Технологии защиты сетей

f Cerelnternet прошла путь от простого средства передачи файлов до средства связи, используемого для покупки автомобилей, выписки рецептов, взятия ссуды для покупки" домай для оплаты счетов. Вместе с тем коммерческие и финансовые компании осбзнмкДчто^дАя эффективного использования своих сетей они должны обеспечить ИХ безопасйоста.’ Правительственные органы также оказались перед необходимостью обеспечить конфййенциальность индивидуальной частной информации при ее ис- . пользований третьёй’стороной, такой как медицинские учреждения или финансовые организации.

if, В настоящей главе обсуждаются возможные угрозы сетям и принципы всесторонней защиты при отражении этих угроз.

Почему важно обеспечить безопасность сети?

Компьютерные сети предоставляют компаниям и отдельным пользователям значительные возможности и: преимущества. Для онлайновых книжных магазинов доступность Internet позволяет пользователям купить книгу в любое время и любом месте земного шара. Студейу в-Южной Африке серверы австралийской компании онлайно- вого обучения позволяют закончить курс пройдя практическое обучение. В конечном итоге, сетевая безопасность жизненно важна как для провайдера, так и для конечного пользователя. В настоящем разделе основное внимание уделяется следующим факто- р ам jKoto р ы ечасто требу ют защиты сетей.

рост применения Internet-приложений;

более быстрый доступ к Internet;

• требования законодательства.

Jntemet-приложения прошли путь от электронной почты до потокового видео и онлайновый банковских операций.

S Появление этих новых приложений создало почву для того, чтобы хакерское сообщество обнаружила и стало использовать новые уязвимые места в сетевых системах. Эти уяз- ,..■?** вимые места включают в себя возможность кражи паролей, вызывающей нарушение рабо- / лы службы и возможность несанкционированного доступа к системным ресурсам.

Более быстрый доступ к Internet для домашних пользователей с помощью цифровых абонентских каналов (Digital Subscriber Line — DSL) и кабельных технологий еще более расширил границы этой уязвимости. В настоящее время персональные компьютеры домашнего пользователя более подвержены атакам, ранее обычно проводившимся против корпоративных компьютеров, поскольку эти домашние компьютеры "всегда включены".

Кроме того, более быстрый доступ к Internet помог компаниям повысить производительность труда, побуждая своих сотрудников работать на дому. Наличие рабочей станции дома у сотрудника расширяет границы сети компании за пределы помещений компании, однако в результате этого компания сталкивается с дополнительными угрозами безопасности.

Правительственные органы также осознали важность безопасности в сетях и ту огромную роль, которую она играет в экономической жизни и в инфраструктуре страны, в частности, в таких сферах, как транспорт, системы водоснабжения, системы действий в чрезвычайных ситуациях и в сфере обороны. В результате этого было разработано и принято законодательство, требующее, чтобы в сетях были реализованы соответствующие меры безопасности. Например, в США акт защиты конфиденциальности информации о здоровье граждан (Health Information Privacy Protection Act — HIPPA) требует, чтобы провайдеры медицинских учреждений соблюдали конфиденциальность историй болезни граждан. Европейский Союз (European Union — EU) принял директиву ЕС о защите данных, которая описывает требования к защите персональных данных.

Различные виды угроз безопасности сетей

В настоящем разделе описаны наиболее типичные случаи угрозы безопасности сетей:

•      несанкционированный доступ к сети;

•     низкий уровень аутентификации;

•     взлом паролей;

•     атаки с использованием анализаторов пакетов;

•      атаки на уровне приложений;

•      вирусы, черви и "троянские кони";

•     подделка IP-адресов;

•     атаки типа "отказ в обслуживании".

Несанкционированный доступ

Под этой угрозой общего типа понимается использование любой системы без согласия ее владельца, простирается от использования сети компании для установки на сервер онлайновой игры для многих игроков до похищения хакером личной информации домашнего пользователя с его персонального компьютера.

Низкий уровень аутентификации

Эта угроза безопасности обусловлена тем, что система не требует аутентификации, либо имеющийся механизм аутентификации обеспечивает низкий уровень безопасности или вообще ее не обеспечивает. Примером низкого уровня аутентификации могут служить Web-приложения, которые позволяют любому пользователю добавлять в систему учетные записи без предварительной аутентификации в качестве системного администратора.

Внимание!

Во многих системах имеются достаточно строгие механизмы аутентификации, однако они часто не используются.

Пароли

Пароли часто являются первой линией обороны от хакерских атак. Пароли используются для аутентификации и авторизации пользователей. Атакующие часто опираются на тот факт, что пользователи назначают слишком простые пароли или используют один и то же пароль на нескольких системах. Системы генерируют пробные пароли (hashes) основываясь на таких алгоритмах, как MD5. Пользователь вводит пароль который затем используется для входа в систему. Этот пароль пользователи пытаются взломать. Слишком простые пароли легко могут быть взломаны с использованием различных средств взлома паролей. Эти средства используют два основных метода для взлома: метод грубой силы или метод словаря. В методе грубой силы используются произвольные комбинации букв, цифр и специальных символов для генерации пробных паролей. В методе словаря для взлома паролей используется список слов для генерирования пробных паролей. При применении обоих методов пробный пароль сравнивается с паролем, сгенерированном системой. Если сравнение дает положительный результат, то пароль оказывается взломанным.

Анализаторы пакетов

Анализаторы пакетов (Packet sniffers), также называемые сетевыми анализаторами (network sniffers), представляют собой приложения, которые перехватывают пакеты, проходящие по кабелю.

Внимание!

Анализаторы способны перехватывать пакеты от всех устройств, находящихся в одном и том же широковещательном домене.

Первоначально анализаторы пакетов применялись в основном для анализа потоков данных в сети с целью определения требований к полосе пропускания и обнаружения проблем в сети. Однако позднее хакерское сообщество разработало анализаторы пакетов, предназначенные для перехвата чувствительной информации, такой как пароли, с целью ее использования для получения несанкционированного доступа к системе. Эти анализаторы пакетов, как правило, перехватывают только пакеты сеансов, связанных с протоколами и приложениями, в которых требуется пароль (такими, как Telnet, FTP, HTTP и POP).

Уровень приложений

При атаках на уровне приложений делается попытка воспользоваться уязвимыми местами в установленном в сети программном обеспечении. Типичным уязвимым состоянием в приложениях является переполнение буфера. Оно возникает при попытке сохранить в буфере больше данных, чем позволяет имеющееся в нем свободное место. Переполнение буфера обычно предоставляет атакующей стороне механизм выполнения опасного для системы кода с привилегиями уровня сетевого администратора или с привилегиями базового уровня.

Внимание!

Технические детали процесса переполнения буфера подробно описаны в книге Алефа Ван (Aleph One) "Smashing the Stack for Fun and Profit".

Вирусы, черви и "троянские кони"

Вирусом называется скрытая, самодублирующаяся часть компьютерного программного обеспечения, обычно написанная с недоброжелательными целями, которая распространяется путем заражения (т.е. вставкой собственной копии) другой программы. Вирус не является самостоятельно работающей программой; для того, чтобы вирус активизировался, необходим запуск содержащей его программы. Вирусы обычно распространяются через приложения к электронным сообщениям (e-mail), через документы текстовых процессоров и рабочие листы электронных таблиц. Вирус внедряется в эти приложения и заражает систему когда пользователь выполняет соответствующее приложение. Примерами вирусов могут служить Melissa, BugBear или Klez.

Червем (worm) называется компьютерная программа, которая может работать самостоятельно или распространять свою полную рабочую версию (копию) на другие рабочие станции сети. Такая программа может разрушительным образом потреблять ресурсы компьютера. Часто черви рассматриваются как разновидность вирусов. Например, производители антивирусных программ включают червей в свои вирусные базы данных. Примерами червей могут служть Nimda, CodeRed, Slapper или Slammer.

"Троянским конем " (Trojan horse) называют компьютерную программу, которая выглядит как программа, выполняющая полезную функцию, но также имеет скрытую и потенциально опасную функцию, которая не обнаруживается механизмами безопасности. Иногда для этого используется легальная авторизация системного элемента, который вызывает эту программу.

Подделка IP-адреса

Атака, связанная с подделкой IP-адреса характеризуется тем, что хакер, находящийся в сети или вне ее, пытается представить себя санкционированным пользователем. Он может сделать это одним из двух способов: использовать IP-адрес из диапазона внутренних легальных сетевых адресов или авторизованный внешний IP-адрес, с которого разрешен доступ к некоторым ресурсам системы. Атака, связанная с подделкой IP-адреса, часто служит отправной точкой для атак иного типа.

Атака типа "отказ в обслуживании"

Атак типа "отказ в обслуживании" (Denial of Service — DoS) боятся более всего, поскольку простой сети означает потерю доходов. Целью атаки DoS является полное или частичное лишение легитимного пользователя возможности доступа к системным ресурсам. Простая форма DoS-атаки может быть осуществлена путем грубого взлома пароля, в результате чего становится возможной блокировка учетных записей пользователей. Это легко может быть сделано с одной атакующей станции. DoS-атаки включают в себя рассылку большого количества нежелательных пакетов в атакуемую сеть с подделанного IP-адреса.

Новая форма DoS-атаки — распределенный отказ в обслуживании (Distributed Denial of Service — DDoS) появилась в 2000 году. DdoS-атака использует ресурсы различных систем при посредстве агентского программного обеспечения, управление которым осуществляется с ведущей системы. Это позволяет передавать в атакуемую сеть большее количество пакетов.

Политика безопасности

Политика безопасности определяет цели и способы обеспечения безопасности в сети. Она, как правило, включает в себя следующие аспекты:

•      политика допустимого использования сети;

•      политика использования паролей;

•      политика пользования электронной почтой и выхода в Internet;

•      меры, предпринимаемые в случае инцидентов в сети;

•      политика доступа к сети удаленных пользователей;

•      политика в сфере extranet-соединений;

•      политика использования общедоступных служб.

Политика допустимого использования сети (acceptable use policy — A UP) определяет, какие действия пользователя в сети являются разрешенными и неразрешенными. Она также определяет ответственность авторизованных пользователей. Например, политика AUP может предусматривать обязательное ежедневное выполнение антивирусной программы.

Политика использования паролей определяет какие пароли являются надежными, частоту смены паролей и определение круга лиц, имеющих доступ к системным паролям. Например, политика использования паролей может требовать, чтобы пароль маршрутизатора состоял из 10 символов и менялся каждые три месяца, а также в каждом случае, когда системный администратор прекращает работать в компании.

Политика использования электронной почты и выхода в Internet (e-mail and Internet policy — EIP) определяет каким пользователям предоставлено право пользования электронной почтой и право выхода в Internet. Например, политика EIP может предусматривать, что электронная почта может использоваться только для коммерческих целей, а доступ к Internet ограничен рабочими местами сотрудников, которым это необходимо для выполнения служебных обязанностей.

Процедуры поведения в ситуациях угрозы безопасности сети и соответствующие предпринимаемые меры определяют, что должны делать сотрудники компании в случае инцидентов в сети, таких как заражение вирусом или попытка несанкционированного доступа к сети. Процедуры поведения в случае попытки несанкционированного доступа к сети определяют к кому и каким образом следует обращаться, если обнаруживается такая попытка.

Политика доступа к сети удаленных пользователей (remote user access policy — RAP) определяет, каким образом сотрудники компании получают доступ к корпоративной сети компании из небезопасной сети, такой, например, как сеть Internet-провайдера. Политика RAP может, например, потребовать, чтобы для получения доступа с домашнего компьютера к корпоративной сети или к сетевым ресурсам каждый удаленный пользователь использовал клиентское программное обеспечение виртуальных частных сетей (Virtual Private Network — VPN) и одноразовые пароли (one-time password — OTP).

Политика в сфере extranet-соединений (extranet connection policy — ECP) определяет каким образом создаются соединения с бизнес-партнерами. Политика ЕСР может, например, определять, что партнерам разрешено осуществлять соединение с корпоративным сайтом только путем создания между сайтами VPN-туннеля с использованием стандарта тройного шифрования данных (Triple Data Encryption Standard — 3DES).

Политика допустимого использования общедоступных служб (allowed public services policy — APP) определяет, какие сетевые службы являются доступными из Internet. Как правило общедоступными службами являются FTP, SMTP, HTTP и DNS. Политика APP может предусматривать, что служба DNS доступна только базовым DNS-серверам.

Литература:

Руководство по технологиям объединенных сетей, 4-е издание. : Пер. с англ. — М.: Издательский дом «Вильяме», 2005. — 1040 с.: ил. – Парал. тит. англ.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100