Рубрикатор |
Статьи | ИКС № 2 2005 |
Алексей ЛУКАЦКИЙ  | 01 февраля 2005 |
Безопасность сети оператора
Цель – оператор связи!У многих поставщиков в архитектуре безопасности телекоммуникационного оборудования и средств защиты (например, Cisco SAFE) описано несколько «аксиоматических» объектов, привлекающих злоумышленников. Среди них – маршрутизаторы, коммутаторы, серверы, целые сети и т. д. Следуя тематике статьи, я считаю правомочным добавить в список данных «целей» и самих операторов связи, которые являются заманчивой мишенью для «плохих парней». И не только потому, что взлом операторской сети позволяет им проникнуть в биллинговую систему и манипулировать финансовой информацией, но и в аспекте «пробы пера», когда злоумышленники считают делом чести или экзаменом во взрослую жизнь «завалить» какого-нибудь оператора.
Еще недавно о безопасности истово пеклись лишь владельцы корпоративных сетей. Сегодня картина иная – массированные атаки, такие как эпидемии «червей», спам или «отказ в обслуживании» (Denial of Service – DoS), наносят ущерб и самим операторам связи. В прошлом они обеспечивали безопасность своей сети, опираясь на собственноручно написанные утилиты и талант корпоративной инженерной команды, действующей преимущественно «руками». Сегодня такой подход, к сожалению, применим уже далеко не всегда. И хотя талантливые инженеры по-прежнему в цене (и даже больше, чем раньше!), обеспечить реальную защиту сети дедовскими методами невозможно.
Правила хорошего тона
Как и в любой другой области, в деле обеспечения безопасности сети существуют правила, которые должен выполнить оператор. Следование этим правилам влечет за собой существенное повышение уровня защищенности инфраструктуры сети. Они, как правила хорошего тона, определяют культуру организации связи данного провайдера услуг. Безусловно, защититься от всего и вся (на 100%) невозможно, но 80% лучше, чем ничего. А если следовать перечисленным ниже правилам, то значение уровня информационной безопасности будет приближаться к максимальной отметке.
Пять слагаемых успеха в деле защиты сети формулируются следующим образом:
- Создание команды OPSEC (Оperational Security) или SOC (Security Operations Center).
- Организация взаимодействия с другими операторами.
- Применение встроенных механизмов защиты.
- Использование дополнительных средств защиты.
- Расследование инцидентов.
Следует отметить, что безопасность оператора связи начинается совсем не с применения технических средств и механизмов. Как театр начинается с вешалки, так и безопасность оператора начинается с понимания проблемы и формирования соответствующей команды, на плечи которой и ляжет основной груз забот по обеспечению устойчивости и защищенности своей сети.
У многих операторов есть NOC (Network Operating Center), но... центр, как правило, работает при отсутствии регламентирующих документов и руководства по защите, нет инструментов, нет или катастрофически не хватает квалифицированных ИБ–специалистов и т. д. Необходимо либо иметь OPSEC-команду, либо создавать у оператора специализированный центр – SOC (причем второе предпочтительнее). На OPSEC или SOC ложатся не только оперативные вопросы реагирования на атаки и расследования инцидентов. Их специалисты должны взаимодействовать с производителями используемого сетевого оборудования, «соседними» операторами (с которыми есть соглашения), разрабатывать организационно-распорядительные документы по вопросам обеспечения защищенности и устойчивости деятельности оператора связи и контролировать их исполнение.
«Возьмемся за руки, друзья... »
Каким бы мощным ни был SOC/OPSEC, он не способен проконтролировать все – ему необходима помощь других аналогичных команд/центров. К сожалению, в России взаимодействие между операторами налажено пока не сказать чтобы хорошо. Несколько лет назад при Ассоциации документальной электросвязи (http://www.rans.ru) была сделана такая попытка, из которой, увы, ничего не вышло. Конечно, операторы между собой контактируют, но зачастую на неформальном уровне, да и «ареал» таких взаимодействующих операторов ограничен Москвой и Санкт-Петербургом.
Есть надежда, что ситуацию исправит разрабатываемая Мининформсвязи Концепция информационной безопасности ВСС России, в которой прописано создание центра, координирующего вопросы защиты информации в отрасли. Пока же остается только завидовать сотрудничеству наших западных коллег, например группе североамериканских операторов связи (http://www.nanog.org). Другая достойная инициатива – закрытый список рассылки для инженеров интернет-провайдеров, активно участвующих в расследовании инцидентов с безопасностью, участников NSP–SEC (http://puck.nether.net/mailman/listinfo/nsp-security). Кстати, именно NSP–SEC первым уведомил CERT (http://www.cert.org) и другие группы реагирования на инциденты, членов альянса FIRST (http://www.first.org) о начале эпидемии Slammer. И это вполне закономерно: кому как не интернет-провайдерам быть на передней линии фронта.
Интересная инициатива создания глобальной телефонной VoIP-сети, в рамках которой все операторы связи, группы реагирования на инциденты и другие организации и специалисты могли бы сообщать о различных событиях безопасности, была предложена компанией Cisco Systems и поддержана некоммерческой организацией Packet Clearing House (http://www.pch.net/inoc-dba). С учетом роста трафика звонков с помощью IP-телефонии по причине их невысокой стоимости данное предложение заслуживает внимания как операторов, так и провайдеров Интернета.
Встроенная защита
В структуре системы обеспечения безопасности сети оператора защиту собственно инфраструктуры сети определяют четыре элемента: средства защиты оборудования, маршрутизации потока, передаваемого трафика и управляющих команд. Заметим, что большинство производителей выпускает сетевое оборудование с уже встроенными механизмами защиты (причем не с одним, а с целым рядом таковых), обеспечивающими противодействие множеству «популярных» атак. И возможности этих механизмов чаще всего покрывают всю или большую часть необходимой для защиты инфраструктуры функциональности.
Фильтрация
Самый первый, самый важный и самый простой способ защиты – фильтрация трафика. При правильном использовании он позволяет отсеять очень многое из того, что не должно попадать в сеть оператора или покидать ее пределы. Кроме того, надо помнить, что эффективная фильтрация в сети оператора позволяет защитить Интернет в целом, так как, по сути, эта Сеть – объединение операторов. Следуя данному принципу, можно локализовать любую угрозу в рамках одного объекта (сети конкретного оператора), защищая тем самым всех остальных.
На сегодняшний день лучшее руководство по фильтрации для операторов связи – рекомендации BCP38/RFC2827 «Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing» (http://www.ietf.org/rfc/rfc2827.txt).
Списки контроля доступа (Access Control List, ACL) тоже среди первых по значимости методов реализации фильтрации. Они позволяют фильтровать исходящий и входящий трафики на основе IP-адресов получателя и отправителя, их портов, а также типа сервиса/протокола.
Особенность работы со списками контроля доступа заключается в последовательной проверке каждого пакета на соответствие правилу в ACL. Но в какой-то момент может возникнуть ситуация, когда большая часть ресурсов маршрутизатора, вместо выполнения своей основной задачи, будет расходоваться на фильтрацию. Поэтому при выборе данного метода фильтрации надо предусмотреть эту особенность ACL и заранее оценить, каковы будут скорость обработки пакетов и, как следствие, время задержки. Разумеется, технологии тоже не стоят на месте и сегодня существуют различные методы повышения быстродействия при работе со списками контроля доступа (например, TurboACL, применение выделенных для фильтрации процессоров ASIC/TCAM и т. п. ).
В зависимости от конкретных задач, условий и требований оператора ACL реализуются либо на маршрутизаторе оператора, либо на оборудовании, установленном у клиентов. Если же клиентов, а следовательно, и списков контроля доступа много, то с точки зрения производительности задачу фильтрации лучше переложить на маршрутизаторы, установленные у клиентов (хотя каждое решение индивидуально). Правда, в последнем случае усложняется процедура контроля, обновления и масштабирования данных ACL, но при наличии эффективной системы управления такая задача вполне решаема.
Фильтрация в «черную дыру» (blackhole) – другой вариант фильтрации. Она реализуется путем передачи ненужного трафика на псевдоинтерфейс Null0, который всегда включен, но никогда не обрабатывает полезный трафик. Следовательно, передача на Null0 трафика приводит к его сбросу, а процессор маршрутизатора при этом не перегружается, как в случае со списками контроля доступа. Однако и у данного метода есть свои ограничения. В отличие от ACL, позволяющего фильтровать трафик на основе конкретных протоколов и сервисов, метод «черной дыры» не обеспечивает гибкости – с его помощью отсекается целиком весь трафик, поступающий на конкретный адрес или подсеть.
Проверка обратного пути (unicast Reverse Path Forwarding, uRPF) – еще один вариант фильтрации. По статистике, до 95% всех атак типа DoS совершаются с подменой адреса. При этом фальсифицированные адреса могут принадлежать реальным клиентам, а следовательно, списки контроля доступа или метод фильтрации в «черную дыру» будет малоэффективен. В такой ситуации поможет проверка обратного пути – механизм, проверяющий каждый пакет на доступность адреса его источника по тому же интерфейсу. Если проверка завершается неудачей, то пакет отбрасывается.
Этот метод менее «прожорлив» по отношению к ресурсам процессораи более прост в настройке и поддержке – на маршрутизаторе достаточно ввести всего одну команду, и он будет автоматически отсеивать все пакеты с поддельными адресами.
Защита от DoS-атак
Сегодня это один из наиболее востребованных механизмов, поскольку DoS-атаки все чаще и чаще мешают спокойно спать операторам связи во всем мире. Потому–то он и выделяется в особый класс.
По статистике, каждые 5 минут в мире происходят две (!) DoS-атаки, и этот показатель будет расти, что связано с удивительной простотой реализации данного типа несанкционированной активности. Следовательно, оператор связи должен иметь возможность защищать себя и своих клиентов от такого рода напасти. Один из защитных механизмов – ограничение полосы пропускания с помощью фиксированной нормы доступа (Committed Access Rate, CAR). Данный метод позволяет ограничить определенные виды трафика для заданных адресов источников или получателей. Основное преимущество CAR заключается в том, что он может работать с пакетами по мере их поступления на интерфейс маршрутизатора, а значит – способен сбросить или ограничить поток пакетов, провоцирующих DoS-атаку, еще до того, как он начнет обрабатываться.
В одной статье сложно рассказать обо всех встроенных в сетевое оборудование методах защиты – это предмет даже не статьи, а книги. Список наиболее часто применяемых методов защиты приведен во врезке «Встроенные механизмы защиты».
Дополнительные средства
Встроенные средства защиты, безусловно, удобны. Но не следует забывать, что основная цель маршрутизатора – направлять пакеты по нужным адресам. Перераспределение процессорных мощностей и выделение части из них для выполнения функций защиты приводит к снижению производительности маршрутизатора и, как следствие, к уменьшению его пропускной способности.
Конечно, разработчики сетевого оборудования прилагают все усилия, чтобы процессы обработки во встроенной защите не сказывались на производительности коммутационного оборудования, но поскольку оба процесса склонны к наращиванию собственных мощностей (один – для увеличения защищенности, другой – производительности), то приходится чем-то жертвовать – или пропускной способностью, или функциональностью (с точки зрения сетевой безопасности). Хотя и из сложившейся ситуации есть выход: применение дополнительных средств защиты, способных обеспечить все функции по блокированию несанкционированной активности.
Собственно, это те самые отдельные защитные устройства, устанавливаемые в уже построенной сети, с которых начинался рынок средств информационной безопасности. К таковым относится в первую очередь межсетевой экран (МСЭ, или firewall, или брандмауэр), разграничивающий доступ к ресурсам сети оператора связи или клиента. МСЭ, реализуя схожий со списками контроля доступа функционал, имеет и много других защитных возможностей. Например, осуществляет глубокий анализ трафика, учитывающий тип используемого сетевого приложения, состояние соединения и другие параметры сессии.
Другое, не менее известное средство – системы предотвращения атак, инспектирующие весь сетевой трафик с целью обнаружения в нем следов несанкционированной активности и последующего блокирования атаки. Такие системы используют, как правило, либо один, либо два способа выявления атак. Первый базируется на сравнении сетевого трафика с базой сигнатур известных атак, а второй – на контроле отклонений от нормальной сетевой активности (по этому принципу можно обнаруживать атаки «отказ в обслуживании», «червей» и другие типы нападений).
Системы контроля содержимого предназначены для обнаружения спама и других нарушений политики безопасности. Кроме того, установленные у клиентов, они могут быть также настроены на обнаружение фактов утечки конфиденциальной информации.
Реакция на инциденты
Обнаружением и даже блокированием атаки роль OPSEC/SOC не ограничивается. Ведь необходимо и впредь не допустить повторения опасных ситуаций. А это можно сделать, не только изменив конфигурацию сетевого оборудования и средств защиты, но и отследив источник, который связан со злоумышленником или инициировал DoS-атаку.
Серьезное сетевое оборудование предполагает наличие специальных механизмов, способных автоматически отследить (трассировать) адрес нарушителя. К таким механизмам относятся методы: NetFlow (контроль сетевого потока), IP Source Tracker (трассировка адреса источника), отслеживания по обратному распространению, трассировка с помощью ACL и др. Не будем вдаваться в подробное описание этих механизмов, поскольку это тема достаточно обширна и требует специального рассмотрения. Однако следует помнить: в «правильной» системе безопасности означенные механизмы – ее необъемлемая часть.
Краеугольный камень защиты
Изобилие средств защиты не только повышает уровень защищенности оператора связи, но и увеличивает нагрузку на администраторов безопасности, которым приходится оперировать поистине гигантскими объемами данных, сигнализирующих о несанкционированной активности. В таблице показан средний уровень информационного потока, с которым приходится сталкиваться оператору средств защиты.
Но проанализировать сигналы тревоги очень и очень непросто, так как не все события представляют реальную опасность для инфраструктуры. Часть из них – лишь следствие ложного или «наведенного» срабатывания системы защиты на какое-либо событие в сети. Поэтому одна из первых задач администратора безопасности – «отделить зерна от плевел»: определить, какие атаки требуют немедленной реакции, какие подождут своего часа, а какие можно спокойно проигнорировать. И эта задача не была бы столь сложна, если бы все сообщения, сгенерированные средствами защиты, соответствовали реальным атакам. Однако действительность такова, что атак, которые действительно могут нанести ущерб ресурсам сети, несоизмеримо меньше, чем событий, фиксируемых защитными механизмами.
Мнение о том, что ложное сообщение лучше, чем его отсутствие, далеко не всегда оправданно. Как тут не вспомнить сказку о пастушке, который так часто кричал «волки, волки!», что все перестали обращать внимание на его крики. А когда на стадо в действительности напали волки, никто не пришел на его зов о помощи, и волки спокойно задрали стадо. Найти реальную атаку в сотнях мегабайт фиксируемых событий – все равно что отыскать иголку в стоге сена. Если же вы совершили невозможное и все-таки обнаружили угрозу вашей сети, необходимо оповестить об этом и других заинтересованных лиц – владельцев атакуемой системы или ее администратора, группу реагирования на инциденты и т. п.
Хотя следует заметить, что выявить реальную атаку с помощью одиночных средств защиты практически нереально. У одной системы не хватает механизма сопоставления разнородных событий безопасности, у другой отсутствует эффективный механизм хранения гигабайтов собранных данных, третья не обладает системой генерации высокоуровневых отчетов, понятных руководству… Чтобы избежать описанных неприятностей, необходима эффективная система управления информационной безопасностью, которая позволяет связать все используемые в сети защитные средства в единый управляемый комплекс. Такие системы известны под общим названием Security Information Management Systems (SIMS). Вот они-то и могут выполнять роль «генштаба» в обороне сети от злонамеренных атак, оперативно собирая и анализируя события.
Рассмотрены разные механизмы защиты сети оператора связи и его клиентов от различных несанкционированных воздействий – одни более подробно, другие вкратце. Надеюсь, мне удалось убедить читателя, что главное условие для обеспечения безопасности операторской инфраструктуры и ресурсов – следование «правилам хорошего тона». Более подробно со средствами и методами защиты можно ознакомиться, руководствуясь «Полезными ссылками».
Правила фильтрации
Ограничьте список протоколов, пропускаемых через периметр сети оператора: зачем давать злоумышленнику лишний канал проникновения в сеть? Например, «разрешенными» могут считаться протоколы BGP, OSPF, EIGRP, Telnet, SSH, GRE, IPSec, IKE, SNMP, NTP и т. д.
Определите адресное пространство оператора. Это позволит блокировать пакеты с подменными адресами, исходящими из сетей клиентов.
Создайте фильтры для частных, зарезервированных и не маршрутизируемых адресов. Эти адреса описаны в RFC1918 «AddressAllocation for Private Internets», а также вRFC3330 «Special–Use IPv4 Addresses».
Фильтруйте и входящий, и исходящий трафик. Это позволит защитить и себя, и сети клиентов от возможных проблем.
Полезные ссылки
http://www.nanog.org/ispsecurity.html
http://www.ispbook.com
http://www.cymru.com
http://puck.nether.net/mailman/listinfo/nsp–security
http://www.cert.ru
ftp://ftp–eng.cisco.com/cons/isp
Знают, но ничего не делают
Результаты исследований, проведенных аудиторской и консультационной компанией Ernst & Young в области информационной безопасности (ИБ) и опубликованных в конце 2004 г. (http://www.ey.com/globalsecuritysurvey), показывают, что практически все организации в мире хорошо осознают опасность роста угроз, связанных с собственным персоналом, но не предпринимают необходимых мер для защиты. Из 1233 организаций-участниц опроса, представляющих ведущие компании из 51 страны, более 70% не включили в списки своих приоритетных задач обучение и повышение квалификации сотрудников в сфере ИБ. Кроме того, менее трети опрошенных проводят регулярную оценку работы своих поставщиков IT-услуг с целью контроля за соблюдением ими политики ИБ, полагаясь исключительно на доверие. В целом, только 20% респондентов рассматривают сегодня ИБ как одну из приоритетных задач руководства.
По мере развития бизнес-моделей организаций в направлении децентрализации некоторые функции делегируются внешним подрядчикам, следовательно, все труднее становится контролировать защищенность своей информации и оценивать уровень рисков. По мнению Ernst & Young, компании могут делегировать выполнение работы, но не должны делегировать ответственность за безопасность.
Картина в России и странах СНГ ничем не отличается от других стран: недостаточное внимание со стороны высшего руководства, нерегулярное проведение оценки рисков, а также недостаток либо полное отсутствие инвестиций в работы по снижению рисков, связанных с человеческим фактором (некорректное поведение сотрудников, оплошность, нарушение установленных правил или стандартов). Основное внимание по-прежнему уделяется лишь таким внешним угрозам, как вирусы, а серьезность внутренних угроз недооценивается: есть готовность покупать технологические средства (межсетевые экраны, антивирусную защиту и т. п.), но нет желания решать кадровые проблемы безопасности.
Ernst & Young отмечает, что осознание реальности ущерба от внутренних угроз, к сожалению, никак не коррелирует с действиями руководства. Так, многие инциденты с участием сотрудников остаются не выявленными. По мнению авторов исследований, компании могут и должны изменить свой взгляд на ИБ только как на статью расходов на ведение бизнеса: относиться к ней как к одному из способов повышения конкурентоспособности и сохранения стоимостного потенциала компании.
По материалам Ernst & Young
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!