Садердинов А.А. Информационная безопасность предприятия

Подождите немного. Документ загружается.

теля. Это можно сделать двумя способами. Во-пер вых, хакер может

воспользоваться IP-адресом, находящимся в пределах диапазона

санкционированных IP-адресов, или авторизованным внешним ад-

ресом, которому разрешается доступ к опреде ленным сетевым ре-

сурсам. Атаки 1Р-спуфинга часто становятся отправными для про-

чих атак.

Обычно IP-спуфинг ограничивается вставкой ложной ин-

формации или вредоносны х команд в обычный поток данных, пе-

редаваемы х между клиентским и серверным приложением или по

каналу связи между одноранговыми устройствами. Для двусторо н-

ней связи хакер должен изменить все таблицы маршрутизации,

чтобы направить трафик на ложный IP-адрес. Некоторые хакеры,

однако, даже не пытаются получить ответ о т приложений. Если

главная задача состоит в получении от систе мы важного файла,

ответы приложений уже не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и

направить трафик на ложный IP-адрес, то хакер по лучит все пакеты

и сможет отвечать на них так, будто он является санк-

ционированным пользователем.

Угрозу спуфинга можно ослабить (но не устранить) с помощью

следующих мер:

• Контроль доступа - самый простой способ предотвращения

IP-спуфинга, состоящий в правильной настройке управления

доступом. Чтобы снизить эффективность IP-спу финга, надо на-

строить контроль доступа на отсечение лю бого трафика, посту-

пающего из внешней сети с таким ис ходным адресом, который

по идее должен располагаться внутри вашей сети. Правда, это

помогает бороться с 1Р-спу-фингом, когда санкционированны-

ми являются только вну тренние адреса. Если же санкциониро-

ваны и некоторые адреса внешней сети, данный мето д неэффек-

тивен.

• Фильтрация RFC 2827 - способ пресечь попытки спуфинга

чужих сетей пользователями вашей сети (и стать таким образом

добропорядочным «сетевым гражданином»). Для этого необхо-

димо только отбраковывать любой исхо дящий тра фик, адрес

которого не является одним из IP-адресов вашей организации.

Этот тип фильтрации, и он известен под названием «RFC 2827»,

может выполнять и ваш провайдер (ISP). К сожалению, до тех

пор, пока все провайдеры не внедрят этот тип фильтрации, его

эффективность будет намного ни же возможной. Кроме того,

чем дальше от фильтруемых устройств, тем труднее проводить

точную фильтрацию.

• Введение дополнительных методов аутентификации -

наиболее эффективный мето д борьбы с IP-спуфингом тот же,

что и в случае со сниффингом пакетов: необходимо сделать ата-

ку абсолютно неэффективной. IP-спуфинг может функциониро-

вать то лько при условии, что аутентификация происхо ди т на ба-

зе IP-адресов. Поэтому внедрение дополнительных методов ау-

тентификации делает это т вид а так бесполезными. Лучшим ви-

дом дополнительной аутентификации является криптографич е-

ская. Если она невозможна, хорошие результаты может дать

дву хфакторная аутентификация с использованием одноразовых

паролей.

Отказ в обслуживании (Denial of Service — DoS)

DoS, вне всякого сомнения, является наиболее известной фо р-

мой хакерских атак. Кроме того, против атак такого типа труднее

всего создать стопроцентную защиту. Для организации DoS требу-

ется минимум знаний и умений. Тем не менее именно простота их

реализации и причиняемый ими огромный вред привлекают к DoS

пристальное внимание админис траторов, отвечающих за сете вую

безопасность. Наиболее известные разновидности DoS:

• TCP SYN Flood,

• Ping of Death,

• Tribe Flood Network (TFN) и Tribe Flood Network 2000

(TFN2K),

• Trinco,

• Stacheldracht,

• Trinity.

Атаки DoS отличаются от других атак. Они не нацелены на

осуществление доступа к вашей сети или на получение из нее ка-

кой-либо информации. Атака DoS делает вашу сеть недоступной

для обычного ее использования из -за наступающего вследствии

подобной агрессии превышения допустимых параметров функцио-

нирования сети, ее операционной системы или приложения.

В случае использования некоторы х серверных приложений (та-

ких как Web-сервер или FTP-сервер) атаки DoS могут приводить к

тому, что все соединения, доступные для этих приложе ний, ока-

жутся занятыми и обслуживание обычных по льзователей станет

невозможным. В ходе атак DoS могут использова ть ся обычные Ин-

тернет-протоколы, типа TCP и ICMP (Internet Control Message Pro-

tocol). Большинство атак DoS удается осуществить из-за программ-

ных ошибок или брешей в системе бе зопасности, а по причине об-

щие слабостей системной архитектуры. Некоторые ата ки сводят к

нулю производительность сети, переполняя ее нежелательными и

ненужными пакетами или со общая ложную информацию о теку-

щем состоянии сетевых ре сурсов. Эти атаки трудно предо твратить,

поскольку необходима координация действий с провайдером. Если

трафик, переполняющий вашу сеть, не перекрыть у провайдера, то

на входе в сеть этого уже не сделаешь, потому что полоса пропус-

кания будет занята полностью. Когда атака подобного типа прово-

дится одновременно через множество устройств, то она квалифи-

цируется специалистами как «распределенная» (DDoS - distributed

DoS).

Угрозу атак типа DoS можно снижать тремя следующими спо-

собами:

• Использование функции анти-спуфинга — правильная

конфигурация функций анти-спуфинга на маршрутизато рах и

межсетевых экранах предполагает включение, как минимум,

фильтрации RFC 2827. В этом случае хакер уже не сможет за-

маскировать свою истинную личность и вряд ли решится пр о-

вести атаку.

• Реализация функции анти-DoS - правильная конфигурация

функций анти-DoS на маршрутизаторах и межсетевых экранах

может ограничить эффективность атак. Эти функ ции часто

уменьшают число полуоткрытых каналов в лю бой момент вре-

мени.

• Ограничение объема трафика (traffic rate limiting) — орга-

низация может попросить провайдера (ISP) ограничить объем

трафика. Это т тип фильтрации позволяет уменьшить объем не-

критического трафика, в вашей сети. Распространенное ограни-

чение объемов трафика ICMP, который используется то лько для

диагностических целей. А такие ата ки, как (D)DoS как раз часто

используют ICMP.

Парольные атаки

Хакеры могут проводить парольные ата ки с помощью целого

ряда методов. Таких как простой перебор (brute force attack), троян-

ский конь, IP-спуфинг и сниффинг пакетов. Хо тя логин и пароль

часто можно получить при помощи 1Р-спу-финга и снифинга паке-

тов, хакеры тем не менее нередко пытаются подобрать пароль и

логин, используя для этого многочисленные попытки доступа. Это

называется просто перебор (brute force attack). Часто для такой ата-

ки используется специальная программа, с помощью которой стре-

мится получить доступ к ресурсу общего пользования (например, к

серверу). Если это удается , то хакер становится как бы обычным

пользователем, пароль ко торого был законно подобран. Если этот

пользователь имеет значительные привилегии доступа, то ха кер

может «засто лбить» для себя доступ и на будущее, который бу дет

действовать даже если по льзователь изменит свой па роль и логин.

Еще одна проблема часто возникает, если пользователи прим е-

няют один и тот же (пусть даже очень хороший) пароль, но для

доступа к различным системам: корпоративной, персо нальной и

системам Интернет. Поскольку устойчивость пароля равна устой-

чивости самого слабого хоста, хакер, узнавший пароль через этот

хост, получает доступ тогда и ко всем остальным системам, где

используется тот же пароль.

Парольных атак можно избежать вообще, если не пользо ваться

паролями в текстовой форме. Одноразовые пароли и/или крипто-

графическая аутентификация могут практичес ки свести на не т уг-

розу таких атак. К сожалению, не все приложения, хосты и устрой-

ства поддерживают подобные методы аутентификации.

При использовании же обычны х паролей, последние долж ны

быть такими, чтобы их было бы трудно угадать и подо брать. Ми-

нимальная длина пароля должна быть не менее восьми символов.

Пароль должен иметь символы верхнего регистра, цифры и специ-

альные символы (#, %, $ и т. д.). Лучшие пароли нелегко подобрать

и трудно запомнить, а это обычно вынуждает пользователей запи-

сывать их на бумаге. Чтобы не делать э того, пользователи и адм и-

нистраторы не должны игнорировать последние технологические

достижения. Так, например, существуют прикладные программы,

шифрующие список паролей, который можно хранить в карман ном

компьютере. В результате по льзователю нужно помнить только

один сложный пароль, тогда как все остальные пароли будут на-

дежно защищены приложением. С точки зрения администратора,

существует несколько методов борьбы с подбором паролей. Один

из них заключается в использовании средства LOphtCrack, которое

часто применяют хакеры для подбора паролей в среде Windows NT.

Это средство подскажет вам, легко ли подобрать пароль, выбран-

ный пользователем.

Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к па -

кетам, передаваемым по сети. Такой доступ ко всем па кетам, пе -

редаваемым от провайдера в любую другую сеть, м ожет, к при-

меру, получить сотрудник этого провайдера. Для атак этого типа

часто используются снифферы пакетов, транспортные протоколы и

протоколы маршрутизации. Атаки проводятся с целью кражи ин-

формации, перехвата текущей сессии и получения доступа к част-

ным сетевым ресурсам, а также для анализа трафика и получения

информации о сети и ее пользователях, для прове дения атак типа

DoS, искажения передаваемы х данных и ввода несанкционирован-

ной информации в сетевые сессии.

Эффективно бороться с атаками типа Man-in-the-Middle можно

только с помощью криптографии. Если хакер перехва тит данные

зашифрованной сессии, у него на экране появится лишь бессмыс-

ленный набор символов. Следует иметь в виду однако, что если

хакер получит информацию о криптографической сессии (напри-

мер, ключ сессии), то э то может сделать воз можной атаку Man-in-

the-Middle даже в зашифрованной среде.

Атаки на уровне приложений

Атаки на уровне приложений могут проводиться нескольки ми

способами. Самый распространенный из них состоит в ис-

пользовании хорошо известных слабостей серверного про -

граммного обеспечения (sendmail, HTTP, FTP). Используя э ти сла-

бости, хакеры могут получить доступ к компьютеру от имени

пользователя, работающего с приложением (обычно э то бывает не

простой пользователь, а привилегированный администратор с пр а-

вами системного доступа). Сведения об атаках на уровне приложе-

ний широко публикуются, чтобы дать возможность ад-

министраторам устранить проблему с помощью коррекционных

модулей (патчей). К сожалению, многие хакеры также имеют дос-

туп к этим сведениям, что позволяет им обучаться.

Главная проблема с атаками на уровне приложений заклю -

чается в том, что хакеры часто по льзуются портами, которым ра з-

решен обмен через межсетевой экран. К примеру, хакер, эксплуа-

тирующий известную слабость web-сервера, часто использует в

хо де атаки TCP порт 80. Поскольку Web-сервер предоставляет

пользователям Web-страницы, межсетевой экран должен предо с-

тавлять доступ к э тому порту. С точки зрения межсетевого экрана,

атака рассматривается как с тандартный трафик для порта 80.

Полностью исключить атаки на уровне приложений невоз-

можно. Хакеры постоянно о ткрываю т и публикуют в Интер нете

все новые уязвимые места прикладных программ. Самое главное

здесь - хорошее системное администрирование. Во т некоторые м е-

ры, которые можно предпринять, чтобы снизить уязвимость для

атак подобного типа :

• просмотр лог-файлов операционны х систем и сетевых лог-

файлов и их анализ с помощью специальных аналити ческих

приложений;

• использование самых свежих версий операционных си стем и

приложений и самых последних коррекционных модулей

(патч);

• использование кроме системного администрирования, сис-

тем распознавания атак (IDS). Существуют две взаимно допол-

няющие друг друга техно логии IDS:

• сетевая система IDS (NIDS) отслеживает все пакеты, про-

хо дящие через определенный домен. Когда система NIDS

видит пакет или серию пакетов, совпадающих с сигнатурой

известной или вероятной атаки, она генерирует сигнал трево-

ги и/или прекращает сессию;

• хост-система IDS (HIDS) защищает хост с помощью про-

граммных агентов. Эта система борется только с ата ками

против одного хоста;

В своей работе системы IDS пользуются сигнатурами атак,

которые представляют собой профили конкретных атак или типов

атак. Сигнатуры определяют условия, при которы х трафик считает-

ся хакерским. Аналогами IDS в физическом мире можно считать

систему предупреждения или камеру наблюдения. Самым большим

недостатком IDS является ее способность выдавать нередко лож-

ные сигналы тревоги. Чтобы минимизировать их ко личество лож-

ных сигналов тревоги и до биться корректного функционирования

системы IDS в сети, необходима тща тельная настройка э той систе-

мы.

Сетевая разведка

Сетевой разведкой у хакеров называется сбор информации о се-

ти в виде сответствующих общедоступных данных и прило жений.

При подго товке атаки против какой-либо сети, как правило, хакер

пытается получить о ней информации как можно больше. Сетевая

разведка проводится в форме запросов DNS, э хо-тестирования

(ping sweep) и сканирования портов. Запросы DNS помогают по-

нять, кто владеет тем или иным доменом и какие адреса э тому до-

мену присвоены. Эхо-тестирование (ping sweep) адресов, раскры-

тых с помощью DNS, позволяет увидеть, какие хосты реально ра-

ботают в данной среде. Полу чив список хостов, ха кер использует

средства сканирования портов, чтобы составить по лный список

услуг, поддерживаемых этими хостами. И, наконец, хакер анализи-

рует характерис тики приложений, работающих на хостах. В р е-

зультате добывается информация, которую можно использовать

для взлома.

Полностью избавиться от сетевой разведки невозможно. Ес ли, к

примеру, отключить эхо ICMP и эхо -ответ на периферийных мар-

шрутизаторах, то избавитесь о т э хо -тестирования, но по теряете

данные, необ ходимые для диагностики сетевых сбоев. Кроме того,

сканировать порты можно и без предварительно го эхо-

тестирования. Просто это займет больше времени, так как сканиро-

вать придется и несуществующие IP-адреса. Системы IDS на уров-

не сети и хостов обычно хорошо справля ются с задачей уведомле-

ния администратора о ведущейся сетевой разведке, ч то позволяет

лучше подготовиться к предстоя щей атаке и оповестить провайде-

ра (ISP), в сети которого установлена система, проявляющая чрез-

мерное любопытство.

Злоупотребление доверием

Вообще-то, этот вид активности не является «атакой» или

«штурмом». Скорее это злонамеренное использование отношений

доверия, существующих в сети. Классическим прим ером является

ситуация в периферийной части корпоративной сети. В этом сег-

менте часто располагаются серверы DNS, SMTP и HTTP. Посколь-

ку все они принадлежат к одному и тому же сегменту, взлом одн о-

го из них приводит к взлому и все х осталь ных, так как эти серверы

доверяют другим системам своей сети. Другим примером выступа-

ет случай с системой, работающей по одну сторону (внешнюю) о т

межсетевого экрана, но имеющую отношения доверия с системой,

функционирующей по его другую (внутреннюю) сторону. В случае

взлома внешней системы, хакер может использовать отношения

доверия для проникнове ния в систему, защищенную межсетевым

экраном.

Риск злоупотребления доверием можно снизить за счет бо лее

жесткого контроля уровней доверия в пре делах своей сети. Систе-

мы, расположенные с внешней стороны межсетевого экрана, нико-

гда не должны пользоваться абсолютным довери ем со стороны за-

щищенных экраном систем. Отношения до верия должны ограни-

чиваться определенными протоколами и, по возможности, аутен-

тифицироваться не только по IP-адресам, но и по другим парамет-

рам.

Переадресация портов

Переадресация портов представляет собой разновидность зло-

употребления доверием, когда взломанный хост испо льзуется для

передачи через межсетевой экран трафика, который в противном

случае был бы обязательно отбракован. Пре дставим себе межсете-

вой экран с тремя интерфейсами, к каждому из которых подключен

определенный хос т. Внешний хост может по дключаться к хосту

общего доступа (DMZ), но не к хосту, установленному с внутрен-

ней стороны межсетевого экрана. Хост общего доступа может по д-

ключаться и к внутреннему, и к внешнему хосту. Если хакер захва-

тит хост общего доступа, он сможет установить на нем програм м-

ное средство, перенаправляющее трафик с внешнего хоста прямо

на внутренний хост. Хотя при этом не нарушается ни одно прави-

ло, действую щее на экране, внешний хос т в результате переадреса-

ции полу чает прямой доступ к защищенному хосту. Примером

приложения, ко торое может предоставить такой доступ, является

netcat.

Основным способом борьбы с переадресацией портов является

использование надежных моделей доверия (см. разд. 4.1). Кроме

того, помешать хакеру установить на хосте свои программные

средства может хост-система IDS (HIDS).

Нес анкционированный д оступ

Несанкционированный доступ не может счита ться отдель ным

типом атаки. Большинство сетевых атак проводятся ради получ е-

ния несанкционированного доступа. Чтобы подобрать логин telnet,

хакер должен сначала получить подсказку telnet на своей системе.

После подключения к порту telnet на экране появляется сообщение

«authorization required to use this resource» (для пользования этим

ресурсом нужна авторизация). Если после э того хакер продолжит

попытки доступа, они будут считаться «несанкционированными».

Источник таких атак может нахо диться как внутри сети, так и сна-

ружи.

Способы борьбы с несанкционированным доступом доста точно

просты. Главным здесь является сокращение или полная ликвида-

ция возможностей хакера по получению доступа к си стеме с по-

мощью несанкционированного протокола. В качестве примера

можно рассмотреть недопущение хакерского доступа к порту telnet

на сервере, который предоставляет Web-услуги внешним пользо-

вателям. Не имея доступа к этому порту, хакер не сможет его ата-

ковать. Что же касается межсетевого экрана, то его основной зада-

чей является предотвращение самых простых попыток несанкцио-

нированного доступа.

Вирусы и приложения типа «троянский конь»

Рабочие станции конечных пользователей очень уязвимы для

вирусов и троянских коней. Вирусами называются вредо носные

программы, которые внедряются в другие программы для выпо л-

нения определенной нежелательной функции на рабочей станции

конечного пользователя. В качестве примера можно привести ви-

рус, который прописывается в файле command, com (главном ин-

терпретаторе систем Windows) и стира ет другие файлы, а также

заражает все другие найденные им версии command.com. «Троян-

ский конь» - это не программная вставка, а настоящая программа,

которая выглядит как по лезное приложение, а на деле выполняет

вредную роль. Примером типичного «троянского коня» является

программа, которая выглядит, как простая игра для рабочей стан-

ции пользователя. Однако пока пользователь играет в нее, про-

грамма отправляет свою копию по электронной почте каждому

абоненту, занесенному в адресную книгу этого пользователя. Все

абоненты получают по почте эту игру, способствуя ее дальней-

шему распространение.

Борьба с вирусами и «троянскими конями» ведется с помо щью

эффективного антивирусного программного обеспечения, рабо-

тающего на по льзовательском уровне и, возможно, на уровне сети.

Антивирусные средства обнаруживают боль шинство вирусов и

«троянских коней» и пресекают их распространение. Получение

самой свежей информации о вирусах помогает эффективнее б о-

роться с ними. По мере появления новых вирусов и « троянских

коней» предприятие до лжно уста навливать новые версии антиви-

русных средств и приложений.

4.3. Проблемы безопасности локальных вычисли-

тельных сетей и интегрированных информационных

систем управления предприятием [^]

Для обеспечения безопасности локальных вычислите ль ных се-

тей (ЛВС) и ИИСУП необ ходимы:

■ разработка адекватной политики управления и безопас ности

ЛВС и ИИСУП в целом;

■ обучение персонала предприятия особенностям исполь-

зования ЛВС и ее защиты;

■ использование адекватных механизмов защиты для ра бочих

станций;

■ применение адекватной защиты в хо де передачи инфор-

мации.

Политика безопасности должна определять роль, каждого слу-

жащего в деле ЛВС реализации адекватной защищенности и пер е-

даваемой в ней информации.

Управление ЛВС и ИИСУП должно иметь необ ходимые для

нормальной работы финансовые средства, время и ресурсы. Слабое

управление сетью может приводить к ошибкам защиты. В резуль-

тате этого могут появиться такие проблемы, как ослабленная ко н-

фигурация защиты, небрежное выполне ние мер по защите или да-

же неиспользование необ ходимых механизмов защиты информ а-

ции. Использование ПК в среде ЛВС и ИИСУП также сопровож-

дается своими рисками. В ПК практически отсутствуют меры за-

щиты в отношении аутентификации пользователей, управле ния

доступом к файлам, ревизии деятельности пользователей и т. д. В

большинстве случаев защита информ ации, хранимой и обрабаты-

ваемой на сервере ЛВСпрекращается в то т момент, когда она по-

сылается на ПК.

«Малограмотность» пользователей в о тношении безопасности

ЛВС и ИИСУП также увеличивает риски. Ведь люди, не знакомые

с механизмами защиты, мерами защиты и т. п. вполне могут ис-

пользовать их неправильно и, уж конечно, не безопасно. Ответс т-

венность за внедрении механизмов и мер защиты, а также за следо-

вание правилам использования ПК в среде ЛВС и ИИСУП обычно

ложится на пользователей ПК. Поэтому им должны быть даны со-

ответствующие инструкции и рекомендации для по ддержания пр и-

емлемого уровеня защиты в среде ЛВС и ИИСУП.

Неавторизованный доступ к локальной вычислительной сети

Конечно, подобный доступ совершенно нежелателен. Ведь пр е-

доставляет пользователям все свои мощные русурсы в виде ЛВС

файлов, принтеров, файловой памяти и т. п. Поэтому по нятно, ч то

всем этим необхо димо управлять и вести соответс тву ющий учет.

Неавторизованный доступ к ЛВС имеет место, когда кто -то, не

уполномоченный на использование ЛВС, получает доступ к ней

(действуя обычно как законный пользователь ЛВС). Три общих

метода испо льзуются, при этом, чтобы получить не авторизованный

доступ: общие пароли, угады вание пароля и пе рехват пароля. Об-

щие пароли позволяют неавторизованному пользова телю по лучить

доступ к ЛВС и привилегии законного пользователя, это делается с

одобрения какого-либо законного пользователя, под чьим именем

осуществляется доступ. Угадыва ние пароля является традицион-

ным способом неавторизованного доступа. Перехват пароля - э то

процесс, в ходе которого за конный пользователь, сам не зная того,

раскрывает учетный идентификатор пользователя и пароль. Э то