Комплексный подход к обеспечению безопасности компьютерных систем и сетей, подключенных к Internet тема диссертации и автореферата по ВАК РФ 05.13.11, кандидат физико-математических наук Савочкин, Андрей Владимирович

Актуальность темы

Несанкционированный доступ к информации в компьютерных сетях превратился сегодня в одну из серьезнейших проблем, стоящих на пути развития телекоммуникационной среды и информационной инфраструктуры общества. Страны, где вычислительные системы и компьютерные сети проникли во все сферы человеческой деятельности, особенно страдают от последствий компьютерных злоупотреблений. В США ежегодный ущерб от действий злоумышленников составляет несколько миллиардов долларов. В 1997 году проблемами защиты инфраструктуры от атак через компьютерные сети в США занималась специальная комиссия при президенте. В России, с развитием информационных технологий и общественных сетей передачи данных, тоже начинает ощущаться важность создания и развития надежных средств обеспечения информационной безопасности.

Вопросы обеспечения информационной безопасности в закрытых компьютерных системах успешно разрабатываются на протяжении значительного периода времени. Первые серьезные научные работы в этой области появились, по-видимому, в середине 70х годов. Первые итоги в этой области были подведены в руководящих документах Министерства обороны США в середине 80х ([15]).

Обеспечение безопасности в открытых компьютерных сетях, таких, как Internet, не имеет долгой истории и мощной исследовательской базы. Отсутствие некоторых обязательных требований к безопасности систем (которые присущи закрытым компьютерным системам, обрабатывающим государственную конфиденциальную информацию), компромиссный характер решений задач безопасности в открытых сетях, вызванный функциональными требованиями к ним, разнообразие программного обеспечения — все эти причины привели к отсутствию единой методологии решения задач обеспечения безопасности в открытых компьютерных сетях. В закрытых информационно-вычислительных системах высоко эффективными являются административные и технические средства. В Internet и других открытых сетях вследствие их специфики основная нагрузка обеспечения безопасности возлагается на программное обеспечение.

Недостаточная изученность методов решения задач обеспечения безопасности в сетях, подключенных к Internet, в сочетании со значительным ущербом от деятельности злоумышленников, замедление развития Internet вследствие нерешенности проблем защиты ее ресурсов — все это ставит проблему развития программных мер безопасности сетей в разряд важных и остро актуальных.

Цель работы

Целью диссертационной работы является разработка комплекса мер и реализация программного обеспечения информационной безопасности компьютерных систем и сетей, подключенных к Internet.

Научная новизна

Научная новизна диссертационной работы состоит в следующем:

1) разработана и реализована система обеспечения безопасности компьютеров и сетей в Internet, включающая

• модифицик'ацию ядра Linux,

• доработку основных пакетов прикладного программного обеспечения, в том числе средств админинистрирования, сервисов аутентификации и электронной почты,

• систему обеспечения безопасности сетевых коммуникаций на базе протоколов семейства TCP/IP;

2) предложены и обоснованы методы оценки программного обеспечения с точки зрения информационной безопасности, включающие анализ технологий проектирования и используемых средств управления доступом, а также методы усиления безопасности компьютерных систем, вытекающие из критериев такой оценки;

3) сформулированы принципы определения степени защищенности коммуникаций в IP средах от различных видов угроз и предложены методы организации безопасной передачи данных.

Практическая ценность

Реализованная комплексная система обеспечения компьютерной безопасности в течение почти 2х лет эксплуатируется в сети MSUNet Московского государственного университета им. М. В. Ломоносова.

Представленные в работе анализ средств управления доступом к информации в UNIX-подобных системах, оценки безопасности сетевых протоколов, конкретных реализаций сервисов удаленного доступа и общераспространенных программ предназначены для использования как разработчиками программного обеспечения, так и администраторами при проектировании сетей и выборе используемого в них программного обеспечения. Разработанные автором методы и средства решения задач обеспечения безопасности позволяют заметно улучшить защищенность информации в открытой компьютерной сети.

Большая часть созданного и модифицированного программного обеспечения находится в открытом доступе и может быть использована в любых сетях, подключенных к Internet.

Апробация работы

Основные положения и результаты диссертации докладывались на Ежегодной международной конференции пользователей кириллического ТцК'а "CyrTUG'97" (1997 г.), Международной научно-методической конференции "Новые информационные технологии в университетском образовании" (1998 г.), Всероссийской научно-методической конференции "Телематика'98" (1998 г.), на семинаре "Перспективные сетевые технологии" МГУ (1998 г.), на семинаре "Актуальные проблемы компьютерной безопасности" Управления "А" Главного управления безопасности связи Федерального агенства правительственной связи и информации при президенте РФ (1999 г.).

Публикации

Основные положения разработанного автором комплексного подхода к обеспечению безопасности компьютерной сети изложены в следующих работах:

• Савочкин А. В. "Анализ сетевых протоколов семейства TCP/IP с точки зрения компьютерной безопасности", Материалы Международной научно-методической конференции "Новые информационные технологии в университетском образовании", Новосибирск, 1998, с. 169.

• Савочкин А. В. "Проблемы защиты информации в сети Internet", Труды Ежегодной международной конференции пользователей кириллического TftX'a "CyrTUG'97", Протвино, 1997, с. 150-156. а также в тезисах

• Васенин В. А., Савочкин А. В. "Комплексный подход к защите информации в глобальных компьютерных сетях. Опыт сети MSUNet", Тезисы докладов Всероссийской научно-методической конференции "Телематика'98", 1998, с. 57.

• Васенин В. А., Савочкин А. В. "Проблемы и методы защиты информации на компьютерах в глобальной компьютерной сети (на примере сети MSUNet Московского университета)", тезисы доклада Научно-технической конференции профессорско-преподавательского состава, научного и инженерно-технического состава, Московский технический университет связи и информатики, Москва, 1998.

Структура и объем диссертации

Диссертационная работа состоит из введения, 6 глав, заключения, одного приложения и содержит библиографию (80 наименований). В конце текста работы приведено оглавление, список иллюстраций и список таблиц. Общий объем диссертации составляет 124 страницы.

Заключение

В диссертационной работе получены следующие основные результаты.

1. Разработан и реализован комплекс программных средств обеспечения информационной безопасности компьютерных систем и их сетей, подключенных к Internet.

2. Систематизированы средства управления доступом к информации, предоставляемые ядрами UNIX-подобных операционных систем, и бреши безопасности, возникающие вследствие как неадекватного использования средств управления доступом, так и ограниченных возможностей самих предоставляемых средств.

3V Предложены и обоснованы методы оценки программного обеспечения с точки зрения информационной безопасности, включающие оценку технологий проектирования и используемых средств управления доступом.

4. В соавторстве с Andrew Morgan и другими зарубежными специалистами разработана динамическая система «Pluggable Authentication Modules» (РАМ), предназначенная для аутентификации, авторизации и учета пользователей.

5. Получены результаты в области оценки степени защищенности коммуникаций в IP средах от различных видов угроз в зависимости от топологии сети, конфигурации оборудования, используемых протоколов передачи данных и программного обеспечения.

6. Предложен ряд практических мер по усилению безопасности сетевых коммуникаций и сервисов удаленного доступа к информации.

7. Разработан и реализован ряд модификаций ядра Linux для усиления безопасности компьютерных систем и повышения защищенности коммуникаций на базе протокола TCP от угроз целостности и доступности информации.

Результаты диссертационной работы имеют значительную практическую ценность. Несанкционированное вмешательство в работу компьютерных систем и сетей способно нанести значительный ущерб их пользователям и собственникам. Построенная комплексная система обеспечения безопасности сети способна решить задачу защиты компьютеров и сетей, подключенных к Internet, от различных видов несанкционированного вмешательства в их работу.

Предложенные в работе методы и средства обеспечения безопасности предназначены для разработчиков программного обеспечения и системных администраторов. Использование этих методов и средств повысит качество программного обеспечения и усилит безопасность компьютерных систем и сетей.

Созданная система обеспечения безопасности эксплуатируется в сети MSUNet Московского государственного университета им. М. В. Ломоносова и решает задачи защиты ее центральных узлов.

1. Васенин В. А., Савочкип А. В., "Комплексный подход к защите информации в глобальных компьютерных сетях. Опыт сети MSUNet" // "Телематика'98" Всерос. науч.-метод. конф. Тез. докл. 1998, с. 57.

2. Савочкин А. В., "Анализ сетевых протоколов семейства TCP/IP с точки зрения компьютерной безопасности" // Мат. Межд. науч.-метод. конф. "Новые информационные технологии в университетском образовании". Новосибирск, 1998, с. 169.

3. Савочкин А. В., "Проблемы защиты информации в сети Internet" // Тр. Ежегодной межд. конф. пользователей кириллического Т^К'а "CyrTUG'97". Протвино, 1997, с. 150-156.

4. Савочкин А. В. "Специализированный язык программирования" // Фундаментальная и прикладная математика, том 5, №1, с. 275-281.

5. Галатенко В. А., "Информационная безопасность" // "Открытые системы", №№4-6, 1995, №№1-4, 1996.

6. Грушо А. А., Тимонина Е. Е. "Теоретические основы защиты информации". — М.: Издательство Агенства "Яхтсмен", 1996.

7. Колонцов В., "Найти, проверить и обезвредить" // "Открытые системы", №6(20)/96, с. 58-63.

8. Медведовский И. Д., Семьянов П. В., Платонов В. В., "Атака через "INTERNET" / под науч. ред. проф. П. Д. Зегжды. — С.-Петербург: НПО "Мир и семья-95", 1997.

9. Гостехкомиссия России, Руководящий документ: "Защита от несанкционированного доступа к информации. Термины и определения". ГТК, М., 1992.

10. Гостехкомиссия России, Руководящий документ: "Концепция защиты СВТ и АС от НСД к информации". ГТК, М., 1992.

11. Блэк Ю. "Сети ЭВМ: протоколы, стандарты, интерфейсы". Пер. с англ. — М.: "Мир", 1990.15. "Department of Defense Trusted Computer System Evaliation Criteria", DoD 5200.28 STD, 1983.

12. CERT Coordination Center, "Security of the Internet", в "The Froehlich/Kent Encyclopedia of Telecommunicatios vol. 15", Mark Dekker, New York, 1997, c. 231-255.

13. Postel, J., "User Datagram Protocol", RFC 768, STD 6, USC/Information Sciences Institute, 28 August 1980.

14. Postel, J., Editor, "Internet Protocol — DARPA Internet Program Protocol Specification", RFC 791, STD 5, USC/Information Sciences Institute, September 1981.

15. Postel, J., "Internet Control Message Protocol — DARPA Internet Program Protocol Specification", RFC 792, STD 5, USC/Information Sciences Institute, September 1981.

16. Postel, J, Editor, "TRANSMISSION CONTROL PROTOCOL — DARPA Internet Program Protocol Specification", RFC 793, STD 7, USC/Information Sciences Institute, September 1981.

17. Postel, J., "Simple Mail Transfer Protocol", RFC 821, STD 10, USC/Information Sciences Institute, August 1982.

18. Crocker, D., "Standard for the Format of ARPA Internet Text Messages", RFC 822, STD 11, University of Delaware, August 13, 1982.

19. Plummer, D., "An Ethernet Address Resolution Protocol", RFC 826, STD 37, Symbolics Cambridge Research Center, November 1982.

20. Reynolds, J., Postel, J., "TELNET PROTOCOL SPECIFICATION", RFC 854, STD 8, Information Sciences Institute, May 1983.

21. Reynolds, J., Postel, J, "TELNET OPTION SPECIFICATIONS", RFC 855, STD 8, Information Sciences Institute, May 1983.

22. Reynolds, J., Postel, J., "TELNET BINARY TRANSMISSION", RFC 856, STD 27, Information Sciences Institute, May 1983.

23. Reynolds, J., Postel, J., "TELNET ECHO OPTION", RFC 857, STD 28, Information Sciences Institute, May 1983.

24. Reynolds, J., Postel, J., "TELNET SUPPRESS GO AHEAD OPTION", RFC 858, STD 29, Information Sciences Institute, May 1983.

25. Reynolds, J., Postel, J., "TELNET STATUS OPTION", RFC 859, STD 30, Information Sciences Institute, May 1983.

26. Reynolds, J., Postel, J., "TELNET TIMING MARK OPTION", RFC 860, STD 31, Information Sciences Institute, May 1983.

27. Reynolds, J., Postel, J., "TELNET EXTENDED OPTIONS — LIST OPTION", RFC 861, STD 32, Information Sciences Institute, May 1983.

28. Hornig, C., "A Standard for the Transmission of IP Datagrams over Ethernet Networks", RFC 894, STD 41, Symbolics Cambridge Research Center, April 1984.

29. Braden, R., Editor, "Requirements for Internet Hosts — Communication Layers", RFC 1122, STD 3, Internet Engineering Task Force, October 1989.

30. Mallory, T., Kullberg, A., "Incremental Updating of the Internet Checksum", RFC 1141, BBN Communications, January 1990.

31. Pethia, R., Crocker, S., Fraser, B., "Guidelines for the Secure Operation of the Internet", RFC 1281, Software Engineering Institute, Trusted Information Systems, Inc., November 1991.

32. Sollins, K., "The TFTP Protocol (Revision 2)", RFC 1350, STD 33, MIT, July 1992.

33. Rijsinghani, A., Editor, "Computation of the Internet Checksum via Incremental Update", RFC 1624, Digital Equipment Corporation, May 1994.

34. Reynolds, J., Postel, J., "Assigned Numbers", RFC 1700, STD 2, USC/Information Sciences Institute, October 1994.

35. Malkin, G., Harkin, A., "TFTP Option Extension", RFC 1782, Xylog-ics, Inc., Hewlett Packard Co., March 1995.

36. Malkin, G., Harkin, A., "TFTP Blocksize Option", RFC 1783, Xylogics, Inc., Hewlett Packard Co., March 1995.

37. Malkin, G., Harkin, A., "TFTP Timeout Interval and Transfer Size Options", RFC 1784, Xylogics, Inc., Hewlett Packard Co., March 1995.

38. Baker, F., Editor, "Requirements for IP Version 4 Routers", RFC 1812, Cisco Systems, June 1995.

39. Callaghan, B., Pawlowski, B., Staubach, P., "NFS Version 3 Protocol Specification", RFC 1813, Sun Microsystems, Inc., June 1995.

40. Atkinson, R., "Security Architecture for the Internet Protocol", RFC 1825, Naval Research Laboratory, August 1995.

41. Atkinson, R., "IP Authentication Header", RFC 1826, Naval Research Laboratory, August 1995.

42. Atkinson, R., "IP Encapsulating Security Payload (ESP)", RFC 1827, Naval Research Laboratory, August 1995.

43. Metzger, P., Simpson, W., "IP Authentication using Keyed MD5", RFC 1828, Piermont Information Systems Inc., Daydreamer Computer Systems Consulting Services, August 1995.

44. Karn, P., Metzger, P., Simpson, W., "The ESP DES-CBC Transform", RFC 1829, Qualcomm, Inc., Piermont Information Systems Inc., Day-dreamer Computer Systems Consulting Services, August 1995.

45. Klensin, J., WG Chair, Freed, N., Editor, Moore, K., "SMTP Service Extension for Message Size Declaration", RFC 1870, MCI, Innosoft International, Inc., University of Tennessee, November 1995.

46. Fräser, B., Editor, "Site Security Handbook", RFC 2196, Software Engineering Institute, Carnegie Mellon University, September 1997.

47. Postel, J., Editor, "Internet Official Protocol Standards", RFC 2200, STD 1, Internet Architecture Board, Jüne 1997.

48. Morgan, A., "Pluggable Authentication Modules", IETF Internet Drafts, August, 1998.

49. Samar, V., Schemers, R., "Unified Login With Pluggable Authentication Modules", Open Software Foundation Request For Comments 86.0, SunSoft, October 1995.

50. Morgan, A., "Linux-PAM: The System Administrators' Guide", http://www.kernel.org/pub/linux/ libs/pam/Linux-PAM-html/pam.html

51. Morgan, A., "Linux-PAM: The Module Writers' Manual", http://www.kernel.org/pub/linux/ libs/pam/Linux-PAM-html/pam-modules.html

52. Morgan, A., "Linux-PAM: The Application developers' Manual", http://www.kernel.org/pub/linux/ libs/pam/Linux-PAM-html/pam-appl. html

53. CaBOHKHH, A. B., "Re: Very poor TCP/SACK performance", http://www.weug.wwu.edu/lists/netdev/199809/msg00017.html79. http://archive.redhat.com/redhat-announce-list/80. http: //www. qmail. org/