Защитить сеть и защититься от сети

К защите информации в сетях сегодня  существует два подхода:

- физическая  изоляция (компьютеры в специальных помещениях, выделенные каналы передачи информации)

- или криптографическая защита информации (с помощью программных или аппаратных средств).

Первый связан с массой ограничений и неудобств, поэтому массово используется второй, казалось бы существенно более современный и прогрессивный.

Существует множество решений для организации криптографической защиты данных как на автономных компьютерах (шифрование данных на дисках), так и в сетях передачи данных (организация VPN-туннелей,  протоколы IPSec, протоколы уровня приложения TLS/SSL и т. п.). Можно с большой степенью уверенности сказать, что в этой области все уже придумано. Но почему же растет ущерб от всевозможных криминальных инцидентов в сети? Почему многие организации вынуждены, теряя преимущества подключения к глобальной сети, все же выбирать первый путь?

Ответ прост: потому, что почти все компьютеры построены на x86-совместимых процессорах - на базе архитектуры фон Неймана.

Это значит, что программные инструкции и данные для процессора хранятся в общей памяти. Как следствие - всегда возможна попытка выполнить данные или модифицировать код.

Далеки от защищенности и современные ОС, в частности, установленная на большинство компьютеров ОС Windows[1]. Напомним, что код в ОС Windows выполняется на двух уровнях: уровне ядра (здесь выполняется код ядра и драйверов) и уровне приложений. Приложения изолированы друг от друга, ядро изолировано от приложений. Но приложения никак не защищены от ядра, и, что еще важнее, - подсистемы ядра не могут быть изолированы друг от друга. На практике это значит, что любой драйвер может все - модифицировать другой драйвер, модифицировать ядро или разрушить его. ПО, реализующее сетевые протоколы, в Windows также выполняется на уровне ядра. То есть из-за какой-либо ошибки в ядре вполне возможна организация сетевой атаки, в результате которой в режиме ядра будет выполнен код, внесенный извне. Этот код может, например, просто стереть содержимое диска, несмотря на то, что оно было зашифровано.

Получается, что криптографической защиты недостаточно,  необходимо также принимать меры против разрушающих сетевых воздействий. Такие меры, как правило, заключаются в применении средств сетевой защиты информации - межсетевых экранов или фильтров, а также средств обнаружения вторжений.

Существует большой ассортимент программных средств сетевой защиты информации, в том числе и сертифицированных для применения в государственных организациях. Однако, учитывая недостатки архитектуры процессоров x86 и особенности реализации ядер массовых ОС для них, можно с уверенностью утверждать, что без дополнительных мер обеспечить защиту от утечки ключей и конфиденциальных данных - невозможно.

В качестве такой дополнительной меры необходим, ни много, ни мало - анализ исходных текстов ядра ОС на предмет поиска и устранения возможных уязвимостей. Из-за размеров и сложности ядер современных ОС эта задача неосуществима за приемлемый промежуток времени. Кроме того, при таком подходе фактически нужно отказаться от обновления ОС, что во многих случаях также следует признать неприемлемым.

Складывается парадоксальная ситуация - вместо того, чтобы улучшить качество ОС за счет применения защитного ПО, нужно исследовать и дорабатывать огромную многомегабайтную ОС для улучшения качества работы небольшого защитного ПО.

Грамотно спроектированные аппаратные средства криптографической защиты информации (СКЗИ) позволяют изолировать ключи, однако, как мы выяснили, криптографическая защита в принципе не решает всех проблем, возникающих при работе в сетях.

Единственный способ решения проблемы - это полная (физическая) изоляция сетевой подсистемы от ядра ОС, что в условиях данной процессорной архитектуры возможно только при аппаратной реализации сетевой подсистемы.

При этом недостаточно применения сетевой платы с аппаратно реализованными криптографическими функциями, поскольку в этом случае высокоуровневые сетевые протоколы будут по-прежнему реализовываться в ядре ОС.

Аппаратная сетевая подсистема должна быть т. н. сетевым резидентным компонентом безопасности или сетевым РКБ, то есть быть полноценным сетевым шлюзом с функциональностью сетевого фильтра, VPN-шлюза, SSL-клиента и т. п.

При комплексном рассмотрении задач защиты информации весьма логичным представляется объединение в рамках одного устройства, устанавливаемого в слот расширения компьютера, -

- электронного замка,

- СКЗИ и

- средства сетевой защиты информации.

Поскольку большая часть сетевых атак организуется в расчете на уязвимости x86-совместимых компьютеров, в качестве центрального процессора такого устройства целесообразно выбрать микропроцессор, имеющий другую систему команд (не x86). При этом вычислительная мощность такого микропроцессора должна быть достаточна для запуска полноценной сетевой ОС, например, Linux.

Применением такого устройства достигается очень важный эффект - полная независимость защитной подсистемы от качества используемой в компьютере ОС. Соответственно, отпадает необходимость в дорогостоящей и трудоемкой сертификации ОС.

ОКБ САПР представляет первое изделие подобного класса - контроллер Аккорд-6.

Это универсальное аппаратное средство защиты информации, одновременно реализующее функции защиты от НСД, функции криптографической защиты и функции сетевой защиты информации.

Аккорд-6 является полноценным 32-битным высокопроизводительным микрокомпьютером с интерфейсами PCI 32-bit 33 MHz 3.3/5V, Ethernet 10/100, RS-232, USB-host, USB-slave, iButton (Touch Memory), конструктивно выполненным в виде стандартной низкопрофильной платы расширения, устанавливаемой в PCI/PCI-X слот компьютера (low profile PCI-card).

В состав микрокомпьютера входит мощный аппаратный криптографический сопроцессор, эффективно реализующий все российские (и некоторые зарубежные) криптографические алгоритмы и имеющий физический генератор случайных чисел.

Центральный процессор контроллера имеет архитектуру ARM, для которой имеются порты практически всех существующих операционных систем и средств разработки ПО (как коммерческих, так и с открытыми исходными текстами).

Контроллер Аккорд-6 может служить основой для организации действительно защищенного обмена информацией по сети, поскольку функции межсетевого экрана, VPN‑клиента, SSL/TLS-ускорителя, анализа содержимого сетевого трафика в реальном масштабе времени и т. п. реализованы аппаратно по отношению к основному компьютеру.

Наличие защищенного сетевого интерфейса позволяет организовать надежное удаленное управление комплексом СЗИ, полностью независимое от программного обеспечения основного компьютера.

Среди многочисленных вариантов использования контроллера особо хочется выделить возможность организации резидентного терминального сервера, терминальным клиентом которого будет основной компьютер. При этом компьютер полностью изолирован от сети Internet (согласно Указу Президента РФ от 12 мая 2004 года №611), и в то же время имеет терминальный доступ к Internet.

Наличие резидентного USB-host позволяет надежно контролировать и защищать трафик USB-интерфейса средствами, независимыми от ПО основного компьютера. Это дает возможность использования USB в тех случаях, когда по требованиям политики безопасности использование штатных USB-каналов основного компьютера запрещено.

Представляется обоснованным предположение, что появление такого комплексного решения, как Аккорд-6, позволит серьезно пересмотреть критерии выбора средств для решения задач защиты информации, особенно в части необходимости применения разнородного ПО для реализации т. н. защищенного сетевого обмена информацией. Ведь единственным аргументом, выдвигаемым в пользу программных решений, является их цена. Но при этом затраты на необходимые исследования и доработки ОС как правило не учитываются, а напрасно.

Автор: Лысенко В. В.

Дата публикации: 01.01.2007

Библиографическая ссылка: Лысенко В. В. Защитить сеть и защититься от сети // Connect! Мир связи. N 9 (139). 2007. С. 60–61.

---