Комплексный подход к обучению информационной безопасности

Комплексный подход к обучению информационной безопасности

Автор: Лапонина Ольга Робертовна, научный сотрудник, лаб. Открытых информационных технологий, фак. ВМиК, МГУ им. Ломоносова

119899, Москва, Воробьевы горы, 2-ой учебный корпус, комн. 362, тел. 939-26-38, факс 939-23-59

e-mail: laponina@oit.cmc.msu.ru
Сегодня вопросы обеспечения информационной безопасности играют одну из важнейших ролей при разработке и использовании компьютерных программ и систем. Поэтому трудно себе представить программу по направлению Информационные технологии, в которой не было бы курсов, посвященных информационной безопасности.

Автором разработаны два учебника по тематике информационной безопасности [1, 2]: «Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия: учебное пособие» и «Межсетевое экранирование».

На основе этих учебников отработан комплексный подход к обучению информационной безопасности ИТ-профессионалов. Данный подход реализуется в рамках следующих курсов:

- «Математические основы безопасности ИТ» и

- «Безопасность компьютерных сетей»,

дополненных специально разработанными практикумами.

Рассмотрим кратко содержание данного подхода.

Курс «Математические основы безопасности ИТ»

В курсе «Математические основы безопасности ИТ» изучаются алгоритмические основы механизмов и сервисов безопасности информационных технологий, а именно симметричные алгоритмы шифрования, асимметричные алгоритмы шифрования и хэш-функции. Значительное внимание уделяется изучению использования криптографических механизмов в сети интернет. В частности рассмотрены основные алгоритмы симметричного шифрования: DES, 3DES, IDEA, ГОСТ 28147, Blowfish, Rijndael, а также режимы их использования; рассмотрены алгоритмы шифрования с открытым ключом RSA, Диффи-Хеллмана и DSS, рассмотрены принципы распределения открытых ключей, стандарт Х.509 третьей версии и принципы создания инфраструктуры открытого ключа, рассмотрены наиболее широко используемые протоколы сетевой безопасности прикладного уровня и протокол создания виртуальных частных сетей.

Разделы курса

Данный курс состоит из следующих разделов.

Введение. Основные понятия и определения, относящиеся к информационной безопасности: атаки, уязвимости, политика безопасности, механизмы и сервисы безопасности; классификация сетевых атак; цели и задачи обеспечения безопасности: доступность, целостность, конфиденциальность, ответственность, гарантирование; модели сетевой безопасности и безопасности информационной системы.

Алгоритмы симметричного шифрования. Основные понятия алгоритмов симметричного шифрования, ключ шифрования, plaintext, ciphertext; стойкость алгоритма, типы операций, сеть Фейштеля; алгоритмы DES и тройной DES. Алгоритмы симметричного шифрования Blowfish, IDEA, ГОСТ 28147, режимы их выполнения; способы создания псевдослучайных чисел. Новый стандарт алгоритма симметричного шифрования – AES; критерии выбора алгоритма и сравнительная характеристика пяти финалистов; понятие резерва безопасности. Характеристики алгоритмов, особенности программной реализации, возможность их реализации в окружениях с ограничениями пространства, возможность вычисления на лету подключей. Алгоритм Rijndael; математические понятия, лежащие в основе алгоритма Rijndael; структура раунда алгоритма Rijndael.

Криптография с открытым ключом. Основные понятия криптографии с открытым ключом, способы ее использования: шифрование, создание и проверка цифровой подписи, обмен ключа. Алгоритмы RSA и Диффи-Хеллмана.

Хэш-функции и аутентификация сообщений. Основные понятия обеспечения целостности сообщений с помощью МАС и хэш-функций; простые хэш-функции. Сильные хэш-функции MD5, SHA-1, SHA-2 и ГОСТ 3411; обеспечение целостности сообщений и вычисление МАС с помощью алгоритмов симметричного шифрования, хэш-функций и стандарта НМАС.

Цифровая подпись. Требования к цифровым подписям, стандарты цифровой подписи ГОСТ 3410 и DSS. Криптография с использованием эллиптических кривых; математические понятия, связанные с криптографией на эллиптических кривых.

Алгоритмы обмена ключей и протоколы аутентификации. Основные протоколы аутентификации и обмена ключей с использованием третьей доверенной стороны. Аутентификационный сервис Kerberos; требования, которым должен удовлетворять Kerberos, протокол Kerberos, функции AS и TGS, структура билета (ticket) и аутентификатора; понятие области (realm) Kerberos; протокол 5 версии.

Инфраструктура Открытого Ключа (PKI). Понятия инфраструктуры открытого ключа: сертификат открытого ключа, сертификационный центр, конечный участник, регистрационный центр, CRL, политика сертификата, регламент сертификационной практики, проверяющая сторона, репозиторий; архитектура PKI. Профиль сертификата X.509 v3 и профиль CRL v2; сертификационный путь; основные поля сертификата и расширения сертификата; критичные и некритичные расширения; стандартные расширения. Профиль CRL v2 и расширения CRL, области CRL, полный CRL, дельта CRL; Алгоритм проверки действительности сертификационного пути. Протоколы PKI управления сертификатом. On-line протокол определения статуса сертификата; политика сертификата и регламент сертификационной практики. Сервис директории LDAP, сравнение LDAP с реляционными базами данных; информационная модель LDAP, модель именования LDAP, понятие дерева директории, DN, схемы, записи, атрибута записи, класса объекта. Основные свойства протокола LDAP. Abstract Syntax Notation One (ASN.1); простые и структурные типы; идентификатора объекта.

Лабораторный практикум «Повышение защищенности систем на основе Windows Server 2003 с использование eToken компании Aladdin»

При изучении вопросов, связанных с информационной безопасностью, не менее важно иметь практические навыки обеспечения этой самой безопасности. Поэтому наряду с изучением теоретических основ студенты посещают лабораторный практикум, на котором выполняют следующие задания:

Установка контроллера домена на ОС Windows Server 2003 Enterprise Edition. Подключение рабочей станции с ОС Windows XP Profissional к домену. Создание в домене учетной записи пользователя, которому будут выдаваться сертификаты.
Установка и настройка ПО для eToken Windows Server 2003 и Windows XP Profissional. Установка eToken Run Time Environment. Установка eToken Utilities. Форматирование eToken. Настройка параметра eToken.
Установка и настройка CA. Создание шаблонов сертификатов. На компьютере, с которого осуществляется создание данных шаблонов, должен быть установлен eToken RTE. Это необходимо для того, чтобы был доступен поставщик криптографических средств (CSP) eToken Base Cryptographic Provider. Именно этот CSP будет использоваться при издании сертификатов.
Включение шаблонов сертификатов. Для того чтобы начать использование созданных шаблонов сертификатов, необходимо включить их. Для централизованной процедуры выдачи сертификатов необходимо также, чтобы был включен стандартный шаблон Агент подачи заявок/Enrollment Agent.
Подготовка консоли центра сертификации. Настроить центр сертификации можно как на самом сервере, так и с любого компьютера, входящего в домен. Компьютер, с которого осуществляется настройка центра сертификации, должен работать под управлением операционной системы Windows Server 2003 или Windows XP Professional. В последнем случае на компьютере должен быть установлен пакет Windows Server 2003 Administration Tools.
Издание сертификатов. Подготовка консоли управления сертификатами. Получение сертификата агента получения заявок.
Издание пользовательских сертификатов через веб интерфейс c использованием и без использования сертификата агента получения заявок.
Аутентификация пользователя в домене Windows Server 2003 с использованием eToken. Если на компьютере установлен eToken RTE, то стандартное приглашение: Операционная система Windows/Welcome to Windows через несколько секунд после появления сменяется приглашением: Вставьте карту или нажмите Ctrl+Alt+Delete для начала работы/Insert card or press Ctrl+Alt+Delete to begin.
Установка для пользователя требования использования eToken при входе в домен.
Блокирование компьютера и принудительный выход пользователя при отключении eToken.
Использование HTTPS (HTTP + SSL) с аутентификацией пользователя по сертификату, хранящемуся на eToken.
Создание ЭЦП в документах Office 2003. Microsoft Office 2003 использует технологию Microsoft Authenticode, позволяющую снабжать макросы и файлы цифровой подписью. Office 2003 позволяет создавать ЭЦП в документах, создаваемых с помощью приложений Word 2003, Excel 2003, Power Point 2003.

Распределение часов курса по темам и видам работ

№ п/п	Наименование тем и разделов	Всего (часов)	Аудиторные занятия (часов)		Самостоятельная работа (часов)
№ п/п	Наименование тем и разделов	Всего (часов)	Лекции	Практические занятия	Самостоятельная работа (часов)
1	Введение	2	2		2
2	Алгоритмы симметричного шифрования	10	10		10
3	Криптография с открытым ключом	2	2		2
4	Хэш-функции и аутентификация сообщений	4	4		4
5	Цифровая подпись	2	2		2
6	Криптография с использованием эллиптических кривых	2	2		2
7	Алгоритмы обмена ключей и протоколы аутентификации	2	2		2
8	Инфраструктура Открытого Ключа (PKI)	48	12	36	12
	ИТОГО	108	36	36	36

Курс «Безопасность компьютерных сетей»

В курсе «Безопасность компьютерных сетей» рассматриваются наиболее широко используемые протоколы сетевой безопасности прикладного и сетевого уровней. Рассмотрены вопросы обеспечения безопасности при подключении корпоративной сети к интернету. Основное внимание уделяется классификации межсетевых экранов (firewall’ов), систем обнаружения проникновений, а также обеспечению безопасности сервисов DNS и web-серверов.

Разделы курса

Данный курс состоит из следующих разделов.

Безопасное сетевое взаимодействие

Протокол Kerberos. Аутентификационный сервис Kerberos. Требования, которым должен удовлетворять Kerberos, описание протокола Kerberos, функций AS и TGS, структура билета (ticket) и аутентификатора. Вводится понятие области (realm) Kerberos. Описание протокола версии 5.

Протокол TLS/SSL. Описание протокола Записи и протокола Рукопожатия, вводится понятие «состояние соединения». Описание используемых криптографических операций и PRF. Расширения, которые могут использоваться для добавления функциональностей в протокол TLS.

Протокол SSH. Описание протокола удаленного безопасного входа SSH. Определяется понятие ключа хоста, описание алгоритма транспортного уровня, способа аутентификации сервера и вычисления разделяемого секрета. Описание методов аутентификации пользователя и механизма канала, обеспечивающего интерактивные входные сессии, удаленное выполнение команд, перенаправление ТСР/IP-соединений, перенаправление Х11-соединений.

Протоколы безопасности на уровне IP. Рассматривается архитектура семейства протоколов IPsec. Рассматриваются протоколы безопасности - Authentication Header (AH) и Encapsulating Security Payload (ESP), Безопасные Ассоциации (SA), управление ключом - ручное и автоматическое (Internet Key Exchange - IKE), а также алгоритмы, используемые для аутентификации участников и шифрования трафика. Рассматривается Протокол Управления Ключом (ISAKMP), который определяет общие процедуры и форматы пакетов для ведения переговоров об установлении, изменении и удалении SA. В качестве протокола аутентификации и обмена ключа рассмотрен протокол IKE.

Классификация firewall’ов и определение политики firewall’а

Классификация firewall’ов. Исследуются существующие технологии firewall’ов: пакетные фильтры, stateful inspection firewall’ы, прокси прикладного уровня. Рассматривается сервис NAT. Приводятся примеры использования firewall’ов различного типа: выделенные прокси серверы, host-based firewall’ы, персональные firewall’ы.

Различные типы окружений firewall’а. Рассматриваются различные типы окружений, в которых может функционировать firewall. Приведены основные принципы построения окружения firewall’а. Дается определение DMZ сети. Исследуются различные топологии DMZ сетей с использованием firewall’ов разного типа. Разбирается взаимное расположение конечных точек VPN и firewall’ов. Вводятся понятия интранет, экстранет. Задаются принципы создания политики firewall’а.

Пример пакетных фильтров в ОС FreeBSD 6.0. Рассматриваются пакетные фильтры, реализованные в ОС FreeBSD 6.0: IPF и IPFW. Приводится синтаксис каждого из этих пакетных фильтров и возможности поддержки состояния ТСР соединения в них. Приводится порядок прохождения пакета через правила пакетного фильтра. Изучается применение функции трансляции сетевых адресов (NAT). Приведены примеры набора правил в IPF и IPFW.

Intrusion Detection Systems (IDS)

Определение понятия Intrusion Detection Systems (IDS). Рассматриваются причины, по которым следует использовать IDS. Приводятся различные походы к классификации IDS. Сравниваются возможности network-based, host-based и application-based IDS. Оцениваются преимущества и недостатки IDS, основанных на определении злоупотреблений и на определении аномалий. Перечисляются возможные ответные действия IDS.

Дополнительные инструментальные средства. Системы анализа и оценки уязвимостей и проверки целостности файлов. Рассматривается еще одна смежная IDS технология – создание Honey Pot и Padded Cell. Приводятся различные способы развертывания IDS разного типа. Исследуются возможные комбинации использования network-based и host-based IDS. Даются способы обработки выходной информации IDS. Перечисляются типы компьютерных атак, обычно определяемых IDS.

Принципы безопасного развертывания сервисов DNS

Свойства инфраструктуры DNS. Основное назначение сервисов DNS, компоненты DNS, такие, как зонный файл, name сервера и resolver’ы. Вводятся различные типы DNS транзакций: запрос / ответ DNS, зонная пересылка, динамические обновления, DNS NOTIFY. Исследуются возможные угрозы сервисам и компонентам DNS. Обсуждается понятие безопасности для сервисов и компонентов DNS. Рассматриваются транзакции DNS и угрозы и цели безопасности для различных типов транзакций. Описывается создание безопасного окружения для сервисов DNS: безопасность платформы, безопасность ПО DNS, управление содержимым зонного файла. Приводятся подходы к обеспечению защиты на основе спецификации TSIG. Рассматривается способ, которым DNSSEC обеспечивает защиту транзакций DNS Query/Response с помощью аутентификации источника, проверки целостности данных и аутентифицированного отказа при отсутствии запрошенных данных. Описываются механизмы, используемые DNSSEC, операции, с помощью которых эти механизмы реализуются, и способы обеспечения безопасности этих операций. Задаются принципы безопасного развертывания DNSSEC.

Обеспечения безопасности web-серверов

Причины уязвимости web-сервера. Рассматриваются проблемы безопасности, связанные с web-серверами. Обсуждаются проблемы, связанные с безопасностью ОС, на которой выполняется ПО web-сервера. Изучаются альтернативные платформы для web-сервера. Приводится способ безопасного инсталлирования ПО web-сервера. Исследуется управление доступом на уровне ОС для приложения web-сервера.

Безопасность web-одержимого. Рассматриваются принципы обеспечения безопасности содержимого web-сервера. Перечислены различные технологии создания активного содержимого на стороне клиента и сравнивается создаваемая ими степень риска. Изучаются различные технологии создания динамических страниц на стороне сервера и связанные с ними уязвимости.

Технологии аутентификации и шифрования. Рассматриваются существующие технологии аутентификации и шифрования в web: BASIC аутентификация, DIGEST аутентификация, TLS/SSL аутентификация.

Firewall прикладного уровня для web ModSecurity: понятие регулярных выражений, основные возможности конфигурирования, способы задания правил (rules), действий (actions). Дается решение основных проблем безопасности. Приводится примерная минимальная конфигурация.

Безопасная сетевая инфраструктура для web-сервера. Топология сети, использование firewall’ов, сетевых коммутаторов и концентраторов, IDS. Формулируются принципы администрирования web-сервера: создание логов, процедуры создания backup web-сервера, восстановление при компрометации безопасности, тестирование безопасности и удаленное администрирование web-сервера.

Лабораторный практикум

В настоящее время на практикуме рассматриваются только вопросы, связанные с созданием виртуальных частных сетей, основанных на использовании семейства протоколов IPsec.

На лабораторном практикуме выполняются следующие задания:

Развернуть стенд с двумя ОС FreeBSD v6.2 и реализовать возможные сценарии создания VPN, основанные на протоколе IPSec.
Установить протоколы АН/ESP в транспортном и туннельном режимах.
Установить SA в ручном режиме.
Установить SA с использованием демона racoon с аутентификацией по preshared secret.
Установить SA с использованием демона racoon с аутентификацией по сертификатам открытого ключа.

В дальнейшем практикум может быть расширен, чтобы студенты получали практические навыки по всем рассматриваемым в курсе темам:

Межсетевые экраны, фильтрация пакетов и трансляция адресов

Технология Stateful Inspection. Параметры фильтрации. Правила фильтрации.

Развернуть стенд с двумя ОС FreeBSD v6.2 и реализовать возможные сценарии конфигурирования пакетных фильтров в ОС FreeBSD 6.2.
Развернуть стенд с двумя ОС установками Check Point NGX и познакомиться с возможностями межсетевого экрана Check Point NGX.

Демилитаризованная зона

Топология сети при использовании демилитаризованной зоны.
Различные типы демилитаризованных зон.

Обнаружение атак

Архитектура систем обнаружения атак.
Классификация систем обнаружения атак. Анализ сигнатур.
Примеры систем обнаружения атак. Система обнаружения атак Snort.
1. Сканирование уязвимостей

Выявление уязвимостей с использованием различных средств анализа защищенности – Nessus, XSpider.
Написание собственных проверок на языке NASL.

Распределение часов курса по темам и видам работ

№ п/п	Наименование тем и разделов	Всего (часов)	Аудиторные занятия (часов)		Самостоятельная работа (часов)
№ п/п	Наименование тем и разделов	Всего (часов)	Лекции	Практические занятия	Самостоятельная работа (часов)
1	Безопасное сетевое взаимодействие	30	10	10	10
2	Классификация firewall’ов и определение политики firewall’а	18	6	6	6
3	Системы обнаружения проникновений (Intrusion Detection Systems - IDS)	12	4	4	4
4	Принципы безопасного развертывания сервисов DNS	18	6	6	6
5	Обеспечения безопасности web-серверов	28	8	8	8
	ИТОГО	102	34	34	34

Заключение

Разработанный комплексный подход к обучению информационной безопасности ИТ-профессионалов, основанный на ипользовании авторских учебников [1, 2], успешно применяется автором в программах магистерского обучения и дополнительного образования на дополнительную квалификацию на факультете ВМК МГУ им. Ломоносова.

Список литературы

Основная:

Лапонина О.Р. «Основы сетевой безопасности: криптографические алгоритмы и протоколы взаимодействия: учебное пособие», 2-е изд. испр. ,М. ИНТУИТ.РУ «Интернет-Университет Информационных Технологий», БИНОМ. Лаборатория знаний, 2007г., 531с.
Лапонина О.Р. «Межсетевое экранирование», 2006г. М. ИНТУИТ.РУ «Интернет-Университет Информационных Технологий», 343с.

Дополнительная:

Галатенко В.А. «Основы информационной безопасности», изд. Интуит, 2005г.
Галатенко В.А. «Стандарты информационной безопасности», изд. Интуит, 2005г.
«FreeBSD Handbook», 2006г.
«Mod_Security Reference Manual v1.7.4», 2003г., 27с.
National Institute of Standards and Technology U.S. Department of Commerce «Secure Domain Name System (DNS) Deployment Guide», Special Publication 800-81 (Draft), 2005г, 91с.
National Institute of Standards and Technology U.S. Department of Commerce «Intrusion Detection Systems», Special Publication 800-31, 2004г, 51с.
National Institute of Standards and Technology U.S. Department of Commerce «Guidelines on Firewalls and Firewall Policy», Special Publication 800-41, 2002г, 74с.
National Institute of Standards and Technology U.S. Department of Commerce «Guidelines on Securing Public Web Servers», Special Publication 800-44, 2002г, 187с.
RFC 793 «Transmission Control Protocol», 1981г, 85с.
RFC 1035 «DOMAIN NAMES – implementation and specification», 1987г., 55с.
RFC 2069 «An Extension to HTTP : Digest Access Authentication», 1997г., 18с.
RFC 2616 «Hypertext Transfer Protocol -- HTTP/1.1», 1999г., 176с.
RFC 2617 «HTTP Authentication: Basic and Digest Access Authentication», 1999г., 34с.
RFC 2845 «Secret Key Transaction Authentication for DNS (TSIG)», 2000г., 15с.
RFC 2930 «Secret Key Establishment for DNS (TKEY RR)», 2000г., 16с.
RFC 2931 «DNS Request and Transaction Signatures ( SIG(0)s )», 2000г., 10с.
RFC 2964 «Use of HTTP State Management», 2000г., 8с.
RFC 2965 «HTTP State Management Mechanism», 2000г., 26с.
RFC 3007 «Secure Domain Name System (DNS) Dynamic Update», 2000г., 9с.
RFC 3833 «Threat Analysis of the Domain Name System (DNS)», 2004г., 16с.
RFC 4033 «DNS Security Introduction and Requirements», 2005г., 21с.
RFC 4034 «Resource Records for the DNS Security Extensions», 2005г., 29с.
RFC 4035 «Protocol Modifications for the DNS Security Extensions», 2005г., 53с.