Проблемы безопасности сетей. Источники угроз в сетях. Уязвимости служб и сетевых протоколов.

Главных проблем безопасности в сети не так уж и много. Вот их самый краткий, но вполне достаточный перечень:

• Как предотвратить проникновение в сеть и манипуляции с данными?
• Как предотвратить разглашение информации в сети?
• Какие места системы безопасности сети менее всего устойчивы?
• Какова модель предполагаемого нарушителя?

Большинство взломов систем происходит из-за того, что администратору сети поручают несвойственную ему дополнительную обязанность следить за строгим соблюдением пользователями правил работы, которую в большинстве случаев он выполнить не в состоянии.

Разглашение информации слишком часто встречается в практике работы сетей потому, что люди постоянно находятся под прессом обстоятельств и не всегда осознают последствия кажущихся им мелкими действий.

Нужно защищать все компоненты системы: оборудование, программы, данные и персонал. Система защиты должна быть многоуровневой и строиться по уровням секретности. Для надежной защиты необходимо распределить функции между этими уровнями так, чтобы осуществлялось необходимое дублирование функций защиты и происходила компенсация недостатков одного уровня другим. Криптографическая защита должна быть применена на всех верхних уровнях, однако ее применение должно соответствовать предполагаемым угрозам.

Сотрудники служб компьютерной безопасности и антихакеры делят всех нарушителей на четыре группы по отношению к жертве:

• не знающие фирму посторонние; знающие фирму посторонние и бывшие сотрудники;
• служащие непрограммисты; служащие программисты.

Консорциум ISTF выделил 12 областей информационной безопасности, на которых в первую очередь должны сконцентрировать свое внимание создатели электронного бизнеса, чтобы обеспечить его работоспособность. Этот список, в частности, включает:
• аутентификацию (механизм объективного подтверждения идентифицирующей информации);
• право на частную, персональную информацию (обеспечение конфиденциальности информации);
• определение событий безопасности (Security Events);
• защиту корпоративного периметра;
• определение атак;
• контроль за потенциально опасным содержимым;
• контроль доступа;
• администрирование;
• реакцию на события (Incident Response). Рекомендации ISTF предназначены для существующих или вновь образуемых компаний электронной коммерции и электронного бизнеса.

Для реализации основных функциональных компонентов системы безопасности для электронного бизнеса применяются различные методы и средства защиты информации:
• защищенные коммуникационные протоколы; • средства криптографии;• механизмы аутентификации и авторизации; • средства контроля доступа к рабочим местам сети и из сетей общего пользования; • антивирусные комплексы;• программы обнаружения атак и аудита;
• средства централизованного управления контролем доступа пользователей, а также безопасного обмена пакетами данных и сообщениями любых приложений по открытым IP-сетям.

Анализ наиболее распространенных угроз, которым подвержены современные проводные корпоративные сети, показывает, что источники угроз могут изменяться от неавторизованных вторжений злоумышленников до компьютерных вирусов, при этом весьма существенной угрозой безопасности являются человеческие ошибки. Необходимо учитывать, что источники угроз безопасности могут находиться как внутри КИС — внутренние источники, так и вне ее — внешние источники. Такое деление вполне оправдано потому, что для одной и той же угрозы (например кражи) методы противодействия для внешних и внутренних источников различны. Знание возможных угроз, а также уязвимых мест КИС необходимо для выбора наиболее эффективных средств обеспечения безопасности.

Подслушивание (sniffing). В основном данные по компьютерным сетям передаются в незащищенном формате (открытым текстом), что позволяет злоумышленнику, получившему доступ к линиям передачи данных в сети подслушивать или считывать трафик. Для подслушивания в компьютерных сетях используют сниффер. Сниффер пакетов представляет собой прикладную программу, которая перехватывает все сетевые пакеты, передаваемые через определенный домен.

В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, РОРЗ и т. д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).

Изменение данных. Злоумышленник, получивший возможность прочитать ваши данные, сможет сделать и следующий шаг — изменить их. Данные в пакете могут быть изменены, даже если злоумышленник ничего не знает ни об отправителе, ни о получателе. Даже если вы не нуждаетесь в строгой конфиденциальности всех передаваемых данных, то наверняка не захотите, чтобы они были изменены по пути.

Анализ сетевого трафика. Целью атак подобного типа является прослушивание каналов связи и анализ передаваемых данных и служебной информации для изучения топологии и архитектуры построения системы, получения критической пользовательской информации (например, паролей пользователей или номеров кредитных карт, передаваемых в открытом виде). Атакам этого типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этих протоколов в открытом виде.

Подмена доверенного субъекта. Большая часть сетей и ОС используют IP-адрес компьютера, для того чтобы определять, тот ли это адресат, который нужен. В некоторых случаях возможно некорректное присвоение IP-адреса (подмена IP-адреса отправителя другим адресом). Такой способ атаки называют фальсификацией адреса (IP-spoofing).

Посредничество. Эта атака подразумевает активное подслушивание, перехват и управление передаваемыми данными невидимым промежуточным узлом. Когда компьютеры взаимодействуют на низких сетевых уровнях, они не всегда могут определить, с кем именно они обмениваются данными.

Посредничество в обмене незашифрованными ключами (атака man-in-the-middle). Для проведения атаки man-in-the-middle (че-ловек-в-середине) злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера ISP в любую другую сеть, может, например, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации.

Перехват сеанса (session hijacking). По окончании начальной процедуры аутентификации соединение, установленное законным пользователем, например с почтовым сервером, переключается злоумышленником на новый хост, а исходному серверу выдается команда разорвать соединение. В результате «собеседник» законного пользователя оказывается незаметно подмененным.

Отказ в обслуживании (Denial of Service, DoS). Эта атака отличается от атак других типов: она не нацелена на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть организации недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, ОС или приложения. По существу, она лишает обычных пользователей доступа к ресурсам или компьютерам сети организации.

Большинство атак DoS опирается на общие слабости системной архитектуры. В случае использования некоторых серверных приложений (таких как web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак

DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).

Парольные атаки. Их цель — завладение паролем и логином законного пользователя. Злоумышленники могут проводить парольные атаки, используя такие методы, как:
• подмена IP-адреса (IP-спуфинг);
• подслушивание (сниффинг);
• простой перебор.

Угадывание ключа. Криптографический ключ представляет собой код или число, необходимое для расшифровки защищенной информации. Хотя узнать ключ доступа не просто и требует больших затрат ресурсов, тем не менее это возможно. В частности, для определения значения ключа может быть использована специальная программа, реализующая метод полного перебора.

Компьютерные вирусы, сетевые «черви», программа «троянский конь». Вирусы представляют собой вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. Вирус обычно разрабатывается злоумышленниками таким образом, чтобы как можно дольше оставаться необнаруженным в компьютерной системе.

Атаки на уровне приложений могут проводиться несколькими способами.

Самый распространенный из них состоит в использовании известных слабостей серверного ПО (FTP, HTTP, web-сервера).

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.

Сетевая разведка — это сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации.

Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены.