Защита от сетевых атак. Защита от «запутанных» угроз. Основным средством антивирусной защиты является…
Каждую сетевую атаку можно в общем случае разбить на 5 этапов (таблица 3). В реальной ситуации некоторые шаги могут быть пропущены.
Таблица 3. Основные классы сетевых атак
|
Класс сетевой атаки |
Описание класса |
|
1. Исследование |
Получение общей информации о компьютерной системе (КС) |
|
1.1 Социотехника |
Получение информации посредством вежливого втирания в доверие по телефону, электронной почте и т.п. |
|
1.2 Непосредственное вторжение |
Получение информации посредством физического доступа к оборудованию сети |
|
1.3 Разгребание мусора |
Получение информации из мусорных корзин или архивов |
|
1.4 Поиск в WEB |
Получение информации из интернета посредством общедоступных поисковых систем |
|
1.5 Изучение WHOIS |
Получение информации из регистрационных данных о владельцах доменных имён, IP-адресов и автономных систем |
|
1.6 Изучение DNS зон |
Получение информации посредством использования сервиса доменных имен |
|
2. Сканирование |
Получение информации об инфраструктуре и внутреннем устройстве КС |
|
2.1 Поиск активных устройств |
Получение информации об активных устройствах КС |
|
2.2 Трассировка маршрутов |
Определение топологии КС |
|
2.3 Сканирование портов |
Получение информации об активных сервисах, функционирующих в КС |
|
3. Получение доступа |
Получение привилегированных прав на управление узлами КС |
|
3.1 Переполнение стека |
Выполнение произвольного кода в результате вызванного злоумышленником сбоя в программном обеспечении |
|
3.2 Атака на пароли |
Подбор паролей из списка стандартных или по специально сгенерированному словарю, перехват паролей |
|
3.3 Атаки на WEB - приложения |
Получение доступа в результате эксплуатации уязвимостей в открытых WEB-приложениях КС |
|
3.4 Сниффинг |
Получение доступа посредством пассивного (прослушивание) и активного (подмена адресатов) перехвата трафика КС |
|
3.5 Перехват сеанса связи |
Эксплуатация полученных прав для достижения целей взлома |
|
4.1 Поддержание доступа |
Установка систем удаленного администрирования |
|
4.2 DOS-атаки |
Вывод из строя устройств и отдельных сервисов КС |
|
4.3 Обработка конфиденциальной информации |
Перехват, копирование и/или уничтожение информации |
|
5. Заметание следов |
Сокрытие факта проникновения в КС от систем защиты |
|
5.1 Стирание системных логов |
Удаление данных архивов приложений и сервисов КС |
|
5.2 Сокрытие признаков присутствия в сети |
Туннелирование внутри стандартных протоколов (HTTP, ICMP, заголовков TCP и т.п.) |
Рассмотрим основные способы и средства защиты от перечисленных сетевых угроз .
Социотехника. Наилучший метод защиты от социотехники -- осведомленность пользователя. Необходимо сообщить всем сотрудникам о существовании социотехники и четко определить те виды информации, которые ни под каким предлогом нельзя разглашать по телефону. Если в организации предусмотрены варианты предоставления какой-либо информации по телефону (номеров телефонов, идентификационных данных и др.), то следует четко регламентировать данные процедуры, например, используя методы проверки подлинности звонящего.
Непосредственное вторжение:
ѕ контрольно-пропускной режим (системы контроля доступа, журнал посетителей, бейджи и др.);
ѕ физическая безопасность оборудования (механические, электронные замки);
ѕ блокировка компьютера, хранители экрана;
ѕ шифрование файловой системы.
Разгребание мусора. Хорошо известная всем бумагорезательная машина (шредер) -- самая лучшая защита против тех, кто роется в мусорных корзинах. У сотрудников должен быть беспрепятственный доступ к таким машинам, чтобы они могли уничтожить всю сколько-нибудь ценную информацию. Другой вариант: каждому пользователю предоставляется отдельная урна для бумаг, содержащих важные сведения, откуда каждую ночь документы поступают на бумагорезательную машину. Сотрудники должны быть четко информированы о том, как обращаться с конфиденциальной информацией.
Поиск в WEB. Основной способ защиты -- неразглашение информации. Нужно сделать необходимым и достаточным перечень информации, подлежащей размещению на публичных ресурсах в сети интернет. Избыточные данные о компании могут «помочь» злоумышленнику в реализации его намерений. Сотрудники должны нести ответственность за распространение конфиденциальной информации. Периодически следует проводить проверку публичной информации собственными силами или с привлечением сторонних компаний.
Изучение WHOIS. Не существует общих способов защиты от получения регистрационных данных злоумышленником. Существуют рекомендации, согласно которым информация в соответствующих базах должна быть как можно более точной и правдоподобной. Это позволяет администраторам различных компаний беспрепятственно связываться друг с другом и способствовать поиску злоумышленников.
Изучение DNS-зон. В первую очередь необходимо проверить, что на DNS-сервере нет утечки данных, которая возникает за счет наличия там лишних сведений. Такими сведениями могут быть имена, содержащие название операционных систем, записи типа HINFO или TXT. Во-вторых, необходимо корректно настроить DNS-сервер, чтобы ограничить передачу зоны. В-третьих, необходимо настроить граничный маршрутизатор таким образом, чтобы доступ к 53-му порту (TCP и UDP) имели только резервные серверы DNS, производящие синхронизацию с центральным сервером. Также следует использовать разделение внешнего и внутреннего DNS-серверов. Внутренний сервер настраивается таким образом, чтобы он мог разрешать имена только внутренней сети, а для разрешения имен внешней сети используются правила пересылки. То есть внешний DNS-сервер не должен ничего «знать» про внутреннюю сеть.
Поиск активных устройств и трассировка маршрутов. Способ защиты -- установка и настройка межсетевых экранов на фильтрацию пакетов таким образом, чтобы отсеивать запросы программ, используемых злоумышленником. Например, блокировка ICMP запросов от ненадежных источников сильно затруднит трассировку.
Сканирование портов. Первое и самое важное -- закрытие всех неиспользуемых портов. Например, если вы не используете TELNET, то необходимо закрыть соответствующий порт. При развертывании новой системы, необходимо заранее выяснить используемые ей порты и открывать их по мере необходимости. В особенно важных системах рекомендуется удалить программы, соответствующие ненужным сервисам. Лучшей считается такая настройка систем, в которой число установленных сервисов и инструментов минимально. Второе -- необходимо самостоятельно тестировать собственную систему на проникновение, тем самым предопределяя действия нарушителя. Для защиты от более совершенных сканеров рекомендуется применять пакетные фильтры с контролем состояния системы. Такие фильтры исследуют пакеты протоколов и пропускают только те из них, которые соответствуют установленным сессиям.
Общие рекомендации против сканирования -- своевременное применение пакетов безопасности, использование для сети и для хостов систем обнаружения вторжений (IDS), систем предотвращения вторжений (IPS), своевременное их обновление.
Переполнение стека. Способы защиты от данного типа атак можно разделить на две категории.
- 1. Методы, которые применяют системные администраторы и сотрудники службы безопасности при эксплуатации, настройке и сопровождении систем: своевременное применение патчей к системам, отслеживание обновлений установленных продуктов, сервис-паков для них, удаление лишних программ и сервисов, контроль и фильтрация входящего/исходящего трафика, настройка неисполняемого стека. Многие IDS способны обнаруживать атаки переполнения памяти по сигнатурам.
- 2. Методы, используемые разработчиками программного обеспечения в процессе создания программ: устранение ошибок программирования, путем проверки пространства доступной памяти, объема проходящей вводимой информации через приложение. Воздержание от использования проблемных функций с точки зрения безопасности; компиляция программ специальными средствами.
Вышеописанные методы помогают минимизировать количество атак на переполнение стековой памяти, но не гарантирует полную безопасность системы.
Атаки на пароли. Первое и самое главное -- «сильные» пароли. Это пароли длиной не менее 9-и знаков и содержащие специальные символы. Далее -- регулярная смена паролей. Чтобы это все корректно работало, рекомендуется выработать адаптированную под конкретную организацию политику паролей и довести ее содержание до всех пользователей. Не лишним будет предоставить сотрудникам конкретные рекомендации по созданию паролей. Второе -- рекомендуется использовать системы со встроенной проверкой на «слабость» паролей. Если такой проверки нет, то следует развернуть дополнительное программное обеспечение, выполняющее имеющее схожий функционал. Самый эффективный способ -- отказ от паролей и использование систем аутентификации (смарт-карты и др.). Рекомендуется регулярно производить тестовые «взломы» собственных паролей. Хорошей практикой является защита файлов с хешированными паролями, а также их теневых копий.
Атаки на WEB-приложения. Для того чтобы защититься от похищения учетных записей, необходимо выводить на экран одну и ту же ошибку при неправильном вводе логина или пароля. Это затруднит злоумышленнику перебор вашего ID или пароля. Лучшая защита от атак, отслеживающих соединение -- хеширование передаваемой информации о соединении, динамическая смена сеансового ID, завершение неактивного сеанса. Самые опасные атаки -- внедрение SQL-кода в приложение. Защита от них -- разработка WEB-приложений таким образом, чтобы они могли тщательно фильтровать указанные пользователем данные. Приложение не должно слепо доверять вводимой информации, поскольку в ней могут содержаться символы, с помощью которых модифицируются SQL-команды. Приложение должно удалять специальные символы, прежде чем обработать запрос пользователя.
Следует отметить, что на сегодняшний день активно развивается направление WAF (Web Application Firewall) -- файервол уровня приложений, предоставляющий комплексные методы защиты WEB-ресурсов. К сожалению, эти решения ввиду высокой стоимости доступны в основном только крупным компаниям.
Сниффинг. Первое -- шифрование данных, передаваемых по сети. Для этого используются протоколы -- HTTPS, SSH, PGP, IPSEC. Второе -- внимательное обращение с сертификатами безопасности, игнорирование сомнительных сертификатов. Использование современных коммутаторов, позволяющих настроить MAC-фильтрацию на портах, реализовать статическую ARP-таблицу. Использовать VLAN-ы.
IP-спуфинг. Данную угрозу можно минимизировать следующими мерами.
- 1. Контроль доступа. На границе сети устанавливаются пакетные фильтры, позволяющие отсеивать весь трафик внешней сети, где в пакетах исходным адресом указан один из адресов внутренней сети.
- 2. Фильтрация RFC2827. Она заключается в отсечении исходящего трафика внутренней сети, в котором исходным адресом не обозначен ни один из IP-адресов вашей организации.
- 3. Внедрение дополнительных видов аутентификации (двухфакторной) и криптографического шифрования делает такие атаки абсолютно неэффективными.
Перехват сеанса связи. Эффективно бороться с этим видом атак можно только с помощью криптографии. Это может быть SSL-протокол, VPN-сети и др. Для наиболее критичных систем целесообразно использовать шифрование и во внутренних сетях. Атакующий, перехвативший трафик зашифрованной сессии не сможет получить из него какой-либо ценной информации.
DOS-атаки. Для описания средств защиты от DOS-атак рассмотрим их классификацию. Эти атаки, как правило, разделяются на две категории: прекращение сервисов и истощение ресурсов (таблица 5). Прекращение сервисов -- сбой или отключение конкретного сервера, используемого в сети. Истощение ресурсов -- расходование компьютерных или сетевых ресурсов с целью помешать пользователям в получении атакуемого сервиса. Оба вида атак могут проводиться как локально, так и дистанционно (через сеть).
Защита против прекращения локальных сервисов: актуальные патчи безопасности локальных систем, регулярное исправление ошибок, разграничение прав доступа, применение программ проверки целостности файлов.
Защита против локального истощения ресурсов: применение принципа наименьшего количества привилегий при назначении прав доступа, увеличение системных ресурсов (память, скорость процессора, пропускная способность каналов связи и т.д.), применение IDS.
Защита против дистанционного прекращения сервисов: применение патчей, быстрое реагирование.
Лучшей защитой от дистанционного истощения ресурсов является быстрое реагирование на атаку. В этом могут помочь современные IDS-системы, сотрудничество с провайдером. Как и в предыдущих пунктах, следует своевременно обновлять и исправлять системы. Использовать функции анти-спуфинга. Ограничивать объем трафика со стороны провайдера. Для наиболее критичных систем необходимо иметь адекватную пропускную способность и избыточные линии связи.
Поддержание доступа. Вирусы и «троянские кони». Лучшая защита -- эффективное антивирусное программное обеспечение (ПО), работающее как на пользовательском уровне, так и на уровне сети. Для обеспечения высокого уровня безопасностей от этих угроз требуется регулярное обновление антивирусного ПО и сигнатур известных вирусов. Вторым шагом является получение актуальных обновлений операционных систем, настройка политик безопасности приложений в соответствии с актуальными рекомендациями их разработчиков. Необходимо обучить пользователей навыкам «безопасной» работы в Интернете и с электронной почтой. Защита от «ROOTKIT» обеспечивается политиками разграничения доступа, антивирусным программным обеспечением, применением обманок и системами обнаружения вторжений.
Заметание следов. После атаки злоумышленник, как правило, пытается избежать ее обнаружения администраторами безопасности. Для этих целей он производит изменение или удаление лог-файлов, хранивших историю действий нарушителя. Создание эффективной защиты, предотвращающей изменение лог-файлов злоумышленником, является важнейшим условием безопасности. Количество усилий, которые необходимо затратить на защиту регистрационной информации данной системы, зависит от ее ценности. Первым шагом для обеспечения целостности и полноценности лог-файлов является включение регистрации в особо важных системах. Чтоб избежать ситуации, когда в случае форс-мажора оказывается, что журналы отключены, необходимо создать политику безопасности, в которой бы регламентировались процедуры ведения журналов. Рекомендуется регулярно проводить проверки систем на соответствие данной политики. Другой необходимой мерой защиты лог-файлов является разграничение прав доступа на эти файлы. Эффективным приемом защиты регистрационной информации является установка выделенного сервера регистрации событий, обеспечив соответствующий уровень безопасности. Также хороши такие способы защиты как шифрование лог-файлов и разрешение на запись только в конец файла. Использование систем IDS. Защититься против туннелирования можно в двух местах: на конечном компьютере и в сети. На конечном компьютере защита обеспечивается правами доступа, антивирусным ПО, безопасной конфигурацией и установкой обновлений. На уровне сети туннелирование можно обнаружить системами обнаружения вторжений.
Выше были перечислены основные способы защиты от сетевых атак. На их основании строятся комплексные решения, которые могут совмещать в себе ряд функций по защите информации и использоваться в конкретном модуле сетевой инфраструктуры.
Особый интерес для рассмотрения представляют удалённые, сетевые атаки. Интерес к этой разновидности атак вызван тем, что всё большее распространение в мире получают распределённые системы обработки данных. Большинство пользователей работает с удалёнными ресурсами, используя сеть INTERNET и стек протоколов TCP/IP. Изначально сеть INTERNET создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям, и создатели этой сети не подозревали, насколько широко она распространится. В результате в спецификациях ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми.
В курсе рассматриваются следующие атаки и способы борьбы с ними.
Атака «Сниффинг». Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа трафика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли).
Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. В самом худшем случае злоумышленник получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам.
Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:
Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Passwords). ОТР - это технология двухфакторной аутентификации. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под «карточкой» (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если злоумышленник узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, злоумышленники могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.
Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что злоумышленник перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов).
Атака «IP-спуфинг». Эта атака происходит, когда злоумышленник, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Самая простая причина использования подложных IP-адресов заключается в желании взломщика скрыть свою деятельность в океане сетевой активности. Например, средство построения сетевых схем NMAP3 применяет рассылку дополнительных последовательностей пакетов, каждая из которых использует собственный подложный IP-адрес отправителя. При этом взломщик знает, какие IP-адреса являются подложными и какие пакеты в каждой последовательности являются реальными. Администратор по обеспечению безопасности системы, которая подвергается нападению, будет вынужден проанализировать множество подложных IP-адресов, прежде чем он определит реальный IP-адрес взломщика.
Еще одна причина, по которой взломщик использует подлог IP-адреса, заключается в желании скрыть свою личность. Дело в том, что существует возможность проследить IP-адрес вплоть до отдельной системы, а иногда даже до отдельного пользователя. Поэтому с помощью IP-подлога взломщик пытается избежать обнаружения. Однако использование подложного IP-адреса приносит отправителю ряд трудностей.
Все ответы атакуемой системы отправляются на подложный IP-адрес. Для того чтобы просмотреть или получить эти ответы, взломщик должен находиться на их пути от взломанной машины к подложному IP-адресу (по крайней мере теоретически). Поскольку ответ не обязательно проходит тем же маршрутом, что и отправленный подложный пакет, взломщик может потерять возвращаемый трафик. Чтобы избежать этого, нарушитель может вмешаться в работу одного или нескольких промежуточных маршрутизаторов, адреса которых будут использоваться в качестве подложных, чтобы перенаправить трафик в другое место.
Другой подход состоит в том, что злоумышленник заранее угадывает порядковые номера TCP, которые используются атакованной машиной. В этом случае ему не нужно получать пакет SYN-ACK, так как он просто генерирует и отправляет пакет АСК с предугаданным порядковым номером. В первых реализациях стеков IP использовались предугадываемые схемы вычисления порядковых номеров, поэтому они были чувствительны к подложным TCP-потокам данных. В современных реализациях предугадать порядковый номер уже более сложно. Средство построения сетевых схем NMAP обладает возможностью оценивать сложность предугадывания порядковых номеров систем, которые подвергаются сканированию.
В третьем варианте взломщик может вмешаться в работу одного или более маршрутизаторов, расположенных между его сервером и сервером, который подвергается нападению. Это дает возможность направить ответный трафик, предназначенный подложному IP-адресу, в систему, из которой произошло вторжение. После завершения взлома маршрутизатор освобождается, чтобы замести следы.
Наконец, злоумышленник может не иметь намерения отвечать на пакет SYN-ACK, который возвращается от "жертвы". На это может быть две причины. Возможно, взломщик производит полуоткрытое сканирование портов, известное под названием SYN-сканирование. В этом случае его интересует только начальный ответ от машины, которая подвергается нападению. Комбинации флажков RST-ACK означает, что сканируемый порт закрыт, а комбинация SYN-ACK - что открыт. Цель достигнута, следовательно, нет необходимости отвечать на этот пакет SYN-ACK. Также возможен вариант, когда осуществляется лавинообразный SYN-взлом. В этом случае взломщик не только не отвечает на пакеты SYN-ACK или RST-ACK, но вообще не интересуется типом пакетов, полученных от взломанной системы.
Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность злоумышленника.
Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами.
Как уже отмечалось, для двусторонней связи злоумышленник должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые злоумышленники, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения. Если же злоумышленнику удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, злоумышленник получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.
Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:
Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфинга, необходимо настроить контроль доступа на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
Фильтрация RFC 2827. Попытки спуфинга чужих сетей пользователями защищаемой сети пресекаются, если отбраковывается любой исходящий трафик, исходный адрес которого не является одним из IP-адресов защищаемой организации. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-адресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего трафика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).
IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.
Отказ в обслуживании (Denial of Service - DoS). DoS, без всякого сомнения, является наиболее известной формой атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Наиболее известные разновидности атак являются: TCP SYN Flood; Ping of Death; Tribe Flood Network (TFN) и Tribe Flood Network 2000 (TFN2K); Trinco; Stacheldracht; Trinity.
Источником информации по этим атакам является группа экстренного реагирования на компьютерные проблемы (CERT - Computer Emergency Response Team), опубликовавшая работу по борьбе с атаками DoS.
Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol).
Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения сети, не остановить у провайдера, то на входе в сеть это сделать уже не получится, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS).
Угроза атак типа DoS может снижаться тремя способами:
Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если злоумышленник не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
Ограничение объема трафика (traffic rate limiting). Организация может попросить провайдера (ISP) ограничить объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего по вашей сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D) DoS часто используют ICMP.
Парольные атаки. Злоумышленники могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), «троянский конь», IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack).
Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате злоумышленник получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, злоумышленник может создать для себя «проход» для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.
Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, злоумышленник, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.
Прежде всего, парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.
При использовании обычных паролей старайтесь придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге. Чтобы избежать этого, пользователи и администраторы могут поставить себе на пользу ряд последних технологических достижений. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные пароли будут надежно защищены приложением.
Атаки типа «Man-in-the-Middle». Для атаки типа «Man-in-the-Middle» злоумышленнику нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.
Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если злоумышленник перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если злоумышленник получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.
Атаки на уровне приложений. Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, злоумышленники могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей, заплаток). К сожалению, многие злоумышленники также имеют доступ к этим сведениям, что позволяет им учиться.
Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. Полностью исключить атаки на уровне приложений невозможно.
¾ программы на внешних носителях памяти
¾ оперативную память
¾ системные области компьютера
¾ аппаратную часть компьютера
37. Основным средством антивирусной защиты является…
¾ периодическая проверка списка автоматически загружаемых программ
¾ использование сетевых экранов при работе в сети Интернет
¾ периодические проверки компьютера с помощью антивирусного программного обеспечения
¾ периодическая проверка списка загруженных программ
38. Электронно-цифровая подпись позволяет…
¾ пересылать сообщения по секретному каналу
¾ восстанавливать поврежденные сообщения
¾ удостовериться в истинности отправителя и целостности сообщения
¾ зашифровать сообщение для сохранения его секретности
39. Абсолютная защита компьютера от сетевых атак возможна при…
¾ использовании новейших антивирусных средств
¾ использовании лицензированного программного обеспечения
¾ установке межсетевого экрана
¾ отсутствии соединения
40. Наиболее опасной с точки зрения вирусной активности частью электронного письма является…
¾ вложение
¾ заголовок
41. Преднамеренной угрозой безопасности информации является…
¾ повреждение кабеля, по которому идет передача, в связи с погодными условиями
¾ ошибка администратора
¾ наводнение
42. Протоколирование действий пользователей позволяет…
¾ реконструировать ход событий при реализации угрозы безопасности информации
¾ обеспечивать конфиденциальность информации
¾ решать вопросы управления доступом
43. Антивирусным пакетом НЕ является...
¾ Антивирус Касперского
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
44. Сетевые черви это – …
¾ программы, которые изменяют файлы на дисках, и распространяются в пределах компьютера
¾ программы, которые не изменяют файлы на дисках, а распространяются в компьютерной сети, проникают в операционную систему компьютера, находят адреса других компьютеров или пользователей и рассылают по этим адресам свои копии
¾ программы, распространяющиеся только при помощи электронной почты через Интернет
¾ вредоносные программы, действия которых заключается в создании сбоев при питании компьютера от эл. сети
45. К средствам обеспечения компьютерной безопасности НЕ относятся…
¾ программа AntiViral Toolking Pro (AVP)
¾ специальные системы, основанные на криптографии
¾ электронные таблицы
¾ программы WinZip и WinRar
46. Компьютерные вирусы – это…
¾ вредоносные программы, которые возникают в связи со сбоями в аппаратных средствах компьютера
¾ программы, которые пишутся хакерами специально для нанесения ущерба пользователю
¾ программы, являющиеся следствием ошибок в операционной системе
¾ вирусы, сходные по природе с биологическими вирусами
47. Отличительными особенностями компьютерного вируса являются
¾ значительный объем программного кода
¾ способность к самостоятельному запуску и многократному копированию кода
¾ способность к созданию помех корректной работе компьютера
¾ легкость распознавания
48. Методы обеспечения компьютерной безопасности на (указать неправильный ответ)
¾ правовые
¾ организационно-технические
¾ политические
¾ экономические
49. К негативным последствиям развития современных информационных технологий можно отнести…
¾ формирование единого информационного пространства
¾ работа с информацией становится главным содержанием профессиональной деятельности
¾ широкое использование информационных технологий во всех сферах человеческой деятельности
¾ доступность личной информации для общества, вторжение информационных технологий в частную жизнь людей
50. Обеспечение защиты информации проводится конструкторами и разработчиками программного обеспечения в следующих направлениях (указать неправильный ответ)
¾ защита от сбоев работы оборудования
¾ защита от случайной потери информации
¾ защита от преднамеренного искажения информации
¾ разработка правовой базы для борьбы с преступлениями в сфере информационных технологий
¾ защита от несанкционированного доступа к информации
51. Развитый рынок информационных продуктов и услуг, изменение в структуре экономики, массовое использование информационных и коммуникационных технологий являются признаками:
¾ информационной культуры
¾ высшей степени развития цивилизации
¾ информационного кризиса
¾ информационного общества
¾ информационной зависимости
52. Что не относится к объектам информационной безопасности Российской Федерации?
¾ природные и энергетические ресурсы
¾ информационные ресурсы всех видов
¾ информационные системы различного класса и назначения, информационные технологии
¾ система формирования общественного сознания
¾ права граждан, юридических лиц и государства на получение, распространение, использование и защиту информации и интеллектуальной собственности
53. Для написания самостоятельной работы вы скопировали из Интернета полный текст нормативно-правового акта. Нарушили ли вы при этом авторское право?
¾ нет, так как нормативно-правовые акты не являются объектом авторского права
¾ нет, если есть разрешение владельца сайта
54. Можно ли использовать статьи из разных журналов и газет на политические, экономические, религиозные или социальные темы для подготовки с их использованием учебного материала?
¾ да, получив согласие правообладателей
¾ да, указав источники заимствования
¾ да, не спрашивая согласия правообладателей, но с обязательным указанием источника заимствования и имен авторов
55. Считается ли статья, обнародованная в Интернете объектом авторского права?
¾ нет, если статья впервые обнародована в сети Интернет
¾ да, при условии, что эта же статья в течение 1 года будет опубликована в печати
¾ да, так как любая статья является объектом авторского права как произведение науки или литературы
56. В каких случаях при обмене своими компьютерными играми с другими людьми, не будут нарушаться авторские права?
¾ если экземпляры этих компьютерных игр были выпущены в свет и введены в гражданский оборот с согласия автора
¾ если обладатели обмениваемых экземпляров компьютерных игр приобрели их по договору купли-продажи/мены
¾ если одновременно соблюдены условия, указанные в предыдущих пунктах
¾ если они распространяются путем сдачи в прокат
57. Основные действия (фазы), выполняемые компьютерным вирусом:
¾ заражение
¾ блокирование программ
¾ проявление
¾ размножение
¾ маскировка
58. К антивирусным программам не относятся:
¾ интерпретаторы
¾ ревизоры
¾ сторожа
¾ вакцины
59. Назначение антивирусных программ детекторов:
¾ обнаружение и уничтожение вирусов
¾ обнаружение вирусов
¾ лечение зараженных файлов
¾ уничтожение зараженных файлов
¾ лечение зараженных файлов
¾ контроль путей распространения вирусов
60. К недостаткам антивирусных средств относят:
¾ невозможность лечения «подозрительных» объектов
¾ разнообразие настроек
¾ автоматическую проверку всех открываемых файлов
¾ необходимость постоянного обновления вирусных баз
61. Антивирусным пакетом является:
¾ Антивирус Касперского
¾ Symantec AntiVirus
¾ Norton AntiVirus
¾ Microsoft AntiVirus
62. В необходимый минимум средств защиты от вирусов входит:
¾ аттестация помещения
¾ выходной контроль
¾ входной контроль
¾ архивирование
¾ профилактика
63. Криптографическое преобразование информации это:
¾ введение системы паролей
¾ шифрование данных
¾ ограничение доступа к информации
¾ резервное копирование информации
64. Наиболее эффективное средство для защиты от сетевых атак:
¾ использование сетевых экранов, или FireWall
¾ посещение только надежных узлов Интернет
¾ использование антивирусных программ
¾ использование только сертифицированных броузеров при доступе к Интернет
65. FireWall – это:
¾ почтовая программа
¾ то же, что и Интернет браузер
¾ то же, что и брэндмауэр
¾ графический редактор
66. Протоколирование действий пользователя позволяет:
¾ обеспечивать конфиденциальность
¾ управлять доступом к информации
¾ реконструировать события при реализации угрозы безопасности информации
¾ восстанавливать утерянную информацию
67. Сетевой аудит включает:
¾ антивирусную проверку сети
¾ выборочный аудит пользователей
¾ аудит безопасности каждой новой системы при ее инсталляции в сеть
¾ протоколирование действий всех пользователей в сети
68. Secure Sockets Layer:
¾ не использует шифрование данных
¾ обеспечивает безопасную передачу данных
¾ не может использовать шифрование с открытым ключом
¾ это не протокол, программа
69. Наиболее эффективным средством для защиты от сетевых атак является...
¾ Использование сетевых экранов, или Firewall;
¾ Посещение только «надёжных» Интернет-узлов;
¾ Использование антивирусных программ;
¾ Использование только сертифицированных программ-браузеров при доступе к сети Интернет.
70. Сжатый образ исходного текста обычно используется...
¾ В качестве ключа для шифрования текста;
¾ Для создания электронно-цифровой подписи;
¾ Как открытый ключ в симметричных алгоритмах;
¾ Как результат шифрования текста для его отправки по незащищенному каналу.
71. Из перечисленного: 1) пароли доступа, 2) дескрипторы, 3) шифрование, 4) хеширование, 5) установление прав доступа, 6) запрет печати,
к средствам компьютерной защиты информации относятся:
72. Заражение компьютерным вирусом не может произойти
¾ При открытии файла, прикрепленного к почте;
¾ При включении и выключении компьютера;
¾ При копировании файлов;
¾ При запуске на выполнение программного файла.
73. Электронная цифровая подпись документа позволяет решить вопрос о ______________ документа(у)
¾ Режиме доступа к
¾ Ценности
¾ Подлинности
¾ Секретности
74. Результатом реализации угроз информационной безопасности может быть
¾ Уничтожение устройств ввода/вывода
¾ Изменение конфигурации периферийных устройств
¾ Уничтожение каналов связи
¾ Внедрение дезинформации
75. Электронная цифровая подпись устанавливает_____информации
¾ Непротиворечивость
¾ Подлинность
¾ Противоречивость
76. Программными средствами для защиты информации в компьютерной сети являются:
1) Firewall, 2) Brandmauer, 3) Sniffer, 4) Backup.
77. Для безопасного использования ресурсов в сети Интернет предназначен протокол…
Которые вынуждены ждать создания физического файла на компьютере пользователя, сетевая защита начинает анализировать входящие потоки данных, поступающие на компьютер пользователя через сеть, и блокирует угрозы прежде, чем они попадают в систему.
Основными направлениями сетевой защиты, которые обеспечивают технологии Symantec, являются:
Загрузки методом drive-by, веб-атаки;
- Атаки типа «Социальной инженерии»: FakeAV (поддельные антивирусы) и кодеки;
- Атаки через социальные сети наподобие Facebook;
- Обнаружение вредоносных программ, руткитов и зараженных ботами систем;
- Защита от усложненных угроз;
- Угрозы Нулевого дня;
- Защита от неисправленных уязвимостей ПО;
- Защита от вредоносных доменов и IP-адресов.
Технологии Сетевой защиты
Уровень "Сетевая защиты" включает в себя 3 различные технологии.
Network Intrusion Prevention Solution (Network IPS)
Технология Network IPS понимает и сканирует более 200 различных протоколов. Он интеллектуально и точно «пробивается» сквозь двоичный и сетевой протокол, попутно ища признаки вредоносного трафика. Этот интеллект позволяет обеспечить более точное сетевое сканирование, при этом обеспечивая надежную защиту. В его «сердце» находится движок блокировки эксплойтов, который обеспечивает открытые уязвимости практически непробиваемой защитой. Уникальной особенностью Symantec IPS является то, что никакой настройки этот компонент не требует. Все его функции работают, как говорится, «из коробки». Каждый пользовательский продукт Norton , а также каждый продукт Symantec Endpoint Protection версии 12.1 и новее, обладают данной критичной технологией, включенной по умолчанию.
Защита Браузера
Этот защитный движок располагается внутри браузера. Он способен обнаруживать наиболее сложные угрозы, которые ни традиционный антивирус, ни Network IPS не способны определить. В наше время, многие сетевые атаки используют методы обфускации во избежание обнаружения. Поскольку Защита Браузера работает внутри браузера, она способна изучать пока еще не скрытый (обфускацированный) код, во время того, как он выполняется. Это позволяет обнаружить и заблокировать атаку, в случае, если она была пропущена на нижних уровнях защиты программы.
Un-Authorized Download Protection (UXP)
Находящаяся внутри слоя сетевой защиты, последняя линия обороны помогает прикрыть и «смягчить» последствия использования неизвестных и неисправленных уязвимостей, без использования сигнатур. Это обеспечивает дополнительный слой защиты от атак Нулевого дня.
Ориентируясь на проблемы
Работая вместе, технологии сетевой защиты решают следующие проблемы.
Загрузки методом Drive-by и наборы инструментов для веб-атак
Используя Network IPS, Защиту Браузера, и UXP-технологию, технологии сетевой защиты компании Symantec блокируют загрузки Drive-by и, фактически, не позволяют зловреду даже достичь системы пользователя. Практикуются различные превентивные методы, включающие использование этих самых технологий, включая технологию Generic Exploit Blocking и инструментарий обнаружения веб-атак. Общий веб-инструментарий обнаружения атак анализирует характеристики распространенной веб-атаки, не зависимо от того, какой именно уязвимости касается эта атака. Это позволяет обеспечить дополнительной защитой новые и неизвестные уязвимости. Самое лучшее в этом типе защиты - это то, что если вредоносный файл смог бы «тихо» заразить систему, он все равно был бы проактивно остановлен и удален из системы: ведь именно это поведение обычно пропускается традиционными антивирусными продуктами. Но Symantec продолжает блокировать десятки миллионов вариантов вредоносного ПО, которое обычно не может быть обнаружено другими способами.
Атаки типа «Социальной инженерии»
Поскольку технологии компании Symantec наблюдают за сетевым трафиком и трафиком браузера во время его передачи, они определяют атаки типа «Социальной инженерии», на подобии FakeAV или поддельных кодеков. Технологии предназначены блокировать подобные атаки до того, как они отобразятся на экране пользователя. Большинство других конкурирующих решений не включает в себя этот мощный потенциал.
Symantec блокирует сотни миллионов подобных атак при помощи технологии защиты от сетевых угроз.
Атаки, нацеленные на социальные медиа-приложения
Социальные медиа-приложения в последнее время стали широко востребованы, поскольку они позволяют мгновенно обмениваться различными сообщениями, интересными видео и информацией с тысячами друзей и пользователей. Широкое распространение и потенциал подобных программ, делают их объектом внимания №1 для хакеров. Некоторые распространенные трюки «взломщиков» включают в себя создание поддельных аккаунтов и рассылку спама.
Технология Symantec IPS способна защитить от подобных методов обмана, зачастую предотвращая их до того, как пользователь успеет кликнуть на них мышкой. Symantec останавливает мошеннические и поддельные URL, приложения и другие методы обмана с помощью технологии защиты от сетевых угроз.
Обнаружение вредоносного ПО, руткитов и зараженных ботами систем
Правда было бы неплохо знать, где именно в сети располагается зараженный компьютер? IPS-решения компании Symantec предоставляют эту возможность, также включая в себя обнаружение и восстановление тех угроз, возможно которым удалось обойти другие слои защиты. Решения компании Symantec обнаруживают вредоносов и ботов, которые пытаются совершить автодозвон или загрузить «обновления», чтобы увеличить свою активность в системе. Это позволяет IT-менеджерам, у которых есть четкий лист систем для проверки, получить гарантию того, что их предприятие находится в безопасности. Полиморфные и сложные скрытые угрозы, использующие методы руткитов наподобие Tidserv, ZeroAccess, Koobface и Zbot, могут быть остановлены и удалены при помощи этого метода.
Защита от «запутанных» угроз
Сегодняшние веб-атаки используют комплексные методы усложнения атак. Browser Protection компании Symantec «сидит» внутри браузера, и может обнаружить очень сложные угрозы, которые зачастую не способны увидеть традиционные методы.
Угрозы «Нулевого дня» и неисправленные уязвимости
Одним из прошлых, добавленных компанией защитных дополнений, является дополнительный слой защиты против угроз «Нулевого дня» и неисправленных уязвимостей. Используя безсигнатурную защиту, программа перехватывает вызовы System API и защищает от загрузок вредоносного ПО. Эта технология называется Un-Authorized Download Protection (UXP). Она является последним рубежом опоры внутри экосистемы защиты от сетевых угроз. Это позволяет продукту «прикрыть» неизвестные и непропатченные уязвимости без использования сигнатур. Эта технология включена по умолчанию, и она находится во всех продуктах, выпущенных с момента дебюта Norton 2010.
Защита от неисправленных уязвимостей в ПО
Вредоносные программы зачастую устанавливаются без ведома пользователя, используя уязвимости в ПО. Сетевая защита компании Symantec предоставляют дополнительный слой защиты, именуемый Generic Exploit Blocking (GEB). Независимо от того, установлены ли последние обновления или нет, GEB «в основном» защищает основные узявимости от эксплуатации. Уязвимости в Oracle Sun Java, Adobe Acrobat Reader, Adobe Flash, Internet Explorer, контролях ActiveX, или QuickTime сейчас повсеместно распространены. Generic Exploit Protection была создана методом «обратного инжиниринга», выяснив, каким образом уявимость могла быть использована в сети, предоставляя при этом специальный патч на сетевом уровне. Одна-единственная GEB или сигнатура уязвимости, способна предоставить защиту от тысяч вариантов зловредов, новых и неизвестных.
Вредоносные IP и блокировка доменов
Сетевая защита компании Symantec также включает в себя возможность блокировки вредоносных доменов и IP-адресов, при этом останавливая вредоносно ПО и трафик от известных вредоносных сайтов. Благодаря тщательному анализу и обновлению базы веб-сайтов отделом STAR, Symantec предоставляет защиту от постоянно меняющихся угроз в режиме реального времени.
Улучшенное сопротивление к Уклонению
Была добавлена поддержка дополнительных кодировок, чтобы улучшить эффективность детекта атак при помощи техник шифрования, таких как base64 и gzip.
Обнаружение сетевого аудита для применения политик использования и идентификации утечки данных
Сетевой IPS может быть использован для идентификации приложений и инструментов, которые могут нарушить корпоративную политику использования, или для предотвращения утечки данных через сеть. Является возможным обнаружить, предупредить или предотвратить трафик на подобии IM, P2P, социальных медиа, или другого «интересного» вида трафика.
STAR Intelligence Communication Protocol
Технология сетевой защиты сама по себе не работает. Движок обменивается данными с другими сервисами защиты при помощи протокола STAR Intelligence Communication (STAR ICB). Движок Network IPS соединяется с движком Symantec Sonar, а затем с движком Внутренней Репутации (Insight Reputation). Это позволяет предоставить более информативную и точную защиту.
В следующей статье мы рассмотрим уровень "Поведенческий анализатор".
По материалам Symantec
Нашли опечатку? Выделите и нажмите Ctrl + Enter
Данная аксиома, в принципе, очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем она менее безопасна. Примеров можно привести массу. Например, служба DNS: удобно, но опасно.
7.6 Методы защиты от удаленных атак в сети Internet
7.6.1 Административные методы защиты от удаленных атак
Для защиты системы от разного рода удаленных воздействий самым правильным шагом в этом направлении будет приглашение специалиста по информационной безопасности, который вместе с системным администратором системы постарается решить весь комплекс задач по обеспечению требуемого необходимого уровня безопасности для распределенной ВС. Это довольно сложная комплексная задача, для решения которой необходимо определить, что (список контролируемых объектов и ресурсов РВС), от чего (анализ возможных угроз данной РВС) и как (выработка требований, определение политики безопасности и выработка административных и программно-аппаратных мер по обеспечению на практике разработанной политики безопасности) защищать.
Наиболее простыми и дешевыми являются административные методы защиты от информационно-раз- рушающих воздействий. В следующих пунктах рассматриваются возможные административные методы защиты от описанных выше удаленных атак на хосты Internet (в общем случае на IP-сети).
Защита от анализа сетевого трафика
Данный вид атаки, позволяющий кракеру при помощи программного прослушивания канала передачи сообщений в сети перехватывать любую информацию, которой обмениваются удаленные пользователи, если по каналу передаются только нешифрованные сообщения. Также было показано, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную криптозащиту передаваемых по сети даже идентификаторов (имен) и аутентификаторов (паролей) пользователей. Поэтому администраторам сетей, очевидно, можно порекомендовать не допускать использование этих базовых протоколов для предоставления удаленного авторизованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой, которую невозможно устранить, но можно сделать ее осуществление по сути бессмысленным, применяя стойкие криптоалгоритмы защиты IP-потока.
Защита от ложного объекта
Использование в сети Internet службы DNS в ее нынешнем виде может позволить кракеру получить глобальный контроль над соединениями путем навязывания ложного маршрута через хост кракера - ложный DNS-сервер. Осуществление этой удаленной атаки, основанной на потенциальных уязвимостях службы DNS, может привести к катастрофическим последствиям для огромного числа пользователей Internet и стать причиной массового нарушения информационной безопасности данной глобальной сети.
Ни административно, ни программно нельзя защититься от атаки на существующую версию службы DNS. Оптимальным с точки зрения безопасности решением будет вообще отказаться от использования службы DNS в вашем защищенном сегменте! Конечно, совсем отказаться от использования имен при обращении к хостам для пользователей будет очень неудобно. Поэтому можно предложить следующее компромиссное решение: использовать имена, но отказаться от механизма удаленного DNS-поиска. Это возвращение к схеме, использовавшейся до появления службы DNS с выделенными DNS-серве- рами. Тогда на каждой машине в сети существовалhosts файл, в котором находилась информация о соответствующих именах и IP-адресах всех хостов в сети. Очевидно, что на сегодняшний день администратору можно внести в подобный файл информацию о лишь наиболее часто посещаемых пользователями данного сегмента серверах сети. Поэтому использование на практике данного решения чрезвычайно затруднено и, видимо, нереально (что, например, делать с броузерами, которые используют URL с именами?).
Для затруднения осуществления данной удаленной атаки можно предложить администраторам использовать для службы DNS вместо протокола UDP, который устанавливается по умолчанию, протокол TCP (хотя из документации далеко не очевидно, как его сменить). Это существенно затруднит для атакующего передачу на хост ложного DNS-ответа без приема DNS-запроса.
Защита от отказа в обслуживании
Как не раз уже отмечалось, нет и не может быть приемлемых способов защиты от отказа в обслуживании в существующем стандарте IPv4 сети Internet. Это связано с тем, что в данном стандарте невозможен контроль за маршрутом сообщений. Поэтому невозможно обеспечить надежный контроль за сетевыми соединениями, так как у одного субъекта сетевого взаимодействия существует возможность занять неограниченное число каналов связи с удаленным объектом и при этом остаться анонимным. Из-за этого любой сервер в сети Internet может быть полностью парализован при помощи удаленной атаки «отказ в обслуживании».
Единственное, что можно предложить для повышения надежности работы системы, подвергаемой данной атаке, - это использовать как можно более мощные компьютеры. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный "шторм" ложных запросов на создание соединения. Кроме того, необходимо использование соответствующих вашим вычислительным мощностям операционных систем с внутренней очередью, способной вместить большое число запросов на подключение. Ведь от того, что вы, например, поставите на суперЭВМ операционную систему Linux или Windows NT, у которых длина очереди для одновременно обрабатываемых запросов около 10, а таймаут очистки очереди несколько минут, то, несмотря на все вычислительные мощности компьютера, ОС будет полностью парализована атакующим.
Общий вывод по противодействию данной атаки в существующем стандарте IPv4 следующий: просто расслабьтесь и надейтесь на то, что вы ни для кого не представляете интереса, или покупайте суперЭВМ с соответствующей ей сетевой ОС.
7.6.2. Программно-аппаратные методы защиты от удаленных атак в сети Internet
К программно-аппаратным средствам обеспечения информационной безопасности средств связи в вычислительных сетях относятся:
Аппаратные шифраторы сетевого трафика;
Методика Firewall, реализуемая на базе программно-аппаратных средств;
Защищенные сетевые криптопротоколы;
Программно-аппаратные анализаторы сетевого трафика;
Защищенные сетевые ОС.
Существует огромное количество литературы, посвященной этим средствам защиты, предназначенным для использования в сети Internet (за последние два года практически в каждом номере любого компьютерного журнала можно найти статьи на эту тему).
7.6.2.1 Методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети
Межсетевое экранирование следует рассматривать как самостоятельный (причем принципиально важный) сервис безопасности. Сетевые реализации данного сервиса, называемые межсетевые экранами (предлагаемый перевод английского термина firewall ), распространены весьма широко; сложилась терминология, оформилась классификация механизмов.
Формальная постановка задачи экранирования состоит в следующем. Пусть имеется два множества информационных систем. Экран - это средство разграничения доступа клиентов из одного множе-
ства к серверам из другого множества . Экран выполняет свои функции, контролируя все информационные потоки между двумя множествами систем.
В простейшем случае экран состоит из двух механизмов, один из которых ограничивает перемещение данных, а второй, наоборот, ему способствует (то есть осуществляет перемещение данных). В более общем случае экран (полупроницаемую оболочку) удобно представлять себе как последовательность фильтров. Каждый из них может задержать (не пропустить) данные, а может и сразу "перебросить" их "на другую сторону". Кроме того, допускается передача порции данных на следующий фильтр для продолжения анализа, или обработка данных от имени адресата и возврат результата отправителю.
Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов. Обычно экран не является симметричным, для него определены понятия "внутри"
и "снаружи". При этом задача экранирования формулируется как защита внутренней области от потенциально враждебной внешней. Так, межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример экрана - устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера до и независимо от всех прочих системных защитных средств.
Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может быть устроена более простым и, следовательно, более безопасным образом. Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю область, что способствует поддержанию режима конфиденциальности.
Важным понятием экранирования является зона риска , которая определяется как множество систем, которые становятся доступными злоумышленнику после преодоления экрана или какого-либо из его компонентов. Как правило, для повышения надежности защиты экран реализуют как совокупность элементов, так что "взлом" одного из них еще не открывает доступ ко всей внутренней сети.
Таким образом, межсетевое экранирование и с точки зрения сочетания с другими сервисами безопасности, и с точки зрения внутренней организации использует идею многоуровневой защиты, за счет чего внутренняя сеть оказывается в пределах зоны риска только в случае преодоления злоумышленником нескольких, no-разноиу организованных защитных рубежей.
В общем случае методика Firewall реализует следующие основные три функции:
1. Многоуровневая фильтрация сетевого трафика
Фильтрация обычно осуществляется на трех уровнях OSI:
Сетевом (IP); транспортном (TCP, UDP);
прикладном (FTP, TELNET, HTTP, SMTP и т. д.).
Фильтрация сетевого трафика является основной функцией систем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности
в выделенном сегменте IP-сети, то есть, настроив соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к Firewall-фильтрации:
в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.
2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на Firewallхосте
Proxy-схема позволяет, во-первых, при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ.полномочный ) на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.
3. Создание приватных сетей (Private Virtual Network - PVN) с "виртуальными" IP-адресами (NAT - Network Address Translation)
В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы Firewall для создания приватной сети (PVN-сеть). Хостам в PVN-сети назначаются любые "виртуальные" IP-ад- реса. Для адресации во внешнюю сеть (через Firewall) необходимо либо использование на хосте Firewall описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней PVN-сети виртуальный IP-адрес, очевидно, не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами PVN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).
Итак, любое устройство, реализующее хотя бы одну из этих функций Firewall-методики, и является Firewall-устройством. Например, ничто не мешает вам использовать в качестве Firewall-хоста компьютер с обычной ОС FreeBSD или Linux, у которой соответствующим образом необходимо скомпилировать ядро ОС. Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-тра- фика. Другое дело, предлагаемые на рынке мощные Firewall-комплексы, сделанные на базе ЭВМ или мини-ЭВМ, обычно реализуют все функции Firewall-мето-дики и являются полнофункциональными системами Firewall. На следующем рисунке изображен сегмент сети, отделенный от внешней сети полнофункциональным Firewall-хостом.
Рис. 7.5. Обобщенная схема полнофункционального хоста Firewall.
Однако администраторам IP-сетей, поддавшись на рекламу систем Firewall, не стоит заблуждаться на тот счет, что Firewall это гарантия абсолютной защиты от удаленных атак в сети Internet. Firewall - не столько средство обеспечения безопасности, сколько возможность централизованно осуществлять сетевую политику разграничения удаленного доступа к доступным ресурсам вашей сети.
Современные требования к межсетевым экранам
1. Основное требование - это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.
3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.
5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.
7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.
Классификация анализируемых межсетевых экранов
Как известно, для проведения сравнительного анализа необходимо, в первую очередь, провести классификацию анализируемых средств. Поскольку межсетевые экраны ориентированы на защиту информации в открытых сетях типа Интернет/Интранет, основой подхода служит семиуровневая модель ISO/OSI (Международной организации по стандартизации). В соответствии с этой моделью МЭ классифицируются по тому, на каком уровне производится фильтрация: канальном, сетевом, транспортном, сеансовом или прикладном. Поэтому можно говорить об экранирующих концентраторах (канальный уровень), маршрутизаторах (сетевой уровень), транспортном экранировании (транспортный уровень), шлюзах сеансового уровня (сеансовый уровень) и прикладных экранах (прикладной уровень).
Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов. На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.
Особенности современных межсетевых экранов
Результаты более тонкого сравнительного анализа различных типов межсетевых экранов приведены в табл. 1.
Тип межсетевого экрана
Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов)
Экранирующий шлюз
Принцип работы
Фильтрация пакетов осуществляется в соответствии с IPзаголовком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией является:
- адрес отправителя;
- адрес получателя;
- информация о приложении или протоколе;
- номер порта источника;
- номер порта получателя.
Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня
Достоинства | Недостатки |
· Низкая стоимость
· Минимальное влияние на производительность сети
· Простота конфигурации и установки
· Прозрачность для программного обеспечения
· Отсутствие сквозного прохождения пакетов в случае сбоев
· Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные
· Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети
· Уязвимость механизма защиты для различных видов сетевых атак, таких как подделка исходных адресов пакетов, несанкционированное изменение содержимого пакетов
· Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита
· Использование только мощных хостов-бастионов из-за большого объема вычислений
· Отсутствие “прозрачности” из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации
Экранирующие подсети | Создается изолированная | · Возможность скры- | · Использование только мощ- |
подсеть, расположенная | тия адреса внутрен- | ных хостов-бастионов из-за |
|
между внутренней и откры- | большого объема вычислений |
||
той сетями. Сообщения из от- | · Увеличение надеж- | · Техническое обслуживание |
|
крытой сети обрабатываются | ности защиты | (установка, конфигурирование) |
|
прикладным шлюзом и попа- | · Возможность созда- | может осуществляться только |
|
дают в ЭП. После успешного | ния большого тра- | специалистами |
|
прохождения контроля в ЭП | фика между внутрен- | ||
они попадают в закрытую | ней и открытой се- | ||
сеть. Запросы из закрытой | тями при использова- | ||
сети обрабатываются через | нии нескольких хо- | ||
ЭП аналогично. Фильтрова- | стов-бастионов в ЭП | ||
ние осуществляется из прин- | · “прозрачность” ра- | ||
ципа: то, что не разрешено, | боты для любых сете- | ||
является запрещенным | вых служб и любой | ||
структуры внутрен- | |||
Таблица 1 - Особенности межсетевых экранов
Как видно из табл.1 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия. Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными. При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие - на регламентировании разрешенного межмашинного обмена.
Межсетевой экран FireWall/Plus предназначен для решения трех основных задач:
Защита ресурсов корпоративных сетей от атак со стороны Internet;
Реализация мер безопасности (для выделенного сервера/группы серверов);
Разделение сегментов внутренней сети для предотвращения попыток НСД со стороны внутреннего пользователя.
Существенной особенностью данного МЭ является возможность работы с более 390 протоколами различных уровней. Благодаря мощному встроенному языку написания фильтров имеется возможность описать любые условия фильтрации. Такая особенность позволяет более эффективно решать задачи разделения сегментов корпоративной сети, в которой используются продукты, работающие со стеками TCP/IP, IPX, DECNet протоколов. Механизм описания протоколов прикладного уровня позволяет создать специфические схемы разграничения доступа пользователей. FireWall/Plus обеспечивает защиту при работе с Web, FTR, URL, приложениями ActiveX и Java, а также с электронной почтой.
Межсетевой экран FireWall/Plus обеспечивает обнаружение и борьбу со следующими атаками:
Атаки на аутентификацию сервера;
Атаки на протокол finger (с внешней и внутренней стороны);
Определение номера начального пакета соединения TCP;
Незаконная переадресация;
Атаки на DNS-доступ;
Атаки на FTR-аутентификацию;
Атаки на несанкционированную пересылку файлов;
Атаки на удаленную перезагрузку;
Подмена IP-адресов;
Спуфинг МАС-адреса;
Атаки на доступность (шторм запросов);
Атаки на резервный порт сервера;
Атаки с помощью серверов удаленного доступа;
Атаки на анонимный FTR-доступ.
Такое количество блокируемых атак определяется прежде всего тем, что FireWall/Plus поддерживает три метода преобразования сетевых адресов: один к одному; один ко многим; многие ко многим. Ему не нужен собственный IP-адрес. Эта особенность делает его полностью прозрачным в сети и практически неуязвимым при различных атаках. Рассмотренные возможности межсетевого экрана FireWall/Plus, являющегося представителем современного поколения МЭ, показывают, насколько динамично развивается данное направление средств защиты.
Сертификация межсетевых экранов В настоящее время Гостехкомиссией России принят рабочий документ “Средства вычислительной
техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”. Этот документ позволяет не только упорядочить требования по защите информации, предъявляемые к межсетевым экранам, но и сопоставлять защитные свойства изделий этого вида.
С учетом перспектив в области сертификации средств защиты информации под руководством Гостехкомиссии России Центром безопасности информации (г. Юбилейный Московской области) организована разработка типовой методики по проведению сертификационных испытаний межсетевых экранов. Эта методика прошла испытания в ряде лабораторий, аккредитованных в системе сертификации Гостехкомиссии России. В настоящее время на российском рынке уже появились сертифицированные межсетевые экраны высокого класса защищенности, в том числе “Застава-Джет” (2 класс), “Застава” и “AltaVista Firewall 97” (3 класс защищенности). Эти изделия обеспечивают надежную защиту информационных ресурсов от несанкционированного доступа.
7.6.2.2 Программные методы защиты, применяемые в сети Internet
К программным методам защиты в сети Internet можно отнести прежде всего защищенные криптопротоколы, с использованием которых появляется возможность надежной защиты соединения. В следующем пункте пойдет речь о существующих на сегодняшний день в Internet подходах и основных, уже разработанных, криптопротоколах.
К иному классу программных методов защиты от удаленных атак относятся существующие на сегодняшний день программы, основная цель которых - анализ сетевого трафика на предмет наличия одного из известных активных удаленных воздействий.
1. SKIP-технология и криптопротоколы SSL, S-HTTP как основное средство защиты соединения и передаваемых данных в сети Internet
Очевидно, что одна из основных причин успеха удаленных атак на распределенные ВС кроется в использовании сетевых протоколов обмена, которые не могут надежно идентифицировать удаленные объекты, защитить соединение и передаваемые по нему данные. Поэтому совершенно естественно, что в процессе функционирования Internet были созданы различные защищенные сетевые протоколы, использующие криптографию как с закрытым, так и с открытым ключом. Классическая криптография с симметричными криптоалгоритмами предполагает наличие у передающей и принимающей стороны симметричных (одинаковых) ключей для шифрования и дешифрирования сообщений. Эти ключи предполагается распределить заранее между конечным числом абонентов, что в криптографии называется стандартной проблемой статического распределения ключей. Очевидно, что применение классической криптографии с симметричными ключами возможно лишь на ограниченном множестве объектов. В сети Internet для всех ее пользователей решить проблему статического распределения ключей, очевидно, не представляется возможным. Однако одним из первых защищенных протоколов обмена в Internet был протокол Kerberos, основанный именно на статическом распределении ключей для конеч-
ного числа абонентов. Таким же путем, используя классическую симметричную криптографию, вынуждены идти наши спецслужбы, разрабатывающие свои защищенные криптопротоколы для сети Internet. Это объясняется тем, что почему-то до сих пор нет гостированного криптоалгоритма с открытым ключом. Везде в мире подобные стандарты шифрования давно приняты и сертифицированы, а мы, видимо, опять идем другим путем!
Итак, понятно, что для того, чтобы дать возможность защититься всему множеству пользователей сети Internet, а не ограниченному его подмножеству, необходимо использовать динамически вырабатываемые в процессе создания виртуального соединения ключи при использовании криптографии с открытым ключом. Далее мы рассмотрим основные на сегодняшний день подходы и протоколы, обеспечивающие защиту соединения.
SKIP (Secure Key Internet Protocol) - технологией называется стандарт инкапсуляции IP-пакетов, позволяющий в существующем стандарте IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет представляет собой обычный IP-пакет, поле данных которого представляет из себя SKIP-заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCPили UDP-па- кет, который и передает соответствующему обычному модулю (TCP или UDP) ядра операционной системы. В принципе, ничто не мешает разработчику формировать по данной схеме свой оригинальный заголовок, отличный от SKIP-заголовка.
S-HTTP (Secure HTTP) - это разработанный компанией Enterprise Integration Technologies (EIT) специ-
ально для Web защищенный HTTP-протокол. Протокол S-HTTP позволяет обеспечить надежную криптозащиту только HTTP-документов Web-севера и функционирует на прикладном уровне модели OSI. Эта особенность протокола S-HTTP делает его абсолютно специализированным средством защиты соединения, и, как следствие, невозможное его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др.). Кроме того, ни один из существующих на сегодняш-
ний день основных Web-броузеров (ни Netscape Navigator 3.0, ни Microsoft Explorer 3.0) не поддержи-
вают данный протокол.
SSL (Secure Socket Layer) - разработка компании Netscape - универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Этот протокол, использующий криптографию с открытым ключом, на сегодняшний день, по нашему мнению, является единственным универсальным средством, позволяющим динамически защитить любое соединение с использованием любого прикладного протокола (DNS, FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL, в отличие от S- HTTP, функционирует на промежуточном сеансовом уровне OSI (между транспортным - TCP, UDP, - и прикладным - FTP, TELNET и т. д.). При этом процесс создания виртуального SSL-соединения происходит по схеме Диффи и Хеллмана (п. 6.2), которая позволяет выработать криптостойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообщений. Протокол SSL сегодня уже практически оформился в качестве официального стандарта защиты для HTTP-соединений, то есть для защиты Web-серверов. Его поддерживают, естественно, Netscape Navigator 3.0 и, как ни странно, Microsoft Explorer 3.0 (вспомним ту ожесточенную войну броузеров между компаниями Netscape и Microsoft). Конечно, для установления SSL-соединения с Web-сервером еще необходимо и наличие Web-сервера, поддерживающего SSL. Такие версии Webсерверов уже существуют (SSL-Apachе, например). В заключении разговора о протоколе SSL нельзя не отметить следующий факт: законами США до недавнего времени был запрещен экспорт криптосистем с длиной ключа более 40 бит (недавно он был увеличен до 56 бит). Поэтому в существующих версиях броузеров используются именно 40-битные ключи. Криптоаналитиками путем экспериментов было выяснено, что в имеющейся версии протокола SSL шифрование с использованием 40-битного ключа не является надежной защитой для передаваемых по сети сообщений, так как путем простого перебора (240 комбинаций) этот ключ подбирается за время от 1,5 (на суперЭВМ Silicon Graphics) до 7 суток (в процессе вычислений использовалось 120 рабочих станций и несколько мини ЭВМ).
Итак, очевидно, что повсеместное применение этих защищенных протоколов обмена, особенно SSL (конечно, с длиной ключа более 40 бит), поставит надежный барьер на пути всевозможных удаленных