НТВ плюс 

Вирусы в скайпе. Вирусы в Skype. Сообщения с коварным вирусом

В 1999 году я написал статью "Firewall - не панацея", которая рассказывала о различных недостатках, присущих технологии, используемой в межсетевых экранах (МСЭ). Я надеялся, что отечественные поставщики и, особенно разработчики, перестанут "дурить голову" заказчикам, утверждая, что именно их межсетевой экран - это панацея от всех бед, и он решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако этого не произошло, и я вновь хочу вернуться к этой теме. Тем более что, как показывает мой опыт чтения лекций по защите информации, этот вопрос живо интересует специалистов, которые уже используют межсетевые экраны (firewall) в своих организациях.

Существует ряд проблем, о которых я хотел бы рассказать и которые можно проиллюстрировать на примере. Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но… это ограждение не может обнаружить, когда кто-то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением.

Людям свойственно ошибаться

Как известно, межсетевые экраны, как и другие средства защиты, настраиваются людьми. А людям свойственно ошибаться, даже специалистам по защите информации. Именно этот факт и используется многими злоумышленниками. Достаточно найти всего лишь одну слабину в настройках межсетевого экрана и все, можно считать, что "ваше дело табак". Это подтверждается и различными исследованиями. Например, собранная в 1999 году ассоциацией ICSA (http://www.icsa.net) статистика показывает, что до 70% всех межсетевых экранов уязвимы из-за неправильной конфигурации и настройки. Я не хочу говорить о некомпетентности или низкой квалификации администратора МСЭ (хотя эти причины отнюдь не редки), - опишу другой примера. Сразу после института я попал в отдел автоматизации одной крупной компании. Защита Internet обеспечивалась межсетевым экраном, которым "рулил" администратор отдела защиты информации. Мне не раз приходилось сталкиваться с ситуацией, когда к этому администратору подходили друзья из других отделов компании и просили на время разрешить им доступ к серверам с игрушками. Однажды я был свидетелем вопиющего случая. К администратору МСЭ подошел начальник отдела по работе с партнерами и потребовал дать ему доступ к одному из Internet-ресурсов. На ответ, что это невозможно, начальник пригрозил устроить администратору "веселую жизнь", после чего последнему пришлось выполнить распоряжение и изменить настройки межсетевого экрана. Самое удивительное, что со временем ситуация не улучшается. Недавно мы проводили обследование в одной из организаций и обнаружили там точно такую же ситуацию. На межсетевом экране был открыт доступ по протоколам ICQ, RealAudio и т.д. Стали выяснять - оказалось, это было сделано по просьбе сотрудника одного из отдела, с которым у администратора сложились дружеские отношения.

"Нормальные герои всегда идут в обход"

Фрагмент песни из детского фильма "Айболит-69" как нельзя лучше иллюстрирует следующую проблему, присущую межсетевым экранам. Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их? Это можно проиллюстрировать примером из смежной области. В среду, 21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все-таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила несколько десятков тысяч долларов. Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети начальники отдела защиты информации и автоматизации рвали на себе рубаху, утверждая, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, мы действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.

28.08.2012 18:06

2050 прочтений

Технологию объединенных коммуникаций (UC) можно рассматривать как новый набор данных и протоколов, использующих IP-сети. С точки зрения обеспечения безопасности, эти сервисы мало чем отличаются от других сервисов передачи данных по IP-сетям, а рекомендации по использованию передового опыта включают в себя технологии и методы, используемые для защиты других сервисов. В этом документе описываются проблемы безопасности, которые необходимо учитывать при развертывании систем объединенных коммуникаций, а также приводятся рекомендации Polycom по их защите.

Вопросы, связанные с межсетевым экраном

Устройства объединенных коммуникаций Polycom — это вычислительные устройства, снабженные функциями удаленного управления (с помощью веб-интерфейса или других API-интерфейсов). Так же как и любые объекты ИТ-инфраструктуры, их не следует развертывать за пределами корпоративного межсетевого экрана без отключения таких интерфейсов. Polycom рекомендует развертывать системы UC под защитой межсетевого экрана (как при обычном развертывании любого особо ценного ИТ-ресурса) и использовать решение Polycom Video Border Proxy (VBP) для обеспечения обхода межсетевого экрана трафиком сигнализации H.323 и мультимедийными потоками. Это поможет исключить возможность случайных подключений злоумышленников, действующих в Интернете, к незащищенным конечным устройствам UC.

Интернет-злоумышленники не смогут добраться до открытых портов и сервисов на устройствах UC, развернутых под защитой межсетевого экрана. Внешние пользователи, заказчики и деловые партнеры по-прежнему будут иметь возможность совершать видеовызовы на устройство UC.

Организациям потребуется развернуть решение для обхода межсетевого экрана UC, например, решение Polycom Video Border Proxy (VBP).

Примечание. В тех организациях, которые не могут позволить себе использование межсетевого экрана для защиты видеотерминалов по экономическим соображениям, следует отключить функцию удаленного управления в меню настроек Security -> Enable Remote Management (Безопасность -> Включить удаленное управление), чтобы полностью исключить возможность выбора веб-интерфейса, Telnet и SNMP.

Обход межсетевого экрана

Обход межсетевого экрана позволяет использовать общедоступные видеосервисы в конфигурации с действующим межсетевым экраном организации, не подвергая инфраструктуру UC или все остальные компьютеры организации опасности интернет-атак. Устройство VBP можно использовать как для предоставления доступа к системам видеосвязи удаленным пользователям, так и для осуществления видеовызовов между компаниями, как показано на рисунке 1.

Преимущество более высокого уровня безопасности. Корпоративный межсетевой экран обеспечивает защиту устройств UC точно так же, как и других ИТ-ресурсов. Внешние пользователи, заказчики и деловые партнеры по-прежнему могут совершать видеовызовы на устройство UC.

Другие аспекты, которые следует учитывать . Организациям следует провести анализ существующей архитектуры трансляции сетевых адресов (NAT). Возможно, потребуется ее корректировка для включения функции обхода межсетевого экрана.

Вопросы, связанные с оценкой системы безопасности

Polycom рекомендует периодически проверять корпоративные устройства UC, так же как и любой другой ИТ-ресурс, с помощью сканеров уязвимостей, чтобы подтвердить способность системных конфигураций противостоять выявленным рискам. Это особенно важно при развертывании новых устройств UC, чтобы убедиться в том, что изменение всех конфигураций и паролей по умолчанию было выполнено. Необходимо выполнять сканирование как устройств, находящихся в зоне действия межсетевого экрана организации, так и за его пределами. Это дает полное представление о возможных сценариях вероятных действий злоумышленников или злоупотреблений внутри организации.

Следует отметить, что процесс выпуска продуктов Polycom предусматривает сканирование уязвимостей.

Преимущество более высокого уровня безопасности. Сканирование уязвимостей позволяет предупреждать об отсутствии необходимых исправлений или, что особенно важно во многих сценариях развертывания корпоративных решений UC, о наличии неверных настроек в системе обеспечения безопасности. Существует множество коммерческих и бесплатных сканеров уязвимостей, включая сервисы сканирования в Интернете. Сканирование, осуществляемое с внешней стороны корпоративного межсетевого экрана, позволяет выявлять уязвимости, которыми может воспользоваться злоумышленник, действуя через Интернет.

Другие аспекты, которые следует учитывать. Необходимо периодически выполнять сканирование для проверки отсутствия изменений в конфигурациях. Сканирование активирует вывод аварийных оповещений, генерируемых межсетевыми экранами и системами обнаружения вторжений (IDS). Обратите внимание, что Polycom не дает советов относительно конкретных инструментов сканирования. Организациям следует провести собственный анализ, чтобы сделать верный выбор в зависимости от своих потребностей.

Управление системой

С точки зрения администрирования, ИТ-администраторам следует рассматривать видеоустройства UC как обычные вычислительные устройства. Чтобы обеспечить безопасность, при работе с этими устройствами администраторы должны применять такие же процедуры, как и при работе с серверами.
Следует отключать неиспользуемые коммуникационные сервисы.Если организация не планирует использовать протокол SNMP для мониторинга устройств, он должен быть отключен. Если организация не использует устройство управления Polycom CMA (приложение для управления контентом), Telnet следует отключить. Если для мониторинга используется протокол SNMP, необходимо изменить значение параметра SNMP Community String (пароли доступа) по умолчанию ("public").

Сканеры уязвимостей определяют, какие сервисы являются открытыми и доступными. Неиспользуемые сервисы следует отключить.
Преимущество более высокого уровня безопасности. Чем меньше сервисов включено, тем меньше точек потенциальных атак доступно злоумышленникам.

Другие аспекты, которые следует учитывать. Организациям необходимо периодически просматривать системные конфигурации для выявления внесенных в них изменений. Сканеры уязвимостей позволяют автоматизировать этот процесс. Рекомендуется их использовать для периодических проверок (раз в месяц).

Вопросы, связанные с использованием автоответчика

Функция автоответчика — это возможность конечного устройства видеоконференций отвечать на входящие вызовы в автоматическом режиме. Эта функция позволяет существенно упростить пользование системой. Тем не менее, необходимо понимать последствия для корпоративной системы безопасности, связанные с использованием автоответчика.

Почему это важно. Во многих организациях при использовании видеосвязи придают особое значение удобству автоответчика. Например, в университетах, где используются программы дистанционного обучения, запланированные лекции читаются преподавателями в определенных аудиториях. Обычно подключение к запланированным конференциям в удаленных классах происходит автоматически, и этот процесс зависит от корректной работы автоответчика. С точки зрения угроз безопасности, риск для организации относительно невелик, особенно если случайные интернет-злоумышленники не могут набрать номер для установления связи с конференциями, проходящими в этих классах. Polycom признает необходимость нахождения некого баланса между безопасностью и удобством работы и рекомендует два лучших варианта решения этой проблемы.

Организациям следует оценить уровень допустимых рисков при выборе одного из этих вариантов.

Наиболее безопасный вариант. Отключить автоответчик.

Риск для безопасности. Риск минимален для удаленных автоматических подключений. Если автоответчик отключен, дозвониться в определенное место просто невозможно без активного взаимодействия с пользователем, находящимся в той же комнате.

Другие аспекты, которые следует учитывать. Это не повлияет на запланированные вызовы (интеграция с Outlook, Polycom RMX и т.д.), но пользователю потребуется пульт дистанционного управления или сенсорная панель управления Polycom Touch Control или иная система управления для ответа на входящий вызов (точно так же, как при телефонном вызове). Обратите внимание, что при отсутствии ответа в течение 30 секунд, вызов отключается.

Менее безопасный вариант. Автоответчик включен (никаких действий пользователя для ответа на входящий вызов не требуется).

Риск для безопасности. Возможно удаленное автоматическое подключение к видеоустройствам. Для снижения риска вы можете:

1. Удостовериться, что установлен режим "Mute Auto Answer Calls" (выключить микрофон для вызовов автоответчика). Приложение Polycom Converged Management Appliance (CMA) может вызвать сброс этой настройки.

2. Отключить управление камерой на удаленной площадке (приложение Polycom CMA может вызвать сброс этой настройки).

3. Надеть крышку на объектив камеры, когда система не используется.

4. Функции защиты шлюза приложений CMA и Polycom Distributed Media Application (DMA) направляют вызовы только на те устройства, которые были зарегистрированы для работы с ними. По существу, формируется закрытая группа устройств, для которой автоответчик включен, но действует только для некоторого известного набора конечных устройств. (См. параметры сервера обработки вызовов в "Руководстве по эксплуатации DMA").

5. Проверяйте журналы записей данных вызова (CDR), чтобы отслеживать незапланированные или совершаемые в неурочное время вызовы.

Другие аспекты, которые следует учитывать. Важно обеспечить доступность пульта дистанционного управления. При этом пользователи должны помнить о том, что в этом режиме им требуется включить микрофон для вызова.

Вопросы, связанные с комнатой для совещаний

Автоответчик предполагает использование схемы "набора номера": внешние участники набирают номер для связи с видеосистемой в конференц-зале. Устройства Polycom UC также поддерживают другую схему набора номера: видеоустройства отправляют вызов в комнату для совещаний из центрального сервера многосторонней видеоконференцсвязи (MCU). Эта архитектура более безопасна по своей сути, чем схема "набора номера", поскольку прямое соединение между конечными устройствами не устанавливается. Если видеосистема в комнате не подключена к серверу MCU, удаленный нарушитель просто не может получить доступ к этой комнате, даже если он получил доступ к MCU.

Polycom еще больше расширяет эти возможности благодаря организации виртуальных комнат для совещаний с использованием решения DMA. Это не только позволяет распределить нагрузку по всем доступным серверам MCU, но и мешает злоумышленнику определить адрес определенной видеоконференции.

Следует отметить, что "набор номера" в запланированных конференциях возможен даже при использовании серверов MCU или комнат для совещаний — сервер MCU в назначенное время автоматически направит вызов на видеотерминалы, обеспечивая высокий уровень безопасности в сочетании с максимальной простотой использования.

Риск для безопасности. Эта конфигурация требует использования сервера MCU видеоконференцсвязи, например, Polycom RMX. Его развертывание должно проводиться согласно рекомендациям, изложенным в этом документе.

Другие аспекты, которые следует учитывать. В этом режиме конечные устройства необходимо установить на "включить микрофон при ответе".

Вопросы удаленного доступа

Многие организации устанавливают видеотерминалы удаленно, в небольших или домашних офисах (SOHO). Эти устройства требуют точно такой же защиты, что и любой другой удаленный ИТ-ресурс. Самым безопасным и легко управляемым способом защиты является, пожалуй, технология VPN. Многие поставщики предлагают недорогие устройства VPN с централизованным управлением, которые вполне подходят для защиты видеоустройства в удаленном домашнем офисе. Многие из них (например, как Aruba RAP) включают в себя также и встроенную функцию межсетевого экрана.

Риск для безопасности: VPN позволяет логически включить видеоустройства в корпоративную сеть, защищенную корпоративным межсетевым экраном. Интернет-пользователи не могут получить к нему доступ, за исключением обхода межсетевого экрана во время обычного видеовызова, как в любой видеосистеме. Управление видеоустройством с логическим включением в корпоративную сеть, осуществляется точно так же, как и другими корпоративными видеоустройствами.

Другие аспекты, которые следует учитывать. Следует отметить, что в некоторых домашних маршрутизаторах (например, 2Wire) существуют проблемы, связанные с функцией NAT и функцией обхода межсетевого экрана. Удаленное устройство VPN позволяет избежать этих проблем.

Использование паролей

Устройства Polycom UC представляют собой вычислительные устройства, и, хотя они не являются универсальными компьютерами, подобно серверам или настольным системам, они обладают почти такой же архитектурой системы безопасности. Одним и примеров является использование учетных записей и паролей пользователей.

Каждое устройство Polycom поставляется с предустановленнымпаролем по умолчанию. Во время его установки, как и любого другого вычислительного устройства, выполняется смена пароля. Пароль не может быть пустым, должен быть допустимой длины и периодически меняться. Устройства Polycom UC реализуют эти аспекты политики надежных паролей.

В некоторых организациях предпочитают использовать службу Active Directory корпорации Microsoft для управления учетными записями и паролями пользователей. Устройства Polycom поддерживают эту конфигурацию.

Риск для безопасности. Существует вероятность простого проникновения даже в самое хорошо защищенное устройство, если оно обладает ненадежным паролем или паролем по умолчанию. Организациям следует помнить о том, что списки паролей по умолчанию можно легко найти в Интернете.

Анализ журнала регистрации

Устройства Polycom UC поддерживают журнал регистрации всех исходящих и входящих вызовов. Этот журнал называется журналом CDR (записей данных вызова). Его необходимо регулярно проверять, а именно, выяснять, были ли случаи непредусмотренного использования системы UC — неизвестными или несанкционированными удаленными устройствами, в неурочное время (по ночам или тогда, когда комната, где находится устройство, не была занята или запланирована для использования).

Устройство управления Polycom CMA извлекает журналы CDR для анализа из всех управляемых устройств.

Другие аспекты, которые следует учитывать. Необходимо обязать сотрудников ИТ-отдела проводить анализ записей журнала регистрации.

Шифрование

Наибольший риск для служб объединенных коммуникаций представляет не подслушивание, а атаки злоумышленников в попытке получить доступ непосредственно к устройствам UC. Тем не менее, возможно и подслушивание; существует целый ряд инструментов, выполняющих это в автоматическом режиме. Шифрование видеосвязи позволяет предотвращать эту угрозу.

Устройства UC необходимо настраивать на использование шифрования по возможности. Это позволит использовать в конференциях UC имеющиеся устройства или устройства сторонних поставщиков, которые не поддерживают шифрование. Организации с более высокими требованиями к безопасности (или те, которым не требуется поддерживать имеющиеся более старые системы) могут настраивать устройства UC на режим "всегда использовать шифрование".

Обратите внимание, что шифрование Polycom соответствует стандарту FIPS-140, сертифицированному правительством США.
Другие аспекты, которые следует учитывать. Организации, которым требуется режим "всегда использовать шифрование" требуется, не смогут использовать имеющиеся устройства или устройства сторонних поставщиков, которые не поддерживают шифрование.

Вопросы мобильности

С изменением характера видеоконференций и переходом от статических систем (например, систем в комнатах для совещаний) на мобильные устройства (ноутбуки или настольные системы) организации сталкиваются с дополнительными проблемами обеспечения безопасности. Хотя в программное обеспечение для видеосвязи заложены возможности безопасной работы (например, с помощью шифрования и т.д.), само устройство подвергается рискам, которые не свойственны статическим системам — просто потому, что устройство является мобильным и находится за пределами корпоративной защиты.

Компания Polycom рекомендует централизованное управление видеоприложениями для мобильных систем, способное обеспечить корректную настройку параметров безопасности. Устройство управления Polycom CMA предоставляет такую возможность.

Polycom рекомендует также устанавливать на мобильных устройствах ПО для обеспечения безопасности сторонних поставщиков, например, антивирусное ПО, приложения для персонального межсетевого экрана и поддержки достоверности конфигураций. Кроме того, в организациях должна быть разработана стратегия выполнения автоматических обновлений ОС и приложений на мобильных устройствах, а также удаленной очистки конфиденциальных данных на случай потери или кражи устройства.

Риск для безопасности. Без централизованного управления безопасностью конфигураций видеосистем и конечных устройств невозможно предугадать, можно ли использовать некое мобильное устройство в качестве промежуточного средства для совершения интернет-атаки на организацию.

Другие аспекты, которые следует учитывать. Большинство поставщиков антивирусного ПО предлагают клиентские приложения для мобильных устройств, которые встраиваются в существующую консоль антивирусной защиты организации.

Передовой опыт межкорпоративной связи

Видеовызовы, совершаемые между различными организациями, создают особые риски для безопасности, поскольку каждая организация имеет свою политику безопасности и свои средства управления. В отличие от вызовов внутри одной организации, при выполнении вызовов между разными организациями потоки данных необходимо направлять только на устройства, участвующие в вызове.

Наиболее безопасный вариант. Использовать комнату для совещаний.

Риск для системы безопасности. Риск минимален, если исключить прямые, двухточечные и межкорпоративные вызовы. Конечные устройства в обеих организациях отправляют вызов серверу многосторонних видеоконференций (MCU), который развернут в незащищенной области сети (DMZ). Такие серверы MCU предназначены именно для этого типа развертывания и позволяют подключать конечные устройства к одному вызову. Следует подчеркнуть, что сервер MCU должен быть настроен в соответствии рекомендациями, изложенными в этом документе.

Другие аспекты, которые следует учитывать. Сервер MCU может дозваниваться до обоих конечных устройств в запланированное для начала конференции время. Тем не менее, удаленная организация должна настроить свое конечное устройство так, чтобы обеспечить безопасность такого соединения.

Менее безопасный вариант. Использование списков контроля доступа для ограничения входящих вызовов. Настоятельно рекомендуем частую проверку журнала регистрации, чтобы выявить непредусмотренные входящие или исходящие вызовы.

Риск для безопасности. Возможно удаленное автоматическое подключение к видеоустройствам. Необходимы меры для предупреждения несанкционированных подключений к автоответчику.

Другие аспекты, которые следует учитывать. Необходимо настроить правила межсетевого экрана, разрешающие устанавливать входящие соединения, инициированные удаленным устройством.

Вопросы, связанные с утилизацией устройств и очисткой данных

Когда после окончания срока полезного использования вычислительных устройств наступает время их утилизации, необходимо стирать с них конфиденциальные корпоративные данные. Устройства объединенных коммуникаций Polycom обладают функцией сброса настроек, восстанавливая все заводские установки первоначальной предустановленной конфигурации. Этот процесс стирает все конфиденциальные данные (адресные книги, истории вызовов, журналы с записями данных вызовов и т.д.).

Polycom советует восстанавливать все заводские настройки устройств UC перед их утилизацией.

Примечание. При сбросе конфигурации устройства важно использовать параметр "Erase Flash" (очистить флэш-память) для удаления персональных данных.

Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но... это ограждение не может обнаружить, когда кто - то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением.

Людям свойственно ошибаться

Как известно, межсетевые экраны, как и другие средства защиты, настраиваются людьми. А людям свойственно ошибаться, даже специалистам по защите информации. Именно этот факт и используется многими злоумышленниками.

Достаточно найти всего лишь одну слабину в настройках межсетевого экрана и все, можно считать, что "ваше дело табак". Это подтверждается и различными исследованиями.

"Нормальные герои всегда идут в обход"

Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их? Это можно проиллюстрировать примером из смежной области. В среду, 21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все - таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески.

Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила несколько десятков тысяч долларов. Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети начальники отдела защиты информации и автоматизации рвали на себе рубаху, утверждая, что они знают все до единого модема, установленные в их сети.

Запустив систему анализа защищенности Internet Scanner, мы действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема.

Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.

С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet.

Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80 % инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем. В 1985 году на одном из российских судостроительных заводов была разоблачена преступная группа из свыше 70 (!) человек, которая в течение 1981 - 1985 гг. путем введения в информационную систему расчета зарплаты фальшивых документов похитила более 200 тыс. рублей.

Аналогичные случаи были зафиксированы на заводах г. Ленинграда и г. Горького. Ни один, даже самый эффективный межсетевой экран, не смог бы обнаружить такую деятельность.

Туннели используются не только в метро

Но даже просмотр трафика на границе между внешней и внутренней сетями не гарантирует полной защиты. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол.

Например, если на МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet - черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты.

Если межсетевой экран разрешает прохождение SMTP - трафика (а мне не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция".

Приведу более сложный пример. Например, Web - сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80 - ый порт. На первый взгляд обеспечивается полная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу:

http://www.domain.ru/default.asp. (с точкой в конце)

позволяет злоумышленнику получить доступ к содержимому ASP - файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных).

В системе обнаружения атак RealSecure эта атака получила название "HTTP IIS 3.0 Asp Dot". И даже, если вы установили самую последнюю версию IIS 5.0, то и в этом случае вы не можете чувствовать себя в полной безопасности. Обращение к адресу:

http://SOMEHOST/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9Cwinnt/system32/cmd.exe?/c%20dir%20C:\

приводит к выполнению команды "dir C:\". Аналогичным образом можно прочитать любой файл, в том числе и содержащий конфиденциальную информацию:

http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt

Последним примером может служить атака Loki, которая позволяет туннелировать различные команды (например, запрос на передачу файла паролей /etc/passwd) в запросы ICMP Echo Request и реакцию на них в ответы ICMP Echo Reply.

Шифруй, не шифруй, все равно...

Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т. д.) только по VPN - соединению, то никакая "зараза" в нее не проникнет.

Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN - соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки.

Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки.

В марте 1995 г. администратор безопасности Космического Центра Джонсона (Johnson Space Center) получил сообщение о том, что два компьютера этого центра были атакованы злоумышленниками. Однако в результате расследования выяснилось, что данные компьютеры были скомпрометированы еще в декабре 1994 года и на них были установлены программы - перехватчики пользовательских идентификаторов и паролей. Журналы регистрации этих программ содержали около 1300 идентификаторов и паролей пользователей из более 130 систем, подключенных к скомпрометированным узлам.

И вновь о подмене

Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по - прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.

Межсетевой экран - как цель атаки

Межсетевые экраны часто сами являются объектами атаки. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети.

Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов. Например, неправильная обработка TCP - пакетов с флагом ECE в МСЭ ipfw или ip6fw позволяла удаленному злоумышленнику обойти созданные правила. Еще одна уязвимость была обнаружена в межсетевом экране BorderWare Firewall Server 6.1.2. Использование данной уязвимости, связанной с широковещательной посылкой запросов ICMP Echo Request, приводила к нарушению доступности МСЭ BorderWare.

В стороне не остались и другие межсетевые экраны - Cisco Secure Pix Firewall, WatchGuard Firebox и т. д.

Стой, кто идет? Предъявите паспорт!

Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в 70 - х, 80 - х годах прошлого столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому - либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80 % случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т. д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.

Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким - либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как "своего" и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда.

Его можно "подслушать" при передаче по сети при помощи анализаторов протоколов, в том числе и встроенных в операционные системы (например, Network Monitor в Windows NT 4.0). Его можно подобрать при помощи специальных программ, доступных в Internet, например, при помощи L0phtCrack для Windows или Crack для Unix.

Т. о. даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем.

Например, 22 марта 1995 г. неустановленный злоумышленник при помощи украденного пароля и программного обеспечения Пинского филиала БелАКБ "Магнатбанк" проник в компьютерную сеть Белорусского межбанковского расчетного центра и перевел на расчетный счет ООО "Арэса ЛТД" в Советское отделение БелАКБ "Промстройбанк" 1 млрд. 700 млн. рублей.

Администратор - бог и царь

В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем - то обижен. Будь - то низкой зарплатой, недооценкой его возможностей, местью и т. п.

Известны случаи, когда такие обиженные администраторы "портили кровь" не одной компании и приводили к очень серьезному ущербу. Осенью 1985 года директор по компьютерной безопасности компании USPA & IRA Дональд Берлисон попытался через руководство компании добиться снижения суммы налога на прибыль, которую ему постоянно приходилось выплачивать, и чем он был недоволен.

Однако он был уволен. Через три дня после увольнения он пришел на работу и, получив доступ в сеть компании, удалил 168000 записей базы данных о страховании и защите торговых сделок. Затем он запустил в сеть несколько программ - червей, которые должны были продолжать удалять аналогичные записи в будущем. И Россия не осталась в стороне.

В 1991 г. при помощи компьютерной техники произошло хищение валютных средств из Внешэкономбанка на сумму 125,5 тыс. долларов и подготовка к хищению еще свыше 500 тыс. долларов. Механизм хищения был очень прост. Житель Москвы совместно с начальником отдела автоматизации неторговых операций ВЦ Внешэкономбанка открыл по шести поддельным паспортам счета и внес на них по 50 долларов. Затем, путем изменения банковского программного обеспечения на открытые счета были переведены 125 тысяч долларов, которые и были получены по поддельным паспортам.

Два этих примера демонстрируют, что даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.

Заключение

Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей. Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но явно недостаточный, уровень защиты корпоративных ресурсов. Как уже не раз отмечалось, традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас.

Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий. Например, технология обнаружение атак (intrusion detection), которая стала активно развиваться за рубежом и четыре года назад попала в Россию. Эта технология, ярким представителем которой является семейство средств RealSecure компании Internet Security Systems, позволяет эффективно дополнять существующие межсетевые экраны, обеспечивая более высокий уровень защищенности.