Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Московская гуманитарно-техническая академия

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Информационная безонасность, УПП

.pdf

Скачиваний:

Добавлен:

14.02.2016

Размер:

786.3 Кб

Скачать

☆

<<< < Предыдущая 12 / 82 3 4 5 6 7 8 > Следующая >>>

ски генерируемые из некоторого набора символов.

Данный способ позволяет взломать все пароли, если они содержат только символы из данного набора и известно их представление в зашифрованном виде. Поскольку приходится перебирать очень много комбинаций, число которых растет экспоненциально с увеличением числа символов в исходном наборе, такие атаки парольной защиты операционной системы могут занимать слишком много времени. Однако хорошо известно, что большинство пользователей операционных систем не затрудняют себя выбором стойких паролей (т.е. таких, которые трудно узнать). Поэтому для более эффективного подбора паролей парольные взломщики обычно используют так называемые словари, представляющие собой заранее сформированный список слов, наиболее часто применяемых на практике в качестве паролей.

На сегодняшний день в Internet существует несколько депозитариев словарей для парольных взломщиков.

Типовые способы удаленных атак на информацию в сети

Злоумышленники могут предпринимать удаленные атаки на компьютерные сети. Строятся такие атаки на основе знаний о протоколах, используемых в сети Internet. В результате успех атаки не зависит от того, какую именно программно-аппаратную платформу использует пользователь. Хотя, с другой стороны, это внушает и известный оптимизм. Кроме того, существуют еще и внутренние атаки на информацию в компьютерных сетях (рис. 1.1).

За счет того, что все атаки построены на основе некоторого конечного числа базовых принципов работы сети Internet, становится возможным выделить типовые удаленные атаки и предложить некоторые типовые комплексы мер противодействия им.

Наиболее типовыми удаленными атаками на информацию в сети (рис. 1.2) из-за несовершенства Internet-протоколов являются:

анализ сетевого трафика сети;

внедрение ложного объекта сети;

внедрение ложного маршрута.

Рассмотрим характеристики этих удаленных атак. Начнем с анализа сетевого трафика сети.

Для получения доступа к серверу по базовым протоколам FTP (File Transfer Protocol) и TELNET (Протокол виртуального терминала) сети Internet пользователю необходимо пройти на нем процедуру

идентификации и аутентификации. В качестве информации, иденти-

фицирующей пользователя, выступает его идентификатор (имя), а для аутентификации используется пароль. Особенностью протоколов FTP и TELNET является то, что пароли и идентификаторы пользова-

телей передаются по сети в открытом, незашифрованном виде.

Таким образом, для получения доступа к хостам Internet достаточно знать имя пользователя и его пароль. При обмене информацией два удаленных узла Internet делят информацию, которой обмениваются, на пакеты. Пакеты проходят по каналам связи; там пакеты и могут быть перехвачены.

Анализ протоколов FTP и TELNET показывает, что TELNET разбивает пароль на символы и пересылает их по одному, помещая каждый символ пароля в соответствующий пакет, a FTP, напротив, пересылает пароль целиком в одном пакете. Ввиду того, что пароли эти никак не зашифрованы, с помощью специальных программ-сканеров пакетов можно выделить именно те пакеты, которые содержат имя и пароль пользователя. По этой же причине, кстати, ненадежна и столь популярная ныне программа ICQ. Протоколы и форматы хранения и передачи данных обмена ICQ известны. Поэтому трафик ICQ также может быть перехвачен и вскрыт.

Почему все устроено так просто? Проблема заключается в протоколах обмена. Базовые прикладные протоколы семейства ТСР/IР были разработаны очень давно — на заре компьютерной техники (в период с конца 60-х до начала 80-х годов) — и с тех пор абсолютно не изменились. В то время основной концепцией построения сети была надежность. Рассматривалась возможность сохранения работоспособности компьютерной сети даже после ядерного удара. За прошедшие годы подход к обеспечению информационной безопасности распределенных сетей существенно изменился. Были разработаны различные протоколы обмена, позволяющие защитить сетевое соединение и зашифровать трафик (например, протоколы SSL, SKIP и т.п.). Однако эти протоколы не сменили устаревшие и не стали стандартом (может быть, за исключением SSL).

Вся проблема состоит вот в чем: чтобы они стали стандартом, к использованию этих протоколов должны перейти все пользователи сети, но так как в Internet отсутствует централизованное управление сетью, то процесс перехода может длиться еще многие годы. А на сегодняшний день подавляющее большинство пользователей используют стандартные протоколы семейства TCP/IP, разработанные более 15 лет назад. В результате, путем простого анализа сетевого трафика (потока информации) возможно вскрыть большинство систем средней защищенности.

Опытные пользователи Internet сталкивались с таким явлением, как установка защищенного соединения (обычно при оплате какойлибо покупки в Internet при помощи кредитной карты). Это как раз и есть специальный протокол, который применяет современные крипто-

графические средства с тем, чтобы затруднить перехват и расшифровку сетевого трафика. Однако большая часть сетевого трафика остается по-прежнему незащищенной.

В любой распределенной сети существуют еще такие «узкие места», как поиск и адресация. В ходе этих процессов становится возможным внедрение ложного объекта распределенной сети (обычно это ложный хост). Даже если объект имеет право на какой-либо ресурс сети, вполне может оказаться, что этот объект — ложный.

Внедрение ложного объекта приводит к тому, что вся информация, которую вы хотите передать адресату, попадает на самом деле к злоумышленникам. Примерно, это можно представить, как если бы кто-то сумел внедриться к вам в систему, допустим, адресом SMTP (Simple Mail Transfer Protocol) - сервера вашего провайдера, которым вы обычно пользуетесь для отправки электронной почты. В этом случае без особых усилий злоумышленник завладел бы вашей электронной корреспонденцией, и вы, даже и не подозревая того, сами переправили бы ему всю свою электронную почту.

Для удобства пользователя в сети, существует несколько уровней представления данных. Каждому из уровней соответствует своя система адресов. Так и на физическом диске файл на одном уровне представления определяется одним лишь своим именем, а на другом — как цепочка адресов кластеров, начиная с адреса первого кластера. При обращении к какому-либо хосту производится специальное преобразование адресов (из IP-адреса выводится физический адрес сетевого адаптера или маршрутизатора сети). В сети Internet для решения этой проблемы используется протокол ARP (Address Resolution Protocol).

Протокол ARP позволяет получить взаимно однозначное соответствие IP-и Ethernet-адресов для хостов, находящихся внутри одного сегмента. Это достигается следующим образом: при первом обращении к сетевым ресурсам хост отправляет широковещательный ARPзапрос. Этот запрос получат все станции в данном сегменте сети. Получив запрос, хост внесет запись о запросившем хосте в свою ARPтаблицу, а затем отправит на запросивший хост ARP-ответ, в котором сообщит свой Ethernet-адрес.

Если в данном сегменте такого хоста нет, то произойдет обращение к маршрутизатору, который позволяет обратиться к другим сегментам сети. Если пользователь и злоумышленник находятся в одном сегменте, то становится возможным осуществить перехват АРРзапроса и направить ложный ARP-ответ. В итоге обращение будет происходить по физическому адресу сетевого адаптера ложного хоста. Утешением может служить лишь то, что действие этого метода ограничено только одним сегментом сети.

Как известно, для обращения к хостам в сети Internet используются 32-разрядные IP-адреса, уникально идентифицирующие каждый сетевой компьютер. Однако для пользователей применение IP-адресов при обращении к хостам является не слишком удобным и далеко не самым наглядным. Когда сеть Internet только зарождалась, было принято решение для удобства пользователей присвоить всем компьютерам в сети имена. Применение имен позволяет пользователю лучше ориентироваться в сети Internet. Пользователю намного проще запомнить, например, имя www.narod.ru, чем четырехразрядную цепочку.

Существует система преобразования имен, благодаря которой пользователь в случае отсутствия у него информации о соответствии имен и IP-адресов может получить необходимые сведения от ближай-

шего информационно-поискового DNS-cepвepa (Domain Name System).

Эта система получила название доменной системы имен — DNS. Набирая мнемоническое имя, мы обращаемся тем самым к DNSсерверу, а он уже посылает IP-адрес, по которому и происходит соединение.

Так же, как и в случае с АRР, является возможным внедрение в сеть Internet ложного DNS-сервера путем перехвата DNS-запроса. Это происходит по следующему алгоритму:

1.Ожидание DNS-запроса.

2.Извлечение из полученного запроса необходимых сведений и передача по сети на запросивший хост ложного DNS-ответа от имени (с IP-адреса) настоящего DNSсервера, в котором указывается IPадрес ложного DNS-сервера.

3.При получении пакета от хоста изменение в IPзаголовке пакета его IP-адреса на IP-адрес ложного DNS-сервера и передача пакета на сервер (то есть ложный DNSсервер ведет работу с сервером от своего имени).

4.При получении пакета от сервера изменение в IP-заголовке пакета его IP-адреса на IP-адрес ложного DNS-сервера и передача пакета на хост (хост считает ложный DNSсервер настоящим).

Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные передаются от источника к приемнику. Для унификации обмена информацией о маршрутах существуют специальные протоколы управления маршрутами; в Internet» например, — это протокол обмена сообщениями о новых маршрутах ICMP (Internet Control Message Protocol) и протокол удаленного управления маршрутизаторами SNMP

(Simple Network Management Protocol). Изменение маршрута — не что иное, как внедрение атакующего ложного хоста. Даже если конечный

объект будет истинным, маршрут можно построить таким образом, чтобы информация все равно проходила через ложный хост.

Для изменения маршрута атакующему необходимо послать по сети специальные служебные сообщения, определенные данными протоколами управления сетью, от имени сетевых управляющих устройств (например, маршрутизаторов). В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которым обмениваются два объекта распределенной сети, и затем может перехватывать информацию, анализировать, модифицировать ее, а то и просто удалять. То есть становится возможным реализовать угрозы всех типов.

Распределенные атаки на отказ от обслуживания

Атаки на отказ от обслуживания, нацеленные на конкретные Webузлы, вызывают переполнение последних за счет преднамеренного направления на них Internet-трафика большого объема. Такие атаки, предусматривающие запуск программ, иногда называемых зомби, ранее были скрыты на сотнях подключенных к Internet компьютерах, которые принадлежали обычно ничего не подозревающим организациям.

Распределенные атаки на отказ от обслуживания — DDoS (Distributed Denial of Service) — сравнительно новая разновидность компьютерных преступлений. Но распространяется она с пугающей скоростью.

Угроза отказа в обслуживании возникает всякий раз, когда в результате некоторых действий блокируется доступ к некоторому ресурсу вычислительной системы.

Реально блокирование может быть постоянным, чтобы запрашиваемый ресурс никогда не был получен, или вызвать только задержку запрашиваемого ресурса, но достаточно долгую для того, чтобы он стал бесполезным. В таких случаях говорят, что ресурс исчерпан. Этой угрозой тоже не следует пренебрегать. Если ресурсы любой компьютерной системы всегда ограничены, значит, она имеет «узкое место».

Например, стержнем большинства систем является система разграничения доступа, основанная на введении паролей. В силу того, что распределенная система должна быть доступна, ограничить доступ к системе идентификации нельзя. С другой стороны, система идентификации - ограниченный ресурс. В ходе удаленной атаки он может быть исчерпан (хотя большинство современных систем предусматривают защиту от подобных действий, так как подобная атака хрестоматийна).

Настроив соответствующее программное обеспечение, злоумышленник может запустить механизм множественного ввода паролей

(пусть пароли и неверные). Все внешние каналы связи будут забиты ложными паролями. В итоге пользователь, даже имеющий на это право, не сможет войти в систему. Он просто не сможет пробиться к системе идентификации, чтобы ввести правильный пароль. Поэтому большинство современных систем и имеют ограничения на количество неправильно введенных паролей в течение одного сеанса.

Вопросы для самопроверки к главе 1

1.Опишите современное атакующие информационное оружие.

2.Для чего служат парольные взломщики и как они применяются?

3.Что такое DNS-сервер. Опишите алгоритм создания ложного DNSсервера.

Тесты к главе 1

1.Какие протоколы используют передачу паролей и идентификаторов пользователей по сети в открытом, незашифрованном виде?

1)FTP;

2)SSL;

3)UDP.

2.Какой из протоколов позволяет получить взаимно однозначное соответствие IP-и Ethernet-адресов для хостов, находящихся внутри одного сегмента?

1)ICMP;

2)ARP;

3)SMTP.

3.DNS – сервера это:

1)система защиты от вирусных атак;

2)система защиты от DDoS – атак;

3)система преобразования имен.

4.Являются ли логические бомбы разновидностью компьютерных атак?

1)Да;

2)Нет.

Глава 2 Основы межсетевых экранов

Термин firewall1 впервые появился в описаниях организации сетей около пяти лет назад. Прежде чем он был принят экспертами по сетевой безопасности для определения способа предотвращения попыток несанкционированного доступа к сети, подключенной к сети большего масштаба, его как профессиональный термин употребляли строители. Брандмауэром называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме. При попадании огня в один блок брандмауэр предотвращает его распространение в другие блоки - в сущности, позволяет локализовать проблему.

Межсетевой экран работает примерно так же: он помогает избежать риска повреждения систем или данных в вашей локальной сети из-за возникающих проблем, вызванных взаимодействием с другими сетями. Межсетевой экран осуществляет это, пропуская разрешенный трафик и блокируя остальной. В то время как брандмауэр в здании представляет собой всего лишь конструкцию из цементных блоков или других прочных огнеупорных материалов, межсетевой экран устроен намного сложнее.

Механизмы для пропускания или блокирования трафика могут быть простыми фильтрами пакетов (packet filter), принимающими решение на основе анализа заголовка пакета, или более сложными proxy-серверами (application proxy), которые расположены между клиентом и внешним миром и служат в качестве посредника для некоторых сетевых служб.

Название «брандмауэр», казалось бы, относится к одному устройству или одной программе. Но во всех случаях, за исключением простейших, лучше представлять себе его как систему компонентов, предназначенных для управления доступом к вашей и внешней сетям на основе определенной политики безопасности. Термин «межсетевой экран» был принят для обозначения совокупности компонентов, которые находятся между вашей сетью и внешним миром и образуют защитный барьер так же, как брандмауэр в здании создает преграду, предотвращающую распространение огня.

В результате конкуренции среди производителей межсетевых экранов и их попыток усовершенствовать свой продукт брандмауэры наделялись новыми свойствами. Поскольку межсетевой экран стоит на границе вашей сети и служит как бы воротами во внешний мир, он должен выполнять множество задач, в том числе и не связанных с

1 Этому термину также соответствует термин межсетевой экран, или брандмауэр; эти термины употребляются как взаимозаменяемые

обеспечением безопасности. Вот некоторые из новых функций, которые имеются в современных брандмауэрах

кэширование (caching) Это свойство особенно характерно для сетей, содержащих Web-серверы с большим объемом информации, доступной из Internet. Благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэкономить полосу пропускания, которая потребовалась бы для повторной загрузки данных;

трансляция адреса (address translation). Настроенный соответствующим образом брандмауэр позволяет применять для внутренней сети любые IP-адреса. При этом снаружи виден только адрес брандмауэра;

фильтрация контента (content restriction). Все большее число про-

дуктов обеспечивает ограничение информации, получаемой пользователями из Internet, путем блокирования доступа к адресам URL, содержащим нежелательный контент, или поиска заданных ключевых слов в приходящих пакетах данный;

переадресация (address vectoring). Эта функция предоставляет

брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не с указанным в пакете запроса IPадресом, а с другим. Таким способом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как одиночный сервер.

Все эти функциональные возможности дают определенные преимущества в плане гарантий безопасности, но в основном предназначены для увеличения производительности. Например, в результате переадресации и трансляции адреса удается скрыть внутренние IP-адреса от хакеров, что безусловно повышает безопасность. Чем меньшей информацией располагает потенциальный нарушитель, тем более сложной будет его работа. Но эти же возможности служат администратору при распределении нагрузки среди нескольких компьютеров. Благодаря трансляции адреса вам не понадобится запрашивать большой диапазон адресов IP для всех серверов и рабочих станций в вашей сети.

Выбор доступных пользователям служб

С чего лучше начать планирование политики безопасности для сети? Во-первых, определите, какие службы должны быть доступны пользователям. Подключение сети к Internet уже само по себе означает, что оно должно каким-то образом использоваться. Чем вызвана необходимость подключения? Какую выгоду это принесет? Какие проблемы возникают при попытке обеспечить нужды пользователей?

Причиной подключения компании к Internet становится желание располагать некоторыми из типичных возможностей, такими как:

электронная почта - для обмена корреспонденцией с поставщиками и клиентами;

удаленный доступ - для обращения к ресурсам локальной сети компании извне;

поддержка исследований - обеспечение взаимодействия технического персонала с коллегами в других компаниях и учреждениях;

поддержка клиентов — возможность просмотра клиентами документации к продукту и другой литературы, что уменьшает нагрузку на службу поддержки;

техническая поддержка - получение доступа (в качестве клиента) к документации, размещенной производителем в Internet;

торговля и маркетинг - организация электронной торговли и марке-

тинга продукции компании в Internet.

В зависимости от того, что из перечисленного выше относится к вашей ситуации, вы можете для удовлетворения потребностей пользователей применять различные комбинации следующих служб:

FTP. С помощью протокола передачи файлов (File transfer protocol) исследовательская группа обменивается файлами с другими сайтами. Доступ клиентов к файлам или документации обеспечивает аноним-

ный (anonymous) FTP;

Telnet. Эта служба может быть использована сотрудниками группы поддержки пользователей для удаленного входа на компьютер пользователя с целью диагностики проблемы. Применяется также при удаленном администрировании сети;

WWW. Сервер WWW обеспечивает присутствие компании в Internet. Вы будете сообщать клиентам на корпоративном Web-сайте о выходе новых продуктов или появлении новых служб, а также легко размещать на сервере документацию и осуществлять поддержку продуктов;

электронная почта. При помощи простого протокола пересылки по-

чты (Simple Mail Transfer Protocol, SMTP) вы сумеете посылать элек-

тронную почту со своего компьютера почти в любую точку мира. Это прекрасный способ быстрого общения с клиентами и сотрудниками. Если учесть стоимость пересылки обычных писем, станет ясно, что большинство компаний в течение ближайших лет (по мере подключения к Internet все большего числа клиентов) начнут отправлять счета по электронной почте.

Это список лишь основных служб, доступных в Internet. Они упо-

мянуты здесь только для того, чтобы вы поточнее определили, как вам хочется использовать Internet. Просмотрев перечень служб, которые, по вашему мнению, понадобятся для работы вашей компании, со-

ставьте несколько вопросов по каждому пункту. Существуют ли для данной службы относительно безопасный клиент и сервер? Не приведет ли ее использование к появлению потенциальных «дыр безопасности» в вашей локальной сети? И так далее.

Предположим, например, что ваша политика безопасности разрешает пользователям получать доступ к внешним компьютерам с помощью Telnet, но запрещает любые входящие подключения по данному протоколу. Это позволяет пользователям выполнять удаленное подключение к системам клиентов, но блокирует проникновение в вашу сеть извне. Примерно так же можно определять политику безопасности для других важных сетевых служб, таких как FTP и SMTP, в зависимости от конкретных нужд. Но иногда, как и в любой другой политике, вам придется делать исключения.

Политика безопасности брандмауэра

После анализа различных вопросов безопасности имеет смысл приступить к разработке политики безопасности брандмауэра. Есть два основных метода ее реализации:

разрешить все действия, не запрещенные специально;

запретить все действия, не разрешенные специально. Рекомендуется придерживаться второй стратегии. Почему? Рас-

суждая логически, гораздо проще определить небольшой список разрешенных действий, чем намного больший перечень запрещенных. Кроме того, поскольку новые протоколы и службы разрабатываются достаточно часто, a Internet продолжает расти, вам не придется постоянно добавлять новые правила, чтобы предотвратить появление дополнительных проблем. Новые разработки не нарушат вашу безопасность, и вам не надо будет ничего делать до принятия решения о разрешении на работу нового протокола или службы после тщательного анализа возникающих при этом угроз безопасности.

Технологии межсетевых экранов

Существуют два основных метода создания брандмауэра: фильтрация пакетов и proxy-серверы. Некоторые администраторы предпочитают другие методы, но они обычно являются разновидностями этих двух. Каждый метод имеет свои преимущества и недостатки, поэтому для надежной защиты сети важно хорошо понимать, как они работают.

Фильтры пакетов (packet filters) были первым типом брандмауэров для защиты сети при доступе в Internet. Маршрутизаторы настраивались соответствующим образом, чтобы пропускать или блокировать пакеты. Поскольку маршрутизаторы просматривают только заголовки

<<< < Предыдущая 12 / 82 3 4 5 6 7 8 > Следующая >>>