Август

По каналам европейских

новостей прошли сообщения о том, что ЦРУ США осуществило хакерские

проникновения в компьютеры Европейского парламента и Европейской

комиссии, чтобы выкрасть экономические и политические секреты.

Утверждается, что персонал Комиссии обнаружил свидетельства того,

что американцы использовали информацию, добытую криминальным,

хакерским путем, для получения преимуществ по Генеральному соглашению

по тарифам и торговле. ("Sunday Times", 4 августа; RISKS 18.30).

Телефонные хакеры проникли

в офисную АТС Скотланд-Ярда и нанесли ущерб в размере около 1.5

миллионов долларов неоплаченными звонками с использованием прямого

доступа к внутренним сервисам. (Reuters, 5 августа).

Церковь сайентологов приняла

решение отозвать один из своих многочисленных судебных исков о

нарушении авторских прав после того, как компания Netcom On-Line

Communication Services согласилась выдавать на пользовательские

экраны предостережения о необходимости соблюдать права на интеллектуальную

собственность. Церковь сайентологов нередко добивается возмещения,

когда ее религиозные учения, оформленные ею как защищенные авторскими

правами коммерческие секреты, публикуются без получения на то

разрешения. (AP, 5 августа).

Один из корреспондентов

списка рассылки "Best of Security" сообщил 9 августа:

"Exploder - это один из элементов управления в среде ActiveX.

демонстрирующий проблемы с информационной безопасностью в Microsoft

Internet Explorer. Exploder выполняет аккуратное завершение работы

систем под Windows 95 и даже выключает питание на компьютерах,

BIOS которых содержит средства энергосбережения (так называемые

"зеленые" компьютеры)."

Несколько недель спустя

профессор Принстонского университета Ed Felten вместе со своей

группой обнаружил брешь в защите в Internet Explorer 3.0. Используя

эту брешь, атакующий, должным образом сформировав свою Web-страницу

и "заманив" на нее пользователя Explorer, может выполнить

на компьютере последнего любую DOS-команду. Например, атакующий

может прочитать, изменить или удалить файлы, внедрить вирус или

троянскую программу в компьютер своей жертвы. Ученые создали Web-страницу,

чтобы продемонстрировать выявленную проблему, удаляя файл на машине

зашедшего на эту страницу Explorer-пользователя. (RISKS 18.36).

В декабре газета "Computerworld" сообщила, что объекты,

построенные в среде ActiveX, могут осуществлять доступ к системным

ресурсам на компьютерах пользователей, что способно привести к

нарушениям безопасности или повреждению данных на ПК. (RISKS 18.69).

На собрании Американской

психологической ассоциации в Торонто говорилось о явлении "интернетомании",

напоминающем наркоманию. Доктор Kimberly Young из Питсбургского

университета рассматривала детали интернетоманского поведения.

Например, известны случаи, когда люди в силу личной потребности

проводили в Интернет в среднем 38.5 часа в неделю. Некоторые интернетоманы

старались ходить в Сеть посреди ночи, чтобы избежать упреков со

стороны родных; другие норовили сказаться больными, чтобы иметь

возможность остаться дома и путешествовать по Интернет. Часть

людей растягивала обеденный перерыв на три часа, чтобы вдоволь

поиграть в Сети. (AP, UPI, 10 августа).

Профессор юриспруденции

Peter D. Junger возбудил дело в федеральном суде Кливленда. Цель

профессора - запретить федеральным властям ограничивать его или

чьи бы то ни было права на обсуждение несекретных криптографических

технологий с любым гражданином любой страны, равно как и права

на свободную публикацию информации такого рода. Толчком к подаче

иска стало раздражение профессора, вызванное ощущением, что законодательство

о контроле за международной торговлей оружием мешает ему обсуждать

криптографические алгоритмы в рамках курса по компьютерному праву,

среди слушателей которого есть иностранные студенты. ("COMTEX

News", 12 августа).

Эмоционально неуравновешенный

субъект, использовавший псевдоним "johnny xchaotic",

взял на себя ответственность за крупный взрыв "почтовой бомбы",

вызванный сфабрикованной подпиской десятков жертв на сотни списков

рассылки. В непоследовательном, бессвязном письме, посланном им

в Интернет, он (или она?) позволил себе грубые замечания в адрес

людей знаменитых и не очень, по существу лишившихся возможности

получать осмысленную электронную почту из-за приходящих каждый

день тысяч нежелательных сообщений. (Dow Jones, 16 августа). По-видимому,

тот же субъект, действуя на этот раз под псевдонимом "unamailer"

(так пресса окрестила виновника августовского происшествия), организовал

аналогичную массовую "подписку" в конце декабря.

В середине августа нападению

вандалов подвергся Web-сервер Министерства юстиции США. Электронные

"художники" поместили на сервер свастику, изображения

Гитлера, фотографии обнаженных женщин, а также грубые насмешки

в адрес администрации Клинтона и закона о благопристойности коммуникаций

(Communications Decency Act). Кроме того, была искажена информация

о правительственной программе помощи оскорбленным женщинам (AP,

17 августа). В сентябре список организаций с оскверненными Web-серверами

пополнили Британская консервативная партия, "Нация Ислама",

Американская ассоциация психоаналитиков и ЦРУ, которое шведские

кибервандалы 19 сентября переименовали в "Центральное Управление

Тупости". (Иллюстрация)

В городке Амерст (США)

воры украли компьютеры и носители данных с информацией, стоимость

которой оценивается в 250 миллионов долларов. Этот случай следует

охарактеризовать как акт откровенного промышленного шпионажа,

направленного против компании Interactive Television Technologies,

Inc. Похищенная информация касалась совершенно секретного проекта

по превращению каждого телевизионного приемника в устройство доступа

к Интернет.

Вирус "HDEuthanasia",

который создал некто с псевдонимом "Demon Emperor",

вызвал в августе легкую панику, главным образом из-за преувеличений

и передергиваний в средствах массовой информации. На самом деле,

этот "скачущий" вирус не обладает какими-то уникальными

свойствами. (PA News, 20 августа; Reuters, 22 августа).

По сообщению журнала "Defense

News", американская армия в Боснии столкнулась с многочисленными

случаями заражения компьютерными вирусами "Monkey",

"AntiEXE" и "Prank". Армейскому персоналу

пришлось потратить сотни часов, отыскивая вирусы и очищая зараженные

системы. (RISIS 18.39).

В Хельсинки Johan Helsingius

опротестовал обвинение в том, что большая часть мировой детской

порнографии пересылается через его сервис анонимной почты anon.penet.fi.

Спустя короткое время он все-таки закрыл свой сервис, поскольку

продолжавшееся полицейское расследование вызвало у него отвращение.

(Reuters, 28 августа; см. также www.stack.nl/~galactus/remailers/index-penet.html).

Новости из подполья. Шайка

криминальных хакеров "Scriptors of Doom" начала еженедельную

публикацию средств использования слабостей в защите операционной

системы HP-UX. Криминальный хакер "Galf" начал мстить

за нападки на Netta Gilboa на съезде Defcon, разрушая системы

обидчиков.

Автоматическое обновление уязвимостей

До недавнего времени пополнение сканера новыми уязвимостями проводилось достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии программного обеспечения.

Сейчас ситуация меняется. В некоторых системах, например, HackerShield существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей. При этом соединение с сервером может производиться как по требованию оператора системы, так и по заданному расписанию.

Автоматизированная система разграничения доступа Black Hole версии BSDI-OS.

"Black Hole" ( продукт компании Milkyway Networks ) - это firewall, работающий на proxy серверах протоколов прикладного уровня ( TELNET, FTP и т.д. ). Он служит для разграничения доступа между локальной и глобальной сетью ( ИНТЕРНЕТ ) или между двумя подразделениями локальной сети ( ИНТРАНЕТ ). "Black Hole" построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.

"Black Hole" поддерживает следующие виды сервисов:

терминальный доступ (TELNET)

передача файлов (FTP)

почта (SMTP)

новости Usenet (NNTP, SNNTP)

Web (HTTP, HTTPS)

Gopher

Real Audio

Archie

Wais

X Window System

Кроме этого, в состав "Black Hole" входят proxy сервер уровня TCP и proxy сервер для UDP протокола.

"Black Hole" осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам.

Правила доступа могут использовать в качестве параметров:

адрес источника

адрес назначения

сервис ( FTP, TELNET, и т.д.)

дата и время доступа

идентификатор и пароль пользователя

"Black Hole" поддерживает строгую аутентификацию как с использованием обычных

паролей, так и различных типов одноразовых паролей:

S/Key

Enigma Logic Safeword

Security Dynamics SecureID,

при этом аутентификация может быть включена для любого вида сервиса.

"Black Hole" поддерживает два режима аутентификации:

аутентификацию каждой TCP сессии

прозрачную аутентификацию

Второй режим позволяет прозрачно пользоваться всеми авторизованными

пользователю сервисами ( без аутентификации каждой сессии ). Для установки этого

режима пользователю необходимо аутентифицироваться при помощи одного из

следующих сервисов ( TELNET, FTP, Gopher, WWW). Для каждого пользователя можно

задать период времени, в течении которого он может использовать этот режим. Это

позволяет создать крайне удобный для пользователя режим использования firewall.

Система выдачи предупреждений о попытках НСД в реальном времени в "Black Hole"

позволяет администратору системы описывать опасные события и реакцию на них

системы (вывод на консоль, звонок на пейджер и т.д.)

"Black Hole" позволяет описывать различные типы нарушений и определять реакцию

на их появление.

"Black Hole" позволяет образовывть соединения за один шаг ( т.е. в качестве хоста

назначения сразу указывается необходимый сервер, без первоначального

соединения с proxy и с proxy до нужного хоста).

"Black Hole" предоставляет сервис для создания групп пользователей, сервисов,

хостов и сетей и позволяеть создавать правила для этих групп, что дает возможность

легко описывать и администрировать большое количество пользователей.

"Black Hole" имеет удобную и дружественную графическую оболочку под X-Windows,

так что настойкой системы может заниматься неискушенный в UNIX человек. Все

административные функции могут быть выполнены из этой оболочки. Ядро ОС

модифицировано для защиты графического интерфейса от внешнего доступа.

"Black Hole" предоставляет следующие возможности по конвертации адреса

источника пакета при прохождении через firewall:

адрес может быть заменен на адрес firewall;

адрес может быть оставлен без изменения;

адрес быть заменен на выбранный администратором

Последняя опция позволяет для пользователей INTERNET представлять

внутреннюю сеть как состоящую из набора подсетей.

"Black Hole" позволяет организвать дополнительную подсеть (Service Network) (через

дополнительный сетевой интерфейс) для открытых сервисов (FTP, HTTP, Gopher).

Это позволяет вынести эти сервисы из внутренней сети, обеспечив при этом

контроль доступа и сбор статистики за использованием этих сервисов.

"Black Hole" использует для хранения и обработки статистической информации

реляционную базу данных с языком запросов SQL. Большой выбор типов выборок

по различным параметрам соединения в сочетании со средствами графического

представления

"Black Hole" функционирует на PC и Sun Sparc платформах под управлением

модифицированных версий операционных систем BSDI и SunOS.

"Black Hole" имеет сертификат NCSA, гарантирующий его высокую надежность и уровень защиты.

"Black Hole 3.0" для BSDI платформы сертифицирована Государственной Технической Комиссией при Президенте России. СЕРТИФИКАТ N79

Безопасность в Internet

Системы и методы обнаружения вторжений:
современное состояние и направления совершенствования
А.А. Корниенко, ПГУПС, И.М. Слюсаренко «InfoSoftCom»

Брешь в конфиденциальности (Практика использования сети Интернет в конкурентной разведке)

Евгений Ющук

Кевин Митник: поймай меня, если сможешь...

Андрей Кадацкий

Intrusion Detection Systems (IDS)
Лекция из курса «Межсетевое экранирование»

Лапонина Ольга Робертовна

Интернет-Университет Информационных Технологий, INTUIT.ru

Создание VPN с использованием протоколов PPP и SSH. Глава из книги "LINUX. Создание виртуальных частных сетей (VPN)"

Олег Колесников, Брайан Хетч, Издательство "КУДИЦ-ОБРАЗ"

VPN в Linux - простой способ

abdullah

Posix.ru

Политики безопасности компании при работе в Internet

CISO Сергей Петренко, CISSP Владимир Курбатов, Группа компаний "АйТи".

"IT Manager", #01/2005

Защита конфиденциальной информации в Интернете на основе встраивания данных в цифровые изображения

Михаил В. Смирнов, http://www.smirnov.sp.ru/.

Сильнее угроза - крепче защита
Елена Полонская, Издательский Дом "КОМИЗДАТ"

Примеры использования IPF

Darren Reed, http://coombs.anu.edu.au/~avalon/examples.html, перевод Михаила Печкина, OpenBSD.ru

Настройка Ethernet Bridge

OpenBSD.ru

Безопасность систем электронной почты

Александр Таранов, Олег Слепов, "Jet Info", #6/2003

Поиск уязвимостей в современных системах IDS

Евгений Жульков, Открытые системы, #07-08/2003

Honeynet Project: ловушка для хакеров

Ланс Спитцнер, Открытые системы, #07-08/2003

Безопасность Web-сервисов

Автор: Билал Сиддикуи (Bilal Siddiqui)
Перевод: Intersoft Lab
Авторские права: market@iso.ru

Вопросы обеспечения безопасности корпоративных беспроводных сетей стандарта 802.11. Специфика России.

Максим Филиппов, ОАО "Элвис-Плюс", журнал "Сети", №7 2003г.

Свободно распространяемые средства защиты: шанс или казус?

Джордж Лоутон, Открытые системы, #03/2003

Правила пользования... электронной почтой?

Михаил Савельев, LAN, #04/2002

Выявление уязвимостей компьютерных сетей.

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Бронежилет для компьютера

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Новые грани обнаружения и отражения угроз

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Способы обхода межсетевых экранов

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Инженеры человеческих душ

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Как работает сканер безопасности?

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Firewall - не панацея

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Защищаем электронную почту

Мэтью Ньютон Журнал "Мир ПК", #06/2000

Защищая "последнюю милю"

Джоул СНАЙДЕР, журнал "Сети", #02/2000

Хроника хакерской атаки

Дебора РЭДКЛИФФ, Журнал "Сети", #02/2000

Направления развития средств безопасности предприятия

Виктор Олифер, Корпорация Uni

Совершенствование системы безопасности предприятия на основе продуктов компании CheckPoint Software Technologies

Виктор Олифер, Корпорация Uni

Безопасность TCP/IP

Vadim Kolontsov

Атака через Internet

Медведовский И.Д., Семьянов П.В., Платонов В.В., НПО "Мир и семья-95", 1997 г.

Адаптивное управление защитой

Алексей ЛУКАЦКИЙ, НИП "Информзащита", СЕТИ #10/99

Компьютерные атаки: что это такое и как защититься от них

перевод Владимира Казеннова

FAQ: Системы обнаружения атак на сетевом уровне

Robert Graham, перевод Алексея Лукацкого, НИП "Информзащита"

"Системы анализа защищенности. Стратегия выбора"

НИП "Информзащита"

"Обнаружение атак. Сетевой или системный уровень?

НИП "Информзащита"

Руководство пользователя по обеспечению безопасности pи pаботе на компьютеpе

Э. Гутман, Л. Леонг, Дж. Малкин

Эксперты дискутируют о настоящем и будущем систем обнаружения атак,
А.Лукацкий, руководитель отдела Internet-решений НИП "Информзащита"

Система анализа защищенности Internet Scanner

Информация предоставлена НИП "Информзащита"

Система обнаружения атак RealSecure

Информация предоставлена НИП "Информзащита"

Система анализа защищенности System Security Scanner

Информация предоставлена НИП "Информзащита"

Руководство администратора межсетевого экрана Aker 3.01

Информация предоставлена "Р-Альфа"

RFC1244

Перевод Владимира Казеннова

Специальная публикация NIST 800-10. Джон Вэк и Лиза Карнахан "Содержание сети вашей организации в безопасности при работе с Интернетом"

Перевод Владимира Казеннова

Барбара Гутман, Роберт Бэгвилл "Политика безопасности при работе в Интернете - техническое руководство"

Перевод Владимира Казеннова

Информационная безопасность 1996

M.E. Kabay, перевод компании Jet Infosystems

"Опыт работы с межсетевым экраном FireWall-1 компании Check Point"

Е.В.Балакшин, С. В. Хлупнов, Корпорация ЮНИ

Брандмауэры

Информация предоставлена "Р-Альфа"

Cisco IOS Firewall Feature Set

Cisco PIX Firewall

ПАНДОРА

BlackHole

Gauntlet

Aker

Введение в безопасность в Internet.

В. Галатенко, И. Трифоленков, АО "Инфосистемы Джет"

Безопасность в Internеt. С.Рябко, АО ЭЛВИС+

Правовые основы деятельности по защите информации от несанкционированного доступа

В. Бутенко, В. Громов, Гостехкомиссия России

Межсетевые экраны Gauntlet и Black Hole

М. Ганев, "Р-Альфа"

Межсетевой экран FireWall-1

Корпорация ЮНИ

Инструментальные средства изучения защищенности информационных систем

И. Трифаленков, Jet Infosystems

document.write('

Блокирование доступа до веб-сайтов по категориям, объему трафика и времени!
Более 280.000.000 известных URL, включая .RU/.SU/.РФ. Подробная отчетность.
Настройка правил для отдельных компьютеров, сотрудников и групп пользователей.
Защита от вирусов, шпионского ПО и веб-сайтов с низким уровнем доверия.
ДВА программных продукта БЕСПЛАТНО');

Новости мира IT:

02.08 - Компания HP открыла базовые приложения мобильной платформы webOS02.08 - Релиз KDE SC 4.902.08 - Fujitsu, NTT DoCoMo и NEC создали предприятие по разработке мобильных чипов02.08 - Seagate выпустит гибридные накопители корпоративного класса02.08 - ПК-рынок вырос почти на 12 процентов01.08 - Google представила релиз web-браузера Chrome 2101.08 - Представлена энергоэффективная WORM-память, производимая по рулонной технологии01.08 - Google откладывает начало поставок медиаплеера Nexus Q01.08 - Microsoft запустила новый почтовый сервис Outlook.com01.08 - Путин: РФ в будущем может перейти на электронную идентификацию граждан01.08 - Apple представит iPhone нового поколения 12 сентября01.08 - Смартфоны позаботятся о безопасности водителей01.08 - Квартальная прибыль Seagate выросла в девять раз01.08 - «Карта Интернета» расскажет о связях между сайтами01.08 - Яндекс объявляет финансовые результаты за II квартал 2012 года31.07 - Новую Mac OS X загрузили три миллиона раз за четыре дня31.07 - Мобильная Opera набрала 200 миллионов пользователей31.07 - Nokia свернула производство телефонов в Финляндии31.07 - В Twitter насчитали полмиллиарда пользователей31.07 - Debian 8.0 присвоено имя "Jessie". Релизу Debian 7.0 мешает большое число блокирующих ошибок

Архив новостей

Последние комментарии:

К 2017 году Android займёт половину мирового рынка смартфонов (66)

2 Август, 17:53

Глава Valve назвал Windows 8 "катастрофой" (19)

2 Август, 17:51

Nokia сдаёт позиции на рынке смартфонов (34)

2 Август, 15:40

Неудачные инвестиции обойдутся Microsoft в 6,2 миллиарда долларов (42)

2 Август, 15:35

Релиз KDE SC 4.9 (1)

2 Август, 14:54

Apple представит iPhone нового поколения 12 сентября (3)

2 Август, 14:34

Новую Mac OS X загрузили три миллиона раз за четыре дня (3)

2 Август, 14:15

Google представила релиз web-браузера Chrome 21 (2)

2 Август, 13:34

Samsung работает над смартфонами Odyssey и Marco п/у Windows Phone 8 (7)

2 Август, 13:04

Представлена энергоэффективная WORM-память, производимая по рулонной технологии (3)

2 Август, 12:28

BrainBoard.ru

Море работы для программистов, сисадминов, вебмастеров.

Иди и выбирай!

Loading

google.load('search', '1', {language : 'ru'}); google.setOnLoadCallback(function() { var customSearchControl = new google.search.CustomSearchControl('018117224161927867877:xbac02ystjy'); customSearchControl.setResultSetSize(google.search.Search.FILTERED_CSE_RESULTSET); customSearchControl.draw('cse'); }, true);

IT-консалтинг

Software Engineering

Программирование

СУБД

Безопасность

Internet

Сети

Операционные системы

Hardware

Информация для рекламодателей

PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597

Пресс-релизы — pr@citforum.ru

Послать комментарий

Информация для авторов

This Web server launched on February 24, 1997

Copyright © 1997-2000 CIT, © 2001-2009 CIT Forum

Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...

Студия СТИЛЬ-купе: шкафы-купе c гарантией.

перевозки и грузоперевозки

Межсетевой экран BlackHole является фильтром

Межсетевой экран BlackHole является фильтром на уровне приложений и служит для защиты от

несанкционированного доступа машин в приватной сети. Поддерживаются все

стандартные сетевые протоколы семейства TCP/IP (например TELNET,FTP,HTTP,

TCP sessions, UDP virtual sessions). В случае типичной установки межсетевой экран

располагается между приватной сетью и глобальной сетью Internet.

Межсетевой экран базируется на принципе - "что не разрешено, то запрещено".

Межсетевой экран защищает приватную сеть на уровне конкретных протоколов и "сырого"

соединения. Пересылка пакетов стандартным путем (IP forwarding) полностью

блокирована. Все запросы, идущие через межсетевой экран полностью аутентифицированы.

BlackHole разрабатывался таким образом, чтобы создать наиболее комфортабельные

условия для пользователей защищенной сети, поэтому имеет прозрачный режим

работы. В последнем случае пользователь аутентифицируется при первоначальном

использовании межсетевого экрана, после чего от него не требуется дополнительная аутентификация в

течение времени, определяемого администратором.

Аутентификация пользователей производиться по следующим правилам:

Где находиться с использованием исходного и конечного адресов

запроса

Что хочет с использование типам запрошенного сервиса

Когда хочет с использованием времени суток и даты запроса

Что он знает с использованием имени пользователя и пароля

Что у него есть с использованием смарт-карты

Межсетевой экран записывает в журнал информацию о все сетевых сессиях, проходящих через него.

Дата и время суток

Тип соединения или протокол

Исходный адрес инициатора

Удаленный адрес запроса

Номер порта для "сырого" соединения

Имя аутентифицированного пользователя

Информацию о трафике

Боязнь открытых текстов

Некоторые компании опасаются приобретать свободно распространяемое программное обеспечение, поскольку оно разработано не в одной определенной компании и не поддерживается программными средствами, которые они привыкли приобретать. В силу этого, как прогнозирует Девид Московиц, директор по технологиям консалтинговой компании Productivity Solutions, многие свободно распространяемые средства начинают использоваться лишь после того, как его по собственной инициативе опробуют ИТ-специалисты и постепенно внедрят его на предприятии.

Большое число обнаруживаемых уязвимостей

Текущая версия системы Internet Scanner (версия 5.4) обнаруживает более 400 уязвимостей, что почти в 1.5 раза превышает число обнаруживаемых уязвимостей у ближайших конкурентов. Система Internet Scanner проводит 20 различных категорий проверок, к которым можно отнести:

Получение информации о сканируемой системе Проверки FTP Проверки сетевых устройств Проверки электронной почты Проверки RPC Проверки NFS Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service") Проверки паролей Проверки Web-серверов Проверки Web-броузеров Проверки возможности осуществления атак типа "подмена" ("Spoofing") Проверки межсетевых экранов Проверки удаленных сервисов Проверки DNS Проверки файловой системы ОС Windows NT Проверки учетных записей ОС Windows NT Проверки сервисов ОС Windows NT Проверки системного реестра ОС Windows NT Проверки установленных patch'ей системы безопасности ОС Windows NT

Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.

Большое число проводимых проверок

Текущая версия системы System Security Scanner обнаруживает около 200 уязвимостей ОС UNIX (версия 1.6 для ОС Unix) и более 300 уязвимостей ОС Windows NT, Windows 9x (версия System Scanner 1.0 для Windows). Система System Security Scanner проводит различные категории проверок, к которым можно отнести:

Получение информации о сканируемой системе Проверки настроек FTP Проверки настроек электронной почты Проверки настроек RPC Проверки настроек NFS Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service") Проверки паролей Проверки настроек Web-серверов Проверки настроек Web-броузеров Проверки настроек удаленных сервисов (в т.ч. RAS для ОС Windows NT). Проверки настроек DNS Проверки файловой системы ОС Windows NT Проверки учетных записей ОС Windows NT Проверки настроек сервисов ОС Windows NT Проверки системного реестра ОС Windows NT Проверки установленных patch'ей системы безопасности ОС Windows NT Проверки антивирусных программ Проверки прикладного ПО (в т.ч. Microsoft Office) Проверки настроек модемов.

Большое число распознаваемых атак

Система RealSecure? позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Ниже описаны основные типы контролируемых событий:

"Отказ в обслуживании" (Denial of service)

Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

"Неавторизованный доступ" (Unauthorized access attempt)

Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

"Предварительные действия перед атакой" (Pre-attack probe)

Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

"Подозрительная активность" (Suspicious activity)

Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

"Анализ протокола" (Protocol decode)

Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.

Периодическое обновление базы данных атак позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.

Задание шаблонов фильтрации трафика

Для более точной настройки системы RealSecure? на работу в сетевом окружении, администратор безопасности может использовать либо один из восьми (для версии 2.5) изначально устанавливаемых шаблонов, либо создавать на их основе свои собственные шаблоны, учитывающие специфику Вашей корпоративной сети. Все вновь созданные шаблоны могут быть сохранены для последующего использования.

"Максимум возможностей" (Maximum Coverage)

Данный шаблон позволяет использовать абсолютно все возможности модуля слежения системы RealSecure?, включая обнаружение атак, анализ протоколов, запись сессий и т.п.

"Детектор атак" (Attack Detector)

Данный шаблон позволяет только обнаруживать атаки. Этот шаблон может быть использован для обнаружения и отражения атак на ресурсы особо критичных участков или узлов сети.

"Анализатор протоколов" (Protocol Analyzer)

Данный шаблон является противоположным "детектору атак", т.е. все возможности по обнаружению атак отключены и доступны только функции контроля сетевых протоколов. Указанный шаблон может использоваться администраторами для понимания всех процессов, происходящих в корпоративной сети.

"Web-сторож" (Web Watcher)

Данный шаблон позволяет контролировать только HTTP-траффик сети. Указанный шаблон может использоваться администраторами для определения HTTP-траффика Вашей корпоративной сети или для контроля этого трафика в сегментах, в которых установлены только Web-сервера.
При использовании данного шаблона обнаруживаются только атаки, основанные на использовании протокола HTTP.

"Windows-сети" (For Windows Networks)

Данный шаблон позволяет контролировать трафик, специфичный для Windows сетей. Указанный шаблон можно использовать, например, в тех сетях, которые построены на базе операционной системы Windows NT. При использовании данного шаблона обнаруживаются только атаки, специфичные для сетей, построенных на основе семейства операционных систем Windows.

"Запись сессий" (Session Recorder)

Данный шаблон позволяет записывать сессии по протоколам Telnet, FTP, SMTP (электронная почта) и NNTP (сетевые новости).

"Модуль слежения в DMZ" (DMZ Engine)

Данный шаблон ориентирован на функционирование модуля слежения в демилитаризованной зоне (DMZ).

"Модуль слежения до межсетевого экрана" (Engine Inside Firewall)

Данный шаблон ориентирован на функционирование модуля слежения за межсетевым экраном.

Борьба с червями

Sygate Personal Firewall Pro5.5 и Zone Lab ZoneAlarm Pro 4.5 никогда не были замечены ни в атаке на "своих, чтоб чужие боялись", ни в чрезмерном попустительстве по отношению к другим приложениям. Благодаря этому они предоставляют широкие возможности контроля за системой. Однако если нетерпеливый администратор будет сначала жать на кнопку OK, а потом думать, о чем же это его предупреждают, то он подвергнет систему большому риску.

Возьмем, к примеру, червь Bagle, который маскируется под Windows Explorer. Когда он пытается передать данные в интернет, межсетевые экраны McAfee, Norton, Sygate и ZoneAlarm фиксируют это и дают администратору соответствующий запрос. Если тот проявит достаточно бдительности, то заинтересуется, зачем это Проводнику вдруг понадобилось выйти в Сеть. Но если администратор "проспит" тревожный сигнал и просто нажмет OK, то будет сам отвечать за последствия.

Во избежание подобных проблем можно воспользоваться межсетевым экраном с фильтрацией портов (экран такого типа встроен в Windows XP) или с фильтрацией портов и пакетов, как в Trend Micro PC-cillin Internet Security 2004. При фильтрации пакетов межсетевой экран контролирует данные, передаваемые в обоих направлениях между сетью и компьютером, на предмет известных уязвимых мест или подозрительного поведения. Например, таким образом блокируются попытки "нелегального" доступа к портам, открываемым почтовыми вирусами-червями, для получения инструкций от удаленного хакера.

Вообще-то в обязанности межсетевого экрана не входит "отлов" червей и нелегальных программ — это дело антивируса. Однако антивирусные сканеры лучше всего работают тогда, когда могут сравнить потенциальный вирус с базой данных уже известных вирусов. Если же вирус "свежий", то он часто остается нераспознанным до тех пор, пока не будет внесен в базу данных и пока она не будет обновлена на зараженном компьютере. На это может уйти от нескольких часов до нескольких дней, а с учетом лени администратора — и недель.

Проведенные тесты показали следующие возможности распространенных межсетевых экранов. При попытке программы организовать массовую почтовую рассылку, содержащую ее копии, McAfee и ZoneAlarm блокируют эту операцию независимо от того, рассылаются ли письма все сразу или по очереди; при этом пользователь получает предупреждение. Panda останавливает "червя" иначе: блокирует все исходящие письма, содержащие во вложениях исполняемые файлы.

Если же червь, такой как Bagle, пытается нелегально открыть порт системы и получит инструкции от удаленного хакера, Panda ничего не может сделать. Маршрутизаторы же блокируют это действие, а программные межсетевые экраны, работающиепо принципу предоставления полномочий, — McAfee, Norton, Sygate и ZoneAlarm — предупреждают о нем пользователя. Впрочем, при этом они принимают червя за Windows Explorer, не сообщая, что на самом деле это червь, маскирующийся под Проводник. Межсетевые экраны с фильтрацией портов PC-cillin и экран Windows XP защищают компьютер тихо и надежно — они сами блокируют попытки червя получить доступ к порту, не заставляя пользователя гадать над значением предупреждений.

Злонамеренные программы не только по-тихому открывают порты — они могут начисто "оголить" компьютер, отключив систему защиты. Panda, Sygate и ZoneAlarm сопротивляются таким атакам, но межсетевой экран Windows XP, McAfee, Norton и Trend Micro выключаются под воздействием кода вторжения — более того, такой код способен удалить файлы последних трех пакетов.

Брандмауэр

Информация предоставлена "Р-Альфа"

Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или

более частей и реализовать набор правил, определяющих условия прохождения пакетов из

одной части в другую (см рис.1).

Как правило, эта граница проводится между локальной сетью

предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия.

Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего

пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы

брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том,

как эти правила описываются и какие параметры используются при их описании речь пойдет

ниже.

Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это

BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных

платформ встречаются INTEL, Sun SPARC, RS6000, Alpha , HP PA-RISC,

семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры

поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства.

Требования к оперативной памяти и объему жесткого диска зависят от количества машин в

защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб

на жестком диске.

Как правило, в операционную систему, под управлением которой работает

брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти

изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом

брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр),

только счет администратора. Некоторые брандмауэры работают только в однопользовательском

режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При

этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются

при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

пакетные фильтры (packet filter)

сервера прикладного уровня (application gateways)

сервера уровня соединения (circuit gateways)

Все типы могут одновременно встретиться в одном брандмауэре.

Централизованное управление

Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места, а также отсутствие специальных программ-агентов на сканируемых узлах, делает систему Internet Scanner&153; незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.

Возможность установки модулей слежения на наиболее критичные участки Вашей сети и возможность централизованного управления ими из единого рабочего места делает систему RealSecure? незаменимым помощником специалистов отделов технической защиты информации любой организации. Также возможен доступ к одному модулю слежения одновременно с нескольких консолей управления. Это дает возможность управлять модулем слежения нескольким администраторам, возможно находящимся в разных подразделениях (например, в отделе защиты информации и управлении автоматизации).

Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места делает систему System Security Scanner? незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.

Система System Security Scanner? обладает уникальной возможностью централизованной инсталляции своих компонентов на удаленных хостах корпоративной сети. Это позволяет администраторам безопасности не сходя со своего рабочего места установить систему S3 на все критичные участки Вашей корпоративной сети и своевременно проводить анализ защищенности узлов.

Что делать с новыми "микробами"?

В своей работе антивирусные сканеры опираются в основном на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они "ловят" и новые вирусы, которых а базе нет, используя эвристические алгоритмы. Строго говоря, слово "эвристический" здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков — например, кода, использующего известную "дыру" в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные "нечеткие" схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков — например, зная признаки вируса Netsky.gen, можно "отловить" его новые варианты вроде Netsky.R.

По данным тестов, из рассмотренных программ самыми удачными эвристическими алгоритмами обладают McAfee и AVG, идентифицирующие 70,1% и 65,6% файлов, зараженных неизвестными вирусами; худший результат оказался у NOD32 — 41,4%. И в любом случае, это гораздо меньше и медленнее, чем при распознавании известных вирусов, так что основным средством своевременного лечения по-прежнему остается регулярное обновление антивирусных баз.

Все программы тестировались в режиме максимально тщательного сканирования. Особый случай представлял собой NOD32: в этой программе предусмотрен повышенный по сравнению с жестким диском уровень эвристического сканирования Advanced Heuristics для электронной почты и веб-трафика, этих основных источников инфекций. Для сканирования жесткого диска этот режим тоже можно использовать, но не средствами графического интерфейса, а с помощью недокументированной команды nod32.exe /AH. В режиме Advanced Heuristics качество сканирования NOD32 возрастает до 53,5%.

К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции только в том случае, если последние принадлежат к уже известным вирусным "семействам", но оказываются бессильны при встрече с совершенно новым вирусом. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных.

Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл.

Что реально можно ожидать от систем обнаружения атак?

Маркус Ранум: Системы обнаружения атак достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем (однако в этих областях уже достигнуты немалые успехи; особенно с развитием теорий нейронных сетей и нечеткой логики - примечание переводчика). Также не следует ожидать, что системы обнаружения атак способны реагировать на атаки путем нападения. Это очень опасная возможность, так как она означает, что ложная тревога или ложное срабатывание может вызвать реакцию, запрещающую ту или иную услугу или блокирующую доступ в сеть. Проблема с системами обнаружения атак состоит в том, что, многие люди, прочтя Neuromancer Уильяма Гибсона, думают, что системы обнаружения атак действуют подобно интеллектуальному "ICE" (что-то вроде искусственного разума, обеспечивающего защиту информационной системы - примечание переводчика) и могут защитить сети намного эффективнее, чем это может быть на самом деле. Я вижу, что, скорее всего, системы обнаружения атак похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях.

Ли Саттерфилд: Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность операционной системы, обнаруживать несанкционированные действия, и автоматически реагировать на них практически в реальном масштабе времени,. Кроме того, системы обнаружения атак могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки,, разнесенные во времени, и, тем самым, прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый "стандартными" средствами, путем управления несанкционированными действиями в реальном масштабе времени. Технология обнаружения атак не решает проблем идентификации/аутентификации, конфиденциальности и т.п., хотя в ближайшем будущем эти механизмы будут интегрированы с системами обнаружения атак.

Кристофер Клаус: Развитие систем обнаружения атак требует дальнейших исследований. Нереально ожидать от систем обнаружения атак, что они будут способны подобно межсетевым экранам защитить всех пользователей от всех угроз (спорный пример - прим. переводчика). Развертыванию системы обнаружения атак должно предшествовать несколько шагов, позволяющих собрать дополнительную информацию, внести изменения в настройки сети. Хорошая система автоматизирует многие этапы этого процесса. Многие заказчики думают, что средства защиты, подобные системам обнаружения атак, защитят их от 100% "плохих вещей". Это не так. В современном мире нет абсолютных средств защиты. Системы обнаружения атак значительно уменьшат вероятность реализации угроз, но и они не совершенны.

Девид Карри: При помощи систем обнаружения атак Вы сможете узнать больше относительно того, что происходит в вашей сети. Вы будете способны собирать данные о том, что поступает в вашу сеть из удаленных источников, и использовать эти данные для эффективного применения средств защиты информации. Однако ошибочно думать, что установка систем обнаружения атак решит все ваши проблемы. Вы по-прежнему должны будете иметь комплексную систему информационной безопасности, объединяющую политику безопасности, обучение, тестирование и применение технических средств. Обнаружения атак - только один элемент этой системы.

Юджин Спаффорд: Реально ожидать от систем обнаружения атак идентификации в практически реальном режиме времени любых попыток использования известных уязвимостей или несанкционированного исследования вашей внутренней сети. Они также должны следить за попытками перегрузки критичных ресурсов. Наряду с этим, они должны выдавать звуковые предупреждения об атаке, выполнять определенные действия и создавать журнал регистрации событий для последующего анализа.

Неразумно ожидать, что системы обнаружения атак будут эффективно идентифицировать неизвестные типы нападений или идентифицировать атаки, разнесенные во времени.

Любая существующая или создаваемая система требует периодического контроля и сопровождения технически грамотным специалистом, постоянно дополняющим ее информацией о новых атаках и уязвимостях. Любая система в некоторых случаях будет ложно генерировать тревоги и сообщать о нападениях. Поэтому требуется некто с достаточным пониманием среды функционирования системы обнаружения атак, который может принимать решения, - ложная ли это тревога или произошла реальная атака.

Что такое IDS

IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности. Мы рассмотрим, для каких целей предназначены IDS, как выбрать и сконфигурировать IDS для конкретных систем и сетевых окружений, как обрабатывать результаты работы IDS и как интегрировать IDS с остальной инфраструктурой безопасности предприятия.

Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDS являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.

IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.

Что такое Internet Scanner?

Система анализа защищенности Internet Scanner&153; разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner&153; вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.

Система Internet Scanner&153; может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.

Постоянная уверенность в том, что в Вашей сети отсутствуют известные уязвимости, достигается путем периодического сканирования функционирующих сетевых устройств и используемого программного обеспечения. Эти профилактические меры помогут Вам своевременно обнаружить потенциальные уязвимости и устранить их до того момента, как ими воспользуются злоумышленники.

Достоинства системы Internet Scanner&153; были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner&153; имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, система Internet Scanner&153; содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.

Что такое межсетевой экран?

Теперь немного терминологии. В данной статье мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные. Уточним основные понятия (по материалам руководящего документа Государственной технической комиссии России).

Под сетями ЭВМ, распределенными автоматизированными системами (АС), в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.

МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Упрощенно, firewall — это устройство, устанавливаемое между сетями и предназначенное для контроля трафика ними.

Как видно из определения, основное назначение систем firewall — регламентировать использование ресурсов одних сетей пользователями других. Появление таких устройств обусловлено существенным усложнением архитектуры сетей и ростом числа различных сетевых сервисов. Основная идея, положенная в основу этого решения, — сосредоточить в одной критической точке все необходимые контрольные функции вместо того, чтобы контролировать доступ и используемые сервисы на всех компонентах сети. Наиболее широкое распространение эта технология защиты получила при использовании открытых сетей.

Что такое RealSecure?

Система обнаружения атак RealSecure? разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure? - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure? построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host-based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut.

Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов Вашей корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.

Достоинства системы RealSecure? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система RealSecure? имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, периодическое обновление базы данных атак системы RealSecure? выгодно отличает ее от других конкурирующих продуктов.

Что такое система анализа защищенности?

При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.

Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.

Что такое система обнаружения атак?

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.

До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.

Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.

Что такое System Security Scanner?

Система анализа защищенности System Security Scanner? (S3) разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. В отличие от системы Internet Scanner, анализирующей уязвимости на уровне сетевых сервисов, система S3 анализирует уязвимости на уровне операционной системы. Кроме того, система S3 проводит анализ защищенности изнутри сканируемого компьютера, в то время как система Internet Scanner? снаружи. На основе проведенных тестов система System Security Scanner? вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.

Система System Security Scanner? может быть использована для анализа защищенности операционных систем Unix (различные версии), Windows NT, Windows 95 и 98.

Большинство нарушений безопасности связано с сотрудниками организации (до 80% всех нарушений). Поэтому система System Security Scanner?, обеспечивающая не только поиск уязвимостей, но и их автоматическое устранение, является важной составляющей комплексной системы безопасности Вашей организации.

Достоинства системы System Security Scanner? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система System Security Scanner? содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.

Cisco IOS Firewall Feature Set

Информация предоставлена "Р-Альфа"

Продукция компании Cisco Systems используется примерно на 80% хостов в Интернет. Операционная система Cisco - IOS содержит в своем составе различные механизмы защиты, включая средства разграничения доступа, расширенные списки межсетевого доступа, средства организации виртуальных корпоративных сетей и т.д.

Firewall Feature Set (FFS) представляет из себя набор дополнительных сервисов, которые позволяют существенно приблизить возможности операционной системы IOS к возможностям межсетевого экрана без приобретения дорогостоящего дополнительного оборудования или программного обеспечения.

Cisco PIX Firewall

Информация предоставлена "Р-Альфа"

Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернет во внутреннюю сеть, так и наоборот.

Для настройки PIX можно использовать графическую оболочку, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров, PIX позволяет осуществлять аутентификацию пользователей. Для аутентификации используются протоколы TACACS+ и RADIUS, которые позволяют использовать для аутентификации как обычные UNIX пароли, так и систему одноразовых паролей S/Key.

PIX позволяет поддерживать до 16 000 одновременных TCP/IP соединений и обеспечивать пропускную способность до 90 Мбит/с. PIX построен на базе сетевой операционной системы CISCO IOS, что обеспечивает полную совместимость по протоколам и средствам мониторинга и управления с оборудованием CISCO, масштабируемость сетей, построенных на базе CISCO, привычный для администраторов CISCO маршрутизаторов интерфейс.

Декабрь

Видный гражданский ученый,

работавший на Канадское министерство национальной обороны, был

арестован по обвинению в торговле детской порнографией после того,

как полиция обнаружила в его каталогах на правительственных компьютерах

большое количество противозаконных материалов. Какие еще примеры

нужны, чтобы убедить руководителей в том, что каждая организация

нуждается в тщательно проработанной, ясной политике, регламентирующей

использование корпоративных Интернет-ресурсов? ("Globe and

Mail", 10 декабря).

Министр здравоохранения

канадской провинции Онтарио Jim Wilson 9 декабря подал в отставку

после того, как правительство решило расследовать действия его

прежнего помощника по коммуникациям, передавшего в газету "Globe

and Mail" конфиденциальную информацию. ("Globe and Mail",

10 декабря).

Телефонного оператора

из Австралии обвинили во вторжении в телефонную линию радиостанции

во время соревнования за приз размером в 40 тысяч американских

долларов. Таким путем оператор обеспечил себе "счастливый"

10-й номер среди позвонивших. В процессе расследования, проведенного

полицией, вскрылись еще две аналогичные махинации, осуществленные

им ранее. (UPI, 10 декабря).

Двое молодых людей признали

себя виновными в шалости на почве корпоративного шпионажа. Шутники

послали в адрес компании Owens Corning безграмотное, с многочисленными

ошибками письмо, запрашивая 1000 долларов в обмен на секретную

информацию, украденную у конкурента - PPG Industries. Patrick

Worthing, 27 лет, контролировал в PPG работу уборщиков и операторов

опытных образцов машин. Он имел доступ во все кабинеты исследовательского

центра PPG и, как предполагают, выкрал списки клиентов, проекты,

секретные формулы, спецификации продуктов и видеозаписи работы

нового оборудования. Благодаря помощи со стороны предполагаемого

покупателя, ФБР смогло арестовать преступников. По иронии судьбы,

два года назад такое же благородство пришлось продемонстрировать

теперешней жертве. Тогда руководители PPG Industries получили

письмо с предложением приобрести секреты, украденные у Owens Corning;

те шпионы также были пойманы ФБР. Обе компании настаивают, что

приобретать информацию, украденную у конкурентов, - глупо и незаконно.

(AP, 11 декабря).

Согласно распространенному

во Флориде докладу, предполагаемые затраты на поиск и исправление

ошибок "двухтысячного года" в производственных системах

(написанных по большей части на Коболе) составляют от 88 до 120

миллионов долларов. Разумеется, ошибки должны быть исправлены

до конца 1999 года. (UPI, 12 декабря).

Зубной врач из Сан-Диего

получил более 16 тысяч экземпляров новой налоговой формы штата

Калифорнии. Виновницей является программа управления почтовой

рассылкой. (RISKS 18.68).

В субботнее утро 14 декабря,

в 00:20, началась атака против доступности сервера WebCom (Санта-Круз).

Атакующий устроил "SYN-наводнение", посылая по 200 пакетов

в секунду. В результате, во время пикового периода продаж, Web-страницы

сотен фирм оказались блокированными на 40 часов. Источник атаки

проследили до некоего места в Британской Колумбии; ФБР и канадская

полиция продолжают поиск преступников. Перед нами еще один случай,

ставший следствием безответственной публикации в журналах "2600"

и "Phrack" подробных инструкций по организации "SYN-наводнения".

(AP, 17 декабря; RISKS 18.69).

Переброской называется

мошенническое, непрошенное переключение междугородных звонков

на другую компанию-оператора дальней связи. Результат переброски

- испуг жертв, получивших большие счета за телефонные переговоры

по сравнению с ожидаемыми от привычного оператора. В середине

декабря Управление по контролю над общественной занятостью (DPUC)

штата Коннектикут было переброшено фирмой Wiltel, без всяких на

то прав переключившей на себя 6 из 14 линий. (RISKS 18.69).

Matthew D. Healy <matthew.healy@yale.edu> сообщил о серьезной "дыре" в серверном программном

обеспечении httpd, разработанном в Национальном центре суперкомпьютерных

приложений ( National Center for Supercomputing Applications, NCSA)

в университете Иллинойса. Любой сервер, выполняющий CGI-процедуру

phf, можно обманом заставить переслать файл /etc/passwd любому

пользователю. Мистер Хили утверждал, что несколько компьютеров

в Йельской школе медицины были успешно атакованы именно таким

способом, и убеждал читателей проверить регистрационные журналы

своих серверов, чтобы узнать, не "скачивал" ли кто-нибудь

файл паролей. (RISKS 18.69). В ответ на множество невежливых,

оскорбительных писем, пришедших после публикации предостережения,

Хили заметил, что, действительно, "дыра" была известна

с марта 1996 года, но он не является профессионалом в области

информационной безопасности, он просто пытается администрировать

учебный компьютер. (RISKS 18.70).

18 декабря Dan Farmer,

автор программной системы SATAN (Security Administrator's Tool

for Analyzing Networks - инструмент администратора безопасности

для анализа сети), опубликовал результаты предварительной проверки

примерно 2200 компьютерных систем, подключенных к Интернет. Само

сканирование Фармер проводил в ноябре-декабре 1996 года. Для проверки

он выбрал популярные и коммерчески-ориентированные Web-серверы;

в качестве "контрольной группы" использовались случайно

выбранные серверы. Применяя простые, ненавязчивые методы, Фармер

установил, что примерно две трети из числа так называемых "интересных"

систем имели серьезные потенциальные бреши в защите. Для сравнения:

среди случайно выбранных систем бреши встречались примерно в два

раза реже! (См. www.trouble.org/survey).

В небольшом городке недалеко

от Копенгагена, шесть датских криминальных хакеров, атаковавших

военные и коммерческие компьютеры (в том числе компьютеры Пентагона),

были приговорены к минимальным срокам тюремного заключения, а

также к штрафам и исправительным работам. Один хакер получил 90

дней тюрьмы, его "коллега" - 40 дней. Согласно утверждениям

адвокатов, "преступники сделали своим жертвам одолжение,

продемонстрировав уязвимость их компьютерных систем". (AP,

19 декабря).

29 декабря Web-страница

ВВС США была "взломана" и разрушена, что побудило Пентагон

отключить от Интернет почти все свои Web-страницы. (Reuters, 30

декабря; AP, 31 декабря).

Информационный сервис

Edupage суммирует первоначальную реакцию на "новое"

законодательство администрации Клинтона в области экспорта криптосредств,

обнародованное в последние дни 1996 года:

Правила экспорта криптосредств вступают в силу, оставаясь

спорными

Министерство торговли

ввело в действие новые правила, призванные ослабить ограничения

на экспорт криптографического программного обеспечения. Тем не

менее, в компьютерной индустрии считают, что эти правила по-прежнему

являются слишком обременительными. Они будут препятствовать эффективной

конкуренции с зарубежными производителями мощных криптосредств.

Юрист из бесприбыльного Информационного центра электронной конфиденциальности

характеризует правительственную стратегию как "игру в фантики".

Он считает, что между старыми и новыми правилами очень мало функциональных

различий, и напоминает, что старые правила были частично отвергнуты

районным судьей из Сан-Франциско. "Они просто завернули конфету

в другой фантик, по существу оставив правила без изменений."

("Washington Post", 31 декабря 1996 года).

В конце года в Интернет

начали циркулировать следующие сатирические вариации на тему вирусного

предупреждения "Good Times":

Новые сногсшибательные новости о вирусе "GOODTIMES"

Оказывается, что этот

так называемый выдуманный вирус на самом деле очень опасен. "Goodtimes"

затрет Ваш жесткий диск. Впрочем, не только его. Он сделает гоголь-моголь

из всех дисков, просто лежащих поблизости от компьютера. Он изменит

режим работы Вашего холодильника, так что все Ваше мороженое растает.

Он размагнитит полоски на всех Ваших кредитных картах, разрегулирует

Ваш телевизор и использует подпространственные гармоники, чтобы

поцарапать компакт-диски, которые Вы попытаетесь проиграть.

Он передаст Вашей прежней

подружке Ваш новый телефонный номер. Он подольет кисель в аквариум.

Он выпьет все Ваше пиво и выложит грязные носки на кофейный столик

как раз к приходу гостей. Он засунет дохлого котенка в задний

карман Ваших лучших брюк и спрячет ключи от машины, когда Вы будете

опаздывать на работу.

"Goodtimes"

заставит Вас влюбиться в пингвина. Он навеет ночные кошмары про

цирковых лилипутов. Он вольет сироп в бензобак Вашего автомобиля

и сбреет Ваши брови, одновременно назначив за Вашей спиной свидание

Вашей подружке и расплатившись за обед и гостиничный номер Вашей

кредитной картой.

Он соблазнит Вашу бабушку.

И не важно, что она уже умерла. Сила "Goodtimes" такова,

что достанет кого угодно и в могиле, лишь бы запятнать все самое

дорогое для Вас.

Он много раз случайным

образом передвинет Вашу машину на стоянке, так что Вы не сможете

найти ее. Он даст пинка Вашей собаке. Он оставит в голосовой почте

Вашего шефа сладострастные послания, произнесенные Вашим голосом.

Он хитер и коварен. Он неуловим. Он опасен и ужасен на вид. Он

бесплотный дух розовато-лиловых тонов.

"Goodtimes"

заразит Вас столбняком. Он запрет туалет изнутри. Он замесит в

Вашей ванне бетон. Он оставит бекон поджариваться на плите, а

Вас в это время заставит бегать за школярами с двустволкой."

Дополнительная информация

Дополнительная информация о компьютерных атаках может быть найдена в статье "Понимание глобального набора программ для организации атак с помощью набора зависимых классификаторов".

Дополнительные возможности

В качестве возможных расширений межсетевой экран позволяет использовать VPN (по специальной

лицензии). Используемые в составе VPN алгоритмы работы являются уникальными и

не позволяют организовать приватный канал с межсетевого экрана других производителей. При

общении между двумя и более BlackHole имеющаяся система поддержки VPN позволяет

решать задачи взаимной аутентификации и смены ключей весьма эффективно.

Новое название Black Hole - SecurIT FIREWALL.

Единый формат базы уязвимостей

В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST в университете Purdue разработала проект такой базы данных. Одна из проблем, с которой пришлось столкнуться исследователям, - это описание уязвимостей и их проверок (атак).

Февраль

14 февраля агентство новостей

"Новый Китай" сообщило, что все китайские пользователи

Интернет должны будут впредь регистрироваться в компетентных органах.

Это сообщение обозначило начало процесса официального закрытия

доступа в Интернет для граждан Китайской Народной Республики.

В сентябре в Китае запретили доступ более чем к ста Web-серверам,

включая "Wall Street Journal", "Washington Post"

и CNN. К концу 1996 года китайские пользователи были официально

ограничены сетью, которая по сути представляет собой Интранет

с фильтрацией международного трафика через национальные межсетевые

экраны.

В средствах массовой информации,

не имеющих технической специализации, появилась куча историй о

предполагаемой опасности заражения вирусом, получившим название

Boza/Bizatch и специфичным для Windows 95. Заблаговременные комментарии

специалистов о чрезвычайно низкой вероятности поражения этим вирусом

были буквально сметены нахлынувшей волной слухов, что привело

к панике среди неквалифицированных пользователей персональных

компьютеров и к всеобщему, хотя и необоснованному, недоверию к

антивирусным продуктам.

Федеральный судья в Филадельфии

вынес частичное временное ограничивающее решение, запрещающее

проведение в жизнь положения закона "О благопристойности

коммуникаций", касающееся непристойностей. Это решение стало

первой победой в юридической борьбе против закона "О благопристойности

...", принятого в конце 1995 года и встреченного всеобщим

негодованием, поскольку по мнению многих он противоречит Первой

поправке к конституции США, гарантирующей свободу слова. Детали

данного судебного дела и последующего успеха в запрещении проведения

в жизнь закона "О благопристойности ..." можно найти

на Web-сервере www.epic.org и по адресу www.aclu.org/issues/cyber/trial/trial.html. В декабре дело передано в Верховный суд, слушания

назначены на март 1997 года.

Представители компании

Intuit Inc. подтвердили, что в их программах расчета налогов (TurboTax

и MacInTax) были ошибки. Компания поместила исправления на свой

Web-сервер, предложила консультационную поддержку и пообещала

уплатить штрафы, наложенные на пользователей из-за ошибок, допущенных

ее программистами. Этот пример полезен для всех теоретиков и практиков

контроля качества, когда нужно проиллюстрировать затраты и выгоды,

связанные с инвестированием более половины средств, выделяемых

на разработку программного обеспечения, в контроль качества.

Профессор Ed Felten и

его дипломники из Принстонского университета продолжали анализировать

слабости в безопасности Java-систем (подробности см. по адресу

www.cs.princeton.edu/sip/). В ноябре David Martin <dm@cs.bu.edu>

из Бостонского университета и его коллеги Sivaramakrishnan Rajagopalan

<sraj@bellcore.com> и Avi Rubin <rubin@bellcore.com>

(оба из компании Bellcore) указали (см. RISKS 18.61), что Java-аплеты

могут атаковать межсетевые экраны изнутри. Их статью можно найти

по адресу lite.ncstrl.org:3803/Dienst/UI/2.0/Describe/ncstrl.bu_cs%2f96-026.

Peter Neumann, ведущий

телеконференции RISKS, рассказал еще об одном случае кибервандализма

(см. также RISKS 17.83). Информационная система небольшой компании

BerkshireNet - поставщика услуг Интернет в городке Питсфилд (пригород

Бостона, штат Массачусетс), 27 февраля 1996 года стала жертвой

атаки, в процессе которой некто, действовавший под видом системного

администратора, уничтожил данные на двух компьютерах, после чего

остановил работу системы. Внеплановый простой продлился около

12 часов. Старые удаленные файлы удалось восстановить, однако

файлы, созданные в течение нескольких последних дней, оказались

утерянными. Перед нами еще один случай, иллюстрирующий важность:

защиты Web-серверов

от несанкционированных изменений;

проводимого достаточно

часто резервного копирования.

29 февраля, как сообщил

в RISKS 17.81 один из корреспондентов, он обнаружил в своем электронном

почтовом ящике присланные из разных мест письма со следующими

датами: 29 Feb 96, 28 Feb 96, 1 May 131, 10 Jan 1936, 1 Jan 70

и 29 Dec 95. Как поют Pink Floyd, еще один кирпич в стене 2000

года...

В Англии криминальные

хакеры изменили тексты, передаваемые говорящими автобусными остановками

(см. RISKS 17.81). Видимо, в качестве демонстрации своих крайне

хвастливых заявлений о том, что криминальное хакерство является

полезной формой социального протеста (такого рода лапшу вешают

в каждом номере ежеквартального хакерского издания 2600), кибервандалы

заменили информацию, необходимую незрячим людям, на ругательства

и непристойности.

В феврале в группу IS/Recon

поступило пространное письмо, автором которого считается Nathaniel

Bornstein. В письме утверждается, что компания First Virtual Holdings

разработала и продемонстрировала программу, полностью подрывающую

безопасность всех известных механизмов шифрования в кредитных

картах для Интернет-коммерции. По мнению автора письма, проблема

не может быть решена с помощью заплат, поскольку она вызвана принципиальным

дефектом, присущим всем схемам шифрования в кредитных картах.

Автор, используя сильные выражения, утверждает, что все методы

передачи информации о кредитных картах внутренне небезопасны (поскольку

все нажатия на клавиатуре персонального компьютера могут быть

зафиксированы троянской программой). Он формулирует следующий

тезис: "На персональном компьютере информация оказывается

незащищенной уже в момент прикосновения к клавише".

FireWall-1 сертифицирован Гостехкомиссией

8 октября 1997 года межсетевой экран FireWall-1 компании Check Point Software Technologies Ltd., пройдя сертификационные испытания, получил сертификат Государственной технической комиссии при Президенте Российской Федерации № 111.

Firewall - не панацея

А. В. Лукацкий

Научно-инженерное предприятие "Информзащита"

Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.

Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.

Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).

На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана - это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.

В данной статье я не буду говорить о достоинствах названных типов межсетевых экранов (этому посвящено немало публикаций), а основное внимание уделю недостаткам, присущим всей технологии в целом.

Форматы отчетов

Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:

текстовом; DIF (Data Interchange Format); HTML; Microsoft Word.

В зависимости от версии системы Internet Scanner&153; дополнительно возможен экспорт отчетов в форматах:

Lotus 1-2-3; RTF; CSV; Microsoft Excel; и многие другие.

Возможно создание графической карты сети (Network Map), содержащей данные об узлах сети и имеющихся на них уязвимостях.

Подсистема генерации отчетов позволяет создавать документы в более чем 30 различных форматах:

Character-separated values; Comma-separated values (CSV); Crystal Report; DIF (Data Interchange Format); Excel 2.1; Excel 3.0; Excel 4.0; Excel 5.0; Excel 5.0 (расширенный); HTML 3.0; HTML 3.2 (стандартный); HTML 3.2 (расширенный); Lotus 1-2-3 (WK1); Lotus 1-2-3 (WK3); Lotus 1-2-3 (WKS); различные форматы баз данных через драйвер ODBC; Rich Text Format (RTF); текстовый; Microsoft Word; и многие другие.

Кроме того, система RealSecure? дополнительно позволяет: сохранять отчеты на жестком диске; сохранять отчеты в базе данных Lotus Notes; сохранять отчеты в папке Microsoft Exchange; пересылать отчеты при помощи механизма Microsoft Mail (MAPI).

Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:

текстовом; HTML; CSV; и многие другие.

Функционирование под управлением многих операционных систем

Система Internet Scanner&153; позволяет проводить анализ защищенности любых сетевых устройств и операционных систем, поддерживающих стек протоколов TCP/IP. Это связано с тем, что при тестировании имитируются атаки, использующие уязвимости протоколов TCP/IP, независимо от платформы, на которой они реализованы. Однако за счет поиска уязвимостей, присущих конкретным системам, максимальной эффективности можно достигнуть при сканировании следующих операционных систем:

Windows NT; Windows 95; SunOS; Solaris; HP UX; AIX; Linux.

Система System Security Scanner? позволяет проводить анализ защищенности следующих операционных систем:

Windows NT; Windows 95; Windows 98; SunOS; Solaris; HP UX; AIX; IRIX; Linux.

Функционирование системы Internet Scanner

Система Internet Scanner&153; выполняет серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атаки на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы и т.п., и заканчивая попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля".

Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.

Функционирование системы RealSecure

Система RealSecure? может использоваться как для обнаружения атак, осуществляемых снаружи корпоративной сети, так и для выявления внутренних нарушений требований установленной политики безопасности. Применение системы RealSecure? не исключает использования других средств обеспечения информационной безопасности, таких как, например, межсетевые экраны, серверы аутентификации и т.п.

Некоторые организации назначают отдельные подразделения или людей, которые контролируют в реальном масштабе времени сетевой трафик и соответствующим образом реагируют на атаки в случае их обнаружения. Другие организации воздерживаются от контроля в реальном масштабе времени и полностью полагаются на последующий анализ регистрационных журналов. Указанные решения зависят от структуры организации и от того насколько полно укомплектован отдел защиты информации или управление автоматизации. Система RealSecure? одинаково хорошо поддерживает оба этих варианта.

Система RealSecure? не только позволяет эффективно обнаруживать и отражать атаки на узлы Вашей сети. Данные, сохраняемые в регистрационных журналах, позволяют проводить периодический анализ уровня защищенности сети. Например, если в процессе анализа журналов выясняется, что определенные узлы сети подвергаются большому числу атак, можно исследовать, почему это происходит и выработать эффективные меры по дальнейшему предотвращению такого рода атак.

Модули слежения системы RealSecure? необходимо установить на каждый сегмент сети, в котором циркулирует критичная информация. Это позволит дополнить существующие механизмы разграничения доступа (например, систему Secret Net), предотвращая и регистрируя все попытки обойти их.

Функционирование системы System Security Scanner

Система System Security Scanner? выполняет анализ защищенности узла с двух позиций. Во-первых, анализируются настройки операционной системы, которые могут быть использованы злоумышленниками для осуществления атаки. А во-вторых, сканируемая система проверяется на наличие "следов", уже оставленных злоумышленниками.

Где должна быть размещена система

Ранум: Я бы поместил систему обнаружения атак внутри. Почему я должен заботиться, нападает ли кто-то вне моего межсетевого экрана? В случае если они проникнут внутрь, система обнаружения атак должна определить это. Размещение системы снаружи быстро убаюкает бдительность администратора. Как-то я использовал высокоэффективный межсетевой экран, который предупреждал меня, когда происходила атака. Двумя неделями позже я удалял предупреждающие сообщения еще до их прочтения. Другой важный фактор, говорящий за помещение системы обнаружения атак внутрь, что далеко не все атаки происходят снаружи. Такое размещение позволит обнаружить новое сетевое соединение или атакующих, проникших через "черный ход", например, через модем.

Карри: Система обнаружения атак должны быть размещена там, где она сможет контролировать наиболее интересующий вас трафик. Например, если Вы опасаетесь вторжения из Internet, то имеет смысл поместить систему обнаружения атак снаружи межсетевого экрана. Это позволит "свободно" контролировать весь входящий трафик. Если вы помещаете систему внутрь, то вы не видите всего трафика, приходящего из Internet, в том числе и от "плохих парней".

Саттерфилд: Система обнаружения атак играет важную роль и внутри и снаружи межсетевого экрана. Снаружи межсетевого экрана система обнаружения атак контролирует трафик, приходящий на почтовые и Web сервера (размещенные в DMZ - примечание переводчика). Что более важно, такое размещение позволяет видеть трафик, который обычно блокируется межсетевым экраном и остается необнаруженным внутренними системами. Внешнее расположение также дает выгоду в случае постоянного контроля сетевых услуг, "законных" для межсетевого экрана (например, контроль почтовых бомб в SMTP-трафике - примечание переводчика). Внутреннее размещение позволяет контролировать трафик во внутренней, защищаемой сети. Это важно, особенно для защиты от авторизованных пользователей. Главный же недостаток такого размещения - невозможность контроля трафика, приходящего из внешних, недоверенных сетей. При таком размещении система обнаружения атак не в состоянии вовремя предупредить об очевидных сигналах о надвигающейся атаке (например, при сканировании портов - примечание переводчика).

Клаус: Снаружи межсетевого экрана - это почти всегда хорошая идея. Защита устройств, находящихся в демилитаризованной зоне и дополнительный уровень защищенности внутренней сети. После межсетевого экрана - тоже неплохо. Обнаружение попыток несанкционированного использования туннелей через межсетевой экран и превосходный источник данных о его функционировании. Однако быть может самым лучшим местом развертывания системы обнаружения атак будет ваша intranet. Каждый согласится, что атака не единственное событие, приносящее вред. Существуют еще мошенничество, шпионаж, воровство и неправильное использование сетевых ресурсов. Системы обнаружения атак также эффективны внутри сети, как и снаружи, особенно, если они просты в эксплуатации и не влияют на производительность сети.

Спаффорд: Система обнаружения атак всегда должна находиться после межсетевого экрана, чтобы обнаружить злоупотребления, совершаемые авторизованными пользователями, и некоторые типы атак, "проходящие" через межсетевой экран. Размещение снаружи может быть полезным, если вы хотите контролировать атаки на межсетевой экран и осуществлять контроль трафика, блокированного межсетевым экраном. Однако развертывание системы обнаружения атак будет бесполезным, если вы не до конца понимаете топологию и состав своей сети.

Глубина сканирования

Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может использовать либо один из четырех изначально устанавливаемых шаблонов, определяющих степень детализации сканирования (Heavy, Medium, Light, OS Identification), либо создавать на их основе свои собственные шаблоны, учитывающие специфику используемого сетевого окружения. Все вновь созданные шаблоны могут быть сохранены для последующего использования.

Безопасность и Internet - статьи

Guardian в межсетевом экране является заменой стандартного UNIX inetd демона. В данной

реализации межсетевого экрана guardian является единственным процессом, находящегося в ожидании соединения по сети. При получении соединения этот процесс сверяется со

специальной базой данный, и в случае, если соединение разрешено, запускает соответствующий

proxy.

Guardian управляется специальной программой контроля, допускающей

использование команд: THROTTLE (остановить), RELEASE (продолжить работу),

RECONFIGURE (перечитать файл конфигурации).

Guardian стартует при первоначальном запуске системы и должен управляться

только через вышеописанный интерфейс.

Июль

Два жителя Бруклина были

арестованы за кражу 80 тысяч номеров сотовых телефонов у проезжих

автомобилистов. По словам сотрудников секретных служб, это крупнейшая

кража такого рода в истории США. Если бы эти номера удалось реализовать

на черном рынке, ущерб от незаконно использованных телефонных

услуг составил около 80 миллионов долларов (AP, 2 июля).

В июльском выпуске бюллетеня

"Health Letter" сообщается, что аналоговые сотовые телефоны

вызывают "минимальную интерференцию" в течение 3% времени

своей работы, тогда как все цифровые телефоны демонстрируют заметный

уровень интерференции с устройствами, задающими частоту сокращения

сердечной мышцы. (RISKS 18.47).

Потерпев впечатляющую

неудачу в контроле качества продуктов для других стран, корпорация

Microsoft вынуждена была принести извинения за испаноязычный электронный

словарь, распространявшийся в Мексике. Словарь предоставлял непристойные

синонимы многих слов и вызвал политический скандал. (6 июля).

35-летний компьютерный

оператор нанес своему работодателю, компании Thorn UK, ущерб в

размере более полумиллиона фунтов. Оператор, в знак недовольства

начальником, скрытно отсоединил несколько кабелей от миникомпьютера

AS/400. Адвокат пытался доказать, что его подзащитный сошел с

ума от напряжения, вызванного постоянным чередованием работы с

дневную и ночную смены. После отключения кабелей компьютерная

система стала периодически зависать, пока дорогостоящий специалист,

прилетевший из США, не обнаружил проявления саботажа. Оператора

приговорили к году тюремного заключения. (PA News, 9 июля).

Полиция предупредила путешественников

о необходимости защищать свои лэптопы от краж в аэропортах. Обычный

сценарий кражи таков. Два вора дожидаются, когда их жертва поставит

лэптоп на ленту транспортера устройства просвечивания. Компьютер

начинает движение через сканер, а в это время воры влезают в очередь

перед хозяином лэптопа. Один быстро проходит контрольный пункт,

а другой, намеренно набравший в карманы всяких железяк, задерживает

всех на несколько секунд. Пользуясь этим, первый вор хватает выехавший

из устройства просвечивания переносной компьютер и исчезает. ("Wall

Street Journal", 9 июля).

В августовском номере

Windows Magazine сообщается, что многие Web-серверы не защищены

от вторжений, совершаемых с помощью обычных программ-навигаторов.

Используя стандартные средства поиска в WWW, исследователи обнаружили,

что многие серверы предоставляют неограниченный доступ к своим

файлам на чтение и даже на запись. (Более подробную информацию

можно найти по адресу http://techweb.cmp.com/corporate).

Национальная ассоциация

кабельного телевидения США объявила о своем намерении предоставить

кабельное хозяйство для высокоскоростного доступа в Интернет для

95 тысяч частных и общественных школ. (AP, 9 июля). Не было никаких

свидетельств, что программа включает в себя какие-либо элементы

обучения детей и учителей, которые получат доступ к Интернет.

Будем надеяться, что школьникам хотя бы разъяснят основные этические

нормы, ведь результатом всеобщего неведения может стать новое

поколение криминальных хакеров.

Сингапур пополнил список

правительств, пытающихся препятствовать свободному информационному

обмену с остальным миром. Новые правила лицензирования ставят

поставщиков Интернет-услуг под строгий контроль, обязывая их по

возможности блокировать антиправительственные и порнографические

материалы. Компетентные органы, однако, настойчиво отрицают наличие

какой бы то ни было цензуры; по их словам, они просто просят лицензиатов

об ответственном поведении. (AP, 11 июля). В течение недели одна

из компаний-поставщиков закрыла доступ к телеконференции Usenet,

в которой житель Сингапура покритиковал авторитетную сингапурскую

юридическую фирму. (AP, 19 июля). Агентский сервер китайского

правительства начал функционировать в конце августа; в сентябре

его ввели в промышленную эксплуатацию. В конце сентября в Бирме

запретили использование модемов и факс-машин.

Старшеклассники из Сан-Франциско

проникли в офисную АТС местной производственной компании и атаковали

ее систему голосовой почты. Они удалили информацию, изменили пароли,

завели новые счета для собственного использования и в конце концов

развалили систему, перегрузив ее. Компания потратила 40 тысяч

долларов на техническую поддержку, осуществляемую внешним специалистом.

("San Francisco Chronicle", 10 июля 1996 года, с. A13;

RISKS 18.26).

В середине июля корпорация

General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile

и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном

обеспечении двигателя могла привести к пожару. (RISKS 18.25).

Одна студентка потеряла

драгоценную стипендию в 18 тысяч долларов в Мичиганском университете

из-за того, что ее соседка по комнате воспользовалась их общим

входным именем и отправила от имени своей жертвы электронное письмо

с отказом от стипендии. (UPI, 12 июля). Месяцем позже соседка

созналась в своем поступке, заплатила крупный штраф, а университет

восстановил пострадавшую студентку в правах.

Компания Dataquest опубликовала

прогноз, согласно которому объем мирового рынка информационной

безопасности за период с 1996 по 2000 год более чем удвоится и

составит в денежном выражении 13.1 миллиарда долларов (в 1996

году - 5.9 миллиарда).

По сообщению специалистов

компании McAfee, в июле был открыт первый в мире макровирус для

Excel, названный "Laroux". Компания тут же выпустила

антивирусную программу. По-видимому, этот вирус не содержит разрушительной

"начинки".

22 июля фондовая биржа

в Иоханнесбурге прервала работу во второй раз за последние две

недели (10 июля было установлено новое программное обеспечение).

Причина - плохой контроль качества программ. (RISKS 18.28). В

середине октября Каирская фондовая биржа столкнулась с проблемами

в недавно установленном программном обеспечении. После аварии

системы биржевые цены и объем торгов значительно упали (Reuters,

16 октября). В декабре фондовая биржа в Гонконге испытала падение

акций на 1% при объеме торгов в 1 миллиард долларов, когда система

автоматического сопоставления и исполнения заявок выдала ложное

сообщение о снижении на 4% индекса Hang Seng (это основной показатель

на данной бирже). Ошибочные данные вызвали панические продажи,

продолжавшиеся около 20 минут. (RISKS 18.67).

24 июля в Комитет по торговле

Сената США поступил законопроект 1726 - "Поддержка онлайновой

коммерции в цифровой век" (Promotion of Commerce Online in

the Digital Era Act, известный также под названием "pro-code").

Этот законопроект должен отменить большинство экспортных ограничений

и запретить обязательное восстановление ключей. В сентябре слушания

по законопроекту не состоялись.

В подпольном мире состоялся

крупный съезд криминальных хакеров (Defcon IV). В Лас-Вегас приехали

также некриминальные элементы, заинтересованные в информационной

безопасности. Среди докладчиков была Netta Gilboa, издатель журнала

"Gray Areas Magazine". В свое время у нее нашел убежище

юный беглец Christopher Schanot. Ее выступление постоянно перебивали

и в конце концов вырвали презентационные материалы у нее из рук.

Этот инцидент вызвал бурное негодование в списке рассылки DEFCON.

Июнь

Правительство Вьетнама

опубликовала новые законы о контроле доступа к Интернет, закрыв

все сервисы, представляющие угрозу национальным интересам. (AP,

4 июня).

В газете "London

Times" от 3 июня сообщается, что хакерам было выплачено 400

миллионов фунтов стерлингов в качестве отступного за обещание

не поднимать шума. Хакеры осуществили электронное проникновение

в ряд банков, брокерских контор и инвестиционных компаний Лондона

и Нью-Йорка, установив там логические бомбы. Банки предпочли удовлетворить

требования вымогателей, поскольку огласка случаев электронного

взлома могла бы поколебать уверенность клиентов в безопасности

банковских систем.

Средства массовой информации

советуют администрации Клинтона сформировать группу обеспечения

кибербезопасности для определения национальных интересов при защите

от информационного оружия. ("USA Today", 5 июня).

В Питсбурге трехлетний

малыш получил извещение о необходимости уплатить 219495 долларов

подоходного налога. Родители мальчика пережили немало тяжелых

минут, доказывая, что произошла ошибка. ("Но мой компьютер

говорит...".)

На слушаниях в постоянном

сенатском подкомитете по исследованиям адвокат Dan Gelber привел

данные неназванной исследовательской фирмы. Согласно этим данным,

общемировые потери в секторе коммерческих и финансовых услуг составили

за год около 800 миллионов долларов. Более половины потерь приходится

на долю американских компаний. ("Wall Street Journal",

6 июня).

Содержите компьютеры в

чистоте! Как свидетельствует доклад, опубликованный в Швеции,

сочетание пыли и статического электричества приводит к росту числа

кожных раздражений у пользователей компьютерных терминалов. (RISKS 18.21).

Британская компания Davy

International возбудила иск о промышленном шпионаже против австралийской

фирмы VA Technologie AG. По постановлению суда истец получил документы

общим объемом 2000 страниц и компьютерные диски, содержащие информацию,

принадлежащую Davy International; все это было изъято у ответчика.

VA Technologie решительно отвергла обвинения в свой адрес (Dow

Jones, 6 июня). Несколько недель спустя норвежская кораблестроительная

фирма Kvaerner ASA (родительская компания Davy) присоединилась

к процессу против VA. Недолго думая, VA Technologie возбудила

встречный иск против своих обвинителей. (Dow Jones, 21 июня).

Телезрители чикагского

региона были поражены, когда вместо знакомой (весьма, кстати сказать,

слащавой) телеигры Jeopardy, в которой три участника дают ответы

в форме вопросов, они увидели прыгающих обнаженных женщин. Оказалось,

что из-за технической неисправности компания Continental Cablevision

10 минут транслировала Playboy Channel на частотах, выделенных

для телеигры. (RISKS 18.22).

Компания Lexis-Nexis,

предоставляющая информационные услуги, отреагировала на шквал

критики, в особенности от пользователей Интернет. В набор персональных

сведений, выдаваемых сервисом P-Trak Person Locator Service, перестал

включаться номер социального страхования. Однако, после тысяч

телефонных звонков по поводу ложной информации, циркулирующей

в Интернет, попавшая буквально в осаду компания предложила средства

для удаления неправильных записей из базы данных. (AP, 13 июня;

UPI, 20 сентября).

Министр юстиции США Janet

Reno поддержала идею составных ключей для криптостойких средств,

но предложила, чтобы в качестве хранителей ключей выступали частные

организации, а не правительственные агентства.

Секретные службы США объявили

об аресте 259 подозреваемых, которых обвиняют в нанесении ущерба

на сумму более 7 миллионов долларов в результате махинаций с сотовой

связью (Reuters, 18 июня). Практически одновременно AT&T Wireless

Services начала трехмесячную просветительскую компанию с размещением

информации в вагонах Нью-Йоркской подземки, на почтовых открытках

и рекламных щитах. Потенциальных воров предупреждали, что компании-операторы

сотовой связи имеют возможность отслеживать украденные телефоны.

Еще об одном подозрении

в промышленном шпионаже. Американское отделение немецкой фармацевтической

фирмы Boehringer Mannheim Corp. обвинило Lifescan Inc., подразделение

компании Johnson & Johnson, производящее продукты для диабетиков,

в поощрении промышленного шпионажа. Основанием для обвинения послужило

присуждение премий "Inspector Clouseau" и "Columbo"

сотрудникам, добывшим наибольшее количество сведений о конкурентах.

(AP, 19 июня).

В середине июня крупная

компания-поставщик Интернет-услуг Netcom допустила 13-часовой

перерыв в работе, результатом которого стало массовое негодование

клиентов и резкое падение курса акций - с $33.25 до $28.75 (Reuters,

21 июня; RISKS 18.23). Днем позже система электронной почты в

сети America Online была на час выведена из строя из-за ошибки

в новом программном обеспечении. Остроумные комментаторы тут же

переименовали сервис в "America Offline". В августе

сеть America Online не работала 19 часов.

В Британии Mathew Bevan

и Richard Pryce были обвинены в заговоре с целью получения несанкционированного

доступа к компьютерам и внесения несанкционированных модификаций

в компьютеры. Им приписывают вторжения в компьютерные системы

армии США и ракетно-космического концерна Lockheed. (PA News,

23 июня).

Подданный Аргентины Guillermo

Gaede был приговорен судом Сан-Франциско к 33 месяцам заключения

в федеральной тюрьме. Гильермо сознался в том, что он отправил

видеокассеты с описанием технологии производства Intel-микросхем

в адрес компании AMD, одного из главных конкурентов Intel. Представители

AMD немедленно уведомили полицию о присланном "подарке",

и это позволило задержать промышленного шпиона. (Reuters, 24 июня).

Директор ЦРУ John Deutch

предостерег Конгресс о том, что США сталкиваются с растущей угрозой

атак против компьютерных сетей. Эти киберпространственные атаки

могут быть инициированы другими странами и террористами.

В городе Леония (штат

Нью-Джерси) был арестован 14-летний мальчик. Его обвинили в использовании

фальсифицированных номеров кредитных карт для кражи компьютерного

оборудования на сумму 5 тысяч долларов. Мальчик использовал генератор

номеров кредитных карт, взятый им в Интернет, и случайно создал

номер кредитной карты. числившейся в списке украденных. (Reuters,

29 июня).

В июньском выпуске бюллетеня

"Health Letter", издаваемого Public Citizen Health Research

Group, рассказывается о влиянии радиочастотных помех на медицинские

устройства. Такие помехи не давали пневмо-монитору извещать персонал

больницы о прекращении дыхания у пациента. Имплантированный дефибриллятор

направлял импульс здоровому сердцу. Электрические устройства интерферировали

с двигателями инвалидных кресел. Особенно чувствительными к радиопомехам

оказались имплантированные устройства, задающие частоту сокращения

сердечной мышцы. (RISKS 18.47).

Один пункт в июньском

докладе группы NCSA IS/Recon представляет особый интерес. Приведем

его полностью.

Компьютерные системы библиотек

- излюбленные цели начинающих хакеров

Источник: IS/Recon

Дата: июнь 1996

Достоверность: высокая

Группа IS/Recon обратила

внимание на то, что компьютерные системы публичных библиотек стали

излюбленным объектом атак со стороны начинающих хакеров. Использование

этих систем "квалифицированными" хакерами также вероятно,

хотя они сообщают об этом реже, чем их младшие коллеги. Несколько

подпольных источников IS/Recon недавно опубликовали процедуры

атак на DYNIX - вариант ОС Unix, используемый во многих американских

школах и библиотеках.

После того, как члены

группы IS/Recon недавно ликвидировали последствия атаки шайки

хакеров на компьютерную систему небольшой компании-поставщика

Интернет-услуг, они выяснили, что эта шайка систематически вторгалась

в сети публичных библиотек штата. Примерно в это же время члены

группы IS/Recon проводили обследование компании, расположенной

в том же штате, на предмет ее информационной безопасности. Оказалось,

что в учебном центре компании имеется терминал, связанный с библиотечной

сетью.

Группа IS/Recon рекомендует,

чтобы компании, располагающие подключениями к сетям публичных

библиотек, изолировали их "воздушной прокладкой" от

остальной части своей корпоративной сети.

Имеется ли технология обнаружения атак, которая предпочтительней других?

Клаус: Сегодня имеется два основных подхода к построению систем обнаружения атак: анализ пакетов, передаваемых по сети и анализ журналов регистрации операционной системы или приложений. В то время как эти подходы имеют свои сильные и слабые стороны, мы чувствуем, что сетевой подход к обнаружению атак (network-based) более эффективен по двум причинам: реагирование в реальном масштабе времени и более низкая стоимость операций. Системы обнаружения атак, основанные на анализе сетевых пакетов, позволяют среагировать на нападение до того, как атакующий завершит его, тем самым, обеспечивая защиту в реальном масштабе времени. Развертывание системы обнаружения атак на сетевых сегментах более эффективно за счет быстрой инсталляции, а также за счет того, что пользователь не сможет отключить систему и тем самым нарушить защиту периметра.

Ранум: Имеется два основных типа систем обнаружения атак: экспертные и сигнализирующие системы. Экспертные системы пытаются анализировать сетевой трафик, "обучаться" на нем и обнаруживать аномалии. Это требует интенсивной работы и трудно реализуемо. Самая большая проблема экспертных систем - генерация большого числа ложных тревог. Такого рода системы для уменьшения числа ложных тревог требует предварительной настройки. Сигнализирующие системы обнаружения атак намного проще и более надежны. Они почти не выдают ложных тревог и не требуют серьезной настройки. Это, своего рода, решение "в лоб", которое заключается в поиске соответствий некоторому словарю известных нападений. Когда обнаруживается соответствие шаблону, система сигнализирует о нападении. Ни один из этих вариантов не лучше другого. Идеальным вариантом служила бы система, объединяющая в себе оба этих типа. Я предсказываю, что каждый производитель будет пытаться продавать свои системы как экспертные, поскольку сейчас это модно и позволяет получить больше денег.

Карри: Сегодня существует два основных подхода, применяемых в коммерческих системах - обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые - регистрационные журналы. В любом случае, система обнаружения атак ищет известные шаблоны, которые указывают на нападение. Принципиальное преимущество сетевых систем обнаружения атак в том, что они идентифицируют нападения прежде, чем оно достигнет атакуемой системы. Эти системы проще для развертывания на крупных сетях, потому что они не требуют установки на десятки различных платформ. И в заключение, эти системы практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы. Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, может снизить производительность защищаемого хоста. Оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить все узлы организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором.

Саттерфилд: Имеется ли более предпочтительная технология обнаружения атак? На заре исследований в этой области постоянно проходили большие дебаты о том, какая модель обнаружения атак лучше - "обнаружение аномалий" (anomaly detection) или "обнаружение злоупотреблений" (misuse detection). "Аномальный" подход сосредотачивается на формировании статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Это красиво в теории, но практически нереализуемо. Этот подход страдает тем, что порождает слишком большое число ложных тревог. Второй подход (misuse detection) намного более простой. Ищите известные сигнатуры и бейте тревогу, когда найдете их. Это гораздо более надежно и выполнимо. Именно на этом подходе основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода. Я полагаю, что именно комбинация этих двух подходов станет первым шагом в развитии следующего поколения систем обнаружения атак. Я бы предложил термин "сигнатуро-основанное обнаружение аномалий". Это звучит несколько странно, но возможно именно этот термин будет главенствовать в следующие годы.

Спаффорд: Это зависит от того, какова угроза, политика безопасности, уровень защиты, доступность других мер (например, применение межсетевых экранов), вид реагирования и т.п. Например, система, осуществляющая статистический анализ журналов регистрации в поисках аномального поведения, хорошо подходит для обнаружения атак "постфактум". Такие системы сильно загружают процессор и требуют большого дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени. Системы, обнаруживающие атаки на основе анализа трафика, прекрасно применимы в системах, в которых наибольшее волнение вызывают внешние нарушители, которые пытаются применять "стандартные" средства поиска уязвимостей. Ни одна из названных систем не решает всех поставленных задач, и имеются свои плюсы и минусы.

"Имитация атак" (exploit check)

Перевода термина "exploit" в российских публикациях я нигде не встречал и эквивалента в русском языке также не нашел. Поэтому воспользуюсь переводом "имитация атак". Данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в программном обеспечении.

Некоторые уязвимости не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.

Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.

Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.

Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа "Packet Storm"), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании"). При включении любой из проверок этой группы система Internet Scanner выдает сообщение "WARNING: These checks may crash or reboot scanned hosts" ("Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы").

Информация о некоторых первоисточниках

Новостийные статьи обычно

разыскивались через сервис Executive News Service (ENS) сети CompuServe.

Информация о сервисе Edupage

Дайджесты Edupage пишут

John Gehl <gehl@educom.edu> и Suzanne Douglas <douglas@educom.edu>.

Телефон: (001) 404-371-1853, факс: (001) 404-371-8057. Техническая

поддержка осуществляется службой информационных технологий университета

штата Северная Каролина. Чтобы подписаться на Edupage, направьте

электронное сообщение по адресу:

listproc@educom.unc.edu

В теле сообщения напишите:

subscribe edupage Benjamin Disraeli

(если Вас зовут Бенджамин

Дизраэли; в противном случае укажите Ваше собственное имя). Чтобы

отказаться от подписки, направьте по вышеуказанному адресу текст

unsubscribe edupage

Если у Вас возникли проблемы

с подпиской, пишите по адресу:

manager@educom.unc.edu

Архивы и переводы. Дайджесты

Edupage переводятся на китайский, французский, немецкий, греческий,

иврит, венгерский, итальянский, корейский, литовский, португальский,

румынский, словацкий и испанский. Переводы и архивы можно найти

на Web-сервере www.educom.edu/

Чтобы получить информацию

о подписке на переводную версию Edupage, направьте письмо по адресу:

translations@educom.unc.edu

Educom - преобразуем образование

посредством информационных технологий.

Информация о телеконференции

RISKS

Дата: 15 августа 1996

года (дата последних изменений)

От: RISKS-request@csl.sri.com

Тема: Краткая информация

о телеконференции RISKS (comp.risks)

RISKS Forum - это модерируемый

дайджест. Его эквивалент в Usenet - comp.risks.

О подписке. Если это возможно

и удобно для Вас, читайте RISKS средствами телеконференций из

comp.risks или эквивалентного источника.

Можно использовать сервис

Bitnet LISTSERV.

Можно направить почтовый

запрос по адресу:

risks-request@csl.sri.com

с однострочным текстом:

SUBSCRIBE (или UNSUBSCRIBE)

[сетевой адрес, если он отличается от указанного в заголовке FROM:]

чтобы подписаться или

прекратить подписку на почтовую версию, или

INFO

чтобы получить краткую

информацию о телеконференции RISKS.

Информационный файл (аннотация,

подразумеваемые оговорки, архивные серверы, рекомендации для подписчиков

из областей управления .mil, .gov и .uk, политика в области авторских

прав, информация о дайджесте PRIVACY и т.п.) доступен по адресам:

http://www.CSL.sri.com/risksinfo.html

ftp://www.CSL.sri.com/pub/risks.info

Подробный информационный

файл появится отныне и на веки веков в одном из следующих выпусков.

Предполагается, что все

авторы, пишущие в RISKS, ознакомились с информационным файлом.

Материалы в телеконференцию

RISKS следует направлять по адресу:

risks@CSL.sri.com

снабдив их осмысленным

заголовком SUBJECT:.

Архивы доступны по адресам:

ftp://ftp.sri.com/risks

ftp ftp.sri.com<CR>login

anonymous<CR> [Ваш Интернет-адрес]<CR>cd risks

http://catless.ncl.ac.uk/Risks/<том>.

<выпуск>.html

В каталоге risks сервера

ftp.sri.com содержится также самая свежая PostScript-версия исчерпывающей

хронологической подборки однострочных "выжимок", которую

поддерживает Peter G. Neumann

написание слов, которые могут послужить

Материалы предоставлены компанией Jet Infosystems

В тексте оставлено англоязычное

написание слов, которые могут послужить аргументом поиска в Интернет

- прим. перев.

© 1997 National Computer

Security Association. All rights reservedURL: www.ncsa.com

М.Е. Кабай, доктор

наук, Национальная ассоциация информационной безопасности США

Автор, M.E. Kabay,

сын русского эмигранта Ильи Кабашникова, покинувшего город Вильно

в 1917 году, шлет теплые поздравления своим неизвестным родственникам,

проживающим в России.

Январь Февраль Март Апрель Май Июнь	Июль Август Сентябрь Октябрь Ноябрь Декабрь
Информация о некоторых первоисточниках

Людям нравится перспектива

- и пространственная, и временная. Может быть, по этой причине

каждый год многие из нас оглядываются назад, на прошедшие 12 месяцев,

и вспоминают, что изменилось за это время в области их профессиональных

интересов. В "NCSA News" публикуется обзор года "The

InfoSec Year in Review", чтобы осмыслить события, произошедшие

в области информационной безопасности. Наша группа исследований,

обучения и консультирования, естественно, имеет удовольствие писать

этот обзор. Предлагаемая вниманию читателей статья представляет

собой существенно расширенную версию доклада, опубликованного

в январском выпуске "NCSA News" за 1997 год. Каждый

месяц мы готовим свежую сводку событий для наших учебных курсов

"InfoSec Update"; в статье сохранено разбиение по месяцам.

Кроме фактов, ниже излагаются некоторые соображения по поводу

наиболее примечательных событий.

Intrusion Detection Systems (IDS) Лекция из курса «Межсетевое экранирование»

Лапонина Ольга Робертовна
Интернет-Университет Информационных Технологий, INTUIT.ru

Инженеры человеческих душ

А. В. Лукацкий

Научно-инженерное предприятие "Информзащита"

- Алло!

- Справочная Киевского вокзала слушает.

- У вас заложена бомба.

- !?…

В последние годы телефонные террористы стали нормой нашей жизни и приведенные выше звонки уже мало кого удивляют. Зная, что такое может произойти, люди зачастую даже не задумываются о том, имеется ли какая-нибудь подоплека под таким звонком. Телефонные "шутники" пользуются тем, что абсолютное большинство людей опасаются терактов и поэтому такие "шутники" неистребимы. Но причем тут информационная безопасность? А притом, что аналогичными методами пользуются и хакеры, пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод "социальный инжиниринг") и являются темой данной статьи.

Использование протокола ODBC

Вся информация о процессе сканирования сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о проведенных сеансах сканирования в Ваших собственных системах.

Изначальная конфигурация.

Изначально МЭ не содержит никаких сетевых

пользователей, все сетевые сервисы закрыты. В первую очередь

необходимо в соответствии с политикой безопасности сети определить

защищаемый интерфейс, правила приема/передачи электронной почты.

По умолчанию системный журнал сконфигурирован таким образом, что

в него записываются:

сообщения ядра

сообщения о состоянии файловой системе

все попытки доступа ко всем сетевым сервисам

все факты использования МЭ

все факты, связанный с аутентификацией пользователей

Кроме этого, во всех записях, связанный с сетевой работой содержится информация о:

адрес инициатора соединения

адрес удаленной стороны

время события

начала сессии

конец сессии

количество переданных байт

количество принятых байт

использование тех или иных специальных параметров протокола

результаты аутентификации пользователя

попытки смены пароля и иного общения с системой авторизации

Для защиты самого МЭ используются следующие механизмы:

ограничение доступа по узлам файловой системы (UNIX chroot)

отсутствие пользователей на МЭ

система контроля целостности программ и ключевых файлов

Управление пользователями МЭ позволяет:

определить способ аутентификации для каждого пользователя отдельно

создавать группы пользователей

определять для каждого пользователя/группы время работы

определять для пользователя/группы использование тех или иных протоколов

в зависимости от времени суток, адреса источника и destination.

определять по правилам предыдущих пунктов возможность использования

конкретных параметров и управляющих директив протоколов.

устанавливать для пользователей право изменения пароля

МЭ поддерживает два основных режима работы - прозрачный и обычный.

при использовании обычного режима порядок действий пользователя для

соединения с машиной по другую сторону МЭ выглядит следующим образом:

соединяется с МЭ

проходит авторизацию (в зависимости от политики безопасности)

дает команду proxy на соединение с удаленной машиной

Второй пункт обычно используется в случае доступа со стороны открытой

сети, доступ изнутри наружу может быть разрешен без дополнительной

авторизации. Работа в прозрачном режиме выглядит так:

дается команда на соединение с внешней машиной

авторизация

Т.е. при доступе из сети, не требующей авторизации, пользователь просто

соединяется куда пожелает, и наличие МЭ ему не видно.

При работе в любом режиме действуют все правила, определенные администратором

МЭ

Известные свободно распространяемые проекты

Рассмотрим некоторые важные свободно распространяемые инструментальные средства защиты.

Январь

Первая проблема возникла

в самую первую секунду года. Добавление лишней секунды создало

трудности для программного обеспечения, управляющего распространением

единого всемирного времени из Национального института стандартов

и технологий (NIST) США. Лишняя секунда заставила добавить к дате

целый лишний день (см. RISKS DIGEST 17.59). Подождите до 2000

года, если хотите увидеть настоящие проблемы, связанные с календарями

и часами.

С начала января и до конца

февраля во всем мире продолжали критиковать запрет на доступ через

CompuServe к двумстам телеконференциям Usenet, наложенный в конце

1995 года в качестве дикой, явно неадекватной реакции на запрос

баварского прокурора по поводу информации о телеконференциях,

незаконных с точки зрения действующего в южных землях Германии

законодательства. CompuServe, неспособный закрыть доступ к этим

телеконференциям для части своих пользователей, "поставил

шлагбаум" для всех 4 миллионов подписчиков во всем мире.

К концу февраля было реализовано выборочное блокирование, позволившее

отключить от крамольных телеконференций только заданные географические

области. Пикантность ситуации со всеми этими запретами состоит,

однако, в том, что существуют общеизвестные методы доступа к телеконференциям

Usenet по электронной почте. В более широком плане можно вывести

следующую мораль: наблюдается растущая тенденция налагать местные

(провинциальные или национальные) ограничения на доступ к тем

или иным частям Интернет. (Более детальную информацию можно найти

в RISKS 17.59).

В начале года в "Wall

Street Journal" было опубликовано сообщение о том, что первое

санкционированное судебными властями прослушивание коммерческого

поставщика Интернет-услуг привело к аресту трех лиц по обвинению

в мошенническом использовании услуг сотовой связи. Эти лица рекламировали

свою деятельность через CompuServe (см. "Wall Street Journal",

2 января 1996 года, с. 16).

22 января по немецкому

телевидению выступил член компьютерного клуба "Хаос"

(Chaos Computer Club, CCC), продемонстрировавший опасности, связанные

с передачей в открытом виде по системе T-Online персональной банковской

информации. Хакер (между прочим, не криминальный хакер) подключился

к домашней телефонной линии, воспользовавшись незапертой коммутационной

панелью в подвале жилого дома. Он перехватил идентификатор и персональный

идентификационный код пользователя, после чего разорвал соединение

и немедленно перевел сумму в 5 тысяч немецких марок на другой

счет. Прежде чем провести публичную демонстрацию, члены клуба

"Хаос" предупреждали банкиров и их клиентов, что во

всей коммуникационной сети финансовых учреждений, начиная с настольных

систем, данные должны передаваться в зашифрованном виде (см. RISKS 17.66). Должен отметить, что я встречался с одним из ведущих членов

компьютерного клуба "Хаос", Andy Mumller-Maguhn, и на

меня произвела глубокое впечатление его несомненная приверженность

некриминальному хакерству. Я надеюсь, что все большее число криминальных

хакеров будут следовать примеру членов клуба "Хаос",

выбирая для себя ответственный, цивилизованный стиль поведения.

Matt Blaze, Whitfield

Diffie, Ronald L. Rivest, Bruce Schneier, Tsutomu Shimomura, Eric

Thompson и Michael Wiener опубликовали доклад "Минимальная

длина ключа при симметричном шифровании, обеспечивающая адекватную

безопасность коммерческих систем". Авторы утверждают, что

симметричное шифрование с длиной ключа 40 бит более не способно

противостоять атакам методом грубой силы, и даже 56-битные ключи

на самом деле не могут считаться надежными. Для современных систем

настоятельно рекомендуется минимальная длина ключа в 75 бит. С

учетом роста вычислительной мощности в ближайшие 20 лет, нужны

как минимум 90-битные ключи. Полный текст этого доклада доступен

по адресам ftp.research.att.com/dist/mab/keylength.ps (формат

PostScript) и ftp.research.att.com/dist/mab/keylength.txt

(ASCII-формат).

Еще несколько сообщений

от группы NCSA IS/Recon:

В Нидерландах разразился

политический скандал, связанный с обвинениями в прослушивании

в центральном банке. Вся деятельность персонала контролировалась

без уведомления или получения разрешения.

Гражданин России Алексей

Лачманов признал себя виновным в участии в "электронном ограблении"

Сити-банка (Citibank) на сумму в 2.8 миллиона долларов, организованном

математиком и криминальным хакером из Санкт-Петербурга Владимиром

Левиным.

Dan Farmer, автор

программы SATAN, проверяющей безопасность систем, подключенных

к Интернет, выпустил новую утилиту, позволяющую сравнивать текущую

и стандартную версии операционной системы (что может быть полезным

для идентификации заплат и выявления внедренного вредоносного

программного обеспечения). Характерно, что новую программу он

назвал "FUCK". Вероятно, ни один из пользователей сети

America Online (AOL) не сможет обратиться к этой программе по

имени в силу действующей там автоматической фильтрации непристойностей...

Ассоциация британских

страховых компаний выпустила доклад, в котором утверждается, что

компьютерная преступность наносит индустрии ежегодный ущерб в

сумме около 1 миллиарда фунтов.

Barry Jaspan нашел

ошибку в защищенном командном интерпретаторе ssh. Эта ошибка дает

возможность пользователям извлекать из памяти секретные RSA-ключи,

что компрометирует всю систему безопасности компьютера. Для выявления

"дыры" потребовалось 20 минут, и это наводит на мысль

о большом числе оставшихся ошибок, которые Барри мог бы найти,

будь у него еще немного времени.

Представители Lotus

объявили, что в продукте Lotus Notes теперь будут использоваться

составные ключи, позволяющие правительству расшифровывать информацию,

циркулирующую в рабочих группах. Защитники права на персональную

тайну предупреждают, что данное действие является отходом от оппозиции

к инициативе администрации Клинтона по внедрению составных ключей.

Напомним, что инициатива президентской администрации получила

негативную оценку в промышленных кругах.

Компания MCI объявила,

что с этого времени она будет закрывать счета пользователей, засоряющих

Интернет (то есть посылающих невостребованные письма большого

размера или заполняющих телеконференции неподходящими сообщениями).

Наблюдатели гадают по поводу того, кто будет решать, какие сообщения

подпадают под действие этих расплывчатых правил.