Архитектурная безопасность

Особый характер информации, циркулирующий в сетях DOD общего назначения, привел к использованию принципа "минимальных привилегий" ("principle of least privilege" или "need-to-now"), согласно которому обработка данных в открытом виде производится только теми устройствами, которые должны (уполномочены) это делать. Этот принцип приводит к приоритетному использованию методов обеспечения безопасности между конечными системами.

Упор на обеспечении  гараантированной безопасности компьютерных и сетевых систем в концепции безопасности DOD привел к развитию парадигмы эталонного монитора (reference monitor paradigm), релизуемого посредством безопасной операционной системой, действующей как доверительный "посредник" доступа субьектов (пользователей или процессов) к защищенным ресурсам, называемым обьектами (представляющие собой файлы или процессы), в системе. Чтобы быть эффективным, эталонный монитор должен быть промежуточным для всех доступов всех субьектов к любым ресурсам системы. При этом во главу угла ставится также конфиденциальность любых соединений и доступов.

Практическая  реализация указанных принципов  и положений привела к архитектуре DOD/Internet, в основе которой лежит  использование специальных "режимных" доверительных устройств обеспечения  безопасности на уровнях Физическом, МАС (Media Access Level) и Сетевом (IP-уровне). Такие устройства соответсвенно выполняют следующие функции:

• Шифрование данных и сигналов на Физическом уровне, которые обеспечивают конфиденциальность коммунникаций "точка-точка" для физичсеких каналов.
• Шифрование данных на Сетевом уровне, которое выполняется специальными устройствами, используемыми в TCP/IP-сетеях, для данных (пакетов) сетевого уровня. Такие устройства позволяют обеспечить высокую защищенность коммуникаций между конечными системами источника и получателя данных (сообщений) без необходимости использования доверительных промежуточных сетевых коммутаторов.
• Шифрование данных на МАС-уровне локальных вычислительных сетей, которое может выполняться как для отдельного компьютера, так и для группы компьютеров.

Устройства, реализующие  указанные функции являются очень  дорогостоящими и, фактически, целесообразны  только действительно для особых критических применений, где производится работа с очень чувствительной информацией.

Важным компонентом архитектуры безопасности TCP/IP-сетей является обеспечение безопасности таких сетевых приложений, как служба директорий и обмен сообщениями, которые требуют использования механизмов обеспечения безопасности на Прикладном уровне таких, как аутентификация, целостность, причастность, контроль доступа.

Следствием применения концепции  эталонного монитора в архитектуре  безопасности DOD является необходимость  использования доверительной безопасной операционной системы для обеспечения  гарантированной безопасности коммуникаций между приложениями (задачами прикладного уровня), что является еще одним дорогостоящим критическим компонентом архитектуры безопасности DOD.

Архитектура безопасности DOD использует механизмы контроля за доступом на основе правил и централизованную систему распределения ключей, в то время как архитектура безопасности Интернет использует механизмы контроля за доступом на основе идентификации пользователя и соответственно распределенную систему распределения открытых ключей на основе Х.509..

5. Основные компоненты  архитектуры безопасности Интернет

5.1. Принципы построения  архитектуры безопасности Интернет.

Изложенные  в [1] семь принципов построения уровневой  модели безопасности компьютерных сетей  в соответствии со стандартом ISO 7498-2 полностью применимы для использования в Интернет. Однако для Интернет целесообразно сформулировать ряд дополнительных принципов, определяющих применимость механизмов безопасности в существующей модели и инфраструктуре Интернет.

1. Механизмы безопасности должны быть масштабируемы, чтобы удовлетворять постоянно увеличивающимся масштабам Интернет (количеству сетей, компьютеров и пользователей). В частности, механизмы безопасности (аутентификация и контроль за доступом), использующие службы доменных имен, должны учитывать постоянный рост Интернет.
2. Механизмы безопасности должны (иметь возможность) опираться на технологии нижних уровней (алгоритмы и протоколы), которые имеют проверенную гарантированную безопасность.
3. Механизмы безопасности не должны ограничивать топологию сети. Например, применение определенного механизма безопасности нежелательно, если условием его применения является использование единственного межсетевого устройства (в данном случае маршрутизатора) для внешних соединений.
4. Рекомендуется применять механизмы безопасности и соответствующие продукты, которые не подвержены экспортно-импортным ограничениям или законодательному регулированию.
5. Известно, что применение многих механизмов безопасности требует применения инфраструктуры, стоимость управления и поддержания которой сравнима со стоимостью внедрения самих механизмов безопасности. Поэтому целесообразно развивать такие технологии безопасности, которые используют общую инфраструктуру безопасности. Например, инфраструктура сертификации открытых ключей в соответствии со стандартом Х.509 используется для защиты данных в электронной почте в соответствии со стандартами PEM (Privacy Enhanced Mail), Х.400, а также для поддержки механизмов безопасности службы директорий Х.500 и управления телекоммуникационными сетями Х.700.
6. Криптографические механизмы, используемые в Интернет, должны быть широко известны и проверены временем. Это не является доказательством надежности этих механизмов, но однако гарантирует от крупных ошибок.

5.2. Рекомендуемое использование  механизмов безопасности

В Интернет может  полностью использоваться рекомендуемое  в ISO 7498-2 соответствие между сервисами  безопасности и уровнями модели ВОС. Необходимость этого возникает  также исходя из применения в Интернет множества протоколов. Однако предлагаемое соответствие имеет ряд ограничений, связанных с практическим применением этих рекомендаций для реализации конкретных приложений (сервисов) Интернет.

Поэтому для  Интернет, в соответствии с рекомендациями рабочей группы по вопросам обеспечения  конфиденциальности и безопасности в Интернет (PSRG - Privacy and Security Research Group) IETF, наиболее эффективным является введение комплексного соответствия между сетевыми информационными сервисами, с одной стороны, и существующими сервисами и механизмами безопасности, с другой стороны, что в основном ориентировано на обеспечение совместимости отдельных реализаций сервисов в многопротокольной глобальной среде Интернет. При таком подходе для каждого приложения определяются требования к безопасности и соответствующие необходимые сервисы и механизмы безопасности (протоколы и необходимая инфраструктура), которые смогут удовлетворять этим требованиям. Т.е., фактически, используемое в Интернет соответствие между сетевыми приложениями (сервисами) и механизмами безопасности является обьединением и обобщением предложенных в стандарте ISO 7498-2 карт соответствия между сервисами безопасности и уровнями модели ВОС и между механизмами и сервисами безопасности. Главной целью и преимуществом такого подхода является обеспечение совместимости различных реализаций приложений в Интернет, позволящей использовать продукты различных производителей.

Ниже приводится краткий обзор рекомендуемых  и применяемых сервисов механизмов безопасности для основных приложений Интернет: электронной почты, службы директорий, управления сетью, удаленного терминала и передачи файлов, междоменной и внутридоменной мрашрутизации, протокола обмена гипертекстовой информацией в World Wide Web. Отдельно рассмотрены вопросы использования брандмауэров для защиты внутренних и корпоративных сетей и создания так называемого "периметра безопасности".

В Приложении 1 приведен перечень RFC, определяющих архитектуру  безопасности Интернет, и дана их краткая  аннотация.

5.2.1. Электронная почта

Электронная почта  является наиболее широко используемым приложением Интернет. Поэтому обеспечению  защиты обмена почтовыми сообщениями (или просто сообщениями) посвящено  наибольшее количество стандартов и  директивных документов Интернет, ISO, ITU-T (МКТТ).

Отдельные сервисы  электронной почты в Интернет определяются стандартами RFC 822 (формат почтовых сообщений), RFC 821 (простейший протокол передачи электронной почты SMTP - Simple mail Transfer Protocol), RFC 1891 (Extended SMTP), RFC 1225 (Post Offica Protocol, Version 3) и другими.

Сервисы безопасности для почтовых сообщений должны включать обеспечение конфиденциальности и  целостности (для коммуникаций без  установленния соединения), аутентификацию происхождения данных, причастность (для отправителя и получателя). Однако эти услуги касаются отправителя и получателя сообщения, но не касаются провайдера услуг передачи электронной почты.

Для обеспечения  основынх сервисов безопасности в рамках RFC 822 (для чисто текстовых документов) был разработан протокол PEM (Privacy Enhanced Mail), изложенный в RFC 1421-1424. PEM рекомендован и, фактически, используется как единый стандарт в Интернет для защиты почтовых сообщений. Особенностью применения PEM является необходимость использования службы распределенной сертификации открытых ключей в соответствии с Х.509. Защищенные обьекты PEM могут входить в состав собщения в формате X.400.

Для обеспечения  сервисов безопасности расширенных  форматов почтовых сообщений (MIME - Multupurpose Internet Mail Extension) разработаны стандарты Интернет RFC 1847и RFC 1848, которые определяют типы и форматы защищенных обьектов почтовых сообщений MIME Object Security Service (MOSS).

Недавно разработан и находит широкое распространение  новый протокол защиты сообщений  электронной почты PGP (Pretty Good Privacy), который  использует шифрование при помощи открытого  ключа для защиты почтового сообщения  и файлов. PGP включает конфиденциальность и цифровую подпись.

В Интернет широко применяется система обработки  сообщений в соответствии со стандартами ITU-T группы Х.400, которые определяют протоколы и сервисы обработки  почтовых сообщений в открытых системах передачи данных. Станадарты Х.400, Х.402, Х.411 наиболее полно определяют сервисы безопасности для обработки почтовых сообщений как при передаче (включая учет последовательности поступления сообщений), так и при их хранении: конфиденциальность, целостность, аутентификацию происхождения данных и станции отправителя, причастность (для отправителя и получателя), а также использование меток и контекста безопасности.

В общем, архитектура  безопасности Интернет должна позволять  использовать как механизиы безопасности собственно Интернет (PEM, MOSS, PGP), так и соответствующие механизмы Х.400.

5.2.2. Служба директорий 

В Интернет используется две службы директорий DNS (Domain Name System - система доменных имен) и Х.500. Сервисы  безопасности и необходимые протоколы  хорошо определены для Х.500. Так, широкое применение находит система распределения и сертификации открытых ключей Х.509. Однако нет хорошо разработанной концепции и специальных механизмов безопасности для DNS (RFC 1535).

Необходимыми  сервисами безопасности для службы директорий являются аутентификаци происхождения данных и целостность данных для запросов и ответов. Контроль доступа необходим для защиты хранимых в директории данных от модификации и раскрытия неавторизованными пользователями.

Общей рекомендацией  может быть использование в Интернет для защиты директорий средств Х.500 на прикладном уровне и соответствующих протоколов более низких уровней. Попытки реализовать необходимые сервисы безопасности для DNS посредством сервисов и механизмов более низких уровней не дает достаточной защищенности.

5.2.3. Управление сетями 

Управление  сетями в Интернет обеспечивается при  помощи протокола SNMP (Simple Network Management Protocol). Ряд стандартов Интернет RFC 1352, 1446, 1472, 1910 определяют основные сервисы и  механизмы безопасности при передаче управляющей информации, доступе к базам данных управляющей информации и управляющим обьектам.

Сервисы безопасности для SNMP определяются для прикладного  уровня: конфиденциальность и целостность  без установления соединения, аутентификация происхождения данных и контроль доступа.

В последнее  время отдельные приложения в  Интернет частично ориентиуются на использование  протоколов управления телекоммуникационными  сетями передачи данных X.700, которые  имеют хорошо определенные сервисы  и механизмы обеспечения безопасности.

5.2.4. Виртуальный терминал и передача  файлов

Функции виртуального терминала (или удаленного доступа) обеспечивается протоколом Telnet. Передача файлов поддерживается протоколами FTP (File Transfer Protocol) и FTAM (File Transfer, Access and Management). Необходимые сервисы безопасности для обоих протоколов включают конфиденциальность и целостность для коммуникаций с установлением соединений, аутентификацию субьектов коммуникаций и контроль доступа на основе идентификации субьекта коммуникаций. Эти сервисы могут быть полностью обеспечены на прикладном уровне, однако целесообразно использовать некоторые механизмы на более низких уровнях, в частности, используя специальные защищенные протоколы сетевого и транспортного уровней NLSP (Network Level Security Protocol), SSL (Secure Socket Level) и TLSP (Transport Level Security Protocol). При этом устраняется дублирование сервисов на более высоких уровнях, однако в возникает необходимость введения новых программных модулей в ядро ОС.

5.2.5. Междоменная и внутридоменная маршрутизация

Для междоменной  маршрутизации используются протоколы BGP (Border Gateway Protocol), IDRP (ISO 10747. IS-IS Inter-Domain Routing Protocol). Междоменная маршрутизация обеспечивается протоколами RIP (Routing Information Protocol), OSPF (Open Shortest Path First), IS-IS (ISO 10589. Intermediate System to Intermediate System Intradomain Routing Exchange Protocol). При работе эти протоколы обмениваются служебной и управляющей информацией, которая определяет надежное функционирование сложной сетевой ифраструктуры. Общими требованиями безопасности для протоколов маршрутизации являются обеспечение аутентификации субьектов коммуникаций и целостности для коммуникаций без установления соединений. Дополнительно могут использоваться сервисы конфиденциальности и контроля доступа.