На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

РЕЙТИНГ УРОВНЕЙ ЗАЩИТЫ

Для того чтобы помочь вам лучше понять всю важность использования брандма­уэров и обеспечения безопасности сети в целом, Министерство обороны США выпустило Orange Book — азбуку сетевой защиты. При оценке брандмауэра необхолимо рассмотреть, какие уровни защиты, описанные в Orange Book, предос­тавляет каждый тип брандмауэров. В следующих разделах будут рассмотрены четыре основных уровня защиты, которые описываются в этой книге. Каждый из них подразделяется на классы; в общей сложности существует семь классов уровней защиты.
УРОВЕНЬ ЗАЩИТЫ D
Класс D1 является наименьшим уровнем защиты в классификации, разработанной Министерством обороны США. Система с уровнем защиты D1 не обеспечивает существенную защиту для файлов или пользователей. Наиболее распространен­ной формой такой системы являются локальные операционные системы (напри­мер, Microsoft Windows 95) или частично не защищенные сети.
УРОВЕНЬ ЗАЩИТЫ С
Классы уровня защиты С обеспечивают избирательную защиту сети и функции отслеживания пользовательских действий и возможностей (так называемый
аудит). Министерство обороны США подразделяет уровень С на две подкатего­рии — С1 и С2. В следующих разделах описываются обе категории.
УРОВЕНЬ С1
Системы с уровнем защиты удовлетворяют требованиям избирательной за­щиты путем предоставления некоторого разделения пользователей и данных. Системы класса С1 включают некоторые виды жесткого контроля, позволяюще­го установить ограничение доступа для конкретных пользователей. Короче гово­ря, системы класса позволяют пользователям защищать их личную информа­цию и предохранить данные от случайного чтения или разрушения. В таких системах все пользователи обрабатывают данные на одинаковом уровне. Иначе говоря, все документы для систем с уровнем защиты выглядят одинаково секретными. Хорошим примером является Novell Netware или более поздняя версия этого сетевого программного обеспечения. Следует, однако, заметить, что каждый компьютер, связанный с сетью, имеет уровень защиты D1, по­скольку он подвергается физическому риску. Ниже приводятся минимальные требования для обеспечения уровня защиты С1.
• Определенный и контролируемый доступ между именованными пользова­телями и именованными объектами.
• Система идентификации и паролей, которая должна быть пройдена пользо­вателями, прежде чем они получат доступ к информации в сети.
УРОВЕНЬ С2
Системы с уровнем защиты С2 обладают более гибкими средствами контроля по сравнению с системами с уровнем защиты Пользователям систем С2 предо­ставляются индивидуальные счета (account) для каждого из действий при соедине­нии с сетью. Системы С2 обеспечивают эту возможность, пользуясь процедурами входа, путем прослеживания (аудита) всех событий, имеющих отношение к безопасности работы, и путем изолирования ресурсов. Системы с уровнем за­щиты С2 обладают всеми свойствами систем О, а также должны удовлетворять следующим требованиям:
• Элементы управления доступом включают как целые группы, так и от­дельных пользователей.
• Элементы управления доступом должны ограничивать копирование прав доступа.
• Механизм избирательного доступа будет, по явно заданным пользовате­лем параметрам или по умолчанию, обеспечивать защиту от незарегистри­рованного доступа.
• Элементы управления доступом могут разрешать или ограничивать доступ определенных пользователей к определенным объектам.
• Система идентификации уникальным образом определяет каждого пользователя, связанного с системой.
• Операционная система ассоциирует каждое действие, произведенное опре­деленным пользователем, с уникальным идентификатором этого пользо­вателя.
• Сеть может создавать и поддерживать функции аудита всех попыток доступа к сетевым объектам (например, к файлам).
УРОВЕНЬ ЗАЩИТЫ В
Orange Book подразделяет уровень защиты В на классы Bl, B2 и ВЗ. Принципи­альная разница между уровнями ВиС в том, что системы с уровнем защиты В должны иметь обязательную защиту. Это означает, что на каждом уровне досту­па к системе используются свои правила. Другими словами, каждый объект
должен обладать своим уровнем безопасности. Подобная система не позволит пользователю сохранить созданный объект, если он не определит уровень защи­ты этого объекта.
УРОВЕНЬ B I
Системы класса должны отвечать всем требованиям к системам класса С2. Кроме того, в системах 131 должен физически обеспечиваться обязательный кон­троль доступа над субъектами и объектами и неформальное следование некото­рой стратегии защиты. Системы с уровнем защиты должны удовлетворять следующим требованиям:
• Система должна поддерживать «метки чувствительности» для каждого объек­та, над которым сеть осуществляет контроль. Метка чувствительности — это индикатор чувствительности объекта. Например, можно пометить цифры предстоящих продаж как «чувствительные», а деловые проекты — как «особо чувствительные».
• Система должна использовать чувствительные метки как основудля при­нятия решений по осуществлению обязательного контроля доступа.
• Система будет помечать импортированные, непомеченные объекты, прежде чем поместить их в систему, и не разрешит непомеченным объектам про­никать в систему.
• Метки чувствительности должны точно определять уровни безопасности различных объектов.
• Когда системный администратор создает систему либо добавляет новые коммуникационные каналы или устройства ввода-вывода в систему, он
должен определить каждый коммуникационный канал и каждое устрой­ство ввода-вывода как одноуровневое или многоуровневое. Изменить это определение администратор может только вручную.
• Многоуровневые устройства поддерживают меткучувствительносци инфор­мации, передаваемой им с помощью сети.
• Одноуровневые устройства не поддерживают уровень чувствительности пе­редаваемой информации.
• Все выходные данные, передаваемые пользователям, независимо от того,
являются они виртуальными (мониторы) или физическими (бумага), дол­жны сопровождаться меткой, которая определяет уровень чувствительности
объектов на выходе.
• Система должна использовать пароли и методы идентификации для опре­деления уровня доступа каждого пользователя. Более того, уровни доступа и безопасности пользователя должны применяться при каждом его обра­щении к объекту.
• Система должна регистрировать все попытки несанкционированного до­ступа в специальном журнале.
УРОВЕНЬ В2
Системы класса В2 должны удовлетворять всем требованиям, предъявляемым к системам класса В1. Кроме того, системному администратору необходимо при инсталляции системы основывать надежную вычислительную базу с помощью четко определенной и подкрепленной документально модели безопасности сис­темы. Особенность систем класса В2 заключается в том, что они должны рас­пространять избирательные и обязательные элементы управления доступом сис­тем класса на все объекты и субъекты системы. Системы с уровнем защиты В2 адресуют незащищенные элементы и четко разделяют на критичные и не критичные к защите элементы. Системы этого класса могут оказывать достаточ­но сильное сопротивление атакам. Они должны удовлетворять следующим тре­бованиям:
• Система должна немедленно сообщать пользователю о каждом изменении его уровня доступа во время текущего сеанса работы.
• Система должна поддерживать надежные коммуникации между собой и пользователем во время его регистрации и идентификации. Только пользователь может стать инициатором сеанса связи во время работы с надежны­ми коммуникациями.
• Разработчик системы должен проводить тщательный поиск незащищенных каналов и определять максимальную пропускную способность каждого из них.
• Надежная вычислительная основа будет поддерживать отдельные функции оператора и администратора.
• Реализация системы должна включать в себя диспетчера конфигурации -человека, который будет заниматься проверкой того, что коренные изме­нения системы проводятся людьми с соответствующими правами и разре­шениями.
УРОВЕНЬ ВЗ
Системы класса ВЗ должны удовлетворять всем требованиям, предъявляемым к системам В2. Кроме того, разработчики создают системы этого класса, ставя целью ограничение доступа и защиту от копирования с минимизацией компо­нентов, упрощающих анализ и тестирование системы. Надежная вычислительная основа должна исключить все те программы, которые являются несущественны­ми для проведения политики защиты. Более того, проектировщики должны свести к минимуму сложность системы, для того чтобы упростить ее анализ. У такой системы должен быть постоянный администратор, расширенный механизм аудита и процедуры восстановления системы. Системы класса ВЗ в высшей мере устой­чивы к атакам. Они должны удовлетворять следующим требованиям:
• Кроме того, что они контролируют доступ всех пользователей к любому объекту (как и системы класса В2), системы класса ВЗ должны генериро­вать читабельный список безопасности. В этом списке должны быть от­мечены все зарегистрированные в системе пользователи и их доступ ко всем объектам системы.
• Каждый зарегистрированный объект должен поддерживать спецификацию списка пользователей, не обладающих правами доступа к этому объекту.
• Прежде чем предпринять какие-то действия, система ВЗ требует обяза­тельной идентификации пользователя.
• Системы ВЗ идентифицируют каждого пользователя не только внутренне,
но и с внешними протоколами безопасности. Система не будет предо­ставлять внутренний доступ пользователям, которые, по ее определению, не имеют доступа на внешнем уровне безопасности, несмотря на коррект­ность безопасности. Более того, система должна создать сообщение для журнала аудита, в котором указывается причина отказа в доступе.
•Проектировщики должны логически выделить и безошибочно отличить на­дежный путь коммуникации от всех остальных.
• Надежная коммуникационная основа должна создавать информацию ауди­та для каждого действия любого зарегистрированного пользователя над
каждым объектом. К тому же всякий раз, когда зарегистрированный пользователь пытается выполнить какое-либо действие, надежная никационная основа должна создать полную информацию аудита для ад­министратора.
• Надежная вычислительная основа должна поддерживать отдельные функ­ции администратора безопасности.
• Система должна поддерживать надежное восстановление (другими словами,
система не будет перезагружаться без соблюдения условий безопасности).
УРОВЕНЬ ЗАЩИТЫ А
Уровень защиты А является высшим по системе уровней, представленной в Orange Book. Он содержит только один класс систем — А1. Его характеризует исполь­зование формальных методов контроля безопасности. Формальные методы бе­зопасности обеспечивают то, что элементы обязательного и избирательного кон­троля безопасности системы могут эффективно защищать классифицируемые или другие высокочувствительные данные, содержащиеся или обрабатываемые в си­стеме. Уровень защиты А требует обширной документации для демонстрации того, что система удовлетворяет всем требованиям безопасности.
УРОВЕНЬ А1
Системы класса А1 функционально идентичны системам класса ВЗ в том, что не требуют отличий в архитектуре или требованиях политики. Отличием систем
класса А1 является то, что проектировщики каждой системы должны анализи­ровать систему с точки зрения формальной разработки. После анализа системы
проектировщики должны интенсивно применять методы проверки для гарантии того, что система удовлетворяет всем формальным требованиям. В частности, системы класса А1 должны также удовлетворять следующим требованиям:
• Диспетчер безопасности системы должен получить от разработчика систе­мы формальную модель политики защиты. Эта модель ясно определяет и устанавливает в письменном виде все аспекты политики, включая матема­тическое доказательство того, что модель согласуется со своими аксиома­ми и достаточна для поддержки требуемого уровня защиты.
• Все инсталляции систем класса А1 требуют наличия диспетчера безопас­ности системы.
• Диспетчер безопасности системы должен установить систему класса А1, формально задокументировать каждый шаг инсталляции и показать, что система согласуется с моделью безопасности и формальной моделью.
Немногие системы должны обладать уровнем защиты А1. Однако, поскольку разные системы требуют разных уровней безопасности, рассмотрим несколько
причин, по которым уровень безопасности операционной системы зависит от степени безопасности, предоставляемой брандмауэром:
•Проверка событий операционной системой. Операционная система с уров­нем защиты С2 и выше по классификации Orange Book должна содержать
возможности полной регистрации (аудита) любых событий, связанных с безопасностью системы. Это должно помочь определить размер нанесен­ного хакером вреда. К тому же, с помощью средств аудита можно опреде­лить, проводится ли атака в настоящее время или система уже взломана. • Политика обязательного доступа. Можно использовать политику обяза­тельного доступа в системах с уровнем защиты В1 или выше для защиты от «троянских коней». Кроме того, этот уровень гарантирует, что только определенные пользователи имеют доступ к системным файлам. В главе 14 подробно рассказано о «троянских конях». Обычные пользователи бранд­мауэра (например, пользователи FTP) и многие процессы-демоны могут работать на более низком уровне защиты, поэтому нужно защищать сис­темные файлы от их воздействия.
Для эффективного использования брандмауэра операционная система должна иметь как минимум уровень защиты С2 (а лучше В1). Это существенно умень­шит возможности атак на систему. Не выполняя элементарных правил обеспе­чения безопасности работы в сети, вы не сможете определить, когда хакер взло­мал систему. Помните, что процедура входа в систему, инициируемая серве­ром-посредником для протоколов TCP/IP, действительна только для событий TCP/IP. Несмотря на то что с помощью отслеживания таких событий можно определить атакующего, поддержка аудита действий на уровне операционной системы (например, попытка скопировать файл с паролями системы) более су­щественна. Особенно это касается атак на брандмауэры.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика