Новостная рассылка MOXA в Украине

 Новости прессы

Апрель 2007 года                                                                                                    www.moxa.com.ua

Защита от несанкционированного доступа в ЛВС

Служба безопасности



Сегодня Ethernet-технологии становятся основой территориально распределенных сетей, и при их управлении или контроле не стоит забывать о надежности и безопасности передачи данных, так как нарушение конфиденциальности передаваемой информации может нанести предприятию значительный ущерб


Виктор КОЗЛЕНКО
   Сетевые технологии, в первую очередь базирующиеся на Ethernet-протоколах, позволили создать крупномасштабные сети как в ИТ-индустрии, так и на промышленных предприятиях. Интернет стал доступным и дешевым видом связи, вследствие чего стал повсеместно внедряться в офисах и различных сферах производства.
   Использование Интернета для связи участков сетей промышленных предприятий в единую управляющую и информационную систему позволило создавать большие территориально распределенные Ethernet-сети. При этом системные администраторы получили возможность управления сетями, используя современные технологии дистанционного управления через Интернет. Однако, как известно, работа с использованием интернет-технологий создает ряд проблем, связанных с передачей информации через открытые (общедоступные) сети, среди которых основными являются:
  • необходимость обеспечения широкополосного канала связи между участками сети;
  • решение задач защиты информации, передаваемой по общедоступной сети;
  • обеспечение доступа к передаваемой информации и устройствам только персоналу, имеющему для этого определенные
    права. 

     Развитие широкополосных технологий — оптических и DSL — практически сняли проблему обеспечения необходимой полосы пропускания для сетей. А вот проблема защиты информации, наоборот, становится все более актуальной. Что понимается под этой проблемой?

Защищенный канал
   
В территориально распределенных сетях обмен информацией производится по открытым каналам, и, соответственно, у некоторой категории людей тут же появляется соблазн получить к ней доступ. Самые «притягательные» сферы для такой противозаконной деятельности это:
• банковские сети;
• офисные сети предприятий;
• охранные системы;
• системы производственной автоматизации.
   Поэтому в последнее время одним из самых распространенных терминов стало словосочетание «хакерская атака» — когда злоумышленники стараются перехватить информацию или получить доступ к управлению не принадлежащими им устройствами.
   Повсеместное использование интернет-технологий для управления сетями позволило обеспечить дистанционное управление многими устройствами, составляющими распределенную сеть, такими как удаленные компьютеры, коммутаторы, модемные стойки, оптические концентраторы и промышленное оборудование. Дистанционное управление потребовало специальных мер для защиты каналов управления.
   Известно, что Интернет — это глобальная сеть, включающая миллионы компьютеров, разбросанных по всему миру. Когда компьютеры взаимодействуют между собой, информация от одного до второго проходит через множество различных устройств (маршрутизаторов, коммутаторов, мультиплексоров и т. п.). Все эти сетевые устройст­ва управляются (администрируются) большим количеством персонала в разных странах мира, и поэтому всегда возможна утечка информации. Заранее предусмотреть путь прохождения ин­формации в Интернете невозможно, поскольку на любом из хостов, через которые следует информация, она может быть считана или изменена. Такая ситуация, как правило, создает серьезные проблемы, особенно в тех случаях, когда передаются особо конфиденциальные данные.
   Решением этих проблем является формирование защищенных информационных каналов или неких туннелей. В этом случае информация на входе туннеля формируется так, чтобы ее невозможно было изменить (аутентификация) или просмотреть (шифрование) на всем пути ее прохождения. Совместное применение механизмов аутентификации и шифрования обеспечивает закрытие данных от посторонних людей и невозможность модификации их при передаче.

Прочесть — можно, скорректировать — нельзя
  
Под аутентификацией понимается специальный алгоритм формирования электронной подписи к данным, которая передается совместно с ними ее получателю. Если данные при передаче были изменены, то получатель сразу же обнаружит искажение информации. Аутентификация основана на ключах и математических алгоритмах — подпись формируется так, что. не зная алгоритма и ключа, подменить или подкорректировать данные становится невозможно. Формирование электронной подписи обеспечивает надежность передачи и целостность информации, но не защищает данные от постороннего прочтения.

Соблюдение тайны
  
Шифрование обеспечивает возможность модификации передаваемых данных с использованием ключей и специальных математических алгоритмов таким образом, чтобы они не могли быть прочитанными при передаче. При приеме информации данные могут быть восстановлены в первоначальное состояние только при наличии алгоритма и ключа, которыми были зашифрованы данные (понятно, что ключ шифрации сохраняется в тайне от посторонних лиц).
   Использование аутентификации и шифрования позволяет обеспечить надежную передачу конфиденциальных данных. Прежде чем рассмотреть оборудование, обеспечивающее надежную передачу данных по открытым каналам связи, и примеры его использования, рассмотрим более подробно протоколы аутентификации (SSH и SSL) и шифрования (DES, 3DES, AES), наиболее часто используемые в современных коммуникациях.
    SSH (Secure Shell) — один из протоколов для обеспечения удаленного безопасного входа и других сетевых сервисов безопасности в незащищенных сетях с использованием асимметричного шифрования с открытым ключом. Он состоит из трех компонентов:
  • протокола транспортного уровня (SSH-TRANS), обеспечивающего аутентификацию сервера, конфиденциальность и целостность соединения (этот протокол может также обеспечивать сжатие данных при передаче и обычно выполняется поверх ТСР-соединения);
  • протокола аутентификации пользователя (SSH-USERAUTH), обеспечивающего аутентификацию клиента для сервера (выполняется поверх протокола транспортного уровня);
   • протокола соединения (SSH-CONN), объединяющего несколько логических каналов в один зашифрованный туннель (выполняется поверх протокола аутентификации пользователя).
    Для повышения безопасности осуществляется не только аутентификация клиента для сервера, к которому обращается клиент, но и аутентификация сервера клиентом, то есть происходит аутентификация обеих сторон.
    Протокол SSH разработан как легко модифицируемый для обеспечения добавления криптографических алгоритмов, применяемых при работе SSH. В нем предусмотрен обмен информацией между клиентом и сервером для выбора методов шифрования и форматов открытых ключей, которые будут использованы в сеансах связи.
    Протокол SSL (Secure Socket Layer) разработан фирмой Netscape для обеспечения защиты данных между сервисными протоколами (такими как HTTP, NNTP, FTP, Telnet и другими) и транспортными протокола­ми (TCP/IP). В нем сохранены все возможности сервисных протоколов (для программ-серверов) и введена шифрация данных. SSL принят W3-консорциумом (W3 Consortium) в качестве базового протокола защиты для клиентов и серверов в интернет-сетях.
   Алгоритм работы SSL построен на принципе публичных ключей — используется пара асимметричных ключей (публичный и частный) для кодирования/декодирования информации. Публичный ключ — общедоступный, с его помощью шифруются необходимые данные, которые можно дешифровать только с помощью частного ключа.
    Протокол SSL может согласовывать алгоритм шифрования и ключ сессии, а также аутентифицировать сервер до того момента, как приложение примет или передаст первый байт данных. Все протокольные прикладные данные передаются зашифрованными с гарантией конфиденциальности. Для контроля пересылки сообщений (от случайных или преднамеренных изменений) используется специальный алгоритм — Message Authentication Code (MAC). Обычно сам MAC также шифруется. В связи с этим повышается достоверность сообщений, а внесение изменений в процесс обмена данными становится практически невозможным.
   DES (Data Encription Stan­dard) — алгоритм шифрации, созданный корпорацией IBM еще в семидесятых годах (долгое время он был принят в качестве стандарта правительством США). Аппаратная реализация алгоритма достаточно быстродействующая, чего нельзя сказать о его программной реализа
ции. DES оперирует с блоками данных размером 64 бита и использует ключи длиной 56 бит. При такой длине ключа (что соответствует 1017 комбинациям) алгоритм обеспечивал до недавнего времени достаточный уровень безопасности. Хотя никто еще не сообщал о вскрытии данных, зашифрованных по алгоритму DES, но в наши дни уже считается, что шифрация с ключами длиной 56 бит для особо критических приложений малооправдана, и в таких случаях, следует сделать выбор в пользу следующих двух, описанных ниже, алгоритмов.
    Triple DES или 3DES — алгоритм шифрации, состоящий в троекратном применении известного алгоритма DES с использованием трех различных ключей для одних и тех же данных. Поэтому эквивалентный размер ключа равен тройному размеру ключа DES — 192 (64*3) бит (хотя реально размер ключа 3DES составляет 168 (56*3) бит, т. к. в DES один байт ключа является контрольным для основных семи). Таким образом, применение 3DES резко повышает уровень безопасности по сравнению с DES, хотя этот ключ имеет и недостаток — снижение скорости обработки данных.
   Стандарт AES (Advanced Encryption Standart), или улучшенный стандарт шифрования, использует переменную длину блоков и различные длины ключей. Длины ключей и блоков могут независимо друг от друга составлять 128, 192 или 256 бит. Этот алгоритм имеет наилучшее соотношение надежности и гибкости, он может использоваться даже в маломощных компьютерах или встраиваться в оборудование передачи данных.


Консольные серверы — мощный инструмент поиска неисправностей, конфигурации и перезагрузки оборудования как из локального, так и дистанционного управляющего центра 


Дистанционное терминальное управление
  
Для простоты рассмотрения ограничимся небольшим количеством оборудования (UPS, коммутатор, сервер, маршрутизатор), которое должно управляться администратором дистанционно для поддержания его надежного функционирования. Это типичный пример небольшой точки доступа интернет-провайдера или участка офисной сети предприятия.
    Необходимо обратить внимание на наличие в сети сервера консольного доступа. Он позволяет системным администраторам иметь доступ к консольным портам всех устройств с последовательным интерфейсом через LAN, модемную связь или Интернет. Когда все устройства сети функционируют нормально, администраторы могут использовать SNMP для управления оборудованием. Тем не менее, если сеть, Ethernet-порт или функция SNMP-записи функционируют с ошибками, администраторы все равно должны найти причину отказа или перегрузить сетевые устройства. Получение такой информации и выполняемые работы могут оказаться трудоемкими и дорогими.
    Альтернативой использованию SNMP могут быть консольные серверы, которые применяются для поиска неисправности, конфигурации устройств, перезагрузки оборудования как из локального управляющего центра, так и дистанционно. Обеспечивая дистанционный доступ к критическим установочным параметрам оборудования и функциям, включая возможность перезагрузки, администраторы, использующие консольные серверы, не ограничены в своих действиях и могут реагировать на проблемы более быстро и с большей гибкостью. В случае общего системного сбоя консольные серверы доступа могут быть существенным подспорьем и обеспечивают снижение затрат от простоя сетевого оборудования.
   В то же время все, получившие доступ к консольному порту сервера или маршрутизатора, потенциально могут управлять всей сетью, и потому требуются специальные меры для предохранения от несанкционированного вторжения при использовании консольных серверов доступа на сетях общего доступа.

   Консольный сервер должен обладать такими характеристиками безопасности, как например, аутентификация, шифрация данных и обеспечение безопасности соединения. Все это предусмотрено в терминальных серверах безопасности серии МОХА NPort 6000. Локальная или Radius-аутентификация требует ввода имени пользователя и пароля, прежде чем ему будет предоставлен доступ. Поскольку сеанс Telnet ис пользует текстовые сообщения, то при передаче их по сети необходимо использование, например, SSHv2. PAP- и СНАР- протоколы могут быть также использованы для обеспечения дополнительного слоя безопасности передачи данных.
   С увеличением объемов использования традиционных устройств с последовательным интерфейсом через Ethernet-сети (например, широко внедренные сети банкоматов, а также большое количество индустриального оборудования) несанкционированный перехват последовательных данных стал одной из важнейших проблем обеспечения безопасности передачи данных. Поэтому план обеспечения безопасности должен включать также несколько уровней шифрования.
МОХА NPort 6650 имеют 8/16 RS-232/422/485 портов
и поддерживают DES-, 3DES- и AES-шифрование

   При этом алгоритм шифрации DES обеспечивает достаточно безопасный метод шифрации данных, а реализация алгоритмов 3DES и AES еще более предпочтительна при передаче конфиденциальных данных. Для снижения времени обработки данных при их шифровании становится особенно необходимой реализация аутентификации и шифрации на аппаратном уровне, которая осуществлена в новой серии терминальных серверов безопасности серии МОХА NPort 6000. 

   Серверы безопасности
  
Эти серверы предназначены для создания безопасных систем передачи данных по Ethernet-сетям. Они могут быть подключены к любому оборудованию с последовательным интерфейсом для передачи данных от этого оборудования по Ethernet-сетям.
   Серверы безопасности МОХА NPort 6000 поддерживают ТСР-сервер, ТСР-клиент, UDP-протокол и режим Pair-Connection, что обеспечивает их совместимость со стандартными сетевыми программами. МОХА NPort 6000 обеспечивают также поддержку Secure TCP Server, Secure TCP Client, Secure Pair-Connection и моду Secure Real COM для надежных и безопасных приложений, которые используются в ИТ-сфере. задачах удаленного консольного доступа, охранных системах, банковских приложениях и в системах промышленной автоматики, то есть в задачах, требующих передачи конфиденциальных данных по открытым сетям.
    Терминальные серверы безопасности МОХА NPort 6000 обеспечивают полную безопасность при передаче данных, что является определяющим фактором их применения. На сегодняшний день они реализуют наиболее популярный и эффективный механизм защиты передачи данных от постороннего доступа — SSH/SSL. Дополнительно к IP-фильтрации и защите паролями они обеспечивают еще и защиту от взлома системы, которая основывается на поддержке SSH- и SSL- протоколов.
    Для настройки терминального сервера МОХА NPort 6000 используется веб-браузер, поддерживающий https (например, Internet Explorer) или терминал-эмулятор, который поддерживает протокол SSH (например, PuTTY) для входа в меню МОХА NPort 6000. Поддержка стандарта SSL позволяет безопасно передавать данные, и при этом в серверах безопасности также используются такие методы шифрования, как DES/3DES и AES, которые автоматически чередуются, для того чтобы предотвратить несанкционированный взлом системы и обеспечить высокую безопасность системы в целом.

    Для стандартов DES и 3DES — терминальные серверы МОХА NPort 6000 поддерживают режимы ЕСВ, СВС, CFB и OFB , ЕСВ, СВС, CFB,OFB и CTR 128-bit, 192-bit или 256-bit ключами. Кроме того, эти серверы имеют специальный буфер памяти, предохраняющий от потери данных при обрыве Ethernet-соединения. Если оно прерывается, то все данные записываются в буфер сервера и при возобновлении соединения вся информация с него передается в том порядке, в котором была записана. Размер памяти буфера по умолчанию составляет 64 KB для каждого из портов, но при этом пользователи могут увеличивать объем памяти на серверах МОХА NPort 6250/6450/6650 при установке внешней памяти (SD-карты). Серверы безопасности выпускаются с 1. 2, 4. 8 и 16 RS-232/422/485 портами, что позволяет выбрать оптимальную модель для любого применения.


Современные аппаратные и программные решения позволяют обеспечить высокий уровень безопасности в корпоративных сетях предприятий


   Пользователям таких серверов нет необходимости в дополнительных инвестициях в дорогостоящее оборудование, как например коммутаторы и концентраторы, для комплексного подключения большого количества устройств с последовательным доступом в сеть, поскольку в МОХА NPort 6000 можно устанавливать дополнительные модули с многомодовыми или одномодовыми волоконно-оптическими портами. Это свойство особенно важно в приложениях промышленной автоматизации, где одной из основных задач является управление большим количеством территориально разнесенных устройств с последовательным интерфейсом. Серверы безопасности МОХА NPort 6000 поддерживают также РРРоЕ - стандарт для соединения с ADSL- маршрутизаторами, что позволяет использовать подобные соединения для увеличения рабочего расстояния или удаленного управления устройствами.
Для повышения надежности и безопасности процесса управления промышленными устройствами компания-производитель этих серверов МОХА не только выпускает специализированные серверы безопасности, но и обеспечивает функции безопасности в других решениях. Например, индустриальная серия Ethernet-коммутаторов EDS-505А, EDS-508A, EDS-510A, EDS-516А поддерживает передовые механизмы защиты информации при передаче по стандарту IEEE802.1X, протокол SSL, фильтрацию МАС-адресов и функцию блокировки портов для обеспечения безопасности индустриальной сети.
МОХА EDS-505A - 5-портовый Ethernet-коммутатор с поддержкой функций безопасности

   Таким образом, при проектировании или модернизации корпоративных сетей промышленных предприятий ИТ-специалисты благодаря наличию современных аппаратных и программных средств защиты сегодня могут обеспечить их информационную безопасность на самом высоком уровне



Источник: Журнал "ММ деньги и технологии" №4 2007 год

Продажа продукции MOXA на Украине. Телефон -  38 (044) 244-97-40. E-mail sales@moxa.com.ua
Поддержка продукции MOXA на Украине - Телефон - 38 (044) 452 - 75 -11, E-mail support@moxa.com.ua.

©2007  Moxa Group & Vector All rights reserved.
Перевод компании "Вектор " Киев - премьер дистрибьютора МОХА в Украине.
 Перепечатка и воспроизведение любых фрагментов данной рассылки только с разрешения  компании "Вектор".