кадры" или последовательности кадров. Осуществляется управление доступом к передающей среде, используемой несколькими компьютерами, синхронизация, обнаружение и исправление ошибок.

На уровне данных выделяются два подуровня: подуровень управления доступом к среде (УДС, МАС - Media Access Control), и подуровень управления логическим звеном (УЛЗ, LLC - Logical Link Control). Особенностью УЛЗ является то, что на этом уровне определяются протоколы передачи данных с установлением связи и без установления связи. Одним из известных стандартов этого уровня является стандарт ISO - высокоуровневый протокол управления каналом HDLC (High Level Data Link Control).

3. Сетевой уровень

Устанавливает связь в вычислительной сети между двумя абонентами. Соединение происходит благодаря функции маршрутизации, которая требует наличия сетевого адреса. Кроме того, этот уровень должен обеспечивать обработку ошибок, мультиплексирование и управление потоками данных. Наиболее известен статдарт X.25 для сетей общего пользования с коммутацией пакетов. Для локальных вычислительных сетей (ЛВС) на Сетевом уровне определяются межсетевые протоколы, как правило, различные для различных сетевых ОС (например, Novell IPX, Banyan VINES, DECNet, AppleTalk XeroxXNS и др.).

4. Транспортный уровень

Обеспечивает надежную передачу данных между двумя взаимодействующими друг с другом пользовательскими процессами, а также сквозное управление движением пакетов между этими процессами. Транспортный уровень поддерживает сегментацию и последующую сборку длинных сообщений и имеет специальные средства нумерации пакетов, упорядочения и удаления. Транспортный уровень может обеспечивать передачу данных с установлением связи и без установления связи.

5. Сеансовый уровень

Координирует прием, передачу и установление одного сеанса связи. Обеспечивает необходимый контроль рабочих параметров, управление потоками данных промежуточных накопителей, диалоговый контроль, гарантирующий передачу данных. Кроме этого он может иметь функции:

6. Уровень представления данных

Предназначен для интерпретации данных и подготовки данных для пользовательского прикладного уровня. На данном уровне анализируется представление символов, формат страниц и графическое кодирование вместе с различными правилами шифрования, происходит преобразование из кадра

в экранный формат.

7. Прикладной уровень

Определен в наименьшей степени, поскольку реализует все функции, которые не могут быть приписаны нижним уровням. К таким функциям относятся обслуживание сети, управление заданиями и протоколы обмена данными определенного типа. Данный уровень обеспечивает поддержку прикладных процессов конечного пользователя и эмуляцию терминалов.

2. Взаимодействие вычислительных систем и межсетевые устройства

Две вычислительные системы могут взаимодействовать между собой через общую физическую среду или, в сложных сетях, через межсетевые устройства. В зависимости от выполняемых функций различаются такие межсетевые устройства:

Графически взаимодействие двух конечных систем и межсетевых устройств на различных уровнях модели ВОС показано на рисунке П.1. Применение различных межсетевых устройств предполагает различые уровни преобразования данных, что напрямую связано с реализацией возможых механизмов защиты и безопасности открытых компьютерных сетей.



Рис. П.1. Взаимодействие сетей и межсетевые устройства.

Литература

  1. ISO 7498-2. Basic Reference Model - Part 2: Security Architecture. - February 1989.
  2. IEEE802.10B. IEEE Standards for Interoperable Local Area Network (LAN) Security (SILS): Part B - Secure Date Exchange. - April 1992.
  3. DOD 5200.28-STD. Department of Defence, Trusted Computer Systems Evaluation Criteria. - Decemebr 1985.
  4. The Tusted Computer Product Evaluation Criteria. - Canadian System Security Center. - Communications Secirity Establishment. - Government of Canada - 1993. - 201 pp.
  5. ISO 8473. Protocol for providing Connectionless-mode Network Service (Internetwork Protocol) - December 1988.
  6. Data Communication Network: Message Handling Systems. Reeomendations X.400 - X.420. -November 1988.
  7. Data Communication Networks: Directory. Recommendations X.500 - X.521. - November 1988.
  8. IEEE 802.2. IEEE Standards for Logical Link Control Sublevel of Data Link.
  9. National Computer Security Center. Trusted Network Interoperation of the Trusted Computer Ssyetm Evaluation Criteria. NCSC -TG - 005, July 1987.
  10. Lynch D.C., Rose M.T. Internet System Handbook. - Addison Wesley Publishing. - 1993. - 790 p.p.
  11. Internetworking Technology Overview. - Cisco Systems. - 1993.
  12. ISO CD 11577 (under ballot). Network Layer Security Protocol. - 1991.