Большое число обнаруживаемых уязвимостей

Текущая версия системы Internet Scanner (версия 5.4) обнаруживает более 400 уязвимостей, что почти в 1.5 раза превышает число обнаруживаемых уязвимостей у ближайших конкурентов. Система Internet Scanner проводит 20 различных категорий проверок, к которым можно отнести:

Получение информации о сканируемой системе Проверки FTP Проверки сетевых устройств Проверки электронной почты Проверки RPC Проверки NFS Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service") Проверки паролей Проверки Web-серверов Проверки Web-броузеров Проверки возможности осуществления атак типа "подмена" ("Spoofing") Проверки межсетевых экранов Проверки удаленных сервисов Проверки DNS Проверки файловой системы ОС Windows NT Проверки учетных записей ОС Windows NT Проверки сервисов ОС Windows NT Проверки системного реестра ОС Windows NT Проверки установленных patch'ей системы безопасности ОС Windows NT

Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.

Большое число проводимых проверок

Текущая версия системы System Security Scanner обнаруживает около 200 уязвимостей ОС UNIX (версия 1.6 для ОС Unix) и более 300 уязвимостей ОС Windows NT, Windows 9x (версия System Scanner 1.0 для Windows). Система System Security Scanner проводит различные категории проверок, к которым можно отнести:

Получение информации о сканируемой системе Проверки настроек FTP Проверки настроек электронной почты Проверки настроек RPC Проверки настроек NFS Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service") Проверки паролей Проверки настроек Web-серверов Проверки настроек Web-броузеров Проверки настроек удаленных сервисов (в т.ч. RAS для ОС Windows NT). Проверки настроек DNS Проверки файловой системы ОС Windows NT Проверки учетных записей ОС Windows NT Проверки настроек сервисов ОС Windows NT Проверки системного реестра ОС Windows NT Проверки установленных patch'ей системы безопасности ОС Windows NT Проверки антивирусных программ Проверки прикладного ПО (в т.ч. Microsoft Office) Проверки настроек модемов.

Большое число распознаваемых атак

Система RealSecure? позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Ниже описаны основные типы контролируемых событий:

"Отказ в обслуживании" (Denial of service)

Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

"Неавторизованный доступ" (Unauthorized access attempt)

Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

"Предварительные действия перед атакой" (Pre-attack probe)

Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

"Подозрительная активность" (Suspicious activity)

Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

"Анализ протокола" (Protocol decode)

Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.

Периодическое обновление базы данных атак позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.

Задание шаблонов фильтрации трафика

Для более точной настройки системы RealSecure? на работу в сетевом окружении, администратор безопасности может использовать либо один из восьми (для версии 2.5) изначально устанавливаемых шаблонов, либо создавать на их основе свои собственные шаблоны, учитывающие специфику Вашей корпоративной сети. Все вновь созданные шаблоны могут быть сохранены для последующего использования.

"Максимум возможностей" (Maximum Coverage)

Данный шаблон позволяет использовать абсолютно все возможности модуля слежения системы RealSecure?, включая обнаружение атак, анализ протоколов, запись сессий и т.п.

"Детектор атак" (Attack Detector)

Данный шаблон позволяет только обнаруживать атаки. Этот шаблон может быть использован для обнаружения и отражения атак на ресурсы особо критичных участков или узлов сети.

"Анализатор протоколов" (Protocol Analyzer)

Данный шаблон является противоположным "детектору атак", т.е. все возможности по обнаружению атак отключены и доступны только функции контроля сетевых протоколов. Указанный шаблон может использоваться администраторами для понимания всех процессов, происходящих в корпоративной сети.

"Web-сторож" (Web Watcher)

Данный шаблон позволяет контролировать только HTTP-траффик сети. Указанный шаблон может использоваться администраторами для определения HTTP-траффика Вашей корпоративной сети или для контроля этого трафика в сегментах, в которых установлены только Web-сервера.
При использовании данного шаблона обнаруживаются только атаки, основанные на использовании протокола HTTP.

"Windows-сети" (For Windows Networks)

Данный шаблон позволяет контролировать трафик, специфичный для Windows сетей. Указанный шаблон можно использовать, например, в тех сетях, которые построены на базе операционной системы Windows NT. При использовании данного шаблона обнаруживаются только атаки, специфичные для сетей, построенных на основе семейства операционных систем Windows.

"Запись сессий" (Session Recorder)

Данный шаблон позволяет записывать сессии по протоколам Telnet, FTP, SMTP (электронная почта) и NNTP (сетевые новости).

"Модуль слежения в DMZ" (DMZ Engine)

Данный шаблон ориентирован на функционирование модуля слежения в демилитаризованной зоне (DMZ).

"Модуль слежения до межсетевого экрана" (Engine Inside Firewall)

Данный шаблон ориентирован на функционирование модуля слежения за межсетевым экраном.

Брандмауэр

Информация предоставлена

Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или

более частей и реализовать набор правил, определяющих условия прохождения пакетов из

одной части в другую (см ).

Как правило, эта граница проводится между локальной сетью

предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия.

Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего

пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы

брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том,

как эти правила описываются и какие параметры используются при их описании речь пойдет

ниже.

Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это

BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных

платформ встречаются INTEL, Sun SPARC, RS6000, Alpha , HP PA-RISC,

семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры

поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства.

Требования к оперативной памяти и объему жесткого диска зависят от количества машин в

защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб

на жестком диске.

Как правило, в операционную систему, под управлением которой работает

брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти

изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом

брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр),

только счет администратора. Некоторые брандмауэры работают только в однопользовательском

режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При

этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются

при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

Все типы могут одновременно встретиться в одном брандмауэре.

Бронежилет для компьютера

Как только речь заходит о средствах личной безопасности, то первое, что приходит на ум - это бронежилет, защищающий его владельца от многих опасностей. Его применение в некоторых случаях ни у кого не вызывает сомнение и многие владельцы ни разу не пожалели о затраченных средствах. Ведь речь идет об их жизни. Но почему-то никто не вспоминает о средствах "личной" безопасности для своих компьютеров, на которых зачастую обрабатывается важная и конфиденциальная информация, ценность которой может измеряться десятками и сотнями тысяч долларов. А такие средства существуют - это персональные межсетевые экраны, которым и посвящена эта статья.

Первое, о чем я хотел бы сказать, это о произошедших изменениях в структуре корпоративных сетей. Если еще несколько лет назад границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Раньше такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой межсетевым экраном сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Требуется ли им защита? Несомненно. Но все межсетевые экраны построены так, что защищаемые пользователи и ресурсы должны находиться под сенью их защиты, т.е. с внутренней стороны, что является невозможным для мобильных пользователей. Чтобы устранить эту проблему было предложено два подхода - виртуальные частные сети (virtual private network, VPN) и распределенные межсетевые экраны (distributed firewall). Первое решение, которое не раз освещалось на страницах изданий компании "Гротек", заключается в установке на удаленный узел специального программного обеспечения, которое позволяло получать доступ к защищаемым МСЭ ресурсам по защищенному каналу. Примером такого решения можно назвать абонентский пункт "Континент-К", разработанный НИП "Информзащита" (). Другой пример - VPN-1 SecuRemote компании Check Point Software (), являющейся мировым лидером (по данным компании Dataquest - 52% мирового рынка средств построения VPN) в области разработки средств построения VPN. Такая схема, похожая на осьминога, раскинувшего свои щупальца, обладала только одним недостатком - сам удаленный узел был подвержен атакам. Установленный на него троянский конь мог дать возможность проникнуть злоумышленнику через межсетевой экран и по защищенному каналу. Ведь VPN шифрует и обычный, и несанкционированный трафик, не делая между ними различий. Тогда-то и родилась идея распределенного межсетевого экрана, который являлся мини-экраном, защищающим не всю сеть, а только отдельный компьютер. Примерами такого решения является RealSecure Server Sensor и BlackICE Defender компаний Internet Security Systems () и Network ICE (), которая была приобретена 28 апреля 2001 года компанией ISS. Это решение понравилось и домашним пользователям, которые наконец-то получили возможность защиты своих компьютеров от рыскающих в сети злоумышленников. Но, т.к. многие функции распределенного МСЭ (например, централизованное управление) для домашних пользователей были лишними, то родилась новая технология, получившая название "персонального межсетевого экрана" (personal firewall), яркими представителями которых являются ZoneAlarm и Norton Internet Security (носивший ранее имя AtGuard) компаний ZoneLabs () и Symantec () соответственно. Компания Check Point Software оказалась впереди и здесь, предложив системы VPN-1 SecureClient и VPN-1 SecureServer, которые не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т.е. организуя VPN). Именно такая интеграция сделала подвластными межсетевым экранам сети с нечетко очерченными границами.

В чем отличие персонального межсетевого экрана от распределенного? Главное отличие одно - наличие функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях - персональной (для домашних пользователей) и распределенной (для корпоративных пользователей). Так, например, поступила компания Internet Security Systems, которая предлагает персональный межсетевой экран BlackICE Defender и распределенный межсетевой экран BlackICE Agent ().

Какими функциями должен обладать надежный персональный МСЭ? Сразу необходимо сказать, что далее я, упоминая персональные МСЭ буду иметь ввиду и распределенные МСЭ. Во-первых, этот экран не должен быть пассивной программой, которая только и делает, что блокирует входящий на компьютер трафик по заданным критериям, к которым обычно относятся адрес и порт источника. Злоумышленники давно научились обходить такие простые защитные механизмы и в сети Internet можно найти большое число программ, которые могут проникнуть через многие традиционные защитные барьеры. Примером такой программы является троянский конь SubSeven 2.2, позволяющий выполнять большое число функций на скомпрометированном компьютере без ведома его владельца. Чтобы защититься необходим инструмент, который позволит проводить более глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить свой настоящий адрес, тем самым делая невозможным отслеживание злоумышленника. Мало того, хакер может "подставить" кого-нибудь другого, заменив свой адрес на адрес подставного лица. И, наконец, для некоторых атак (например, "отказ в обслуживании") адрес источника вообще не нужен и по статистике в 95% случаев этот адрес хакером изменяется. Можно привести хорошую аналогию. Персональный межсетевой экран - это охранник в здании, который выписывает пропуска всем посетителям. В такой ситуации злоумышленник может без труда пронести в здание оружие или бомбу. Однако если на входе поставить металлодетектор, то ситуация в корне меняется и злоумышленнику уже не так легко пронести в защищаемую зону запрещенные предметы.

К сожалению приходится отметить, что немногие межсетевые экраны обладают встроенной системой обнаружения атак. Одним из таких решений является системы BlackICE Defender и BlackICE Agent компании Internet Security Systems. Любой из компонентов семейства BlackICE содержит два основных модуля, осуществляющих обнаружение и блокирование несанкционированной деятельности - BlackICE Firewall и BlackICE IDS. BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. В последнем случае, реконфигурация происходит после обнаружения несанкционированной деятельности модулем BlackICE IDS. При этом блокирование трафика может осуществляться на любой промежуток времени. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС. BlackICE IDS отвечает за обнаружение атак и других следов несанкционированной деятельности в трафике, поступающем от модуля BlackICE Firewall. Модуль BlackICE IDS основан на запатентованном алгоритме семиуровневого анализа протокола.

Рисунок 1. Архитектура персонального межсетевого экрана

Следующим механизмом, которым должен обладать эффективный персональный межсетевой экран, является защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.

В некоторые персональные МСЭ (например, в Norton Internet Security компании Symantec) встроены антивирусные системы, которые помимо обнаружения троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Internet-червей.

Т.к. распределенные экраны управляются централизованно, то они должны обладать эффективным механизмом настройки, администрирования и контроля, позволяющим администратору безопасности без дополнительных усилий получить подробную информацию о зафиксированных попытках проникновения на защищаемые узлы. Мало того, в некоторых случаях необходимо инициировать процедуру расследования компьютерного преступления или собрать доказательства для обращения в правоохранительные органы (например, Управление "Р"). И здесь будет незаменимым механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах. Например, уже упоминаемые BlackICE Agent и Defender, позволяют отследить злоумышленника, осуществляющего атаку на защищаемый компьютер, и собрать о хакере следующую информацию:

IP-, DNS-, WINS-, NetBIOS- и MAC-адреса компьютера, с которого осуществляется атака. Имя, под которым злоумышленник вошел в сеть.

Немаловажной является возможность удаленного обновления программного обеспечения персонального межсетевого экрана. В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО. Представьте, какую бурю возмущений это вызвало бы у владельцев компьютеров, которых отрывали бы от своей работы. Удаленное же и, главное, незаметное для владельца компьютера, обновление (включая и обновление сигнатур атак и вирусов) снимает эту проблему и облегчает нелегкий труд администратора безопасности. Осуществляя удаленное управление, не стоит забывать и о защите трафика, передаваемого между центральной консолью и удаленными агентами. Злоумышленник может перехватить или подменить эти команды, что нарушит защищенность удаленных узлов.

В заключение хочу сказать, что правильный выбор персонального или распределенного межсетевого экрана позволит повысить защищенность компьютеров, которые при обычных условиях остаются незащищенными и могут служить точкой проникновения в корпоративную сеть. А чтобы можно было из чего выбирать, я хотел бы привести список персональных межсетевых экранов, которые известны в России:

BlackICE Agent и Defender от компании Internet Security Systems (). AtGuard Personal Firewall от компании WRQ, который был приобретен компанией Symantec и встроен в ее семейство Norton Internet Security (). ZoneAlarm от компании ZoneLabs (). Outpost Firewall (ранее носивший имя Sphere) от компании Agnitum ().

Также упоминаются и другие решения. Например, PGP 7.0 (), Sygate Personal Firewall (), ConSeal Private Desktop (), переименованный в McAfee Personal Firewall, или Tiny Personal Firewall ().

Об авторе:

Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании Check Point Software Technologies. Автор книги "Обнаружение атак". Связаться с ним можно по тел. (095) 937-3385 или e-mail: .

9 ноября 2001 г.

CD-COPS

Тип защиты:	Измерение физических характеристик без нанесения особых меток на носитель(!)
Способ преодоления защиты:	"Кряк"
Аппаратная совместимость (cd/dvd разных производителей):	Средняя (совместима только с популярными приводами)
Наличие особой аппаратуры для защиты серии:	НЕ требуется
Предоставление SDK для производителей:	ДА
Защита мелких партий (CD/R/RW):	НЕТ
Фирма - производитель:	Link Data Security
Сайт производителя:	http://www.linkdata.com/
Коммерческие продукты, использующие данный вид защиты:
	Interactive English / De Agostini
	Nationalencyklopedin
	Agostini Atlas 99
	Agostini Basetera
	BMM
	DK Kort
	Lademanns'99
Особенности защиты:
	Данная программа пользуется самой эффективной системой защитой от копирования, основанной не на нанесении физических меток, а на способе измерения специфических характеристик CD\DVD-ROM. По словам производителя, система анализирует физический угол между прошлым и текущими логическими блоками на компакт-диске.
	Слабое место защиты - это сам код, анализирующий углы. Фирме пока не удалось найти эффективного способа противодействия дизассемблерам и отладчикам.

Цена свободы

Можно ознакомиться с Freedom, скопировав ПО на соответствующем Web-узле по адресу: www.freedom.net. Несложная процедура регистрации наделит вас одним или несколькими электронными псевдонимами, или "нимами" (nyms). Первые три из них предоставляются бесплатно в течение месяца, а вот для их обновления нужно приобрести за 50 долл. порядковый номер Freedom. Причем процесс оплаты организован так, что если используется режим on-line, то номер кредитной карты никак не связывается с "нимами".

Для повышения безопасности можно изменять псевдонимы

Сначала следует выполнить конфигурационную установку Freedom. И тогда можно будет отправляться путешествовать по Internet, просто запустив эту программу. С электронной почтой продукт работает следующим образом. Он перехватывает отправленные послания и вместо настоящего адреса "прописывает" в них обратный адрес "нима". Затем послание шифруется и передается через цепочку серверов Freedom Network, часть из которых контролируется фирмой Zero-Knowledge, а часть - другими. Эти рассредоточенные по всему миру серверы скрывают исходный пункт, откуда было отправлено письмо. Ответ на него Freedom Network получает, шифрует и направляет на настоящий адрес электронной почты, опять же скрывая путь его следования. По утверждению Zero-Knowledge, многослойная шифровка, нарастающая подобно луковой шелухе по мере прохождения посланий через Freedom Network, гарантирует, что ни на одном отдельно взятом сервере не имеется информации, достаточной для идентификации личности отправителя.

Когда я установил Freedom, то отправил с помощью программы Netscape Messenger другу простое послание типа "Угадай, кто я". Он получил его с обратным адресом: freedom.net, но не смог определить, кто послал. Его ответное послание появилось у меня в ящике входящей почты в Messenger.

Кроме того, Freedom позволяет скрывать следы путешествия по Internet. Программа пропускает трафик через Freedom Network таким образом, что Web-серверы видят запросы лишь с серверов Freedom, а не с ПК. Так называемые "плюшки" (cookies), или небольшие файлы, которые Web-серверы размещают на жестком диске компьютера, складываются в специальных областях (сookies jars), предусмотренных в Freedom. Когда я внимательно просмотрел Web-узлы, которые раньше благодаря "плюшкам" имели счастье узнать, кто я такой, то убедился, что больше такой возможности нет. Используя полученный от Freedom "ним", можно отправлять сообщения в Usenet, а также маршрутизировать Telnet, Secure Shell и IRC-соединения через Freedom Network (однако последнего я не проверял).

У программы есть и некоторые недостатки. Так, путешествие по Internet кажется слегка замедленным. Freedom не работает в случае соединения через AOL. К тому же это ПО функционирует лишь под управлением ОС Windows 9x. Не работает программа и с некоторыми защитными системами, так что с ее помощью не надерзишь боссу в офисе. И наконец, не стоит угрожать главе государства, думая, что никто не отследит, - Zero-Knowledge признает, что совместить с ним подлинную личность все-таки можно, по крайней мере теоретически.

Так стоит ли приобретать Freedom? Если кто-то озабочен тем, что различные узлы Сети отслеживают его приходы и уходы, то для него 50 долл. - это невысокая цена. По утверждению Эбнера Германова, специалиста по обеспечению Internet-безопасности из IDC, Freedom - один из немногих всеобъемлющих инструментов для защиты личности при работе в режиме on-line. Так что в итоге можно сказать следующее: приятно сознавать, что ты можешь обрести "Свободу", если пожелаешь.

Freedom

Цена: 50 долл. Zero-Knowledge Systems

Централизованное управление

Центр управления безопасностью маршрутизаторов фирмы Check Point может быть приобретен как отдельный продукт исключительно для управления списками доступа (ACL) маршрутизаторов или вместе с полным решением проблемы безопасности предприятия FireWall-1 (FireWall-1 enterprise security solution). В каждом случае, удобство конфигурирования имеет различную степень оправданности. Более важно использовать возможность Check Point FireWall-1 настраивать и управлять ACL многочисленных маршрутизаторов с одной центральной консоли. Если требуются изменения конфигурации, то они производятся один раз на центральной консоли управления, и затем новые ACL автоматически генерируются системой и автоматически распределяются по нужным маршрутизаторам, расположенным в сети предприятия.

Внедряя управление безопасностью маршрутизаторов в линию своих продуктов, Check Point FireWall-1 обеспечивает организации возможность определять единственную политику безопасности предприятия, которая управляет всеми аспектами сетевой безопасности. FireWall-1 позволяет организации централизованно управлять модулями FireWall-1 также, как модулями маршрутизаторов 3Com, Bay Networks и Cisco, используя единственную базу правил политики безопасности с общим пользовательским интерфейсом управления.

Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места, а также отсутствие специальных программ-агентов на сканируемых узлах, делает систему Internet Scanner&153; незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.

Возможность установки модулей слежения на наиболее критичные участки Вашей сети и возможность централизованного управления ими из единого рабочего места делает систему RealSecure? незаменимым помощником специалистов отделов технической защиты информации любой организации. Также возможен доступ к одному модулю слежения одновременно с нескольких консолей управления. Это дает возможность управлять модулем слежения нескольким администраторам, возможно находящимся в разных подразделениях (например, в отделе защиты информации и управлении автоматизации).

Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места делает систему System Security Scanner? незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.

Система System Security Scanner? обладает уникальной возможностью централизованной инсталляции своих компонентов на удаленных хостах корпоративной сети. Это позволяет администраторам безопасности не сходя со своего рабочего места установить систему S3 на все критичные участки Вашей корпоративной сети и своевременно проводить анализ защищенности узлов.

Централизованное управление средствами безопасности

Наличие у современного предприятия многочисленных средств защиты (межсетевых экранов, VPN-шлюзов, VPN-клиентов, систем аутентификации, контроля доступа по содержанию и т.п.), распределенных к тому же по территории, требует централизованного управления.

Централизованное управление средствами безопасности подразумевает наличие некоторой единой (возможно, распределенной) базы правил, описывающих согласованную политику безопасности предприятия. Эта политика определяет поведение многочисленных средств защиты предприятия - межсетевых экранов, VPN-шлюзов, VPN-клиентов, трансляторов адресов и т.п. Согласованное задание администратором правил политики безопасности для различных устройств защиты с помощью общей консоли управления обеспечивает их непротиворечивость и эффективность, а также сокращает затраты труда и, соответственно, стоимость управления. Каждое устройство защиты, работающее в сети, должно поддерживать взаимодействие с централизованной системой управления и получать от нее защищенным образом правила безопасности, относящиеся к данному устройству. Управление на основе политики является эффективным инструментом не только в области безопасности, но в других областях, например, при управлении качеством транспортного обслуживания. Возможность интеграции различных систем управления на основе политики безусловно повышает эффективность управления и является весьма желательным свойством для корпоративных продуктов безопасности и поддержки QoS.

Общая тенденция при построении централизованно управляемых сетей состоит в использовании единой службы каталогов (называемой также справочной службой), хранящей данные, необходимые для управления всеми аспектами сетевой активности и всеми компонентами сети: учетные данные пользователей, права их доступа к сети и отдельным ее ресурсам, данные о распределении программных компонент по компьютерам сети, правила управления качеством обслуживания и т.д. и т.п. Над общей службой каталогов работают различные сетевые сервисы, использующие данные о компонентах сети для выполнения частных задач управления: администрирования пользователей, аутентификации пользователей, управления качеством обслуживания и т.д.

В этом ряду должны находиться и сервисы управления безопасностью, однако пока производители средств безопасности предпочитают использовать для хранения правил политики отдельные базы данных и фирменные протоколы распределения правил по устройствам защиты. Возможно, что дальнейшее развитие и распространение служб каталогов приведет к переносу в них и баз правил политики безопасности. Ситуация усложняется сегодня и тем, что продукты безопасности разных производителей если и имеют систему централизованного управления, то она не совместима с системами управления других производителей.

Наличие централизованных средств управления продуктами безопасности является безусловным требованием для возможности их применения в корпоративном масштабе. Также крайне желательна интеграция систем централизованного управления различными продуктами в единую систему управления, работающую на основе общей политики безопасности.

Продукты компании CheckPoint в полной мере удовлетворяют требованиям централизованного управления в масштабах предприятия.

Системы контроля доступа FireWall-1, защиты данных VPN-1 и управления трафиком FloodGate-1 конфигурируются и управляются с помощью общей системы управления политикой компании Check Point. Эта система позволяет администратору с помощью графического редактора Policy Editor создавать и редактировать правила контроля доступа, VPN-защиты и управления трафиком в едином стиле и с использованием, если нужно, общих объектов. Правила всех типов хранятся в сервере Management Server, откуда централизованно распространяются по всем модулям FireWall-1, VPN-1 и FloodGate-1 предприятия. Графический редактор построен в архитектуре клиент-сервер, что позволяет администратору (или администраторам) создавать и редактировать правила из любой удобной точки сети. Данная архитектура обеспечивает согласованное управление основными компонентами системы безопасности сети на основе продуктов компании Check Point, хорошо масштабируется и может применяться в отказоустойчивом варианте при резервировании центрального сервера Management Server.

Администратор системы безопасности FireWall-1/VPN-1/FloodGate-1 может использовать графический пользовательский интерфейс модуля Account Management, входящего в состав FireWall-1, для использования в правилах политики имена пользователей и групп пользователей, учетные данные которых хранятся во внешней LDAP-совместимой службе каталогов. Это свойство позволяет использовать в системе безопасности Check Point все преимущества централизованного управления пользовательскими данными на основе стандартных служб каталогов, во многих сетевых операционных системах (например, NDS для NetWare и Windows NT, Active Directory для Windows 2000 и т.д.).

Такие продукты компании CheckPoint как RealSecure и Meta IP имеют собственные системы управления, которые построены в архитектуре клиент-сервер и обеспечивают централизованное управление своими модулями в масштабах предприятия.

Check Point RealSecure начнет поставляться не позднее третьего квартала 1998 года

Check Point RealSecure постоянно анализирует данные из пакетов, проходящих по корпоративной сети. Продукт распознает признаки множества различных методов атак, включая атаки на сетевом уровне и опасные приложения Java и ActiveX, вредоносных действий или нежелательного использования ресурсов сети. Механизм распознавания атак RealSecure (запатентованный ISS) без промедления оповещает администраторов сети о любой подозрительной активности, делает запись в журнале сообщений и имеет возможность автоматически прервать данную сессию. События классифицируются и обобщаются в порядке важности, позволяя быстро оценить сложившуюся ситуацию. Предусмотрен режим “проигрывания” событий для детального анализа или для использования в качестве доказательства преступления. Распределенная архитектура позволяет вам устанавливать мониторы по всей сети компании, что даст возможность видеть и останавливать атаки с единой консоли управления из центра управления сетью.

Чем обмениваются сети предприятия?

Разграничение доступа защищает организацию от потенциальных угроз благодаря четкому специфицированию и контролю за тем, какие информационные потоки и коммуникации могут проходить через пограничный шлюз сети организации. Ключевой особенностью устройств, обеспечивающих контроль доступа, является их полная осведомленность обо всех коммуникациях, сетевых сервисах и приложениях. Первые реализации средств защиты на основе пакетных фильтров (обычно выполняются на маршрутизаторах) не имеют данных о состоянии приложения, не могут обрабатывать трафик UDP и динамических протоколов. Средства защиты сетей второго поколения - основанные на использовании приложенийпосредников (proxy) - требуют, зачастую, очень мощных компьютеров и достаточно медленно адаптируются к появлению новых сетевых служб Интернет, которые появляются регулярно. В противовес этому, технология stateful inspection, реализованная в Check Point FireWall-1, дает шлюзу полную информацию о коммуникациях, что совместно с объектно-ориентированным подходом в описании сетевых ресурсов и сервисов позволяет быстро и легко адаптировать систему к новым услугам Интернет. FireWall-1 предоставляет исчерпывающие возможности по контролю доступа для более чем 160 предопределенных сервисов Интернет и имеет средства для удобного специфицирования новых сервисов пользователя.

В дополнение к перечисленным возможностям FireWall-1 позволяет регулировать доступ к ресурсам сети, учитывая время. Это дает возможность существенно детализировать процессы работы с ресурсами сети, создавая правила, обеспечивающие доступ к ресурсам в определенные промежутки времени (могут учитываться минуты, часы, дни месяца, дни недели, месяц, год). К примеру, организация может решить ограничить доступ в Интернет для просмотра Web в рабочее время и разрешить в не рабочие часы. Другой пример - запретить доступ к критическим серверам на время проведения полного сохранения информации серверов.

Что я должен делать, если меня атаковали?

Читайте публикацию CERT: .

Главным образом, вы должны реализовать эффективные защитные меры, которые включают:

Создание команды реагирования на инциденты "Incident Response Team". Определите тех людей, которые должны быть вызваны всякий раз, когда зафиксирован инцидент. Необходимо разработать руководящие документы, описывающие варианты реагирования. Например, вы должны решить позволять ли осуществлять атаку злоумышленнику в случае нападения или сразу прекратить ее. Иногда, для предоставления доказательств в суде или иной инстанции необходимо не прекращать атаку, а собирать дополнительную информацию об атакующем и его действиях. Необходимо разработать руководящие документы, описывающие варианты связи с другими людьми в случае обнаружения атаки. Вы информируете об атаке своего руководителя и т.д. вплоть до руководства компании или распространяете также среди всех заинтересованных лиц по горизонтали? Вы принимаете участие в таких организациях как FIRST (или RU-CERT в России - примечание переводчика)? Вы сообщаете об атаке в милицию или иное силовое ведомство? Вы сообщаете об атаке Вашим партнерам, которые подключены к Вашей сети и также могут быть скомпрометированы? Вы скрываете факт атаки от печатных изданий? Создайте и опишите процедуры регистрации/аудита/мониторинга. Вы должны иметь адекватную и актуальную информацию о том, что, когда и откуда происходит в вашей сети. Обучите свой персонал всем этим вопросам.

Так как сети постоянно изменяются настолько быстро, в организациях не хватает обученных людей, которые могут своевременно обрабатывать возникающие инциденты. Аналогично, сети растут таким образом, что регистрация и аудит не всегда адекватны текущему состоянию сети. Это приводит к тому, что люди не знают что делать, когда они атакованы и их сети недостаточно крепки для эффективного противостояния атакам.

Что необходимо принять во внимание?

Check Point Software Technologies предоставляет наборы программных средств, ориентированные на небольшие, среднего уровня и большие компании, обеспечивая комплексную систему информационной безопасности для всей сети предприятия в соответствии с тем, как определены границы этой сети.

Более подробная техническая информация по соответствующим разделам представлена ниже:

Виртуальные частные сети

Высоконадежные системы

Что представляют собой наиболее распространенные DoS (отказ в обслуживании) атаки?

1.10.1 Ping-of-Death

Посылает ICMP-пакета, размером более 64 Кбайт, что может привести к переполнению буфера ОС и выведению атакуемой системы из строя.

1.10.2 SYN Flood

Очень быстро посылает большое число TCP SYN-пакетов (который инициализируют соединение), оставляя жертву в ожидании громадного количества соединений, вызывая тем самым усиленную загрузку ресурсов и отказ от санкционированных соединений.

1.10.3 Land/Latierra

Посылает поддельный SYN-пакет с идентичными исходным/конечным адресом/портом, так что система движется по бесконечной петле, пытаясь выполнить TCP-соединение.

1.10.4 WinNuke

Посылает OOB/URG-данные для TCP-соединения с портом 139 (NetBIOS Session/SMB), который приводит к зависанию Windows-системы.

Что представляют собой некоторые широко распространенные "сигнатуры атак"?

Существует три типа атак:

Разведка. Эти атаки включают ping sweeps, передачу DNS-зоны, разведку с помощью e-mail, сканирование TCP или UDP-портов и, возможно, анализ общественно доступных серверов с целью нахождения cgi-дыр.

Exploit. Нарушители будут использовать преимущества скрытых возможностей или ошибок для получения несанкционированного доступа к системе.

Атаки типа "отказ в обслуживании" (Denial of Service, DoS) Когда нарушитель пытается разрушить сервис (или компьютер), перегрузить сеть, перегрузить центральный процессор или переполнить диск. Нарушитель не пытается получить информации, а просто действует как вандал, стараясь вывести вашу машину и строя.

Что происходит после того, как NIDS обнаруживает атаку?

Реконфигурация МСЭ

Сконфигурируйте МСЭ так, чтобы отфильтровать IP-адрес хакера. Однако, это по-прежнему позволяет хакеру осуществлять атаки с других адресов. Компания Checkpoint имеет стандарт OPSEC для реконфигурации МСЭ путем блокирования атакующего IP-адреса. МСЭ компании Checkpoint поддерживает "Протокол мониторинга подозрительной деятельности" (Suspicious Activity Monitoring Protocol, SAMP) для конфигурирования своего межсетевого экрана.

Звуковой сигнал

Звуковой сигал или воспроизведение .WAV файла. Например, вы можете услышать запись "Вы атакованы".

SNMP Trap

Посылка управляющей SNMP-последовательности на консоль управления типа HP OpenView, Tivoli TNE, Cabletron Spectrum и т.д.

NT Event

Сохранение информации о событии в журнале регистрации Windows NT Event Log.

syslog

Сохранение информации о событии в журнале регистрации syslog UNIX.

Посылка e-mail

Посылка администратору уведомления об атаке по e-mail.

Сообщений на пейджер

Посылка администратору уведомления об атаке на пейджер.

Регистрация атаки

Сохранение информации об атаке (время, IP-адрес хакера, IP-адрес атакованной машины/порта, информация о протоколе).

Сохранение свидетельств

Сохранение tracefile-файла необработанных (raw) пакетов для последующего анализа.

Запуск программы

Запуск заданной программы для обработки события

Отключение TCP-сессии

Создание TCP FIN-пакета (или RST) для того, чтобы автоматически завершить соединение.

Что произошло…

При обычной бухгалтерской проверке ведомости сотрудник бухгалтерии заметил сообщение об изменении заработной платы сотрудника сервис-центра в системном журнале. Что было странно, так это то, что модификация заработной платы была произведена главным бухгалтером, который никогда сам не занимался этим. Это всегда делалось тем сотрудником бухгалтерии, который проверял системный журнал.

Когда сотруднику сервис-центра, чья заработная плата была увеличена, задали вопрос об этом, он сказал, что не имел доступа к бухгалтерской системе. Но дальнейшее расследование установило, что он его все-таки имел. Информация из журналов систем управления доступом в помещения показала его присутствие в здании в той части, откуда он мог иметь доступ к бухгалтерской системе, во то время, когда было произведено увеличение заработной платы. Видеозаписи системы наблюдения подтвердили его присутствие в это время в здании. После этого он был сразу же уволен.

Когда его увольняли, этот человек выкрикивал угрозы в адрес компании за его увольнение. Когда его спросили, что он имеет в виду, он оказался настолько глуп, что сказал, что он выведет из строя все компьютеры компании. Тогда его предупредили, что компания свяжется с правоохранительными органами и вывели из здания под конвоем.

Неделей позже все сотрудники компании получили письмо из Интернета от адреса, который вроде бы принадлежал промышленной группе, в которую входила компания, и с которой шло активное взаимодействие по электронной почте. Если говорить конкретно, то казалось, что письмо послано президентом этой промышленной группы и было предназначено всем сотрудниками компании. В письме сообщалось, что документ, находящийся в приложении к письму, - это презентация на PowerPoint президента компании, и что сотрудники должны распаковать этот файл и запустить эту программу, чтобы посмотреть презентацию президента.

На самом деле никакой презентации в этом файле не было. Вместо этого приложение содержало небольшую программу, которая при запуске удаляла все содержимое жесткого диска на машине пользователя. Это письмо было послано на тот описанный ранее малоизвестный внутренний широковещательный адрес электронной почты. 1200 пользователей получили это письмо. Более 450 пользователей запустили программу и очистили свои диски, прежде чем поняли, что происходит на самом деле. Нечего и говорить, что почти нигде данные на жестких дисках не имели резервных копий.

После нескольких случаев неповиновения и бесед начальника с этим инженером НОА послал начальнику отдела кадров электронное письмо, детально описывающее проблемы с этим инженером, в котором он высказывал пожелание уволить этого подчиненного. На следующее утро после отправки письма этот инженер появился в отделе кадров вместе с письмом в руке и стал жаловаться, что он был оклеветан и т.д., и что НОА плохо относится к нему. Начальник отдела кадров после этого провел ряд совещаний с НОА и начальником службы безопасности, после чего стало понятно, что этот инженер читает конфиденциальные электронные письма НОА и других сотрудников организации.

Почтовый сервер учреждения работал на основе Lotus cc:Mail. Любой, кто имел соответствующий доступ к системе (знал пароль администратора), мог читать электронные письма в почтовых ящиках сервера - это была одна из штатных возможностей почтового администратора. Было вполне вероятно, что инженер читал не только письма НОА, но также письма других сотрудников, которые могли заинтересовать его.

В конце концов инженер сам уволился из компании и сообщил при этом сотрудникам отдела автоматизации и отдела кадров, что он больше не может работать при таком негативном отношении к нему.

В день увольнения он сказал различным сотрудникам отдела автоматизации следующее:

НОА тратит все свое рабочее время на доступ в WWW к различным порнографическим сайтам. Большая часть этих сайтов содержит гомосексуальные картинки. Загруженные НОА порнографические картинки он держит на своей рабочей станции. Этот инженер, увольняясь из компании, сделал полную копию всех файлов на рабочей станции НОА, чтобы защитить себя в случае преследования со стороны НОА и юристов организации.

После того, как НОА услышал это, он связался с начальником службы безопасности, который в свою очередь пригласил экспертов (в том числе автора рассказа), чтобы они разобрались в том, что произошло и проверили истинность заявлений инженера.

Инженера видели на его рабочем месте на следующий день после начала срока наказания, и он сказал, что пришел только забрать какие-то бумаги, нужные ему для написания большого отчета. Когда инженер был в офисе, он попросил дать ему возможность удаленного доступа к корпоративной сети из дома на время наказания, чтобы в случае аварии он мог помочь решить проблемы прямо из дома. Такой доступ ему был предоставлен. Для этого другой администратор создал аккаунт для подключения по модему в системе управления модемным пулом организации (блок Shiva) и назначил для него полномочия.

Двумя днями позже конфиденциальные письма об этом инженере НОА начальнику отдела кадров были получены всеми сотрудниками отдела автоматизации. Кроме этого, все они получили интимные письма между НОА и его подружкой. А ряд конфиденциальных писем отдела кадров был получен лицами, о которых шла речь в этих письмах, что вызвало панику среди сотрудников организации и посеяло сомнения в способности отдела автоматизации администрировать "такую простую вещь, как почтовый сервер".

Когда этого инженера спрашивали о причинах возникших проблем, он говорил всем, что его в это время не было в офисе, и он не имел в это время доступа к сети по модему. Журналы модемного пула показали, что в то время, когда произошло происшествие, от этого инженера не было входящих звонков и подключений по модему через модемный пул.

Что реально можно ожидать от систем обнаружения атак?

Маркус Ранум: Системы обнаружения атак достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем (однако в этих областях уже достигнуты немалые успехи; особенно с развитием теорий нейронных сетей и нечеткой логики - примечание переводчика). Также не следует ожидать, что системы обнаружения атак способны реагировать на атаки путем нападения. Это очень опасная возможность, так как она означает, что ложная тревога или ложное срабатывание может вызвать реакцию, запрещающую ту или иную услугу или блокирующую доступ в сеть. Проблема с системами обнаружения атак состоит в том, что, многие люди, прочтя Neuromancer Уильяма Гибсона, думают, что системы обнаружения атак действуют подобно интеллектуальному "ICE" (что-то вроде искусственного разума, обеспечивающего защиту информационной системы - примечание переводчика) и могут защитить сети намного эффективнее, чем это может быть на самом деле. Я вижу, что, скорее всего, системы обнаружения атак похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях.

Ли Саттерфилд: Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность операционной системы, обнаруживать несанкционированные действия, и автоматически реагировать на них практически в реальном масштабе времени,. Кроме того, системы обнаружения атак могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки,, разнесенные во времени, и, тем самым, прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый "стандартными" средствами, путем управления несанкционированными действиями в реальном масштабе времени. Технология обнаружения атак не решает проблем идентификации/аутентификации, конфиденциальности и т.п., хотя в ближайшем будущем эти механизмы будут интегрированы с системами обнаружения атак.

Кристофер Клаус: Развитие систем обнаружения атак требует дальнейших исследований. Нереально ожидать от систем обнаружения атак, что они будут способны подобно межсетевым экранам защитить всех пользователей от всех угроз (спорный пример - прим. переводчика). Развертыванию системы обнаружения атак должно предшествовать несколько шагов, позволяющих собрать дополнительную информацию, внести изменения в настройки сети. Хорошая система автоматизирует многие этапы этого процесса. Многие заказчики думают, что средства защиты, подобные системам обнаружения атак, защитят их от 100% "плохих вещей". Это не так. В современном мире нет абсолютных средств защиты. Системы обнаружения атак значительно уменьшат вероятность реализации угроз, но и они не совершенны.

Девид Карри: При помощи систем обнаружения атак Вы сможете узнать больше относительно того, что происходит в вашей сети. Вы будете способны собирать данные о том, что поступает в вашу сеть из удаленных источников, и использовать эти данные для эффективного применения средств защиты информации. Однако ошибочно думать, что установка систем обнаружения атак решит все ваши проблемы. Вы по-прежнему должны будете иметь комплексную систему информационной безопасности, объединяющую политику безопасности, обучение, тестирование и применение технических средств. Обнаружения атак - только один элемент этой системы.

Юджин Спаффорд: Реально ожидать от систем обнаружения атак идентификации в практически реальном режиме времени любых попыток использования известных уязвимостей или несанкционированного исследования вашей внутренней сети. Они также должны следить за попытками перегрузки критичных ресурсов. Наряду с этим, они должны выдавать звуковые предупреждения об атаке, выполнять определенные действия и создавать журнал регистрации событий для последующего анализа.

Неразумно ожидать, что системы обнаружения атак будут эффективно идентифицировать неизвестные типы нападений или идентифицировать атаки, разнесенные во времени.

Любая существующая или создаваемая система требует периодического контроля и сопровождения технически грамотным специалистом, постоянно дополняющим ее информацией о новых атаках и уязвимостях. Любая система в некоторых случаях будет ложно генерировать тревоги и сообщать о нападениях. Поэтому требуется некто с достаточным пониманием среды функционирования системы обнаружения атак, который может принимать решения, - ложная ли это тревога или произошла реальная атака.

Что такое Internet Scanner?

Система анализа защищенности Internet Scanner&153; разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner&153; вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.

Система Internet Scanner&153; может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.

Постоянная уверенность в том, что в Вашей сети отсутствуют известные уязвимости, достигается путем периодического сканирования функционирующих сетевых устройств и используемого программного обеспечения. Эти профилактические меры помогут Вам своевременно обнаружить потенциальные уязвимости и устранить их до того момента, как ими воспользуются злоумышленники.

Достоинства системы Internet Scanner&153; были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner&153; имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, система Internet Scanner&153; содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.

Что такое межсетевой экран?

Теперь немного терминологии. В данной статье мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные. Уточним основные понятия (по материалам руководящего документа Государственной технической комиссии России).

Под сетями ЭВМ, распределенными автоматизированными системами (АС), в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.

МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Упрощенно, firewall — это устройство, устанавливаемое между сетями и предназначенное для контроля трафика ними.

Как видно из определения, основное назначение систем firewall — регламентировать использование ресурсов одних сетей пользователями других. Появление таких устройств обусловлено существенным усложнением архитектуры сетей и ростом числа различных сетевых сервисов. Основная идея, положенная в основу этого решения, — сосредоточить в одной критической точке все необходимые контрольные функции вместо того, чтобы контролировать доступ и используемые сервисы на всех компонентах сети. Наиболее широкое распространение эта технология защиты получила при использовании открытых сетей.

Что такое OPSEC?

Open Platform for Secure Enterprise Connectivity [OPSEC] - это концепция, предложенная Check Point, в основе которой лежит идея создания единой, базовой платформы для интегрирования и управления всеми аспектами информационной безопасности предприятия путем подключения различных дополнительных компонент посредством стандартных интерфейсов. Различные производители приложений в области информационной безопасности теперь могут встраивать свои системы в рамках OPSEC, используя опубликованные программные интерфейсы приложений (API), стандартные для индустрии протоколы и язык INSPECT. Будучи встроенными таким образом, все приложения могут управляться и настраиваться с административной консоли оператора безопасности с использованием общего редактора политики безопасности.

Что такое RealSecure?

Система обнаружения атак RealSecure? разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure? - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure? построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host-based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut.

Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов Вашей корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.

Достоинства системы RealSecure? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система RealSecure? имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, периодическое обновление базы данных атак системы RealSecure? выгодно отличает ее от других конкурирующих продуктов.

Что такое система анализа защищенности?

При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.

Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.

Что такое система обнаружения атак?

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.

До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.

Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.

Что такое "система обнаружения атак на сетевом уровне (NIDS)"?

Атака - это событие, при котором кто-то (либо "хакер", либо "взломщик") пытается проникнуть внутрь вашей системы или совершить по отношению к ней какие-либо злоупотребления. (Термин атака может толковаться и как "любое действие нарушителя, приводящее к реализации угрозы, путем использования уязвимостей" - примечание переводчика). Слово "злоупотребления" имеет широкое толкование, и может отражать различные события, начиная от кражи конфиденциальных данных, и заканчивая засорением спамом вашей системы (хотя, для многих из нас это является более приоритетной проблемой!).

"Система обнаружения атак (Intrusion Detection System, IDS)" - это система, предназначенная для обнаружения таких атак. В контексте настоящего FAQ IDS можно разбить на следующие категории:

Системы обнаружения атак на сетевом уровне (Network IDS, NIDS) контролирует пакеты в сетевом окружении и обнаружить попытки злоумышленника проникнуть внутрь защищаемой системы (или реализовать атаку типа "отказ в обслуживании"). Типичный пример - система, которая контролирует большое число TCP-запросов на соединение (SYN) со многими портам на выбранном компьютере, обнаруживая, таким образом, что кто-то пытается осуществить сканирование TCP-портов. Система обнаружения атак на сетевом уровне (NIDS) может запускаться либо на отдельном компьютере, который контролирует свой собственный трафик, или на выделенном компьютере, прозрачно просматривающем весь трафик во сети (концентратор, маршрутизатор, зонд). Отметим, что "сетевые" IDS контролируют много компьютеров, тогда как другие системы обнаружения атак контролируют только один (тот, на котором они установлены).

Системы контроля целостности (System integrity verifiers, SIV) проверяют системные файлы для того, чтобы определить, когда злоумышленник внес в них изменения. Наиболее известной из таких систем является "Tripwire".

Мониторы регистрационных файлов (Log-file monitors, LFM) контролируют регистрационные файлы, создаваемые сетевыми сервисами и службами. Аналогично NIDS, эти системы ищут известные сигнатуры, только в файлах регистрации, а не в сетевом трафике, которые указывают на то, что злоумышленник осуществил атаку. Типичным примером является синтаксический анализатор для log-файлов HTTP-сервера, который ищет хакеров, пытающихся использовать хорошо известные уязвимости, например, используя атаку типа "phf".

Обманные системы (deception systems), которые работают с псевдо-сервисами, цель которых заключается в воспроизведении хорошо известных уязвимостей для того, чтобы обмануть злоумышленников. В качестве примера можно назвать систему The Deception Tool Kit ().

Что такое Stateful Inspection?

Stateful inspection или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Он разработан и запатентован компанией Check Point Software Technologies.

Данная технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы. В результате достигаются уникальные показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды. Все большее количество производителей систем защиты используют эту технологию в своих решениях. Этот факт хорошо отражает цитата из отчета Giga Information Group в издании Gigawire за 17 марта 1997 года - "We believe that stateful inspection will be adopted by a broad segment of the computer industry as the standard way to provide gateway security in the future".

Исторически эволюция средств firewall проходила от пакетных фильтров общего назначения, затем стали появляться программы посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection.

Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали.

Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пакетным фильтрам не доступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности.

Программы-посредники обрабатывают только данные уровня приложения, что зачастую, порождает различные возможности для взлома системы.

Запатентованная реализация stateful inspection в продукте Check Point FireWall-1 обеспечивает максимально возможный уровень контроля и безопасности. FireWall-1 контролирует соединения на уровнях от 3 до 7 сетевой модели OSI, тогда как proxy посредники могут контролировать только с 5 по 7 уровень.

Тем самым Check Point FireWall-1 имеет уникальную информацию о содержимом сетевых пакетов, соединениях и приложениях. Эти совокупные данные о состоянии соединения, контекста приложения, топологии сети вместе с правилами политики безопасности используются для обеспечения политики безопасности масштаба предприятия. Дополнительная защита обеспечивается и самому компьютеру с FireWall-1, так как данное программное обеспечение перехватывает, анализирует, предпринимает необходимые действия в отношении всех соединений и лишь затем пропускает эти информационные пакеты в операционную систему компьютера шлюза, что избавляет операционную систему от несанкционированного доступа.

Реализация технологии stateful inspection компании Check Point ориентирована на работу в высокоскоростных сетях передачи данных, и по результатам различных тестов практически не вносит замедления в работу таких сетей. Основанный на виртуальном процессоре INSPECT, Check Point FireWall-1 показывает существенно лучшие результаты, чем лидирующие продукты, в основе которых лежат программы-посредники (proxy). Данное утверждение неоднократно подтверждалось различными, независимыми тестами, как, например, Data Communications, 21 марта 1997 года.

В реализации технологии stateful inspection компании Check Point используются динамические таблицы для хранения информации о контексте соединений как активных, так и существовавших ранее. Содержимое этих таблиц, проверяется при обработке попытки соединения. Такой подход обеспечивает прекрасную производительность и гарантирует, что соединение будет обработано с учетом самой последней информации о состоянии коммуникаций. Таблицы состояний расположены в ядре операционной системы и не могут быть повреждены или перезаписаны, как, например, файлы на диске. В случае же перезагрузки системы FireWall-1 начинает формировать новые таблицы, что предотвращает возможность оперировать поврежденными данными. Очистка таблиц эквивалентна полному запрещению соединений, что гарантирует безопасность сети в таких случаях. []

Что такое System Security Scanner?

Система анализа защищенности System Security Scanner? (S3) разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. В отличие от системы Internet Scanner, анализирующей уязвимости на уровне сетевых сервисов, система S3 анализирует уязвимости на уровне операционной системы. Кроме того, система S3 проводит анализ защищенности изнутри сканируемого компьютера, в то время как система Internet Scanner? снаружи. На основе проведенных тестов система System Security Scanner? вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.

Система System Security Scanner? может быть использована для анализа защищенности операционных систем Unix (различные версии), Windows NT, Windows 95 и 98.

Большинство нарушений безопасности связано с сотрудниками организации (до 80% всех нарушений). Поэтому система System Security Scanner?, обеспечивающая не только поиск уязвимостей, но и их автоматическое устранение, является важной составляющей комплексной системы безопасности Вашей организации.

Достоинства системы System Security Scanner? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система System Security Scanner? содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.

Цифровая подпись

Для контроля целостности передаваемых сообщений, обеспечения подлинностии невозможности отрицания авторства технология Fortezza использует алгоритмцифровой подписи Digital Signature Algorithm (DSA) и алгоритм хешированияSecure Hash Algorithm (SHA-1), соответствующие стандарту NIST Digital SignatureStandard (DSS).

Процесс генерации цифровой подписи показан на Рис.4.

Рис.4.

После вычисления хэш-функции сообщения, 20-байтный хэш-блок преобразуетсяс помощь алгоритма DSA в цифровую подпись сообщения размером 40 байт. Необходимообратить внимание на различия в использовании параметров P, Q и G в алгоритмахраспределений ключей KEA и цифровой подписи DSA. При проверке цифровойподписи послания Алисы Боб должен иметь доступ к значениям P, Q и G Алисы.Эти параметры должны распространяться либо в заголовке сообщения, либовместе с открытым ключем Алисы. (В целях снабжения каждого пользователянабором собственных значений P, Q и G прикладная библиотека CI_Libraryимеет соответствующие функции загрузки этих значений.) Такое различие виспользовании этих параметров связано с возможностью DSA, в отличии отKEA, поддерживать информационный обмен между пользователями различных "доменов",которые могут различаться процедурами распространения и сертификации ключей.

На момент создания технологии Fortezza не существовало правительственныхили промышленных стандартов временных меток цифровой подписи. Для "привязки"сообщений ко времени их создания применяется дополнительная процедура вычисленияхэш-функции от хэш-блока сообщения и текущего времени, взятого из надежногоисточника (например, криптокарты Fortezza). Необходимо заметить, что значенияP, Q и G, используемые алгоритмом DSA при вычислении подписи с применениемвременных меток, являются общими для всех карт Fortezza и записываютсяв память производителем криптокарты. Поскольку проверка цифровой подписив случае применения временной метки связана с необходимостью синхронизацииисточников времени, вычислением времени доставки сообщения и рядом другихсложностей, использование временных меток в технологии Fortezza не являетсяобязательным.

Цифровые водяные знаки

В современных системах формирования цифровых водяных знаков используется принцип встраивания метки, являющейся узкополосным сигналом, в широком диапазоне частот маркируемого изображения. Указанный метод реализуется при помощи двух различных алгоритмов и их возможных модификаций. В первом случае информация скрывается путем фазовой модуляции информационного сигнала (несущей) с псевдослучайной последовательностью чисел. Во втором - имеющийся диапазон частот делится на несколько каналов и передача производится между этими каналами. Относительно исходного изображения метка является некоторым дополнительным шумом, но так как шум в сигнале присутствует всегда, его незначительное возрастание за счет внедрения метки не дает заметных на глаз искажений. Кроме того, метка рассеивается по всему исходному изображению, в результате чего становится более устойчивой к вырезанию.

В настоящее время компьютерная стеганография продолжает развиваться: формируется теоретическая база, ведется разработка новых, более стойких методов встраивания сообщений. Среди основных причин наблюдающегося всплеска интереса к стеганографии можно выделить принятые в ряде стран ограничения на использование сильной криптографии, а также проблему защиты авторских прав на художественные произведения в цифровых глобальных сетях. Поэтому в ближайшее время можно ожидать новых публикаций и разработок в этой области. n

Cisco IOS Firewall Feature Set

Информация предоставлена

Продукция компании Cisco Systems используется примерно на 80% хостов в Интернет. Операционная система Cisco - IOS содержит в своем составе различные механизмы защиты, включая средства разграничения доступа, расширенные списки межсетевого доступа, средства организации виртуальных корпоративных сетей и т.д.

Firewall Feature Set (FFS) представляет из себя набор дополнительных сервисов, которые позволяют существенно приблизить возможности операционной системы IOS к возможностям межсетевого экрана без приобретения дорогостоящего дополнительного оборудования или программного обеспечения.

Cisco PIX Firewall

Информация предоставлена

Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернет во внутреннюю сеть, так и наоборот.

Для настройки PIX можно использовать графическую оболочку, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров, PIX позволяет осуществлять аутентификацию пользователей. Для аутентификации используются протоколы TACACS+ и RADIUS, которые позволяют использовать для аутентификации как обычные UNIX пароли, так и систему одноразовых паролей S/Key.

PIX позволяет поддерживать до 16 000 одновременных TCP/IP соединений и обеспечивать пропускную способность до 90 Мбит/с. PIX построен на базе сетевой операционной системы CISCO IOS, что обеспечивает полную совместимость по протоколам и средствам мониторинга и управления с оборудованием CISCO, масштабируемость сетей, построенных на базе CISCO, привычный для администраторов CISCO маршрутизаторов интерфейс.

Client Authentication

Client Authentication позволяет администратору предоставлять привилегии доступа определенным IP адресам, пользователи, которых, прошли соответствующие процедуры установления подлинности. В противовес User Authentication, Client Authentication не ограничена только определенными службами, и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.

Client Authentication системы FireWall-1 не является прозрачным для пользователя, но, в тоже время, не требуется какого-либо дополнительного программного обеспечения или модификации существующего. Для такого вида установления подлинности администратор может указать, как каждый из пользователей должен будет авторизоваться, какой сервер и какие службы будут доступны, сколько времени, в какие часы и дни и сколько сессий может быть открыто.

Content Security - механизм проверки информационных потоков

Обширные возможности проверки информационных потоков, предлагаемые FireWall-1, расширяют функции инспекции данных до наивысшего уровня обеспечения информационной безопасности. Это позволяет защитить пользователей от различных рисков, включая компьютерные вирусы и вредоносные аплеты Java и ActiveX, что достигается благодаря точной настройке механизма контроля доступа в Интернет. Механизм проверки информационных потоков полностью интегрирован с другими возможностями FireWall-1, что обеспечивается благодаря единому централизованному управлению при помощи общего графического интерфейса. Помимо встроенных функций проверки информации, FireWall-1 обеспечивает открытый программный интерфейс приложения API для подключения OPSEC-совместимых приложений, проверяющих информационные потоки, других производителей. Благодаря инициативе Check Point, называемой OPSEC, организации могут свободно выбирать наиболее полно отвечающие их требованиям приложения для проверки содержимого потоков данных. Check Point проводит сертификацию таких приложений, что гарантирует полную совместимость таких приложений с продуктом FireWall-1.

Дата-центры и хостинг в Сети. Опасности и безопасность.

Михаил Елагин ()

"Если у Вас паранойя, то это еще не значит, что за Вами никто не следит"

Дата-центры - новое явление, приходящее на смену интернет-хостинг провайдерам в тех областях, где требуется повышенная надежность и высокий уровень информационной безопасности. Предоставление в аренду приложений, хранение и обработка больших объемов критически важной информации в сочетании с предоставлением доступа к такой информации через Интернет - вот основные функции дата-центров, современных "крепостей для данных". И поэтому вопросы информационной безопасности и защиты выходят для центров обработки данных на первое место.

Несмотря на постоянные сообщения о "хакерских атаках", наносящих, если верить публикациям, миллиардные убытки, все больше и больше компаний использует Интернет в своем бизнесе. Хорошо это или плохо, но это неизбежно. Бизнесу, который становится все более глобальным и распределенным, требуется единая среда, единое пространство для работы с информацией. И здесь альтернативы для Интернет на сегодняшний день нет.

Сегодня Интернет - единственное действительно всеобщее пространство, позволяющее передавать, хранить, обрабатывать информацию, имеющее развитую инфраструктуру, набор дружественных протоколов и интерфейсов, и доступное, практически, всюду.

Альтернативой могли бы стать сети X.25, но в силу ряда причин их развитие замерло, и сейчас они используются ограниченно, в специальных целях. При необходимости из Интернет может быть организовано взаимодействие с такими (и другими) сетями и их ресурсами. Это позволяет использовать дополнительные возможности, например, передачу и прием факсимильных, телексных и телетайпных сообщений, выход в специализированные банковские сети, пересылку электронных сообщений обычной "бумажной" почтой, передачу SMS через e-mail и электронной почты на сотовые телефоны.

Интернет неизбежно становится средой, через которую обеспечивается доступ к корпоративным данным, в том числе, и к информации, являющейся критичной. Когда оперативность и удобство доступа из любой точки земного шара к большим объемам данных становится крайне важными, выбора практически не остается. И если государственные организации, такие как военные или дипломатические ведомства, могут позволить себе использовать закрытые сети, изолированные от остального мира, у коммерческих организаций этой возможности нет: это невыгодно, неудобно и нецелесообразно.

В связи с этим все большее распространение получают услуги современных дата-центров, которые обеспечивают надежный хостинг и предусматривают расширенные возможности обеспечения безопасности данных. Так, например, при удаленной работе с приложениями по схеме ASP (аренда приложений, Application Service Provision) безопасность обеспечивается за счет комплексной системы защиты, включающей в себя межсетевые экраны, сканеры обнаружения вторжений, системы аудита журнальных файлов, системы анализа статистических характеристик трафика и многое другое.

Задачи информационной безопасности (да и безопасности любого другого рода) сводятся, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.

Соответственно, составляющими информационной безопасности являются:

определение объектов, на которые могут быть направлены угрозы; выявление существующих и возможных угроз; определение возможных источников угрозы; оценка рисков; методы и средства обнаружения враждебного воздействия; методы и средства защиты от известных угроз; методы и средства реагирования при инцидентах.

Какие объекты в информационных системах могут подвергаться угрозам?

Собственно информация. Ее можно а) украсть; б) уничтожить; в) изменить; г) заблокировать; д) скомпрометировать. Но информация сама по себе пассивна, для того, чтобы влиять на нее, нужно воздействовать на носитель или систему, в которой информация "живет". Для защиты информации от раскрытия и несанкционированного изменения используются получившие в последние годы серьезное развитие методы криптозащиты.

Оборудование и элементы инфраструктуры. Сюда относятся серверы, активное сетевое оборудование, кабельные системы, электропитание, вспомогательные системы. Для таких объектов существует угроза физического воздействия, которое может привести к повреждению объекта, потере функциональности, либо к появлению в системе чужеродных объектов, влияющих на работу системы или осуществляющих съем информации. Кроме того, существует риск похищения объектов защиты. Это не кажется смешным, особенно с учетом того, что в 2000 году усредненный ущерб от кражи лэптопов составил более 10 миллионов долларов. Для минимизации риска в этом направлении используются классические методы физической защиты (защитный периметр, пропускная система и контроль доступа персонала, видеонаблюдение, "закладки" и системы сигнализации, срабатывающие при похищении оборудования, вооруженная охрана, служба собственной безопасности и т.п.) Что касается вирусов, выжигающих оборудование, это, к счастью, пока только легенды (и, возможно, вопрос относительно далекого будущего).

Программное обеспечение. Это операционные системы, прикладные программы, сервисы. И это основные цели классических атак и основные источники уязвимостей. Атаки на такие объекты могу привести а)к краху системы (программы, сервиса), частичной или полной потере функциональности; б)выполнению атакующей стороной (или в результате внешнего воздействия) несанкционированных либо непредусмотренных действий внутри системы; в)получению контроля над системой.

Защита от атак, использующих уязвимость программного обеспечения, как правило, и является основной задачей классических систем информационной безопасности.

Персонал. Анализ возможностей физического и психологического воздействия на системного администратора выходят за рамки этой статьи. Хотя, если серьезно говорить о безопасности в целом, администратор крупной информационной системы должен являться объектом защиты. И объектом пристального внимания службы собственной безопасности. Пока остановимся на том, что целенаправленное или случайное воздействие на персонал, имеющий административные полномочия в системе, может привести к возникновению существенных рисков. Отметим также, что для отдельных систем "цена вопроса" может оказаться сопоставимой со стоимостью всей системы.

Мы рассмотрели основные объекты, подвергающиеся угрозам с точки зрения информационной безопасности.

Кто и что может представлять угрозу для информации? Кто может выступать субъектом воздействия такого рода, и какие средства могут при этом применяться?

"Злоумышленник". Некто, в силу определенных мотивов осуществляющий сознательные действия, которые могут нанести ущерб. Мотивы могут быть самые разные - от спортивного интереса до обиды на работодателя. Или до исполнения служебных обязанностей сотрудником заинтересованной организации.

"Администратор". Лояльный сотрудник, имеющий полномочия суперпользователя, который в силу каких-либо обстоятельств непреднамеренно осуществляет действия, наносящие ущерб. Причиной может быть элементарное отсутствие квалификации, усталость, чрезмерная загрузка. Классический пример - команда rm -rf / * (удалить все файлы, включая вложенные директории, без подтверждения) в UNIX, ставшая темой анекдотов и страшных историй. И, тем не менее, периодически выполняемая. Администратор имеет практически неограниченные полномочия в системе, и даже если какая-то информация защищена от изменения и компрометации, очень сложно предотвратить ее уничтожение.

"Вирусы". Обобщим под этим названием все "самовоспроизводящиеся" программы, созданные человеком, но во многом живущие своей собственной жизнью, подчиняясь заложенному в них алгоритму. Это и вирусы, и черви, и распространяющиеся с ними "троянские кони". Контроль за ними со стороны создателя может быть полностью утерян (пример - сетевой червь Морриса), или частично сохранен (Code Red). В случае вирусной атаки выяснить первоначальный источник заражения и автора программы во многих случаях невозможно (по крайней мере, это выходит за рамки обязанностей и возможностей специалистов по безопасности информационных систем и провайдеров).

Разумеется, есть еще "форс-мажорные обстоятельства, то есть обстоятельства непреодолимой силы, выходящие за пределы разумного предвидения и контроля сторон, как то…." и т.п., но это вопрос скорее юридического характера. И хотя относящиеся к форс-мажорным обстоятельствам катастрофы, стихийные действия, террористические акты, действия правительства и властей и т.п. и т.д., безусловно, представляют угрозу для информации (а также для специалистов по безопасности), это тема для другой статьи.

Согласно последним данным, опубликованным Институтом Компьютерной безопасности [Computer Security Issues & Trends, 2001 CSI Computer Crime and Security Survey], на первом месте по количеству зафиксированных инцидентов стоят вирусные атаки. На втором месте - кражи лэптопов. На третьем - действия инсайдеров внутри сети. И только на четвертом месте, со значительным отрывом, идет проникновение в сеть извне.

Что касается заявленного финансового ущерба, то здесь данные не столь достоверны - с учетом того, что слишком многое можно списать на вошедших в моду хакеров и сорвавшихся с цепи сетевых червей. С другой стороны, далеко не все пострадавшие заявляют о нанесенном ущербе, боясь испортить репутацию компании. Разброс цифр очень велик - так, для удаленных атак заявленная сумма ущерба колеблется от 100 долларов до 10 миллионов на каждую атаку, при средней величине в $500, для вирусных атак - от 100 долларов до 20 миллионов, а усредненная цифра - чуть больше 200 долларов.

При этом есть категории инцидентов, где средний ущерб действительно велик - это финансовое мошенничество и кража информации. Так, для мошенничества величина среднего ущерба оценивается почти в 4,5 тысячи долларов, при совокупном заявленном ущербе, приближающемся к 100 тысячам долларов. И эта информация подтверждается, в частности, сообщениями о банкротстве ряда фирм, занимавшихся интернет-торговлей.

Вероятность атаки, направленной на сеть хостинг-провайдера или дата-центр, велика. В первую очередь, это обуславливается большим числом размещаемых ресурсов. В случае дата-центров становится существенным и характер размещаемой информации, ее высокая цена и критичность. В этом случае нельзя исключать опасности профессионально подготовленной и проведенной атаки, направленной на получение или уничтожение информации, а также на получение контроля над ресурсом.

В случае "классического" хостинга (понимая под этим компании, специализирующиеся на виртуальном веб-хостинге) профессиональная атака маловероятна, но заведомо велико число лобовых, "brute force" атак, а также атак с использованием хорошо известных уязвимостей. Весьма вероятны атаки на почтовые серверы с целью безнаказанной передачи большого объема спама (незапрошенной информации, как правило, рекламного характера). Что касается сложных профессиональных атак, то их подготовка требует достаточно серьезных усилий (а по возможности и участия инсайдеров), что по цене окажется гораздо дороже полученного результата, даже при успешной реализации атаки.

Политика безопасности различна для разных организаций и систем. Как по разному выстраивается обеспечение безопасности жилого дома, магазина и атомной станции, точно так же по разному строится информационная безопасность хостинг-провайдера, корпоративной информационной системы и дата-центра.

Дата-центры, или Центры Обработки Данных, ЦОД - новое явление, вызванное развитием сети (а также развитием бизнеса в сети). Крупные компании, выходящие в Интернет, предъявляют свои требования, в первую очередь, касающиеся уровня оказания услуг и обеспечения безопасности. При этом большинство существующих хостинговых компаний ориентировано на другой сегмент рынка и имеет свою специфику. В большинстве своем они не готовы к решению подобных задач. Если вернуться к нашей метафоре, то жилые дома не предназначены для размещения промышленных площадок и банков, а тем более, атомных станций.

Хостинговые компании появились раньше дата-центров и в иной экономической ситуации (как в России, так и на Западе). У большинства таких компаний основная задача - предоставление недорогих и достаточно профессиональных услуг по размещению и поддержке веб-сайтов и несложных почтовых систем. Среди клиентов оказываются и частные лица, и небольшие компании, и бюджетные организации, и шоу-бизнес, и многие другие. Крупный корпоративный бизнес и организации, связанные с властью и управлением, как правило, не работает с хостинговыми компаниями именно в силу низкой защищенности и негарантированности уровня оказания услуг.

Задача снижения себестоимости во многом определяет структуру информационной системы "классического хостера". Как правило, используются "не-брендовые" серверы под управлением Linux или Free-BSD, веб-серверы Apache, базы данных MySQL и Postgress, и скрипты на Perl и PHP. Все это имеет плюс в виде бесплатности и минус в отсутствии нормальной технической поддержки от вендоров (впрочем, веб-серверы Apache действительно весьма надежны и удобны).

Надо отметить, что во многих случаях "классические" хостинг-провайдеры не имеют собственного активного сетевого оборудования и собственных каналов связи, используя инфраструктуру провайдера. С одной стороны, это позволяет значительно снизить цену на услуги, с другой - лишает возможностей контроля и значительно ограничивает возможный уровень обеспечения безопасности.

В целом, общий уровень защиты у среднего хостера адекватен цене размещаемой информации и возможным угрозам. Политика безопасности, как правило, не разрабатывается, а все изменения в системе проводятся одним или несколькими администраторами. Отсутствие поддержки со стороны вендоров, небольшие штаты - все это, с одной стороны, заставляет системных администраторов быть всегда в хорошей форме, но с другой стороны серьезно снижает возможности и уровень защиты.

Впрочем, как мы уже говорили, для разных категорий объектов подходят свои методы защиты, и не имеет смысла на каждый жилой дом ставить зенитку и систему противоракетной обороны. И в задачи охранника жилого дома входит борьба с хулиганами и ворами, но никак не отражение атаки коммандос и не отлов профессиональных разведчиков.

Дата-центры стали появляться сравнительно недавно, и их, по большому счету, нельзя считать развитием хостинговых компаний. Это совсем другая структура, ориентированная на предоставление сложных комплексных услуг, которые могут требоваться заказчику (как правило, корпоративному). При этом одной из особенностей дата-центров является их высокая защищенность - и в смысле защиты территории, и в смысле технических средств и организационных мер безопасности.

В обеспечении информационной безопасности в дата-центрах есть своя специфика. В первую очередь - это необходимость обеспечения "прозрачного" доступа клиентам, работающим через Интернет (в том числе, и через терминальные сервисы), при соблюдении очень жестких требований к защите информации. Еще одной особенностью является использование разнообразных платформ и приложений, что не позволяет сконцентрироваться на безопасности какой-либо одной платформы или одной линии продуктов. Следует учитывать и то, что доступ к определенной категории клиентской информации не должен иметь никто, включая администраторов системы.

Надо учитывать и то, что для большинства коммерческих продуктов режим ASP появился сравнительно недавно. Соответственно, такие продукты не имеют длительной истории эксплуатации в режиме разделенного удаленного доступа и, соответственно, не могут похвастаться тщательным тестированием на уязвимости. Поэтому перед запуском ASP-продукта необходима длительная процедура тестирования и конфигурирования. Для определения настроек брандмауэров требуется анализ трафика, определение диапазона открытых портов, статистических характеристик трафика в различных режимах.

Рассмотрим некоторые конкретные элементы защиты, их возможные реализации и целесообразность применения в различных ситуациях.

"Нулевой" рубеж обороны - это сокрытие структуры сети, так называемая имитационная защита. Специальное программное обеспечение эмулирует сетевые сегменты, сервера и уязвимости. Постоянный контроль за атаками на несуществующую сеть позволяет выявить источники угроз. С другой стороны имитационная защита вводит в заблуждение потенциальных агрессоров и затрудняет определение истинной структуры системы и планирование атак.

Первый рубеж защиты - детектор вторжений, IDS. Производя анализ входящего трафика, эта система отслеживает появление сигнатур известных типов атак. В ряде случаев устанавливается система адаптивной защиты, в которой при обнаружении определенных сигнатур осуществляется изменение списков доступа на сетевом экране (firewall). Таким образом, осуществляется оперативное блокирование источника атаки. При этом целесообразно ограничивать число проверяемых сигнатур (что характерно, например для Cisco IDS - NetRanger). Это позволяет увеличить быстродействие и снизить вероятность ложных тревог (что критично для адаптивной системы). Снижение числа обнаруживаемых атак компенсируется применением дополнительных систем обнаружения вторжений в локальных контурах защиты (чаще всего используется свободно распространяемый детектор SNORT).

Стоит отметить, что с использованием IDS связан ряд проблем. В первую очередь, это ложные срабатывания. Подобная ситуация наблюдалась во время "эпидемии" Code Red и NIMDA. Эта проблема решается, но возможность таких событий всегда надо иметь в виду.

В компаниях, занимающихся "классическим" виртуальным веб-хостингом, аппаратные IDS практически не используются, в первую очередь в силу дороговизны. Программные "легкие" детекторы тоже используются довольно редко, так как они требуют значительных системных ресурсов. Анализ трафика (разбор пакетов) производится при необходимости "в ручную", с использованием утилит типа tcpdump. Основная масса атак отслеживается при анализе журнальных файлов.

В дата-центрах использование и аппаратных, и программных IDS является неизбежным.

Второй уровень защиты - это разделение зон безопасности, закрытых сетевыми экранами, и разделение трафика за счет использования виртуальных сетей VLAN. Трехуровневую структуру ("внешняя зона", "демилитаризованная зона" и "внутренняя зона") можно считать стандартным решением. Межсетевые экраны - это хорошо описанная классика. Виртуальные сети (VLAN) в классическом хостинге используются значительно реже - в основном в силу иной структуры сети и упоре на виртуальный хостинг. Задача изоляции клиентского трафика в UNIX-системах виртуального хостинга решается программными средствами.

Настройка межсетевых экранов при сложной структуры сети является нетривиальной задачей. В целом, используется принцип "запрещено все, что не разрешено".

Из других методов защиты, использование которых неизбежно, следует выделить антивирусную защиту. Идеальным решением является централизованный антивирусный мониторинг, причем выбор программного обеспечения здесь достаточно широк и зависит от вкуса и финансовых возможностей. Что касается антивирусного контроля почты с автоматическим удалением зараженных сообщений, то это вещь несколько сомнительная. Многие предпочитают получать почту в неизменном виде. Не всегда приятно, когда антивирусная система молча "съедает" сообщения, содержащие, скажем, сигнатуры вирусов или сообщения пользователя о возможности вирусной атаки с прикрепленным подозрительным файлом. С другой стороны, слабый "гигиенический" уровень большинства пользователей и постоянные вирусные атаки делает вирусный контроль пользовательских почтовых ящиков желательным. По крайней мере у пользователя должен быть выбор, и для разных категорий пользователей должны применяться различные типы реагирования.

Анализ журнальных файлов является неотъемлемой частью системы безопасности независимо от класса и уровня компании, и на нем нет смысла останавливаться.

Контроль доступа и идентификация пользователей - тоже неотъемлемая часть системы безопасности, постоянно обсуждаемая и описываемая. Однако стоит остановиться на контроле доступа администраторов и операторов, имеющих административные полномочия в системе. Постоянной проблемой является генерация и смена паролей суперпользователей. Из соображений безопасности их следует менять действительно часто. Что либо не происходит, либо пароли root оказываются записанными на всех доступных поверхностях. Неплохим выходом является использование современных средств идентификации и контроля доступа. Собственно, реально используется несколько основных методов, в частности, на основе бесконтактных элементов памяти ("таблеток") Dallas Semiconductor, на основе смарт-карт (Schlumberger и аналогичных), а также системы биометрического контроля.

Последние (для случая центра управления сетью дата-центра) кажутся предпочтительней, так как палец или глаз потерять сложнее, чем брелок с элементом памяти. И есть гарантия, что в систему входит именно уполномоченный пользователь, а не некто, нашедший ключ.

Из систем биометрического контроля наиболее распространены сканеры отпечатка пальца (Compaq Fingerprint, Identix, "мыши" и "хомяки"-"Hamster"). Эти системы, как правило, недороги, многие по цене не превышают 100 долларов. Сканеры радужной оболочки глаза пока дороги и недостаточно надежны.

Разумеется, нет смысла перечислять все технические методы обеспечения безопасности.

Но следует иметь в виду, что только технических средств, какими бы мощными они не были, недостаточно для поддержания даже минимального уровня безопасности.

Некорректные действия администратора могут нанести ущерб больший, чем все вирусные атаки. Ошибка пользователя, самостоятельно администрирующего свои приложения, может свести "на нет" все усилия по безопасности. Логин "demo" и пароль "test" встречались и встречаются до удивления часто. Также, как и пароли "sdfgh" и "54321").

Что еще характерно для центров обработки данных - это наличие разработанной политики безопасности, жесткая регламентация и разработанная система документации.

Жесткая регламентация действий персонала, в том числе (и в первую очередь) системных администраторов, конечно, имеет и свои минусы, в частности, снижает оперативность при необходимости проведения нестандартных действий. С другой стороны, имеется гарантия исполнения действий предписанных и необходимых. При этом увольнение специалиста с административными полномочиями не влияет на нормальное функционирование и не снижает общего уровня безопасности. Кроме того, наличие системы собственной безопасности позволяет минимизировать ущерб от возможных действий персонала, имеющего административные полномочия в системе.

Еще один важный момент - корпоративная политика и этика. В дата-центрах работает большое число людей. И от них зависят очень многие вопросы, касающееся безопасности. И если администраторы и технический персонал преданы организации и не станут инсайдерами, работающими на конкурента - это уже наполовину обеспеченная безопасность системы.

Важным моментом является реагирование на инциденты. Клиенты дата-центра должны быть максимально защищены, и в случае реализации угроз должны приниматься необходимые и адекватные меры.

Разумеется, не всегда легко определить истинный источник угрозы, но в большинстве случаев это возможно. И нельзя пренебрегать административным реагированием. Во-первых, существует сетевой этикет и общепринятые правила, которых придерживается подавляющее большинство провайдеров. И если они получают доказательные материалы, подтверждающие атаку из их сети, то, как правило, реагируют жестко и адекватно. Но только в том случае, если им предоставляются действительно веские доказательства. Кроме того, в большинстве развитых государств существуют организации или подразделения, занимающиеся борьбой с преступлениями в Сети. Как правило, они реагируют в том случае, если преступление совершено на их территории или ущерб нанесен их резидентам. Но с учетом ужесточения политики контроля за Интернет в связи с угрозой терроризма можно не сомневаться, что в случае действительно серьезных событий необходимое расследование будет проведено.

В любом случае служба информационной безопасности дата-центра имеет возможность административного реагирования на инциденты. При определенной настойчивости, знании структуры международных и национальных органов сетевой и общей безопасности, знании законодательства шанс на адекватную реакцию весьма велик. Стоит помнить, что безопасность - это не только технические средства и умения, но и сбор информации, анализ по многим критериям, синтез, и, разумеется, искусство.

В качестве примера можно привести статистику IDS (детектора вторжений), контролирующего одну из сетей проекта DATA FORT. За четыре дня октября было зафиксировано более 50000 сигнатур атак. Основную массу внесли "черви" Nimda (более 40000 обнаруженных сигнатур), причем основная масса атак шла из одного источника- из сети немецкого ISP-провайдера. Атака прекратилась после уведомления администраторов сети. Так как Nimda использует известные уязвимости, которые были закрыты администраторами DATA FORT сразу после их обнаружения, никакого ущерба вирусная атака не нанесла.

Из других попыток вторжения зафиксировано две попытки использования очень старых уязвимостей в FTP и три атаки на почтовые системы (опять-таки попытки использования хорошо известных уязвимостей). Разумеется, безрезультатных. В этих случаях административные меры не принимались (слишком любительский характер носили эти попытки).

Кроме того, зафиксировано 149 попыток определения версии DNS (источники- в самых разных сетях), плюс 40 попыток сканирования портов (опять-таки различные источники атаки). В целом ничего явно противозаконного в таком сканировании нет - просто попытки, не утруждая себя, отыскать слабое место в сети. Но зафиксированные источники сканирования занесены в базу данных как потенциально угрожающие.

Все смоделированные атаки (сканирование сети, "лобовые атаки", атаки на уязвимости IIS) были обнаружены и правильно идентифицированы.

Какие угрозы могут появиться в будущем?

Во первых, писать "вирусоподобные" программы становится все проще, с другой стороны, они становятся мобильными и могут функционировать на любой платформе. Многие новые "черви" и "троянские кони" не имеют явной разрушительной функции, а предназначены в первую очередь для получения контроля над пораженным узлом - часто для организации массовых распределенных атак и создания "боевых сетей".

Распределенные атаки становятся все более частыми и опасными. Так, DDoS (распределенные атаки типа "отказ в обслуживании") представляют собой новую и весьма серьезную угрозу. Такая атака является многоуровневой, и атаку осуществляют "зомби" - троянские программы, функционирующие на пораженных компьютерах, и управляемые мастер-программами, также работающими на "взломанных" компьютерах. В результате оказывается практически невозможно отследить реальный источник угрозы, "центр управления" атакой. Кроме того, защититься от атаки, идущей одновременно с сотен и тысяч источников, крайне затруднительно.

Распределенными становятся и вычисления. Более того, такие вычисления могут производиться и без ведома владельцев компьютеров. Прецеденты уже есть. И хотя в известных случаях цели была вполне мирными (ресурсы компьютеров использовались для поиска сигналов внеземных цивилизаций), никто не гарантирует, что красивые скринсейверы на десятках тысяч машин не будут на самом деле заниматься криптографическим анализом в чьих-то интересах.

Еще одна интересная тенденция - попытки обхода криптозащиты с помощью косвенных методов. Реальный пример был опубликован совсем недавно. И хотя подобная попытка "взлома" (а точнее, обхода) защищенного протокола SSH за счет анализа временных промежутков между посылками выглядит скорее курьезом, она может оказаться "тенью грядущего зла". Увеличение мощности компьютеров и возможность организации параллельных распределенных вычислений в сочетании с современными математическими методами (в частности, с корреляционными методами анализа, использованием нейронных сетей) может привести к резкому падению защищенности информации.

И еще одно. Вероятность войн в киберпространстве становится все более высокой. И, как показали недавние события в США, противник может быть анонимным и сильным. При этом информационные системы крупных корпораций и дата-центры могут стать мишенью номер один. В этом случае придется столкнутся с массированными и хорошо подготовленными атаками, противостоять которым сможет только хорошо продуманная и отлаженная система защиты.

Сегодня сетевые дата-центры являются первопроходцами в создании именно таких, комплексных систем безопасности в отношении своих многочисленных клиентов.

Об авторе:

Михаил Ростиславович Елагин - специалист по регламентации и сетевой координатор проекта DATA FORT корпорации . Занимается разработкой регламентирующей документации, общими вопросами информационной безопасности, взаимодействием с координирующими организациями Интернет.

Database Scanner

Проблемы, связанные с безопасностью баз данных, идентифицирует ПО Database Scanner. В этом ПО реализованы проверки подсистем аутентификации, авторизации и контроля целостности; дополнительно выявляется соответствие СУБД требованиям перехода к 2000 г. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, содержит перечень рекомендуемых корректирующих действий для устранения обнаруженных уязвимостей.

Пока Database Scanner поддерживает СУБД Microsoft SQL Server и Sybase Adaptive Server; работу с другими СУБД (Oracle, Informix) планируется обеспечить в сентябре 1999 г.

Все системы анализа защищенности компании ISS используют похожие методы работы и интерфейс. Различие состоит в характере обнаруживаемых уязвимых мест (их общее число для всех четырех систем превышает 1600).

Действительно ли этот вариант трансляции полностью динамичный?

Этот вопрос достаточно част, и ответ на него утвердительный. Действительно, механизм, реализованный в Check Point FireWall-1, позволяет неограниченному количеству адресов динамически отображаться на единственный IP-адрес.

Хотя нам известны отдельные реализации, где подстановка адресов выполняется по схеме выбора свободного из диапазона назначенных. Для таких реализаций в случае нехватки свободного адреса дальнейшие коммуникации невозможны.

Декабрь

Видный гражданский ученый,

работавший на Канадское министерство национальной обороны, был

арестован по обвинению в торговле детской порнографией после того,

как полиция обнаружила в его каталогах на правительственных компьютерах

большое количество противозаконных материалов. Какие еще примеры

нужны, чтобы убедить руководителей в том, что каждая организация

нуждается в тщательно проработанной, ясной политике, регламентирующей

использование корпоративных Интернет-ресурсов? ("Globe and

Mail", 10 декабря).

Министр здравоохранения

канадской провинции Онтарио Jim Wilson 9 декабря подал в отставку

после того, как правительство решило расследовать действия его

прежнего помощника по коммуникациям, передавшего в газету "Globe

and Mail" конфиденциальную информацию. ("Globe and Mail",

10 декабря).

Телефонного оператора

из Австралии обвинили во вторжении в телефонную линию радиостанции

во время соревнования за приз размером в 40 тысяч американских

долларов. Таким путем оператор обеспечил себе "счастливый"

10-й номер среди позвонивших. В процессе расследования, проведенного

полицией, вскрылись еще две аналогичные махинации, осуществленные

им ранее. (UPI, 10 декабря).

Двое молодых людей признали

себя виновными в шалости на почве корпоративного шпионажа. Шутники

послали в адрес компании Owens Corning безграмотное, с многочисленными

ошибками письмо, запрашивая 1000 долларов в обмен на секретную

информацию, украденную у конкурента - PPG Industries. Patrick

Worthing, 27 лет, контролировал в PPG работу уборщиков и операторов

опытных образцов машин. Он имел доступ во все кабинеты исследовательского

центра PPG и, как предполагают, выкрал списки клиентов, проекты,

секретные формулы, спецификации продуктов и видеозаписи работы

нового оборудования. Благодаря помощи со стороны предполагаемого

покупателя, ФБР смогло арестовать преступников. По иронии судьбы,

два года назад такое же благородство пришлось продемонстрировать

теперешней жертве. Тогда руководители PPG Industries получили

письмо с предложением приобрести секреты, украденные у Owens Corning;

те шпионы также были пойманы ФБР. Обе компании настаивают, что

приобретать информацию, украденную у конкурентов, - глупо и незаконно.

(AP, 11 декабря).

Согласно распространенному

во Флориде докладу, предполагаемые затраты на поиск и исправление

ошибок "двухтысячного года" в производственных системах

(написанных по большей части на Коболе) составляют от 88 до 120

миллионов долларов. Разумеется, ошибки должны быть исправлены

до конца 1999 года. (UPI, 12 декабря).

Зубной врач из Сан-Диего

получил более 16 тысяч экземпляров новой налоговой формы штата

Калифорнии. Виновницей является программа управления почтовой

рассылкой. ().

В субботнее утро 14 декабря,

в 00:20, началась атака против доступности сервера WebCom (Санта-Круз).

Атакующий устроил "SYN-наводнение", посылая по 200 пакетов

в секунду. В результате, во время пикового периода продаж, Web-страницы

сотен фирм оказались блокированными на 40 часов. Источник атаки

проследили до некоего места в Британской Колумбии; ФБР и канадская

полиция продолжают поиск преступников. Перед нами еще один случай,

ставший следствием безответственной публикации в журналах "2600"

и "Phrack" подробных инструкций по организации "SYN-наводнения".

(AP, 17 декабря; ).

Переброской называется

мошенническое, непрошенное переключение междугородных звонков

на другую компанию-оператора дальней связи. Результат переброски

- испуг жертв, получивших большие счета за телефонные переговоры

по сравнению с ожидаемыми от привычного оператора. В середине

декабря Управление по контролю над общественной занятостью (DPUC)

штата Коннектикут было переброшено фирмой Wiltel, без всяких на

то прав переключившей на себя 6 из 14 линий. ().

Matthew D. Healy <> сообщил о серьезной "дыре" в серверном программном

обеспечении httpd, разработанном в Национальном центре суперкомпьютерных

приложений ( National Center for Supercomputing Applications, NCSA)

в университете Иллинойса. Любой сервер, выполняющий CGI-процедуру

phf, можно обманом заставить переслать файл /etc/passwd любому

пользователю. Мистер Хили утверждал, что несколько компьютеров

в Йельской школе медицины были успешно атакованы именно таким

способом, и убеждал читателей проверить регистрационные журналы

своих серверов, чтобы узнать, не "скачивал" ли кто-нибудь

файл паролей. (). В ответ на множество невежливых,

оскорбительных писем, пришедших после публикации предостережения,

Хили заметил, что, действительно, "дыра" была известна

с марта 1996 года, но он не является профессионалом в области

информационной безопасности, он просто пытается администрировать

учебный компьютер. ().

18 декабря Dan Farmer,

автор программной системы SATAN (Security Administrator's Tool

for Analyzing Networks - инструмент администратора безопасности

для анализа сети), опубликовал результаты предварительной проверки

примерно 2200 компьютерных систем, подключенных к Интернет. Само

сканирование Фармер проводил в ноябре-декабре 1996 года. Для проверки

он выбрал популярные и коммерчески-ориентированные Web-серверы;

в качестве "контрольной группы" использовались случайно

выбранные серверы. Применяя простые, ненавязчивые методы, Фармер

установил, что примерно две трети из числа так называемых "интересных"

систем имели серьезные потенциальные бреши в защите. Для сравнения:

среди случайно выбранных систем бреши встречались примерно в два

раза реже! (См. ).

В небольшом городке недалеко

от Копенгагена, шесть датских криминальных хакеров, атаковавших

военные и коммерческие компьютеры (в том числе компьютеры Пентагона),

были приговорены к минимальным срокам тюремного заключения, а

также к штрафам и исправительным работам. Один хакер получил 90

дней тюрьмы, его "коллега" - 40 дней. Согласно утверждениям

адвокатов, "преступники сделали своим жертвам одолжение,

продемонстрировав уязвимость их компьютерных систем". (AP,

19 декабря).

29 декабря Web-страница

ВВС США была "взломана" и разрушена, что побудило Пентагон

отключить от Интернет почти все свои Web-страницы. (Reuters, 30

декабря; AP, 31 декабря).

Информационный сервис

Edupage суммирует первоначальную реакцию на "новое"

законодательство администрации Клинтона в области экспорта криптосредств,

обнародованное в последние дни 1996 года:

Правила экспорта криптосредств вступают в силу, оставаясь

спорными

Министерство торговли

ввело в действие новые правила, призванные ослабить ограничения

на экспорт криптографического программного обеспечения. Тем не

менее, в компьютерной индустрии считают, что эти правила по-прежнему

являются слишком обременительными. Они будут препятствовать эффективной

конкуренции с зарубежными производителями мощных криптосредств.

Юрист из бесприбыльного Информационного центра электронной конфиденциальности

характеризует правительственную стратегию как "игру в фантики".

Он считает, что между старыми и новыми правилами очень мало функциональных

различий, и напоминает, что старые правила были частично отвергнуты

районным судьей из Сан-Франциско. "Они просто завернули конфету

в другой фантик, по существу оставив правила без изменений."

("Washington Post", 31 декабря 1996 года).

В конце года в Интернет

начали циркулировать следующие сатирические вариации на тему вирусного

предупреждения "Good Times":

Новые сногсшибательные новости о вирусе "GOODTIMES"

Оказывается, что этот

так называемый выдуманный вирус на самом деле очень опасен. "Goodtimes"

затрет Ваш жесткий диск. Впрочем, не только его. Он сделает гоголь-моголь

из всех дисков, просто лежащих поблизости от компьютера. Он изменит

режим работы Вашего холодильника, так что все Ваше мороженое растает.

Он размагнитит полоски на всех Ваших кредитных картах, разрегулирует

Ваш телевизор и использует подпространственные гармоники, чтобы

поцарапать компакт-диски, которые Вы попытаетесь проиграть.

Он передаст Вашей прежней

подружке Ваш новый телефонный номер. Он подольет кисель в аквариум.

Он выпьет все Ваше пиво и выложит грязные носки на кофейный столик

как раз к приходу гостей. Он засунет дохлого котенка в задний

карман Ваших лучших брюк и спрячет ключи от машины, когда Вы будете

опаздывать на работу.

"Goodtimes"

заставит Вас влюбиться в пингвина. Он навеет ночные кошмары про

цирковых лилипутов. Он вольет сироп в бензобак Вашего автомобиля

и сбреет Ваши брови, одновременно назначив за Вашей спиной свидание

Вашей подружке и расплатившись за обед и гостиничный номер Вашей

кредитной картой.

Он соблазнит Вашу бабушку.

И не важно, что она уже умерла. Сила "Goodtimes" такова,

что достанет кого угодно и в могиле, лишь бы запятнать все самое

дорогое для Вас.

Он много раз случайным

образом передвинет Вашу машину на стоянке, так что Вы не сможете

найти ее. Он даст пинка Вашей собаке. Он оставит в голосовой почте

Вашего шефа сладострастные послания, произнесенные Вашим голосом.

Он хитер и коварен. Он неуловим. Он опасен и ужасен на вид. Он

бесплотный дух розовато-лиловых тонов.

"Goodtimes"

заразит Вас столбняком. Он запрет туалет изнутри. Он замесит в

Вашей ванне бетон. Он оставит бекон поджариваться на плите, а

Вас в это время заставит бегать за школярами с двустволкой."

Детектирование и защита

Простейшим сигналом IP-spoofing будут служить пакеты с внутренними адресами, пришедшие из внешнего мира. Программное обеспечение маршрутизатора может предупредить об этом администратора. Однако не стоит обольщаться - атака может быть и изнутри Вашей сети.

В случае использования более интеллектуальных средств контроля за сетью администратор может отслеживать (в автоматическом режиме) пакеты от систем, которые в находятся в недоступном состоянии. Впрочем, что мешает крэкеру имитировать работу системы B ответом на ICMP-пакеты?

Какие способы существуют для защиты от IP-spoofing? Во-первых, можно усложнить или сделать невозможным угадывание sequence number (ключевой элемент атаки). Например, можно увеличить скорость изменения sequence number на сервере или выбирать коэффициент увеличения sequence number случайно (желательно, используя для генерации случайных чисел криптографически стойкий алгоритм).

Если сеть использует firewall (или другой фильтр IP-пакетов), следует добавить ему правила, по которым все пакеты, пришедшие извне и имеющие обратными адресами из нашего адресного пространства, не должны пропускаться внутрь сети. Кроме того, следует минимизировать доверие машин друг другу. В идеале не должны существовать способа, напрямую попасть на соседнюю машину сети, получив права суперпользователя на одной из них. Конечно, это не спасет от использования сервисов, не требующих авторизации, например, IRC (крэкер может притвориться произвольной машиной Internet и передать набор команд для входа на канал IRC, выдачи произвольных сообщений и т.д.).

Шифрование TCP/IP-потока решает в общем случае проблему IP-spoofing'а (при условии, что используются криптографически стойкие алгоритмы).

Для того, чтобы уменьший число таких атак, рекомендуется также настроить firewall для фильтрации пакетов, посланных нашей сетью наружу, но имеющих адреса, не принадлежащие нашему адресному пространству. Это защитит мир от атак из внутренней сети, кроме того, детектирование подобных пакетов будет означать нарушение внутренней безопасности и может помочь администратору в работе.

Есть несколько путей. Например, можно реализовать TCP/IP-стэк, которые будут контролировать переход в десинхронизированное состояние, обмениваясь информацией о sequence number/acknowledge number. Однако в данному случае мы не застрахованы от крэкера, меняющего и эти значения.

Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих ACK-бурь. Это можно реализовать при помощи конкретных средств контроля за сетью.

Если крэкер не потрудиться поддерживать десинхронизированное соединение до его закрытия или не станет фильтровать вывод своих команд, это также будет сразу замечено пользователем. К сожалению, подавляющее большинство просто откруют новую сессию, не обращаясь к администратору.

Стопроцентную защиту от данной атаки обеспечивает, как всегда, шифрование TCP/IP-трафика (на уровне приложений - secure shell) или на уровн протокола - IPsec). Это исключает возможность модификации сетевого потока. Для защиты почтовых сообщений может применяться PGP.

Следует заметить, что метод также не срабатывает на некоторых конкретных реализациях TCP/IP. Так, несмотря на [rfc...], который требует молчаливого закрытия сесии в ответ на RST-пакет, некоторые системы генерируют встречный RST-пакет. Это делает невозможным раннюю десинхронизацию.

Для более глубокого ознакомления с этой атакой рекомендуется обратиться к (CERT).

Динамическая мода

Динамическая мода трансляции адресов обеспечивает доступ пользователей к сети Интернет, экономя зарегистрированное адресное пространство и скрывая внутренние адреса ресурсов сети. Динамическая мода использует единственный IP-адрес для отображения всех соединений, проходящих через защищенную точку доступа.

Так как этот IP-адрес, используемый в динамической моде только для выходных соединений, не используется ни для каких реальных ресурсов, не возможна подмена адреса или взлом.

Для кого и о чем эта книга

Книга предзначается в первую очередь для тех, кто интересуется не только теоретическими аспектами криптологии - как криптографии, так и криптоанализа, - но и практическими реализациями используемых в них алгоритмов и методов.

В ней уделено очень много внимания вопросам компьютерного криптоанализа и логике программирования криптосистем. Материал изложен таким образом, что он будет полезен и для неподготовленного читателя, и для высококвалифицированного специалиста, желающего расширить свой кругозор и по-новому взглянуть на криптографический аспект систем информационной защиты. Речь в книге не идет о каких-то конкретных программных продуктах, наоборот - прочтя книгу, подготовленный читатель будет способен самостоятельно создавать программное обеспечение, содержащее криптографические алгоритмы. Однако для этого ему все же пригодятся навыки программиста и математика, хотя бы на начальном уровне.

Кроме стандартных и популярных средств одноключевого шифрования, в книге рассматриваются нестандартные алгоритмы, которые могут использоваться на практике, а также оригинальные и необычные подходы к шифрованию и криптоанализу, что может значительно расширить кругозор даже опытного специалиста. Тем, кто интересуется созданием собственных шифросистем, будет также интересна и полезна информация, связанная с современными требованиями к сертификации и лицензированию средств шифрования.

Таким образом, книга будет чрезвычайно полезной как для студентов вузов соответствующих специальностей, так и просто интересующихся компьютерными технологиями, а также для специалистов в области обеспечения информационной безопасности и разработки соответствующих программных средств. Книга содержит множество математических описаний шифров и может быть полезна в качестве учебного пособия.

Дополнительная информация

Дополнительная информация о компьютерных атаках может быть найдена в статье .

Дополнительные инфоpмационные матеpиалы пpо безопасность веб-сеpвеpов:

UNIX-системы

Бюллетени CIAC:

F-11: Уязвимость Unix NCSA httpd

H-01: Уязвимости в bash

I-024: Пpоблемы с безопасностью CGI в EWS1.1

I-082: Уязвимость сеpвеpов HP-UX Netscape

I-040: Уязвимость SGI Netscape Navigator

Дpугие бюллетени:

Domino 4.6 может позволять несанкциониpованную запись на диски удаленного сеpвеpа и в файлы конфигуpации.

В Excite 1.1 файлы с зашифpованными паpолями могут быть доступными по записи всем пользователям. Аpхивы списка pассылки BUGTRAQ: "Ошибки, связанные с безопасностью в Excite for Web Servers 1.1" по адpесу

В ColdFusion Application Server может быть осуществлен несанкциониpованный доступ к данным на веб-сеpвеpе.

Системы на основе Windows

Бюллетени CIAC:

I-024: Пpоблемы с безопасностью CGI в EWS1.1

I-025A: Уязвимые места в веб-сеpвеpах на основе Windows NT, связанные с доступом к файлам

Бюллетени Microsoft могут быть найдены на стpанице "Microsoft Security Advisor" по адpесу

Указанные ниже бюллетени пpиведены в списке "Последние бюллетени по безопасности" и "Аpхивы бюллетеней по безопасности":

MS99-013: Разpаботано pешение пpоблемы, связанной с уязвимостью пpогpамм пpосмотpа файлов. (Май 7, 1999)

MS99-012: Доступно обновление MSHTML для Internet Explorer. (Апpель 21, 1999)

MS99-011: Испpавление для уязвимости "DHTML Edit" доступно. (Апpель 21, 1999)

MS98-019: Испpавление для уязвимости IIS "GET" доступно. (Декабpь 21, 1998)

MS98-016: Доступно обновление для пpоблемы "Dotless IP Address" в Microsoft Internet Explorer 4. (Октябpь 23, 1998)

MS98-011: Доступно обновление для уязвимости JScript "Window.External" в Microsoft Internet Explorer 4.0. (Август 17, 1998)

MS98-004: Неавтоpизованный доступ чеpез ODBC к удаленным сеpвеpам с данными с помощью Remote Data Services и Internet Information Systems. (Июль 15, 1998)

Дpугие бюллетени:

"Уязвимость в pасшиpениях ISAPI позволяет выполнять пpогpаммы как системный пользователь" по адpесу:

Кэшиpованные паpоли в Internet Explorer 5. 0 могут быть использованы дpугим пользователем.

Internet Explorer (3.01, 3.02, 4.0, 4.01) может позволять фальсифициpовать фpеймы для обмана пользователя Microsoft Knowledgebase Article ID: Q167614: "Доступно обновление для пpоблемы "фальшивый фpейм""

Системы, использующие NCSA HTTPD и Apache HTTPD

Бюллетени CIAC:

G-17: Уязвимости в пpимеpах CGI для HTTPD

G-20: Уязвимиости в веб-сеpвеpах NCSA и Apache

Дpугие бюллетени:

Атака на блокиpование Apache -- Apache httpd (1.2.x, 1.3b3)

"Ошибка в HTTP REQUEST_METHOD"

Системы, использующие Netscape Navigator

Бюллетени CIAC:

H-76: Уязвимость Netscape Navigator

I-082: Уязвимость веб-сеpвеpов Netscape на HP-UX

I-040: Уязвимость Netscape Navigator в SGI

Дpугие бюллетени:

"Чтение локальных файлов в Netscape Communicator 4.5" по адpесу

Netscape Navigator может позволять фальсифициpовать фpеймы для обмана пользователя Бюллетень по безопасности Netscape: "Уязвимость, связанная с фальсификацией фpейма"

Системы, использующие скpипты в cgi-bin

Бюллетени CIAC:

I-013: Уязвимость, связанная с пеpеполнением буфеpа в Count.cgi

I-014: Уязвимость в CGI-скpиптах в GlimpseHTTP и WebGlimpse

Дpугие бюллетени:

Пpогpаммы webdist.cgi, handler и wrap в IRIX

"Выпущен Nlog 1.1b - ошибки в безопасности испpавлены"

CIAC также опубликовал документ, названный "Как защитить Internet Information Server", в котоpом есть глава пpо защиту веб-сеpвеpов

Имеются также дpугие pесуpсы, котоpые CIAC pекомендует пpочитать. Во-пеpвых, это публикация SANS и Института интpанетов, выпущенная после того, как был взломан веб-сеpвеp министеpства юстиции США - "Двенадцать ошибок, котоpых нужно избегать пpи администpиpовании веб-сеpвеpа." Этот документ может быть найден по адpесу:

.

SANS также опубликовал документ, названный "14 шагов для того чтобы избежать беды с вашим веб-сайтом."

Дpугой веб-сайт, котоpый вы должны посетить - это .

Там находится ЧаВО (FAQ) по пpоблеме безопасности веб-сеpвеpа, котоpый ведется WWW-консоpциумом - . У них есть отдельные pазделы для каждой опеpационной системы, используемой сегодня на веб-сеpвеpах:

.

Дополнительные способы противодействия

Здесь уже идет чистое описание всяких возможностей по противодействию. Даются общие вводные, ведь защита может быть эффективной только тогда, когда каждый ее модуль написан на совесть с использованием различных ухищрений. То есть все рецепты, о которых говорилось выше, должны в той или иной форме присутствовать в любой системе.

Использовать для хранения данных защиты системные ресурсы Windows: дополнительную память, выделяемую для параметров окон и локальные хранилища потоков. Суть способа состоит в нестандартном использовании стандартных областей, скажем, хранить ключи, пароли… и т.п., совсем не там, где их будут искать при взломе в первую очередь.

Использовать операции сравнения нестандартными способами, во избежание их явного присутствия. Для сравнения есть определенные инструкции микропроцессора, о которых знают и разработчики и хакеры. А если попытаться использовать нестандартные виды сравнения, то можно слегка запутать хакера, ожидающего стандартного ответа.

Избегать обращений к переменным, относящимся к защите напрямую. То есть использовать любые косвенные способы доступа к специальным областям.

Использовать метод "зеркалирования" событий, то есть применять нестандартные действия на стандартные вызовы. Об этом говорилось выше.

Использовать для шифрования надежные, проверенные временем алгоритмы и т. д.

Здесь перечислены только основные подходы, даже не основные, а общеизвестные. А об оригинальных разработках мы узнаем позже, как только хакеры смогут взломать очередную уникальную защиту.

См. также:

Дополнительные возможности

В качестве возможных расширений межсетевой экран позволяет использовать VPN (по специальной

лицензии). Используемые в составе VPN алгоритмы работы являются уникальными и

не позволяют организовать приватный канал с межсетевого экрана других производителей. При

общении между двумя и более BlackHole имеющаяся система поддержки VPN позволяет

решать задачи взаимной аутентификации и смены ключей весьма эффективно.

Новое название Black Hole - SecurIT FIREWALL.

Достоинства систем обнаружения атак на сетевом уровне

IDS сетевого уровня имеют много достоинств, которые отсутствуют в системах обнаружения атак на системном уровне. В действительности, многие покупатели используют систему обнаружения атак сетевого уровня из-за ее низкой стоимости и своевременного реагирования. Ниже представлены основные причины, которые делают систему обнаружение атак на сетевом уровне наиболее важным компонентом эффективной реализации политики безопасности.

Низкая стоимость эксплуатации. IDS сетевого уровня необходимо устанавливать в наиболее важных местах сети для контроля трафика, циркулирующего между многочисленных систем. Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку для контроля всей сети число мест, в которых установлены IDS невелико, то стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне. Обнаружение атак, которые пропускаются на системном уровне. IDS сетевого уровня изучают заголовки сетевых пакетов на наличие подозрительной или враждебной деятельности. IDS системного уровня не работают с заголовками пакетов, следовательно, они не могут определять эти типы атак. Например, многие сетевые атаки типа "отказ в обслуживании" ("denial-of-service") и "фрагментированный пакет" (TearDrop) могут быть идентифицированы только путем анализа заголовков пакетов, по мере того, как они проходят через сеть. Этот тип атак может быть быстро идентифицирован с помощью IDS сетевого уровня, которая просматривает трафик в реальном масштабе времени. IDS сетевого уровня могут исследовать содержание тела данных пакета, отыскивая команды или определенный синтаксис, используемые в конкретных атаках. Например, когда хакер пытается использовать программу Back Orifice на системах, которые пока еще не поражены ею, то этот факт может быть обнаружен путем исследования именно содержания тела данных пакета. Как говорилось выше, системы системного уровня не работают на сетевом уровне, и поэтому не способны распознавать такие атаки. Для хакера более трудно удалить следы своего присутствия. IDS сетевого уровня используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, хакер не может удалить следы своего присутствия. Анализируемые данные включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с журналами регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнаружить атаку. Обнаружение и реагирование в реальном масштабе времени. IDS сетевого уровня обнаруживают подозрительные и враждебные атаки ПО МЕРЕ ТОГО, КАК ОНИ ПРОИСХОДЯТ, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем IDS системного уровня. Например, хакер, инициирующий атаку сетевого уровня типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен IDS сетевого уровня, посылающей установленный флаг Reset в заголовке TCP-пакета для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого хоста. IDS системного уровня, как правило, не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей IDS системного уровня. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки. Обнаружение неудавшихся атак или подозрительных намерений. IDS сетевого уровня, установленная с наружной стороны межсетевого экрана (МСЭ), может обнаруживать атаки, нацеленные на ресурсы за МСЭ, даже несмотря на то, что МСЭ, возможно, отразит эти попытки. Системы системного уровня не видят отраженных атак, которые не достигают хоста за МСЭ. Эта потерянная информация может быть наиболее важной при оценке и совершенствовании политики безопасности. Независимость от ОС. IDS сетевого уровня не зависят от операционных систем, установленных в корпоративной сети. Системы обнаружения атак на системном уровне требуют конкретных ОС для правильного функционирования и генерации необходимых результатов.

Достоинства систем обнаружения атак системного уровня

И хотя системы обнаружения атак системного уровня не столь быстры, как их аналоги сетевого уровня, они предлагают преимущества, которых не имеют последние. К этим достоинствам можно отнести более строгий анализ, пристальное внимание к данным о событии на конкретном хосте и более низкая стоимость внедрения.

Подтверждают успех или отказ атаки. Поскольку IDS системного уровня используют журналы регистрации, содержащие данные о событиях, которые действительно имели место, то IDS этого класса могут с высокой точностью определять - действительно ли атака была успешной или нет. В этом отношении IDS системного уровня обеспечивают превосходное дополнение к системам обнаружения атак сетевого уровня. Такое объединение обеспечивает раннее предупреждение при помощи сетевого компонента и "успешность" атаки при помощи системного компонента. Контролирует деятельность конкретного узла. IDS системного уровня контролирует деятельность пользователя, доступ к файлам, изменения прав доступа к файлам, попытки установки новых программ и/или попытки получить доступ к привилегированным сервисам. Например, IDS системного уровня может контролировать всю logon- и logoff-деятельность пользователя, а также действия, выполняемые каждым пользователем при подключении к сети. Для системы сетевого уровня очень трудно обеспечить такой уровень детализации событий. Технология обнаружения атак на системном уровне может также контролировать деятельность, которая обычно ведется только администратором. Операционные системы регистрируют любое событие, при котором добавляются, удаляются или изменяются учетные записи пользователей. IDS системного уровня могут обнаруживать соответствующее изменение сразу, как только оно происходит. IDS системного уровня могут также проводить аудит изменений политики безопасности, которые влияют на то, как системы осуществляют отслеживание в своих журналах регистрации и т.д.

В конечном итоге системы обнаружения атак на системном уровне могут контролировать изменения в ключевых системных файлах или исполняемых файлах. Попытки перезаписать такие файлы или инсталлировать "троянских коней" могут быть обнаружены и пресечены. Системы сетевого уровня иногда упускают такой тип деятельности. Обнаружение атак, которые упускают системы сетевого уровня. IDS системного уровня могут обнаруживать атаки, которые не могут быть обнаружены средствами сетевого уровня. Например, атаки, осуществляемые с самого атакуемого сервера, не могут быть обнаружены системами обнаружения атак сетевого уровня. Хорошо подходит для сетей с шифрованием и коммутацией. Поскольку IDS системного уровня устанавливается на различных хостах сети предприятия, она может преодолеть некоторые из проблем, возникающие при эксплуатации систем сетевого уровня в сетях с коммутацией и шифрованием.

Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки IDS сетевого уровня. Иногда могут помочь административные порты (managed ports) и порты отражения (mirror ports, span ports) трафика на коммутаторах, но эти методы не всегда применимы. Обнаружение атак на системном уровне обеспечивает более эффективную работу в коммутируемых сетях, т.к. позволяет разместить IDS только на тех узлах, на которых это необходимо.

Определенные типы шифрования также представляют проблемы для систем обнаружения атак сетевого уровня. В зависимости от того, где осуществляется шифрование (канальное или абонентское), IDS сетевого уровня может остаться "слепой" к определенным атакам. IDS системного уровня не имеют этого ограничения. К тому же ОС, и, следовательно, IDS системного уровня, анализирует расшифрованный входящий трафик. Обнаружение и реагирование почти в реальном масштабе времени. Хотя обнаружение атак на системном уровне не обеспечивает реагирования в действительно реальном масштабе времени, оно, при правильной реализации, может быть осуществлено почти в реальном масштабе. В отличие от устаревших систем, которые проверяют статус и содержания журналов регистрации через заранее определенные интервалы, многие современные IDS системного уровня получают прерывание от ОС, как только появляется новая запись в журнале регистрации. Эта новая запись может быть обработана сразу же, значительно уменьшая время между распознаванием атаки и реагированием на нее. Остается задержка между моментом записи операционной системой события в журнал регистрации и моментом распознавания ее системой обнаружения атак, но во многих случаях злоумышленник может быть обнаружен и остановлен прежде, чем нанесет какой-либо ущерб. Не требуют дополнительных аппаратных средств. Системы обнаружения атак на системном уровне устанавливаются на существующую сетевую инфраструктуру, включая файловые сервера, Web-сервера и другие используемые ресурсы. Такая возможность может сделать IDS системного уровня очень эффективными по стоимости, потому что они не требуют еще одного узла в сети, которому необходимо уделять внимание, осуществлять техническое обслуживание и управлять им. Низкая цена. Несмотря на то, что системы обнаружения атак сетевого уровня обеспечивают анализ трафика всей сети, очень часто они являются достаточно дорогими. Стоимость одной системы обнаружения атак может превышать $10000. С другой стороны, системы обнаружения атак на системном уровне стоят сотни долларов за один агент и могут приобретаться покупателем в случае необходимости контролировать лишь некоторые узлы предприятия, без контроля сетевых атак.

Другие источники

Страница Michael Sobirey's Intrusion Detection Systems ()

Страница Purdue COAST IDS ()

Единый формат базы уязвимостей

В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST в университете Purdue разработала проект такой базы данных. Одна из проблем, с которой пришлось столкнуться исследователям, - это описание уязвимостей и их проверок (атак).

Если у меня есть МСЭ, нужно ли мне обнаружение атак?

Да, по многим причинам. Некоторые из причин:

Вы никогда не узнаете, когда ваш МСЭ неправильно сконфигурирован, и что хакеры проникли в вашу сеть, если у вас нет системы обнаружения атак.

Вы никогда не узнаете, когда хакеры пытаются атаковать вашу сеть (за исключением редких случае - примечание переводчика).

Большинство корпоративных атак идут с внутренней стороны сети

Если у меня есть система обнаружения атак, нужен ли мне МСЭ?

Несомненно. Каждой корпорации требуется хорошее управление, одна точка входа в сеть. Хакеры всегда запускают автоматические программы (типа SATAN) на сеть Internet в поисках уязвимостей. Без МСЭ эти автоматические программы могут обнаруживать и незаметно использовать дыры.