6 декабря, 2016, BIS Journal №3(22)/2016

Новый подход к защите периметра


Карих Олег

инженер отдела защиты АСУ ТП (АМТ-ГРУП)

ПАК «AMT InfoDiode»

В настоящее время рынок переполнен такими средствами защиты периметра, как межсетевые экраны и криптошлюзы. Многие из них являются достаточно эффективными. Но при этом 100% гарантии защищенности не может дать ни один. Можно ли кардинально повысить эффективность защиты на уровне периметра сети?
 
НЕМНОГО О ТРАДИЦИОННЫХ СРЕДСТВАХ ЗАЩИТЫ ПЕРИМЕТРА 

Неотъемлемой частью системы защиты периметра информационных систем является межсетевой экран. Он определяет политики информационных потоков, обеспечивает контроль сессий и инспекцию трафика вплоть до уровня приложений. Зачастую межсетевой экран выполняет также функции VPN-шлюза для обеспечения конфиденциальности передаваемых данных через недоверенные каналы связи, посредством шифрования, с использованием криптографических алгоритмов. От стойкости выбранного криптографического алгоритма зависит уровень защиты  и обеспечение конфеденциальности передаваемых данных. При условии использования криптографического алгоритма с высокой стойкостью дешифрование данных становится слишком ресурсоемким. Несмотря на это, у внешнего злоумышленника остаются не менее трех основных способов реализации атаки, нацеленной на нарушение конфиденциальности и целостности данных, передаваемых по внешним каналам, а также на внутренние информационные ресурсы. Первый способ заключается в использовании известных уязвимостей сетевых сервисов межсетевого экрана. Вторым способом является реализация множества fuzzing-атак, нацеленных на поиск и эксплуатацию новых уязвимостей. Третий способ обеспечивает удаленный доступ к внутренним ресурсам информационной системы путем применения техник обхода межсетевого экрана.

В силу того, что межсетевые экраны являются программно-аппаратными комплексами, функции безопасности в которых реализованы на программном уровне, всегда будут иметь место уязвимости программного обеспечения. По данным ФСТЭК, только с начала 2015 года в ПО межсетевых экранов одного из крупнейших зарубежных производителей выявлено 14 уязвимостей. А по данным Common Vulnerabilities and Exposures (CVE), в ПО межсетевых экранов того же производителя с 2005 года выявлено 34 уязвимости. Конечно же, производители сетевого оборудования выпускают обновления ПО, в которых устранены найденные уязвимости, но всегда ли администраторы ИБ оперативно его обновляют? Зачастую системы ИБ настраиваются только при первоначальной установке. Впоследствии обновление ПО выполняется гораздо реже, чем следовало бы, или не выполняется вовсе. А помимо множества известных уязвимостей существует потенциально бесконечное множество нераскрытых и неизвестных уязвимостей.

Не стоит также забывать об эксплуатации злоумышленниками конфигурационных ошибок, которые в силу человеческого фактора имеют место быть. Случайно оставленный включенным сервис или некорректно написанное правило всегда будут учитываться злоумышленниками при подготовке атаки.

Представим себе распространённую ситуацию, когда компания имеет два или несколько территориально-разнесенных объектов, между которыми должен происходить обмен критически важной информацией, например, информацией о банковских транзакциях, управляющими командами систем АСУ ТП, данными, представляющими коммерческую тайну и т.д. Как правило, задача обеспечения ИБ в описанной ситуации решается установкой межсетевого экрана на периметре защищаемых сетевых сегментов, который, в том числе, обеспечивает построение VPN-туннелей между территориально-разнесенными объектами через недоверенные каналы связи. Межсетевых экранов на каждом объекте может быть несколько, но это всего лишь увеличит время, требуемое злоумышленникам на реализацию атаки, так как каждый межсетевой экран может быть взломан последовательно.

В ряде случаев, например, на критически важных объектах, такой уровень обеспечения ИБ может быть в принципе неприемлем для владельца информационной системы, вплоть до отказа от взаимодействия с удаленными или внешними системами и полной изоляции защищаемой системы.

СХЕМА "ПЕРИМЕТР КВО"

Подход компании АМТ-ГРУП позволяет решить задачу обеспечения ИБ на уровне периметра, исключив возможность реализации большинства атак на межсетевые экраны/VPN шлюзы. Для реализации подавляющего большинства атак (около 90%) требуется наличие обратной связи с атакуемой системой, в частности, с межсетевым экраном, который обеспечивает безопасность защищаемых ресурсов и шифрование трафика. Использование схемы «Периметр КВО» и системы однонаправленной передачи данных ПАК «AMT InfoDiode» позволяет повысить защищенность криптографического шлюза и/или межсетевого экрана от внешних атак, многократно усложнив возможность реализации большинства угроз злоумышленником.

КАК ЭТО РАБОТАЕТ? 

В схеме “Периметр КВО” предлагается организация защищенного взаимодействия удаленных объектов с повышенным уровнем защиты периметра от действий внешнего злоумышленника.

Достигается это за счет аппаратного разделения входящего и исходящего потоков IPSec на периметре, что позволяет кардинальным образом усложнить возможность реализации любых внешних атак, предполагающих обратную связь (а это примерно 90% всех возможных сетевых атак), на межсетевой экран или VPN-шлюз.

В качестве аппаратных устройств, обеспечивающих контроль IPSec-потока в каждом из направлений, используется ПАК «AMT InfoDiode». Функция обеспечения однонаправленной передачи данных в ПАК «AMT InfoDiode» гарантируется аппаратной компонентой, не содержащей элементов программного обеспечения. В том числе, это позволяет исключить конфигурационные ошибки, ведущие к нарушению функций защиты.

ПАК «AMT InfoDiode» является системой однонаправленной передачи данных, состоящей из трех компонент:
  1. Прокси серверов (внешнего и внутреннего), обеспечивающих логику передачи данных.
  2. Аппаратной компоненты InfoDiode, обеспечивающей гарантированную однонаправленность передачи данных на физическом уровне. 
Для организации коммуникации общее количество TCP и UDP портов, которые могут быть задействованы сервисами или приложениями для взаимодействия между собой, составляет 131070 (65535 TCP + 65535 UDP). Стандарт IPSec, применяемый для построения VPN, использует UDP порт 500 и протокол ESP, либо два UDP порта – 500 и 4500 (в режиме NAT-T). Встроенная в ПАК «AMT InfoDiode» функция «Периметр КВО» позволяет в конфигурации прокси серверов (InProxy и OutProxy) каждого из комплектов задать правила, разрешающие передачу только IPSec (в режимах ESP и NAT-T) по UDP портам 500 и 4500, и только ip-адресам, участвующим в VPN-взаимодействии.

Таким образом, для потенциального внешнего злоумышленника обратная связь может быть реализована только по протоколам стандарта IPsec. Для любых других протоколов из указанного пула в 131070 портов UDP и TCP установить обратную связь крайне затруднительно (практически невозможно -  злоумышленник должен последовательно взломать все устройства прямого и обратного контура ПАК «AMT InfoDiode» и VPN-шлюз, при этом действуя без обратной связи для взлома трех компонент из пяти).

Схема «Периметр КВО» была разработана специалистами АМТ-ГРУП и протестирована совместно с рядом производителей межсетевых экранов с функцией шифрования трафика, одним из которых является компания «С-Терра СиЭсПи». В рамках тестирования в качестве VPN-шлюзов использовались С-Терра Шлюз 1000. По схеме «Периметр КВО» были соединены 4 объекта. Средний объем зашифрованного трафика между ними составлял порядка 150 Мбит/сек. Схема показала стабильные и положительные результаты по параметрам производительности и надежности.

Ценность информации определяет необходимый уровень защиты. Порой для защиты критичных информационных систем необходимо использовать любые возможности и подходы для повышения уровня защищенности. Схема «Периметр КВО» может быть востребована отечественными предприятиями ТЭК и промышленности, силовыми структурами, финансовыми компаниями и организациями других отраслепй, критичность инфраструктуры и ресурсов которых требует обеспечения повышенного уровня защищенности.
 
Справка
ПАК «AMT InfoDiode» сертифицирован ФСТЭК как СЗИ по техническим условиям и с уровнем НДВ4. ПАК «AMT InfoDiode» реализован на отечественной аппаратной платформе, операционной систем “Астра Линукс” и обеспечивает производительность до 1000Мб/с. Фото ПАК «AMT InfoDiode».

 

Смотрите также

Два берега И-реки

24 ноября, 2016
Подпишись на новости!
Подписаться