Нужно провести разведку боем,–
Для чего – да кто ж там разберёт...
Владимир Высоцкий
27 марта 2008 года в гостинице «Holiday Inn» состоялась самарская часть серии семинаров «Cisco Road Show – для партнёров». По предварительной договорённости менеджер по продуктам безопасности Cisco Алексей Афанасьев должен был дать мне интервью. Собственно, именно это и случилось бы, будь я настоящим журналистом. Мы с коллегами на одном из мероприятий как-то пытались понять, кто же мы такие, и больше всего мне понравился термин «пишущие специалисты». Поэтому вместо того, чтобы аккуратно записывать ответы Алексея на поставленные вопросы, я то и дело вступал с ним в спор, он вынужден был отстаивать свою точку зрения, и иногда мы достигали компромисса. Так что название статьи придумалось сходу.
Готовясь к встрече, я нашёл в интернете материал, где имя моего собеседника встречалось в контексте защиты персональных данных. Оказалось, что Алексей не имеет к этому непосредственного отношения, но очень даже в курсе событий. Очевидно, что проблема несанкционированного доступа к персональным данным существует. Нашими властями законом от 27 июля 2006 года она продекларирована, но не более того. И дело не в том, что закон плох, просто к нему нужно ещё проработать механизмы реализации, поставить задачи по его исполнению. Планировалось, что эти задачи будут поставлены в феврале текущего года, но этого не случилось. Тем не менее, в ближайшее время следует ожидать соответствующих документов. Алексей уверен, что в результате реализации закона любая деятельность, сопряжённая с доступом к персональным данным, будет лицензирована. Это неминуемо вызовет проблемы с обслуживанием компьютерной техники, поэтому ИТ-предприятиям и специалистам, занимающимся аутсорсингом, надо заранее готовиться к такому повороту событий. Пришёл человек обновлять 1С – и получил возможность доступа к персональным данным. Нет лицензии – вот уже и незаконное предпринимательство. За доступ к данным «случайных» людей может пострадать и администрация обслуживаемой фирмы. Не хотим вас запугивать, но советуем отслеживать ситуацию.
Надо сказать, что сама фирма Cisco ведёт постоянную работу по согласованию своих решений и продуктов содержащих функционал безопасности с ФСТЭК и ФСБ. На сегодняшний день получено более 260 сертификатов от этих служб.
Возможность пострадать вызвала ассоциации с делом Поносова. Здесь наши мнения поначалу были противоположны: Алексей говорил, что каждый руководитель обязан полностью отвечать за всё, что делается в его организации, мои возражения сводились к тому, что компьютеры не были куплены школами, а свалились как снег на голову в результате выполнения национальный программы. Сошлись на том, что если бы вместе с компьютерами в школы пришли внятные инструкции, касающиеся в том числе лицензирования программного обеспечения, дело Поносова скорее всего бы не случилось.
Интересовал меня и вопрос о поддержке SIP при использовании телефонов именно фирмы Cisco для организации корпоративной связи. Г-н Афанасьев пояснил, что базовая станция только осуществляет сигнализацио (служебные операции при выполнении звонка), а далее сам разговор идет между самими трубками. Разница функционала и несовместимости при работе по протоколу SIP большей частью связаны с тем, что SIP не стандарт, а RFC. Проблема в том, что протокол SIP, использующийся для связи между телефонами, содержит множество параметров, и каждый производитель реализует лишь часть из них. Поэтому голосовая связь будет установлена между двумя трубками любых производителей, но полного функционала мы почти гарантированно не получим. Собственно, примерно так же выглядит ситуация с трубками стандарта DECT, знакомыми более широкому кругу людей.
Главной темой, которую мы обсуждали, была безопасность беспроводных коммуникаций. На мероприятиях Cisco мне неоднократно приходилось слышать о том, что беспроводные коммуникации столь же безопасны, как и проводные. Честно говоря, я этим словам не верил: всё же для осуществления несанкционированного физического доступа к проводным коммуникациям надо попотеть, тогда, как к беспроводным он существует изначально. Встал под окном, и лови волну. Аргументы специалистов, что мол, даже имея физический доступ, мы «не пробьем» шифрование, мне не представлялись обоснованными: всё равно одним уровнем защиты меньше, значит, ровно на этот уровень защита слабее. То есть не то, что она стала неприемлемо слабой, но ведь слабее? Не хочу выбивать слезу, но чувствовал я себя в этой ситуации неуютно: повторять, во что сам не верю, не хотелось, обвинять профессионалов – тем более.
Я уже пошёл было по накатанной колее, но вдруг услышал от Алексея вроде бы очевидные, но неожиданные аргументы. И всё встало на место. Суть их в следующем: стандарты проводных локальных сетей создавались сравнительно давно. Для дома или небольшого офиса они сохраняют актуальность: трудно представить, что в квартиру проползёт злоумышленник с ноутбуком и подсоединится к домашнему коммутатору. Но теперь домашние сети разрослись, кабели и соединения находятся в подъездах и далеко не всегда их можно защитить от несанкционированного доступа. То же касается и локальных офисных сетей: зачастую они проходят в таких местах зданий, куда редко ступает нога персонала. Кроме этого в больших офисных зданиях часто есть возможность незаметно подключиться к сети даже через розетку. Что происходит дальше? Подсоединённое устройство получает сетевой адрес и возможность напрямую атаковать сервер – между ними уже нет никакой преграды. В противовес этому, разработчики стандартов беспроводных соединений отдавали себе отчёт в том, что физический доступ не только вероятен, но и обязательно будет и сразу защитили саму сеть. Ну и что с того, что сеть физически доступна? Устройство сначала должно пройти авторизацию в сети и только после этого оно получает IP адрес и, соответственно, возможность обратиться к серверу. С самого начала взаимодействия весь трафик подлежит шифрованию, то есть опять похожая ситуация: даже перехватив трафик, злоумышленник не сможет его расшифровать (конечно, при использовании современных стандартов и корректных настроек). Обычная в таких случаях оговорка: за приемлемый срок, используя приемлемые ресурсы. Потому что если расшифровка будет производиться месяцами с помощью суперкомпьютеров, это попадает под известное определение: овчинка выделки не стоит.
Вообще есть две категории угроз: кража информации и нарушение работы сети. Про первую мы рассказали, что касается второй, то, применительно к беспроводной сети возможно создание радиопомех. Но и проводная сеть имеет свои уязвимости: в одной из известных мне организаций, расположенной на бывшей овощной базе, мыши регулярно перегрызали кабели.
Однако возникает законный вопрос: а что мешает сделать аутентификацию и шифрование в проводных сетях? Разумеется, ничего не мешает, просто исторически локальные сети создавались по «добеспроводным» стандартам безопасности, а переделывать работающую систему… Все же знают притчу о человеке с гайкой на пупке. Да и проблема двухтысячного года тоже не должна выветриться из памяти.
Так вот: в дополнение к индивидуальной защите компьютеров компания предлагает с помощью фирменной технологии Cisco NAC (технология контроля доступа к сети) защитить и саму локальную сеть. Это примерно как посадить на входе в подъезд охранника, который не должен позволить злоумышленнику тренироваться с замками квартирных дверей. При этом даже не так важно: подключилось ли устройство физически к беспроводной точке доступа, к проводной розетке или входит в офисную сеть через удалённое соединение. Первый вопрос, который будет задан при такой попытке, будет не про домен, логин и пароль, и задан он будет не сервером – он пока ещё недоступен. Первый вопрос будет задан специализированным устройством, стоящим на защите сети и будет он звучать примерно так: а этот посетитель вообще может быть допущен в нашу сеть? Далее следует проверка: что за версия ОС, установлен ли «правильный» антивирус и т.п. Если это «чужой», то он будет вышвырнут с порога, если «свой» – то здесь два варианта. Если у него всё в порядке, то он сразу будет допущен в сеть, если нет, то сначала предстоят профилактические процедуры: обновление ОС и антивируса, проверка на вирусы (мог ведь подцепить).
В завершение выскажу одну мысль, на которую навёла меня беседа с Алексеем Афанасьевым. Одиночных компьютеров становится всё меньше, сети проникают даже в самые маленькие офисы и частные домовладения. Вместе с сетями появляются и специализированные сетевые устройства: принт-серверы, интернет-центры, сетевые хранилища данных. Решения защиты сети уже достаточно хорошо отработаны на крупных и богатых заказчиках и, если Cisco вместе с производителями антивирусов сумеет выпустить недорогое решение для защиты дома и малого офиса, то это может в корне изменить подход к обеспечению компьютерной безопасности.