Перейти на Sec.Ru
Рейтинг@Mail.ru

16 апреля 2015

IP-сети в безопасности – безопасность в IP-сетях

Г. Рыбаков,
руководитель отдела разработки программных средств
ООО «Итриум СПб»

Современная система безопасности – охранной, пожарной сигнализации, контроля и управления доступом или видеонаблюдения – это множество узлов (датчиков, извещателей, видеокамер, панелей или компьютеров), которые должны обмениваться информацией. Среда передачи данных отличается от системы к системе – это сеть LonWorks, шина ModBus или проприетарный протокол по RS-485. С развитием цифровых систем видеонаблюдения для задач обеспечения безопасности повсеместно стали применяться IP-сети – с каждым годом на рынке все больше появляется продуктов «с поддержкой IP». Для многих IP связано с Интернетом, открытой сетью, вирусами и хакерами. Попробуем разобраться, действительно ли передавать данные по специализированным линиям связи безопаснее, чем по IP-сетям?

 

Что такое IP?

IP-сеть – это сеть, построенная в рамках стека протоколов TCP/IP. В повседневной жизни мы сталкиваемся с IP-сетям повсеместно – Интернет, доступ к принтеру в офисе, Wi-Fi в ресторане, связь банкомата с процессинговым центром или информация о пробках в коммуникаторе. Стек протоколов TCP/IP – стандарт для сетей общего назначения. Поэтому IP-системы обычно противопоставляют таким специализированным решениям, как LonWorks, Bacnet или ModBus, и проприетарным системам, построенным, например, на RS-232 или RS-485. На первый взгляд, в сравнении с ними IP предлагает много преимуществ – больше объем и выше скорость передачи данных, унифицированная сетевая инфраструктура, большой выбор оборудования. Но насколько защищена IP-сеть от внутренних и внешних угроз?

Название TCP/IP происходит из двух важнейших протоколов семейства –Transmission Control Protocol (TCP) и Internet Protocol (IP), которые были разработаны и описаны первыми в данном стандарте. Именно IP стал тем протоколом, который объединил отдельные компьютерные сети во всемирную сеть Интернет. Кроме IP и TCP стек образуют несколько десятков протоколов разных уровней – Ethernet, IEEE 802.11, UDP, ICMP, ARP и др.

В 1994 году французский хакер по имени Антоний Зборальски позвонил в вашингтонский офис ФБР и представился представителем этой организации, работающим в американском посольстве в Париже. Он убедил собеседника на другом конце провода, и тот объяснил ему, как подключиться к системе телеконференции ФБР. Его звонки за последующие семь месяцев стоили ФБР 250 000 долларов.

 

Безопасность в Сети

Безопасность сети в целом складывается из защищенности сетевых узлов и каналов передачи данных между ними. В части узлов главным критерием безопасности является их надежность и защита от несанкционированного доступа, что в свою очередь определяется качеством продукта и правильной организацией деятельности на объекте. Вообще, в большинстве случаев причиной нарушения безопасности является «человеческий фактор». Поэтому далее рассматриваются только аспекты защиты каналов передачи данных по линиям связи.

Обеспечить выполнение соответствующих требований можно в любых каналах передачи данных. Но в специализированных шинах, не IP-сетях, при проектировании протоколов информационного обмена их либо учитывают частично, либо просто игнорируют. Поэтому в подобных системах информационная безопасность в первую очередь неявно обеспечивается двумя факторами – секретностью протокола сетевого взаимодействия и ограничением физического доступа к каналам связи.

Так, например, протокол LonTalk в сетях LonWorks определяет возможность выполнить цифровую подпись каждого передаваемого сообщения с тем, чтобы получатель мог авторизовать отправителя и проверить неизменность данных. Таким образом, достигаются имитостойкость и целостность. Но критерий конфиденциальности не выполняется, данные передаются в открытом виде. Причина проста – ограниченность производительности вычислительных ресурсов.

Вообще, использование устаревшей и/или дешевой аппаратной базы во многих современных системах в принципе не позволяет качественно защитить информационное взаимодействие – на шифрование и вычисление криптостойких хеш-функций в реальном времени банально не хватает процессорного времени. Максимум, что применяют – цифровые подписи на основе простых целочисленных полиномов, примитивные контрольные суммы или побайтовое маскирование данных. Само собой, о соответствии ГОСТам в части защиты информации речи точно не идет.

Вот соответствующий пример – известная российская система охранной сигнализации. Связь периферии с охранной панелью осуществляется по RS-485, связь охранной панели с компьютером – по RS-232. Протокол, конечно, закрыт. Злоумышленник приобретает систему, собирает статистику передаваемых сообщений, выясняет структуру протокола – «запрос/ответ». Защита примитивная, не криптостойкая. Злоумышленник легко восстанавливает структуру пакетов данных, коды событий. Получив доступ (например, атакой на «человеческий фактор») к линиям передачи данных в рабочее время (помещения сняты с охраны), осуществляет установку специального модуля в разрыв линии, который до специальной радиокоманды не вмешивается в коммуникации периферии с панелью. Ночью активирует модуль, проникает на объект – тревожные сигналы не поступают на охранную панель... конечно, это лишь теория.

Когда в 2000 году Кевин Митник (наверное, самый известный хакер в мире) давал показания в Конгрессе США, он говорил о манипулировании людьми: «Нападения этого рода были столь успешны, что мне редко приходилось обращаться к техническим средствам. Компании способны истратить миллионы долларов на технические средства защиты, но все это будет напрасно, если можно позвонить по телефону и убедить кого-нибудь сделать на компьютере нечто, что ослабляет защиту или открывает доступ к интересующей информации».

 

Информационную безопасность каналов передачи данных определяют четыре критерия:

 

 

Условная безопасность

Закрытость протокола – наивная попытка производителя обеспечить безопасность системы, по крайней мере, в глазах покупателя. Доступ к протоколу – также вопрос атаки на «человеческий фактор». Наш опыт показывает, что подобный протокол элементарно можно восстановить при наличии экземпляра продукта – правила взаимодействия в подобных системах настолько просты и однотипны, что на сбор пакетов данных и реверсивное проектирование протокола требуется совсем немного времени. После чего эта информация становится доступной всем желающим, а оборудование уже установлено на большом количестве объектов и менять или обновлять его никто не будет.

 

 

Предотвращение несанкционированного доступа к каналам связи – действенная мера, рекомендуемая к применению вне зависимости от типа сети. К сожалению, качественно осуществить ее почти не представляется возможным. Ограничить доступ к линиям коммуникации на всем пространстве сети, особенно в условиях большой, децентрализованной системы очень трудоемко. Эта мера чрезвычайно уязвима к атакам типа «человеческий фактор» – одно нарушение пропускного режима, и вся система безопасности объекта оказывается под угрозой. Лучше ситуация обстоит с радиоканальными системами – впрочем, лишь растет стоимость необходимого для взлома оборудования.

Почему столь «незащищенные» системы до сих пор применяются и пользуются популярностью? Потому что проще не взламывать такие системы, а обходить их. Например, посредством атаки на все тот же «человеческий фактор».

 

Решение для IP-сетей

В IP-сетях ситуация полностью противоположная. Масштабность, публичность и открытость IP-сети Интернет привели к появлению различных стандартных механизмов обеспечения безопасности на разных уровнях стека TCP/IP. Ниже мы рассмотрим наиболее популярные и проверенные временем и бизнесом решения.

 

VPN

Virtual Private Network (виртуальная частная сеть) – обобщенное название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети. В рамках VPN конфиденциальность, целостность, имитостойкость обеспечиваются на нижних уровнях стека TCP/IP (обычно IP или Ethernet) благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по сети сообщений).

Основное преимущество VPN – на прикладном уровне информационного взаимодействия и в соответствующих программных средствах можно не думать о защите информации, взаимодействие осуществляется как будто в отдельной, изолированной от внешнего мира сети. Ключевой недостаток – необходимо на всех узлах будущей виртуальной сети развернуть соответствующее программное обеспечение (обычно одно и то же) и осуществлять его администрирование.

 

 

TLS

TLS (Transport Layer Security), пришедший на смену SSL (Secure Socket Layer), - криптографический протокол, обеспечивающий защищенную передачу данных между узлами в IP-сети. Применяемый в стеке TCP/IP поверх TCP он позволяет организовать безопасный канал информационного обмена между узлами на прикладном уровне взаимодействия. Применяемые инструменты криптографии аналогичны VPN. Отличие в том, что поддержку TLS надо реализовывать непосредственно в прикладных программных средствах – не требуется установка специализированного ПО. Именно TLS является стандартным протоколом обеспечения информационной безопасности в сети Интернет.

Благодаря такой популярности, существует большое количество проверенных временем средств и библиотек, реализующих TLS и пригодных для повторного использования в новых продуктах.

Кстати, именно TLS заявлен основным протоколом обеспечения информационной безопасности в ONVIF – отраслевом стандарте, определяющем протоколы взаимодействия в IP-системах видеонаблюдения, а с недавнего времени и в системах контроля и управления доступом.

 

 

Наложенные средства

Возможна ситуация, в которой IP-система уже построена, но существующее оборудование и программные средства не обеспечивают надлежащей защиты информационного обмена.

Для таких случаев на рынке представлено много «наложенных средств» – продуктов (как программных, так и технических средств), устанавливаемых в дополнение к средствам системы и обеспечивающих их безопасный информационный обмен.

Кроме того, только такие средства обычно сертифицированы по ГОСТ, и только их применение возможно в некоторых системах. Впрочем, такие средства все равно «внутри» построены на той же криптографической базе, что и VPN/TLS.

Минусом наложенных средств является необходимость их приобретения и установки на каждом сетевом узле – потребитель несет дополнительные издержки, пропорциональные размеру сети. Кроме того, безопасность системы начинает зависеть от одного конкретного продукта – сменить его так просто уже не получится.

 

Вывод

Таким образом, высокая защищенность закрытых специализированных каналов и серийных систем, использующих такие каналы, является мифом. Ограниченные пропускная способность линий связи и вычислительные ресурсы «дешевых» систем делают невозможным обеспечение качественной защиты информационного обмена.

В то же время, бурное развитие IP-сетей, в том числе сети Интернет, способствовало созданию и совершенствованию большого количества проверенных временем и бизнесом средств и механизмов обеспечения безопасности. Их применение позволяет сделать информационный обмен по IP-сетям намного более безопасным, чем передачу данных по специализированным линиям связи.

Безопасность в IP-сетях – это реальность.

 

Опубликовано в ж. «Алгоритм Безопасности», 5/14

Просмотров: 1614

Ваши комментарии:

Для того, чтобы оставлять коментарии, Вам нужно авторизоваться на Sec.Ru. Если У Вас еще нет аккаунта, пройдите процедуру регистрации.


Информация

  • Снимай крутую видеорекламу - выкладывай на Sec.Ru!

    Рекламный ролик - один из самых эффективных способов донесения информации. И он отлично подходит для рекламирования любой продукции, в т.ч. и продукции рынка систем безопасности.
    Поэтому редакция Портала решила составить свой рейтинг лучших рекламных видеороликов. Все они разные и все чем-то покоряют: красотой, задумкой, стилем съемки, посылом, необычным финалом.
    Некоторые из них язык не повернется назвать иначе как шедевром короткого метра. Смотрим, наслаждаемся, делаем заметки, учимся творить рекламу правильно.
    Если Вы хотите выложить видеоролик о своей продукции на Sec.Ru, пишите о своем желании на adv@sec.ru!

    Картинка: Jpg, 100x150, 16,47 Кбайт

    Мотор!

Отраслевые СМИ

Все права защищены 2002 – 2017
Rambler's Top100 �������@Mail.ru