Обеспечение высокой производительности средств защиты и поддержка QoS
Постоянно возрастающие требования приложений к производительности коммуникаций удовлетворяются в системах безопасности на основе продуктов CheckPoint следующими способами:
Высокой скоростью выполнения операций контроля доступа и VPN-защиты трафика. Эта скорость обеспечивается высокой эффективностью алгоритмов технологии Stateful Inspection, возможностью установки продуктов CheckPoint на высокопроизводительных, в том числе и мультипроцессорных, аппаратных платформах, а также применением в случае необходимости устройства VPN-1 Accelerator Card, которое устанавливается в любую стандартную платформу и аппаратно реализует наиболее сложные в вычислительном отношении операции VPN-функций. Возможнстью распределения функций безопасности между несколькими параллельно работающими средствами защиты сети. В сети можно установить несколько межсетевых экранов и шлюзов VPN, координирующих и синхронизирующих свою работу, так что обработка многочисленных сессий будет распределяться между ними. Возможна также организация пулов серверов контроля доступа по содержанию, повышая тем самым производительность таких трудоемких операций как сканирование файлов на присутствие вирусов, поиск определенных ключевых слов в тексте, защита от Java и ActiveX атак и т.п. Отдельный модуль ConnectControl, входящий в состав межсетевого экрана FireWall-1, позволяет также распределять нагрузку между пулом однотипных серверов (например, Web-серверов или FTP-серверов), что удобно при организации демилитаризованной зоны. Управлением распределением полосы пропускания с помощью отдельного продукта FloodGate-1, выпускаемого компанией CheckPoint.
Продукт FloodGate-1 тесно интегрирован с базовым средством защиты FireWall-1/VPN-1, но может работать и как самостоятельный продукт поддержки QoS. Основное назначение FloodGate-1 - распределение пропускной способности между трафиком различных приложений на границе корпоративной сети, а именно, в каналах, подключенных к интерфейсам межсетевого экрана/VPN-шлюза FireWall-1/VPN-1. Через эти интерфейсы проходит весь внешний трафик приложений защищенной сети предприятия, причем как критически важных, так и менее ответственных. Дифференцированное распределение пропускной способности в интерфейсах межссетевого экрана может существенно улучшить работу ответственных приложений, предоставив им необходимую полосу пропускания и защитив их от интенсивного, но гораздо менее важного трафика, например, трафика пользователей, просматривающих новости в Internet или загружающих из FTP-архива новую версию какой-либо утилиты.
Операционные системы, поверх которых работает FireWall-1/VPN-1 на стандартных платформах, пока не поддерживают функции QoS. Установка FloodGate-1 в узлах, выполняющих роль межсетевого экрана и VPN-шлюза, ликвидирует этот пробел и дополняет систему управления QoS сети, работающую на современных маршрутизаторах и коммутаторах, важным QoS-элементом.
FloodGate-1 управляет полосой пропускания на основе улучшенного алгоритма взвешенного справедливого обслуживания WFQ, часто применяемого в IP-маршрутизаторах и коммутаторах. Компания Check Point дополнила базовые механизмы WFQ собственными интеллектуальными алгоритмами, благодаря чему FloodGate-1 поддерживает практически неограниченное количество виртуальных очередей, гарантируя определенную долю пропускной способности как для агрегированных потоков (например, для потоков всего Web-трафика), так и для потоков отдельных соединений (например, отдельного соединения RealAudio). Для каждого типа потока кроме гарантированной доли от общей пропускной способности интерфейса можно задать также верхнюю и нижнюю границы пропускной способности. Это позволяет гибко учитывать потребности приложений и обеспечить привилегированное обслуживание ответственных приложений при соблюдении некоторого минимума для остальных приложений, соблюдаемого при всех обстоятельствах. Полоса пропускания распределяется динамически, быстро реагируя на изменения набора существующих потоков в соответствии с заданными првилами.
Классификации потоков выполняется с помощью технологии Statful Inspection, той же, что работает и в межсетевых экранах FireWall-1. Большой опыт компании CheckPoint в этой области позволил реализовать в продукте FloodGate-1 один из наиболее мощных в сетевой индустрии механизмов классификации трафика для целей управления QoS. Этот механизм позволяет учесть практически все ситуации, складывающиеся при работе корпоративной сети и сгруппировать трафик наиболее рациональным образом по приложениям и пользователям.
Эффективность использования полосы пропускания при использовании FloodGate-1 увеличивается за счет фирменного алгоритма RDED (Retransmission Detect Early Drop), который решает известную проблему уменьшения полезной пропускной способности TCP-соединений из-за многочисленных повторных передачах при перегрузках. Механизм RDED предотвращает передачу некскольких копий одного и того пакета, за счет чего полезная пропускная способность повышается до 95% от полной пропускной способности канала вместо традиционных 50%- 60%.
Система управления трафиком FloodGate-1 полностью интегрирована с продуктом FireWall-1/VPN-1 и повторяет его распределенную архитектуру. Правила управления трафиком задаются в том же стиле, что и правила контроля доступа и VPN-защиты и могут использовать общие объекты. Для задания правил управления трафиком используется графический редактор, который в случае использования на предпритии системы FireWall-1 представлен в виде отдельной закладки редактора CheckPoint Policy Editor. Правила управления трафиком хранятся централизовано в базе правил Management Server и распределяются по всем модуля FloodGate-1 предприятия.
Система FloofGate-1 позволяет администратору осуществлять мониторинг за распределением полосы пропускания между потоками пакетов в реальном масштабе времени. Это дает возможность оценить эффективность заданных администратором правил и перераспределить весовые коээфициенты и границы пропускной способности таким образом, чтобы они наилучшим образом отражали реальные потребности приложений и пользователей.
Интеграция FloodGate-1 с FireWall-1/VPN-1 гарантирует корректность совместной работы средств управления трафиком со средствами VPN-защиты.
Появление и широкое распространение новых высокоскоростных сетевых технологий, в том числе и технологий доступа к глобальным сетям и Internet (xDSL, кабельные модемы и т.п.), ставит перед средствами защиты новые задачи в области производительности. Разработанные первоначально для работы на одном канале доступа со скоростями в десятки, максимум сотни килобит, межсетевые экраны и VPN-устройства сегодня должны обрабатывать трафик в реальном времени на скоростях в десятки, а иногда и сотни мегабит.
Учитывая вычислительную сложность и специализированный характер многих операций, выполняемых средствами защиты, основным направлением повышения производительности этих средства является аппаратная реализация типовых функций, используемых при аутентификации и других VPN-операциях. Аппаратное устройство может быть выполнено как дополнение к стандартной компьютерной платформе, или же в виде автономного специализированно устройства, включающего компьютерную платформу и выполняющему все функции экрана или VPN-шлюза.
Производительность отдельного устройства всегда ограничена, поэтому весьма перспективным является поддержка средствами защиты такого классического способа повышения производительности как распараллеливание. Кластеры VPN-шлюзов или межсетевых экранов, синхронизирующие свою работу, могут понадобиться для обслуживания тысяч одновременных соединений, возникающих при современном ведении бизнеса через Internet.
Еще одной существенной тенденцией в области производительности, которую нужно учитывать при развитии систем безопасности, является быстрое развитие различных технологий поддержки качества обслуживания (QoS) для IP-сетей. Эти технологии распределяют доступную полосу пропускания между классами трафика и отдельными соединениями, обеспечивая тем самым определенное качество транспортного обслуживания, требуемое для многих современных приложений. Для успешной работы таких QoS-технологий как DiffServ, RSVP и MPLS, применяемых сегодня как в корпоративных сетях, так и в Internet (пока - только на магистралях отдельных провайдеров), нужна их сквозная поддержка всеми сетевыми устройствами, через которые проходит трафик соединений. Устройства защиты - межсетевые экраны и VPN-устройства - всегда располагаются в точках, через которые проходит внешний трафик, поэтому данные устройства должны поддерживать QoS-технологии, чтобы обеспечить качество обслуживания "из конца в конец".
Поддержка функций QoS в межсетевом экране или VPN-шлюзе важна и в том случае, когда остальные устройства сети и публичная сеть не поддерживают управление качеством обслуживания. Обеспечиваемое устройством защиты дифференцированное обслуживание разных классов трафика в канале связи с внешней сетью (который часто представляет собой узкое место) способно заметно улучшить работу наиболее ответственных приложений.
В том случае, когда VPN-шлюз не поддерживает QoS-протоколы, он должен быть расположен в сети так, чтобы не мешать работе других QoS-устройств, которым нужен доступ к данным заголовков IP-пакетов для классификации трафика..
Обнаружение вторжений
Необходимым в современных условиях дополнением к возможностям межсетевых экранов и VPN-шлюзов является система обнаружения вторжений Check Point RealSecure. Эта система представляет собой совместный продукт двух лидеров -лидера сектора адаптивных систем управления безопасностью компании Internet Security Systems (ISS) и лидера в области построения интегрированных систем безопаоснти компании CheckPoint.
Система Check Point RealSecure:
Автоматически анализирует и сопоставляет в реальном времени данные мониторинга событий, происходящих в сетевых сегментах и узлах корпоративной сети Попытки взлома системы защиты автоматически рапознаются экспертной подсистемой на основе обширной базы знаний, которая на сегодня включает более 160 известных образцов атак и постоянно пополняется. Также отслеживаются несанкционированные и подозрительные действия, которые могут нанести ущерб информационным ресурсам предприятия. При обнаружении атаки или подозрительной активности:
автоматически предупреждает администратора системы с помощью уведомлений разного типа, регистрирует событие в системном журнале может автоматически блокировать атаку или нескнкционированные действия путем реконфигурации межсетевого экрана FireWall-1
Позволяет очень гибко генерировать отчеты разной степени подробности в удобной для администратора форме. Новая технология Fusion компании ISS способна сгруппировать многочисленные взаимосвязанные события в одно укрупненное событие, которое и предоставляется в отчете администратору для осмысления ситуации. Последнее свойство очень важно при управлении безопасностью, так как системы искусственного интеллекта в обозримом будущем не смогут замеить естественный интеллект и совершенствование системы безопасности в конечном счете должно опираться на решения человека. "Проигрывает" зарегистрированные события для детального анализа или для использования в качестве доказательства факта нарушения Обладает развитой контекстно-зависимой справочной системой, которая сама по себе является хорошим инструментом помощи администратору при принятии решений.
Система RealCecure обладает хорошей масштабируемостью за счет распределенной архитектуры клиент-сервер. Сетевые агенты устанавливаются во всех требующих внимания сегментах сети (например, перед межсетевым экраном, в демилитаризованной зоне, а также в ответственных внутренних сегментах), а системные агенты контролируют активность операционных систем и приложений в компьютерах сети. Все данные собираются в общей базе данных и обрабатываются таким компонентом системы как RealSecure Engine, а централизованное управление обеспечивает RealSecure Manager, доступ к которому возможен с помощью графических консолей администраторов, распределенных по сети. Дальнейшее развитие распределенных свойств RealSecure возможно на основе архитектуры микроагентов, над которой работает в настоящее время компания ISS. Микроагенты встариваются во все защищаемые узлы корпоративной сети - маршрутизаторы, коммутаторы, компьютеры - и контролируют только тот трафик, который относится к данному узлу, за счет чего резко повышается производительность системы, что очень важно в условиях применения высокоскоростных технологий, таких как Fast Ethernet, Gigabit Ethernet, ATM и других.
Обзор средств атакующих
Сейчас в Интернет доступно огромное число ресурсов, позволяющих злоумышленникам проникать в компьютерные сети. Детальная информация об уязвимых местах программ публично обсуждается в группах новостей и списках рассылки. Имеются легкодоступные руководства по организации атак, в которых описывается, как написать программы для проникновения в компьютерные сети, используя информацию об уязвимых местах в программах. И тысячи таких программных средств, позволяющих любому организовать компьютерную атаку, уже написаны. Описания компьютерных атак теперь не находятся на известных лишь узкому кругу лиц пиратских BBS, а размещаются на широко известных коммерческих веб-сайтах.
Эти программы для организации компьютерных атак доступны для получения любым пользователем Интернет. Но мало того, что доступны программы для организации атак, теперь эти программы стало легче использовать. Несколько лет назад нужно было иметь Unix, чтобы организовать атаку и нужно было уметь компилировать исходный текст программы атаки. Сегодня эти программы имеют дружественный графический интерфейс и могут работать в ряде случаев под управлением Windows 9'X или Windows NT. Имеются специальные скрипты для организации автоматизированных атак, которые позволяют легко организовать очень опасные атаки. Поэтому системным администраторам важно понимать опасность этих атак и уметь защищать свои сети от них.
Ограничение функциональности сетевых сервисов
Некоторые корпоративные сети используют топологию, которая трудно "уживается" с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.
Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.
Октябрь
Администрация Клинтона
объявила, что она обжалует июньское решение против Закона о благопристойности
коммуникаций в Верховном суде (1 октября).
Администрация объявила
также о смягчении ограничений на экспорт криптосредств. Согласно
планам президентской команды, компании смогут экспортировать программы
с 56-битными ключами, если в течение двух лет будет реализовано
восстановление ключей (которое может осуществляться не только
правительственными ведомствами).
Альянс коммерческого ПО
(Business Software Alliance, BSA) пригрозил судебными карами египетским
фирмам, в которых, согласно экспертным оценкам, доля краденого
программного обеспечения составляет 80%.
В одной из программ новостей
BBC прошло сообщение о том, что услуги сотового пейджинга легко
доступны для перехвата и манипулирования посредством радиосканера
и соответствующего программного обеспечения для персональных компьютеров.
Центральное агентство
новостей Тайваня сообщило о появлении нового "политического"
вируса, созданного в знак протеста против претензий Японии на
острова, которые тайванцы называют Diaoyus. Вирус выдает следующие
сообщения: "Diaoyus - это территория Китайской Республики",
"Даже не надейтесь заполучить эти острова, японские чудовища",
"Вирус написан юным патриотом из школы Feng Hsi". После
этого вирус пытается уничтожить данные, хранящиеся на диске.
Газета "San Francisco
Chronicle" сообщила о новой серии мошеннических электронных
писем. В этих письмах жертвам сообщается, что у них есть только
24 часа на очищение от "страшного греха". Для очищения
нужно позвонить по номеру с региональным кодом 809. Междугородный
звонок стоит не менее 3 долларов, а на самом деле значительно
больше, если выслушивать бесконечные записанные сообщения. Peter
Neumann (ведущий телеконференции RISKS) указал также, что электронный
адрес отправителя писем "Global Communications"@demon.net
является вымышленным ().
В августе 1994 года Andrew
Stone, 32 лет, осужденный за махинации с кредитными картами, но
проводящий в тюрьме только ночи, был нанят редакторами журнала
"Which?", чтобы продемонстрировать уязвимость британских
банкоматов. После тестирования механизмов безопасности, проведенного
с благословения журнала, Эндрю вместе с сообщником организовали
автоматизированное "подглядывание через плечо". Они
разместили видеокамеры в нескольких точках, что позволило фиксировать
как детали банковских карт, так и движения пальцев пользователей
во время ввода персональных идентификационных кодов. Вооруженные
сведениями, добытыми за две недели подглядывания, сообщники изготовили
фальшивые банковские карты, "приняв за основу" дисконтные
карты для бензозаправочных станций. Банк-жертва был выбран в силу
особой насыщенности цветов на его картах, так что данные о счете
были ясно видны даже на расстоянии. Стоун и его сообщник похитили
сумму, эквивалентную 216 тысячам долларов США. В конце концов
полиция начала подозревать Стоуна, за ним стали следить и сопоставили
огромное число жалоб на неавторизованные изъятие средств с присутствием
Эндрю в пунктах выдачи наличных денег. В начале октября 1996 года
Стоун был приговорен к тюремному заключению на срок в пять с половиной
лет; его сообщник получил четыре с половиной года. (PA News, 4
октября).
Верховный суд США отклонил
апелляцию, которую подали Robert и Carleen Thomas из города Милпитас
(штат Калифорния). В 1994 году их осудили в результате процесса,
ставшего вехой в судебной практике, поскольку он затронул определение
границ сообщества в киберпространственный век. Стандарты сообщества
определяют, не переходит ли порнографический материал пределов
дозволенного. В данном случае почтовый инспектор из Мемфиса (штат
Тенесси) загрузил материал с электронной доски объявлений, расположенной
в Калифорнии, и возбудил уголовное преследование двух обвиняемых.
Их судили в Мемфисе и приговорили, соответственно, к 37 и 30 месяцам
тюремного заключения за пересылку незаконных файлов откровенно
сексуального характера через границу штата. (Reuters, 7 октября).
Португальское правительство
обязало компании-операторы сотовой телефонной связи установить
технические средства, позволяющие немедленно организовать прослушивание
любого звонка по сотовой связи. (Reuters, 9 октября).
В Колорадо-Спрингс программная
ошибка привела к невозможности зарегистрировать многократные идентичные
платежи, проводимые через банкоматы в течение одного дня клиентами
Федерального кредитного союза. Создавалось впечатление, что только
первый платеж относился на счет клиента. Кредитный союз известили
об этой ошибке сами пользователи несколько месяцев назад, но от
них просто отмахнулись. В октябре союз объявил о снятии 1.2 миллиона
долларов со счетов 12 тысяч "многократных плательщиков",
что вызвало всеобщее недовольство. ().
Профессор Гамбургского
университета Klaus Brunnstein обнаружил в середине октября, что
корпорация Microsoft выпустила еще один компакт-диск, зараженный
макровирусом Word "WAZZU.A". Естественно, персонал на
торговой выставке, где распространялся этот диск, проигнорировал
обращение профессора, утверждая, что вирус безвреден. Зараженные
документы пять дней находились на Web-сервере корпорации Microsoft,
прежде чем вирус был обнаружен. Профессор пояснил, что "WAZZU"
случайным образом переставляет пару слов в зараженном документе
и иногда вставляет цепочку символов "WAZZU". Если это
считается безвредным, то страшно даже подумать о том, что такое
подлинный вред. ().
Компания Concentric Network,
поставщик Интернет-услуг в северной Калифорнии, добилась еще одного
успеха в борьбе против злостных изготовителей электронного почтового
хлама - Sanford Wallace и ее дочерней фирмы Cyber Promotions.
Суд запретил этим фирмам использовать в их вздорных письмах адреса
Concentric Network в качестве адреса отправителя или адреса для
ответа. По утверждениям представителей компании Concentric Network
в суде, мошенническое использование ее области управления "вызывало
возврат десятков тысяч недоставляемых сообщений в почтовую систему
Concentric Network, где их приходилось обрабатывать и хранить,
что вело к перегрузкам оборудования и отказам в обслуживании для
подписчиков" (см. ).
В середине октября компания
Digital Technologies Group (Хартфорд) лишилась всех своих компьютерных
файлов и резервных копий. По-видимому, компания стала жертвой
классического вредительства со стороны обиженного бывшего сотрудника.
Прямой ущерб от вредительства составил 17 тысяч долларов. К этому
необходимо добавить потерю многомесячных трудов и недельный перерыв
в работе, серьезно повредивший репутацию компании как поставщика
Интернет-услуг. Вероятного преступника арестовали в конце декабря.
Ему грозит заключение на срок до 20 лет, если обвинение во вредительстве
будет доказано. (AP, 18 декабря).
Испанская полиция после
ареста в Барселоне двух юных каталонцев раскрыла шайку, занимавшуюся
распространением через Интернет детской порнографии. Сообщается,
что в процессе прослеживания преступников (а в их непристойности
были вовлечены даже дети трехлетнего возраста) успешно взаимодействовали
полицейские из многих стран. (Reuters, 10 октября).
Середина октября принесла
новые подтверждения правоты излюбленной мысли главы NCSA Боба
Бейлса (Bob Bales) о том, что Интернет может способствовать злоупотреблениям,
ведущим к отказам в обслуживании... для работодателей. Компания
Nielsen Media Research опубликовала обзор, показывающий, что служащие
компаний IBM, Apple и AT&T только за один месяц совместно
потратили 13048 человеко-часов на посещение WWW-сервера Penthouse.
Если принять стоимость одного человеко-часа равной, скажем, 20
долларам, то растраченное время обошлось работодателям в четверть
миллиона долларов. Из компании Compaq (Хьюстон) была уволена дюжина
сотрудников, каждый из которых в рабочее время нанес более 1000
зарегистрированных визитов на секс-серверы. (UPI, 14 октября).
Серия несчастий с голландскими
детьми вызвала гнев многих обозревателей Интернет. В течение одной
недели октября двенадцать детей были травмированы ручными гранатами,
изготовленными по детальным инструкциям, помещенным в Интернет.
Несмышленыши в возрасте от 8 до 13 лет собирали боеприпасы домашнего
изготовления из шариков, камешков и монет, прикрепленных к петардам.
Одна девочка лишилась глаза; у другой навсегда ухудшился слух;
другие дети получили ожоги. (AP, 18 октября).
Тревожное предупреждение
по поводу "смертельного пинга" опубликовал Mike Bremford
из Великобритании. Размер датаграмм (TCP/IP-пакетов) не должен
превышать 65535 байт. Любой процесс, генерирующий датаграммы большего
размера, может вызвать переполнение стека в операционной системе
принимающей машины. Это серьезная проблема, делающая практически
все операционные системы уязвимыми по отношению к атакам на доступность.
В качестве меры противодействия десятки производителей операционных
систем распространяют соответствующие заплаты. (Более подробную
информацию можно найти по адресу ).
22 октября состоялся массовый
выброс в Интернет почтового хлама. Тысячи поддельных рекламных
объявлений о нелегальной детской порнографии попали в почтовые
ящики пользователей разных стран. В качестве автора рекламы злоумышленниками
был указан житель Нью-Джерси Stephen Barnard. ФБР быстро разобралось
в ситуации, сняв со Стефана, жертвы отвратительного розыгрыша,
все подозрения. Письма были дополнительно замаскированы поддельными
заголовками, указывавшими на двух пользователей сети America Online,
но расследование оправдало и их. (PA News, Reuters, 22 октября).
В ежегодном отчете Французской
правительственной группы по борьбе с подделками (CNAC) указывается,
что Интернет активно используется изготовителями поддельных промышленных
изделий. "Подражатели" рассылают по своим подпольным
фабрикам, расположенным в разных странах, выкройки новых моделей
одежды прямо в день появления этих моделей.
На бизнес-семинаре, проводившемся
в гостинице Strathmore (Лутон, Бердфордшир), во время 20-минутного
обеденного перерыва воры проникли в запертую семинарскую аудиторию
и украли 11 ПК- блокнотов общей стоимостью примерно 75 тысяч долларов,
если не считать программного обеспечения и данных. (PA News, 25
октября).
В конце октября домашняя
Web-страница Верховного суда Флориды была "подправлена"
неизвестными лицами, заменившими благородный фон "под дерево"
картинками обнаженных людей, совершающих различные сексуальные
действия. Хотя фон вернули в первоначальное состояние в течение
пары дней, любознательное население Интернет подняло посещаемость
сервера на недосягаемую высоту. (UP, Reuters, 25 октября).
Председатель Федерации
коммуникационных услуг Jonathan Clark заявил, что мошенничество
ежегодно наносит британской телефонной индустрии и потребителям
ущерб в размере около 332 миллионов долларов. (PA News, 29 октября).
В конце октября были опубликованы
результаты ежегодного обзора информационной безопасности, подготовленного
компанией Ernst&Young. Ущерб от заражения вирусами, атак внутренних
и внешних пользователей существенно возрос, а умение поддерживать
информационную безопасность осталось на крайне низком уровне.
(См. ).
С разрешения владельца
авторских прав приведем фрагмент из публикации "Стратегия
развития безопасных систем в странах центральной и восточной Европы
(CEESSS):
безопасности. Хакеры атакуют чешские банки. Опубликование персональных
данных о чешских гражданах.
Steven Slatem <>
Copyright (c) 1996
IntelliTech
Хакеры похитили 50 миллионов
чешских крон (1.9 миллиона долларов) в результате атак на неназванные
чешские банки. Другое нарушение безопасности состоит в получении
и размещении на электронной доске объявлений файла с персональной
информацией о чешских гражданах. Эти сведения нам сообщил в интервью
на выставке INVEX (Брно, 22-26 октября) Jiri Mrnustik, глава расположенной
в Брно компании по разработке антивирусного и криптографического
программного обеспечения AEC s.r.o."
В четырехлетней битве
между подразделением Opel корпорации General Motors и концерном
Volkswagen германский региональный суд отклонил гражданский иск,
в котором Volkswagen обвинял Opel в клевете и требовал возмещения
убытков в сумме 10 миллионов немецких марок (6.6 миллионов долларов).
Volkswagen подал этот иск в суд Франкфурта, чтобы прекратить заявления
Opel о криминальном заговоре с целью осуществления промышленного
шпионажа против Opel и General Motors. Заявления начались после
того, как Jose Lopez, удачливый менеджер в General Motors и Opel,
переметнулся в Volkswagen - как утверждается, с тремя чемоданами
конфиденциальных документов General Motors. (Dow Jones, 30 октября).
В конце ноября Lopez ушел из правления Volkswagen. (Reuters, 29
ноября). В середине декабря полиция Германии предъявила ему официальные
обвинения; однако, никаких обвинений в промышленном шпионаже против
концерна Volkswagen не выдвигалось. (Reuters, 13 декабря).
Житель Арканзаса Marion
Walton был уличен в киберсексуальной связи с канадской женщиной.
В отместку за это его жена Pat "прибила" почтовую программу.
Муж не остался в долгу и дважды поколотил жену. Полиция посоветовала
ей обратиться в суд. (Reuters, 31 октября; ).
Описательная статистика
Один из способов формирования «образа» нормального поведения системы состоит в накоплении в специальной структуре измерений значений параметров оценки. Эта структура называется профайлом. Основные требования, которые предъявляются к структуре профайла: минимальный конечный размер, операция обновления должна выполняться как можно быстрее.
В профайле используется несколько типов измерений, например, в IDES используются следующие типы []:
Показатель активности – величина, при превышении которой активность подсистемы оценивается как быстро прогрессирующая. В общем случае используется для обнаружения аномалий, связанных с резким ускорением в работе. Пример: среднее число записей аудита, обрабатываемых для элемента защищаемой системы в единицу времени. Распределение активности в записях аудита – распределение во всех типах активности в свежих записях аудита. Здесь под активностью понимается любое действие в системе, например, доступ к файлам, операции ввода-вывода. Измерение категорий – распределение определенной активности в категории (категория – группа подсистем, объединенных по некоему общему принципу). Например, относительная частота регистрации в системе (логинов) из каждого физического места нахождения. Предпочтения в использовании программного обеспечения системы (почтовые службы, компиляторы, командные интерпретаторы, редакторы и т.д). Порядковые измерения – используется для оценки активности, которая поступает в виде цифровых значений. Например, количество операций ввода-вывода, инициируемых каждым пользователем. Порядковые изменения вычисляют общую числовую статистику значений определенной активности, в то время как измерение категорий подсчитывают количество активностей.
При обнаружении аномалий с использованием профайла в основном применяют статистические методы оценки. Процесс обнаружения происходит следующим образом: текущие значения измерений профайла сравнивают с сохраненными значениями. Результат сравнения – показатель аномальности в измерении. Общий показатель аномальности в простейшем случае может вычисляться при помощи некоторой общей функции от значений показателя аномалии в каждом из измерении профайла. Например, пусть M1,M2…Mn, – измерения профайла, а S1,S2….Sn, соответственно, представляют собой значения аномалии каждого из измерений, причем чем больше число Si, тем больше аномалии в i-том показателе. Объединяющая функция может быть весом сумм их квадратов:
a1s12 + a2s22+…+ansn2>0, (7)
где ai – показывает относительный вес метрики Mi.
Параметры M1,M2…Mn, на самом деле, могут зависеть друг от друга, и поэтому для их объединения может потребоваться более сложная функция.
Основное преимущество заключается в том, что применяются хорошо известные статистические методы.
Недостатки:
Нечувствительность к последовательности возникновения событий. То есть статистическое обнаружение может упустить вторжение, которое проявляется в виде последовательности сходных событий. Система может быть последовательно обучена таким образом, что аномальное поведение будет считаться нормальным. Злоумышленники, которые знают, что за ними наблюдают при помощи таких систем, могут обучить их для использования в своих целях. Именно поэтому в большинстве существующих схем обнаружения вторжения используется комбинация подсистем обнаружения аномалий и злоупотреблений. Трудно определить порог, выше которого аномалии можно рассматривать как вторжение. Занижение порога приводит к ложному срабатыванию (false positive), а завышение – к пропуску вторжений (false negative). Существуют ограничения к типам поведения, которые могут быть смоделированы, используя чистые статистические методы. Применение статистических технологий для обнаружения аномалий требует предположения, что данные поступают от квазистатического процесса.
Oracle - сервер аутентификации
Oracle принимает запросы на аутентификацию через локальное устройство,
сверяет полученный запрос с политикой безопасности, описанной администратором
межсетевого экрана, и в случае, если запрос соответствует правилам, разрешает его выполнение.
При необходимости аутентифицировать пользователя, Oracle может в качестве
ответа заносить дополнительную информацию, например пароль пользователя или
запрос для системы одноразовых паролей.
Oracle - единственный процесс межсетевого экрана, осуществляющий доступ к аутентификационной
базе данных.
Oracle каждый час создает резервную копию базы, и в случае сбоя в работе
автоматически производит восстановление рабочей версии базы.
Oracle стартует при начальной загрузке системы.
Основные свойства
Защита на основе технологии контроля состояния защита сетевых соединений, позволяет ограничить неавторизованных пользователей от доступа к сетевым ресурсам. технология перехвата соединений на прикладном уровне позволяет обеспечить аутентификацию пользователей с использованием стандартных протоколов TACACS+ и RADIUS Поддерживает более 16,000 одновременных соединений Удобный и простой менеджер межсетевых экранов обеспечивает легкое администрирование нескольких межсетевых экранов PIX Поддержка третьего сетевого интерфейса для поддержки открытых для пользователей Интернет сервисов типа WWW, электронной почты и др. Поддержка протокола Point-to-Point Tunneling Protocol (PPTP) компании Микрософт для реализации виртуальных корпоративных сетей (VPN) Поддержка протокола Oracle SQL*Net для защиты приложений клиент/сервер Командный интерфейс, присущий CISCO IOS системе Высокая надежность благодаря возможности дублирования и горячего резерва Трансляция сетевых адресов (NAT) согласно RFC 1631 Трансляция портов (PAT) позволяет расширить пул адресов компании - через один IP адрес можно отображать 64000 адресов ( 16,384 одновременно) Псевдонимы сетевых адресов позволяют отобразить перекрывающиеся IP адреса в одно адресное пространство Для зарегистрированных IP адресов можно отменить режим трансляции адресов, что позволяет пользователям использовать их настоящие адреса Прозрачная поддержка всех распространенных TCP/IP сервисов - WWW, FTP, Telnet и т.д. Поддержка мультимедийных типов данных с использованием трансляции адресов и без нее, включая Progressive Networks' RealAudio, Xing Technologies' Streamworks, White Pines' CuSeeMe, Vocal Tec's Internet Phone, VDOnet's VDOLive, Microsoft's NetShow, VXtreme's Web Theater 2 Поддержка приложений для работы с видеоконференциями, совместимыми с H.323 спецификацией, включая Internet Video Phone (Intel) и NetMeeting (Микрософт) Возможнсоть фильтрации потенциально опасных Java апплетов Защищенная система реального времени Поддержка нескольких уровней входа в систему Поддержка прерываний (trap) SNMP протокола Сбор аудита через syslog утилиту Поддержка Management Information Base (MIB) для syslog Аудит использования URL и обменов по FTP протоколу Поддержка удаленного вызова процедур (RPC) Программа контроля почтового траффика позволяет отказаться от размещения внешнего почтового сервера в демилитаризованной зоне (DMZ) Защита от SYN атак защищает хост от атак типа "отказ в обслуживании" Трансляция NetBIOS протокола обеспечивает поддержку взаимодействия клиентов и серверов Microsoft Networking через PIX Две аппаратные платформы (PIX и PIX10000) позволяют обеспечить производительность от 45 Мбит/с до более чем 90 Мбит/с
Основными преимуществами такого решения являются:
Гибкость - одновременно решаются вопросы маршрутизации, обеспечения защищенного доступа в Интернет. В описаниии правил доступа используется информация о пользователях, адресах, типах приложений, как для входящих, так и выходящих соединений; Защита инвестиций - дополнительные возможности по защите в маршрутизаторе позволяет сэкономить средства на обучении работе с иной аппаратной платформой; Легкость управления - использование возможностей удаленного администрирования позволяет управлять системой со своего рабочего места через сеть; Совместимость с другими продуктами и решениями компании Cisco Systems
Ниже приведено краткое описание основных функциональных возможностей FFS:
| Контроль состояния соединения | Контроль состояния и контекста всех соединений через роутер |
| Протокольно-зависимая фильтрация | Учет в правилах фильтрации команд служебных протоколов прикладного уровня, обнаружение атак на уровне протоколов, динамическое открытие необходимых для работы приложений портов |
| TCP/UDP приложения | Telnet, FTP, HTTP, SNMP |
| FTP протокол | Активный и пассивный режим |
| Мультимедиа приложения | Контроль потоков служебной информации для правильного открытия необходимых портов для аудио/видео соединений (включает H.323 приложения, CU-SeeME, RealAudio, VDOLive, Streamworks и др.) |
| Контроль SMTP приложений | Обнаружение неверных SMTP команд, что позволяет избежать необходимости установки почтовых серверов в демилитаризованной зоне |
| Поддержка RCP сервисов | Контроль запросов portmapper на открытие соединений для работы RCP приложений |
| Поддержка R-команд | Проверка ответов сервера с запросами на установление дополнительных соединений |
| Поддержка приложений Oracle | Контроль сообщений о перенаправлении соединений от серверной части Oracle в приложениях клиент-сервер; открытие портов для работы клиентов с сервером |
| Приложения по поддержке видеоконференций на основе H.323 | Проверка контрольных сообщений Q.931 и H.245, которые служат для открытия дополнительных UDP соединений для передачи видео и аудио данных |
| Защита от популярных видов атак | Защита от syn атак, сканирования портов, защита от атак с исчерпыванием ресурсов маршрутизатора. |
| Контроль порядковых номеров | Проверка порядковых номеров (sequence number) в TCP соединениях для гарантии того, что они находятся в ожидаемом диапазоне |
| Статистика соединений | Статистика соединений, включающая время, адреса источника/назначения, порты и полное число переданных байт |
| Рекомендуемые настройки по умолчанию | Настройки при загрузке, вкл/выкл source routing, разр/запр proxy arp, разрешение всех/только требуемых приложений, шифрование паролей на роутере с помощью MD5, списки доступа и пароли к виртуальным терминалам, разр/запр аутентификации роутеров в поддерживавемых протоколах маршрутизации |
| Расширенная статистика по TCP/UDP соединениям | Статистика доступа пользователей (порты и адреса источника/назначения) |
| Установка уровня защиты | Можно настроить правила фильтрации или полного запрета Java апплетов, не находящихся внутри архивов или сжатых файлов |
| Расширенные возможности | Сообщения в случае атак типа "отказ в обслуживании" или иных заранее описанных событий через syslog механизм на заданный хост |
| Совместимость с остальными возможностями Cisco IOS | Совместимость со списками доступа, трансляцией адресов, рефлексивными списками доступа, технологией шифрования, используемой в Cisco |
| Поддержка в ConfigMaker | Программа под Windows95/NT, облегчающая настройку сетевых параметров, адресации и параметров FFS |
Особенности применения
Если сканер не находит уязвимостей на тестируемом узле, то это еще не значит, что их нет. Просто сканер не нашел их. И зависит это не только от самого сканера, но и от его окружения. Например, если Вы тестируете сервис Telnet или FTP на удаленной машине, и сканер сообщает Вам, что уязвимостей не обнаружено - это может значить не только, что уязвимостей нет, а еще и то, что на сканируемом компьютере установлен, например, TCP Wrapper. Да мало ли еще чего? Вы можете пытаться получить доступ к компьютеру через межсетевой экран или попытки доступа блокируются соответствующими фильтрами у провайдера и т.д. Для ОС Windows NT характерен другой случай. Сканер пытается дистанционно проанализировать системный реестр (registry). Однако в случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не обнаружит. Существуют и более сложные случаи. И вообще различные реализации одного итого же сервиса по-разному реагируют на системы анализа защищенности. Очень часто на практике можно увидеть, что сканер показывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. И удаленно определить, существует ли в действительности уязвимость или нет, практически невозможно. В этом случае можно порекомендовать использовать систему анализа защищенности на уровне операционной системы, агенты которой устанавливаются на каждый контролируемый узел и проводят все проверки локально.
Для решения этой проблемы некоторые компании-производители пошли по пути предоставления своим пользователям нескольких систем анализа защищенности, работающих на всех указанных выше уровнях, - сетевом, системном и уровне приложений. Совокупность этих систем позволяет с высокой степенью эффективности обнаружить практически все известные уязвимости. Например, компания Internet Security Systems предлагает семейство SAFEsuite, состоящее из четырех сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner. В настоящий момент это единственная компания, которая предлагает системы анализа защищенности, функционирующие на всех трех уровнях информационной инфраструктуры. Другие компании предлагают или два (Axent) или, как правило, один (Network Associates, NetSonar и др.) сканер.
Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла другим путем для устранения проблемы ложного срабатывания. Она делит все уязвимости на два класса:
Потенциальные - вытекающие из проверок заголовков и т.н. активных "подталкиваний" (nudge) анализируемого сервиса или узла. Потенциальная уязвимость возможно существует в системе, но активные зондирующие проверки не подтверждают этого. Подтвержденные - выявленные и существующие на анализируемом хосте.
Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и использование "несильных подталкиваний". "Подталкивание" используется для сервисов, не возвращающих заголовки, но реагирующих на простые команды, например, посылка команды HEAD для получения версии HTTP-сервера. Как только эта информация получена, система NetSonar использует специальный механизм (rules engine), который реализует ряд правил, определяющих, существует ли потенциальная уязвимость.
Таким образом, администратор знает, какие из обнаруженных уязвимостей действительно присутствуют в системе, а какие требуют подтверждения.
Однако в данном случае остаются уязвимости, с трудом обнаруживаемые или совсем не обнаруживаемые через сеть. Например, проверка "слабости" паролей, используемых пользователями и другими учетными записями. В случае использования сетевого сканера вам потребуется затратить очень много времени на удаленную проверку каждой учетной записи. В то же время, аналогичная проверка, осуществляемая на локальном узле, проводится на несколько порядков быстрее. Другим примером может служить проверка файловой системы сканируемого узла. Во многих случаях ее нельзя осуществить дистанционно.
Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможных рисков деятельности пользователя.
Многие сканеры используют более чем один метод проверки одной и той же уязвимости или класса уязвимостей. Однако в случае большого числа проверок использование нескольких методов поиска одной уязвимости привносит свои проблемы. Связано это со скоростью проведения сканирования.
Например, различие между системами CyberCop Scanner и Internet Scanner в том, что разработчики из NAI никогда не добавят в свой продукт проверку, если не могут с уверенностью сказать, что проверка надежно обнаруживает уязвимость. В то время как разработчики ISS пополняют свою базу даже в том случае, если их проверка обнаруживает уязвимость с некоторой точностью. Затем, уже после выпуска системы, происходит возврат к разработанным проверкам, их улучшение, добавление новых механизмов осуществления проверок той же уязвимости для повышения достоверности, и т.д. Достаточно спорный вопрос, что лучше. С одной стороны лучше, когда вы с уверенностью можете сказать, что на анализируемом узле определенной уязвимости нет. С другой, даже если существует хоть небольшой шанс, что вы можете обнаружить уязвимость, то надо этим шансом воспользоваться. В любом случае наиболее предпочтительным является проверка типа "имитация атак", которая обеспечивает наибольший процент точного обнаружения уязвимостей.
Не все проверки, разработанные в лабораторных условиях, функционируют так, как должны. Даже, несмотря на то, что эти проверки тестируются, прежде чем будут внесены в окончательную версию сканера. На это могут влиять некоторые факторы:
Особенности конфигурации пользовательской системы. Способ, которым был скомпилирован анализируемый демон или сервис. Ошибки удаленной системы. И т.д.
В таких случаях автоматическая проверка может пропустить уязвимость, которая легко обнаруживается вручную и которая может быть широко распространена во многих системах. Проверка заголовка в совокупности с активным зондированием в таком случае может помочь определить подозрительную ситуацию, сервис или узел. И хотя уязвимость не обнаружена, еще не значит, что ее не существует. Необходимо другими методами, в т.ч. и неавтоматизированными, исследовать каждый подозрительный случай.
Отсутствие контроля своей конфигурации
Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, - сотрудники хотят получить доступ к новым ресурсам Internet, работать с новым сервисами (RealAudio, VDOLive и т.п.) и т.п. Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: "разрешено все и всем".
В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа "отказ в обслуживании"), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа "подбор пароля", позволяющие обнаружить "слабые" пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS).
Отсутствие снижения производительности сети
При использовании системы RealSecure? снижения производительности сети незначительное (не более 3-5%). Проблемы могут возникнуть при функционировании модуля слежения на компьютере с минимально требуемыми системными требованиями и большой интенсивности сетевого трафика. В этом случае часть пакетов может быть пропущена без соответствующей обработки.
Отсутствие защиты новых сетевых сервисов
Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма "посредников" (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких "посредников" достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.
Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов). В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.
Отсутствие защиты от авторизованных пользователей
Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.
Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.
Пакетные фильтры
Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или
отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета.
IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но
пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные
сервисы в TCP/IP ассоциируются с определенным номером порта.
Для описания правил прохождения пакетов составляются таблицы типа:
| Действие | тип пакета | адрес источн. | порт источн. | адрес назнач. | порт назнач. | флаги |
Поле "действие" может принимать значения пропустить или отбросить.
Тип пакета - TCP, UDP или ICMP.
Флаги - флаги из заголовка IP-па-кета.
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.
Параллельное сканирование
Система Internet Scanner&153; позволяет параллельно сканировать до 128 узлов сети, которые могут принадлежать разным диапазонам IP-адресов. Такая возможность дает администратору безопасности более гибко проводит анализ защищенности больших сетей, состоящих из нескольких сегментов с разными требованиями по защищенности.
Выбор сканируемых узлов может осуществляться тремя способами:
задание одного или нескольких диапазонов сканируемых узлов в текстовом файле; задание одного или нескольких диапазонов сканируемого узлов в диалоговом режиме; использование всего диапазона сканируемых узлов, заданного в ключе авторизации системы Internet Scanner&153;.
Перспективы
Широкому применению свободно распространяемых систем защиты мешает целый ряд сложностей и проблем.
Перспективы развития
С 1992 года, когда появился первый сканер SATAN, существенно изменились требования к такого рода средствам. Сейчас уже недостаточно, чтобы система анализа защищенности обладала только обширной базой уязвимостей. Поэтому производители стали расширять функциональность своих продуктов за счет добавления следующих возможностей.
По мере того, как в компьютерной
Хотя свободно распространяемые системы защиты существуют уже давно, они никогда не использовались столь широко, как операционная система Linux и Web-сервер Apache. Джон Пескаторе, директор компании Gartner по исследованиям, связанным с безопасностью в Internet, отметил, что среди применяемых систем защиты на долю свободно распространяемых средств сейчас приходится 3-5%, но к 2007 году этот показатель может возрасти до 10-15%.
Основной причиной такого потенциала является качество многочисленных свободно распространяемых пакетов защиты. «Поддержка некоторых общеупотребительных средств защиты осуществляется на достаточно высоком уровне, и многие разработчики предлагают для них новый инструментарий и шаблоны. В определенном смысле такие решения конкурируют с коммерческим инструментарием», — заметил Юджин Спаффорд, директор Центра обучения и исследований в области информационной безопасности университета Пурди.
К свободно распространяемым программным продуктам относятся бесплатные инструментальные средства, которые можно загрузить из Internet, пакеты, для которых производители предлагают коммерческие услуги поддержки, а также дополнительный инструментарий, поставляемый вместе с коммерческими продуктами.
К наиболее популярным инструментам относятся Netfilter и iptables; системы обнаружения вторжений, например, Snort, Snare и Tripwire; сканеры уязвимых мест в системах защиты, такие как Kerberos; межсетевые экраны, в частности, T.Rex.
Некоторые предприятия даже начали использовать свободно распространяемые системы защиты для обеспечения безопасности своей критически важной инфраструктуры.
Почему это возможно?
Каждый из нас имеет струны, за которые стоит только подергать и все, вы размякли, не готовы критически оценивать свои поступки и будете делать все, о чем вас попросит опытный психолог, манипулирующий вами, как кукловод. Не стоит думать, что влиять на ваши поступки может только квалифицированный психолог. Эта наука доступна любому, потратившему на ознакомление с ее азами всего-лишь 1-2 часа. Каждый человек имеет болевые точки, поразить которые и есть задача хакера, желающего использовать социальный инжиниринг в своей противоправной деятельности.
При этом, если всех так называемых психокомплексов существует несколько десятков, то тех, которые применяются хакерами, не так уж и много. Перечислю их:
Страх. Пожалуй, это самый часто используемый и самый опасный психокомплекс человека. Существуют десятки и сотни разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так.
Любопытство. Помните детскую игру? Вам давали свернутую "раскладушкой" полоску бумаги, на которой было написано "разверни". Вы послушно разворачивали "раскладушку" и в конце бумажки видели фразу "а теперь заверни обратно". Более взрослая, но безопасная шутка заключалась в посылке другу ссылки: , нажав на которую вам приходилось в течение долгого времени нажимать на кнопку OK в появляющихся в броузере окнах. Закрыть броузер стандартными средствами становится невозможным. Приходится "убивать" процесс, что может сказаться на работоспособности других приложений. Более опасные примеры использования любопытства в хакерских целях заключались в создании обманных серверов с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли. А так как обычно пользователи используют один и тот же пароль для доступа и к своему компьютеру и к Internet и к почтовому ящику, то узнав один пароль, с высокой вероятностью вы получали доступ и к другим паролям. Кстати, можно проверить, любопытны ли вы. Допустим, что я вам категорически не рекомендую заходить на страницу , потому что это очень опасно. Особенно, если вы используете броузер Internet Explorer. Сможете ли вы удержаться от того, чтобы не посмотреть, что находится по этому адресу?
Жадность. Этот психокомплекс завершает лидирующую тройку, которая может быть использована хакерами в своей зловредной деятельности. Проиллюстрирую его на реальном примере, с которым мне пришлось столкнуться в своей деятельности. У нас был сотрудник, на которого пало подозрение, что он ведет нечестную игру. И действительно, найдя в Internet его резюме, нами было составлено письмо от имени потенциального работодателя, в котором этому человеку было предложено заманчивое предложение. Взамен, мы задали ему несколько завуалированных вопросов о нашей корпоративной сети, ее системе защиты и ряд других, не менее важных вопросов. Нечистоплотный сотрудник, прекрасно понимая всю конфиденциальность этих сведений, предоставил их нам. После получения доказательств нами были сделаны соответствующие оргвыводы.
Превосходство. Можете ли вы с уверенностью сказать, что вам не знакомо чувство превосходства? Если да, то вы счастливый человек. Немногие могут похвастаться этим. Хакеры нередко использую этот психокомплекс в своих целях. Представьте, что к вам подошел "крутой" специалист, "кидающий пальцы" по какому-либо техническому вопросу. Вы, желая показать свое превосходство, начинаете опровергать его, указывать ему его место и т.д. В результате, в угаре словесного боя, вы можете выболтать что-то важное. И хотя данный метод большинству читателей знаком по шпионским боевикам (например, "Судьба резидента"), он вполне может быть применен и в обычной жизни.
Великодушие и жалось. Эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие. К вам может обратиться красивая девушка (кстати, эротический психокомлекс является одним из самых опасных - на него "ведутся" даже профессионалы) и, протягивая дискету, попросить помочь ей распечатать какой-то файл. Вы, по простоте душевной, вставляете эту дискету в свой компьютер и… получаете целый набор троянских коней, которые, активизируясь, начинают красть у вас пароли, финансовые отчеты и другую конфиденциальную информацию.
Доверчивость. Людям свойственно надеяться на лучшее и верить, что именно ИХ никто не обманет. Именно этот психокомплекс использовался при организации пирамид "МММ", "Русский Дом Селенга" и т.д. И он же с успехом может применяться в IT-области. Например, 25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз. Грамотно составленное письмо внушает к нему доверие, особенно если адрес отправителя соответствует человеку, подпись которого стоит под письмом.
Почему ЮНИ выбрала Check Point?
Выбор Check Point FireWall-1 как основы для реализации проектов сетевой безопасности был не случаен. Впервые мы познакомились с этим продуктом более четырех лет назад. В то время он был представлен на Российском рынке ОЕМ-версией от SUN Microsystems. Первые версии продукта представляли в большей степени теоретический интерес: Check Point реализовал совершенно новый по тем временам подход к инспекции IP-пакетов, но вскоре этот метод (Statefull Inspection Technology) получил высокую оценку и был запатентован. Сейчас многие производители систем firewall используют принципиально похожие технологии. Продукт совершенствовался и через два года своего существования стал наиболее распространенной в мире системой сетевой защиты. В России Check Point FireWall-1 начал пользоваться заслуженной популярностью в 1995 году, когда появление крупных проектов потребовало соответствующей технической поддержки и активного взаимодействия с непосредственным производителем. А затем ЮНИ и Check Point заключили сначала реселлерское, а затем и дистрибьюторское соглашения. В 1997 году ЮНИ авторизовала в Check Point свой учебный центр NTC. Возможность подготовить специалистов по материалам, одобренным производителем, на наш взгляд, является одним из ключевых моментов в реализации комплекса мер по защите сетей.
Почему следует использовать IDS
Обнаружение проникновения позволяет организациям защищать свои системы от угроз, которые связаны с возрастанием сетевой активности и важностью информационных систем. При понимании уровня и природы современных угроз сетевой безопасности, вопрос не в том, следует ли использовать системы обнаружения проникновений, а в том, какие возможности и особенности систем обнаружения проникновений следует использовать.
Почему следует использовать IDS, особенно если уже имеются firewall’ы, антивирусные инструментальные средства и другие средства защиты?
Каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация иногда называет безопасностью в глубину), можно защититься от максимально большого спектра атак.
Firewall’ы являются механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики firewall’а. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. Они могут обнаружить атакующих, которые обошли firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки.
IDS становятся необходимым дополнением инфраструктуры безопасности в каждой организации. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует, и не маленькая. Использование IDS помогает достичь нескольких целей: Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность. Это определяется следующим образом: "Я могу прореагировать на атаку, которая произведена на мою систему, так как я знаю, кто это сделал или где его найти". Это трудно реализовать в сетях TCP/IP, где протоколы позволяют атакующим подделать идентификацию адресов источника или другие идентификаторы источника. Также очень трудно осуществить подотчетность в любой системе, которая имеет слабые механизмы идентификации и аутентификации.Возможность блокирования означает возможность распознать некоторую активность или событие как атаку и затем выполнить действие по блокированию источника. Данная цель определяется следующим образом: "Я не забочусь о том, кто атакует мою систему, потому что я могу распознать, что атака имеет место, и блокировать ее". Заметим, что требования реакции на атаку полностью отличаются от возможности блокирования.
Атакующие, используя свободно доступные технологии, могут получить неавторизованный доступ к системам, если найденные в системах уязвимости не исправлены, а сами системы подсоединены к публичным сетям.
Объявления о появлении новых уязвимостей являются общедоступными, например, через публичные сервисы, такие как ICAT () или CERT (), которые созданы для того, чтобы эти уязвимости нельзя было использовать для выполнения атак. Тем не менее существует много ситуаций, в которых использование этих уязвимостей все же возможно: Во многих наследуемых системах не могут быть выполнены все необходимые обновления и модификации.Даже в системах, в которых обновления могут быть выполнены, администраторы иногда не имеют достаточно времени или ресурсов для отслеживания и инсталлирования всех необходимых обновлений. Это является общей проблемой, особенно в окружениях, включающих большое количество хостов или широкий спектр аппаратуры и ПО.Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости.Как пользователи, так и администраторы делают ошибки при конфигурировании и использовании систем.При конфигурировании системных механизмов управления доступом для реализации конкретной политики всегда могут существовать определенные несоответствия. Такие несоответствия позволяют законным пользователям выполнять действия, которые могут нанести вред или которые превышают их полномочия.
В идеальном случае производители ПО должны минимизировать уязвимости в своих продуктах, и администраторы должны быстро и правильно корректировать все найденные уязвимости. Однако в реальной жизни это происходит редко, к тому же новые ошибки и уязвимости обнаруживаются ежедневно.
Поэтому обнаружение проникновения может являться отличным выходом из существующего положения, при котором обеспечивается дополнительный уровень защиты системы. IDS может определить, когда атакующий осуществил проникновение в систему, используя нескорректированную или некорректируемую ошибку. Более того, IDS может служить важным звеном в защите системы, указывая администратору, что система была атакована, чтобы тот мог ликвидировать нанесенный ущерб. Это гораздо удобнее и действеннее простого игнорирования угроз сетевой безопасности, которое позволяет атакующему иметь продолжительный доступ к системе и хранящейся в ней информации. Возможно определение преамбул атак, обычно имеющих вид сетевого зондирования или некоторого другого тестирования для обнаружения уязвимостей, и предотвращения их дальнейшего развития.
Когда нарушитель атакует систему, он обычно выполняет некоторые предварительные действия. Первой стадией атаки обычно является зондирование или проверка системы или сети на возможные точки входа. В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания. Имея такой неограниченный доступ, атакующий в конечном счете может найти уязвимость и использовать ее для получения необходимой информации.
Та же самая сеть с IDS, просматривающей выполняемые операции, представляет для атакующего более трудную проблему. Хотя атакующий и может сканировать сеть на уязвимости, IDS обнаружит сканирование, идентифицирует его как подозрительное, может выполнить блокирование доступа атакующего к целевой системе и оповестит персонал, который в свою очередь может выполнить соответствующие действия для блокирования доступа атакующего. Даже наличие простой реакции на зондирование сети будет означать повышенный уровень риска для атакующего и может препятствовать его дальнейшим попыткам проникновения в сеть. Выполнение документирования существующих угроз для сети и систем.
При составлении отчета о бюджете на сетевую безопасность бывает полезно иметь документированную информацию об атаках. Более того, понимание частоты и характера атак позволяет принять адекватные меры безопасности. Обеспечение контроля качества разработки и администрирования безопасности, особенно в больших и сложных сетях и системах.
Когда IDS функционирует в течении некоторого периода времени, становятся очевидными типичные способы использования системы. Это может выявить изъяны в том, как осуществляется управление безопасностью, и скорректировать это управление до того, как недостатки управления приведут к инцидентам. Получение полезной информации о проникновениях, которые имели место, с предоставлением улучшенной диагностики для восстановления и корректирования вызвавших проникновение факторов.
Даже когда IDS не имеет возможности блокировать атаку, она может собрать детальную, достоверную информацию об атаке. Данная информация может лежать в основе соответствующих законодательных мер. В конечном счете, такая информация может определить проблемы, касающиеся конфигурации или политики безопасности. IDS помогает определить расположение источника атак по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.
Почтовый сервер и DNS.
МЭ включает средства построения этих видов сервиса, при этом позволяет
полностью скрыть структуру внутренней сети от внешнего мира, как в
почтовых адресах, так и в DNS.
Подсистема Firewall Scanner
Межсетевой экран - необходимое средство для защиты информационных ресурсов корпоративной сети. Но обеспечить необходимый уровень сетевой безопасности можно только при правильной настройке межсетевого экрана. Установка межсетевого экрана без проведения необходимого обследования и имеющиеся уязвимости в сетевых сервисах и протоколах - приглашение для любого осведомленного злоумышленника.
Подсистема Firewall Scanner&153; поможет максимизировать уровень защищенности Вашего межсетевого экрана путем его тестирования на наличие известных уязвимостей и неправильной конфигурации. Простота использования подсистемы Firewall Scanner&153; гарантирует достоверный анализ конфигурации межсетевых экранов, защищающих Вашу корпоративную сеть.
Подсистема Firewall Scanner&153; используется при испытаниях межсетевых экранов, проводимых практически всеми независимыми лабораториями и компьютерными изданиями. В т.ч. при помощи подсистемы Firewall Scanner&153; в 27 ЦНИИ МО РФ тестировался межсетевой экран "Застава-Джет".
Подсистема Intranet Scanner
Подсистема Intranet Scanner&153; - средство анализа сетевой безопасности, разработанное для автоматического обнаружения уязвимостей, использующее обширное число тестов на проникновение. Эта простая в использовании система, позволяет достоверно оценить эффективность и надежность конфигурации рабочих станций Вашей корпоративной сети.
К сетевым системам, тестируемым Intranet Scanner, относятся:
UNIX(r)-хосты; Операционные системы Microsoft Windows NT&153;, Windows(r) 95 и другие, поддерживающие стек протоколов TCP/IP; Интеллектуальные принтеры, имеющие IP-адрес; X-терминалы; И т.п.
Администраторы безопасности, как правило, защищают только те компьютеры, на которых обрабатывается критичная информация. Однако общий уровень безопасности сети равен уровню безопасности самого слабого ее звена. Поэтому недооценка в защите нечасто используемых служб типа сетевой печати или сетевого факса могут быть использованы злоумышленниками для проникновения в Вашу корпоративную сеть или компрометации ее информационных ресурсов. Подсистема Intranet Scanner&153; поможет быстро обнаружить такие слабые места и порекомендовать меры по их коррекции или устранению.
Подсистема Web Security Scanner
Незащищенный Web-сервер - удобная цель для злоумышленника. Подсистема Web Security Scanner&153; поможет Вам выявить все известные уязвимости и неправильную конфигурацию Web-сервера и предложит рекомендации по повышению уровня его защищенности.
Подсистема Web Security Scanner&153; проводит анализ операционной системы, под управлением которой работает Web-сервер, самого приложения, реализующего функции Web-сервера, и CGI-скриптов. В процессе тестирования оценивается безопасность файловой системы, поиски сценариев CGI с известными уязвимостями и анализ пользовательских CGI-скриптов. Уязвимости Web-сервера идентифицируются и описываются в отчете с рекомендациями по их устранению.
Получение единой оценки состояния защищаемой системы
Общая оценка аномальности должна определяется из расчета множества параметров оценки. Если это множество формируется так, как было предложено в предыдущем параграфе, то получение единой оценки представляется весьма не простой задачей. Один из возможных методов – использование статистики Байеса. Другой способ, применяемый в NIDES, основан на использовании ковариантных матриц [].
Статистика Байеса
Пусть А1.. Аn – n измерений, используемых для определения факта вторжения в любой момент времени. Каждое Аi оценивает различный аспект системы, например – количество активностей ввода-вывода, количество нарушений памяти и т.д. Пусть каждое измерение Аi имеет два значения 1 – измерение аномальное, 0 – нет. Пусть I – это гипотеза того, что в системе имеются процессы вторжения. Достоверность и чувствительность каждого измерения определяется показателями
Вероятность вычисляется при помощи теоремы Байеса.
Для событий I и ¬I, скорее всего, потребуется вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений. Для упрощения вычислений, но теряя в точности, мы можем предположить, что каждое измерение Аi зависит только от I и условно не зависит от других измерений Аj где i ? j. Это приведет к соотношениям
и
Отсюда
Теперь мы можем определить вероятность вторжения, используя значения измерений аномалий, вероятность вторжения, полученную ранее, и вероятности появления каждого из измерений аномальности, которые наблюдали ранее во время вторжений.
Однако для получения более реалистичной оценки Р(I|А1..Аn), необходимо учитывать влияние измерений Аi друг на друга.
Ковариантные матрицы
В NIDES, чтобы учитывать связи между измерениями, при расчете используются ковариантные матрицы. Если измерения А1.. Аn представляет собой вектор А, то составное измерение аномалии можно определить как
где С – ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий.
Сети доверия (сети Байеса)
Байесовы сети представляют собой графовые модели вероятностных и причинно-следственных связей между переменными в статистическом информационном моделировании. В байесовых сетях органически сочетаются эмпирические частоты появления различных значений переменных, субъективные оценки «ожиданий» и теоретические представления о математических вероятностях тех или иных следствий из априорной информации [].
Посылка управляющих последовательностей SNMP
Система RealSecure? версии 2.0 имеет возможность генерации управляющих последовательностей по протоколу SNMPv1 или передачу определенных данных в качестве возможного ответного действия на обнаруженную атаку или какое-либо контролируемое системой несанкционированное действие. Посылаемая последовательность содержит данные о времени и типе обнаруженной атаки или несанкционированного действия.
Данная возможность может использоваться для дополнительной обработки обнаруженной атаки средствами управления сетью типа HP OpenView, IBM NetView, Tivoli TME10 или любых других, позволяющих обрабатывать входящие управляющие последовательности по протоколу SNMP.
Потенциальная опасность обхода межсетевого экрана
Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники какой-либо организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в Internet. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана.
Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.
Потенциально опасные возможности
Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от "мобильного" кода Java и ActiveX практически нет. Доступ такого кода в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java, сценариев JavaScript и т.п., на самом деле враждебный код может попасть в защищаемую зону даже в случае полного их блокирования в настройках межсетевого экрана.
Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного "мобильного" кода.
Пример проверки, осуществляемой системой WebTrends Security Analyzer
<TestAuthor> WebTrends Corporation </TestAuthor>
<TestCopyright> Copyright 1998, WebTrends Corporation, All Rights Reserved. </TestCopyright>
<TestVersion> 2.0 </TestVersion>
====================================================================
<TestDependency>estabvc</TestDependency>
<TestCategory>inventory</TestCategory>
====================================================================
<TestTitle>Query OS Type via Netbios</TestTitle>
<TestVulnerabilityDescription>
This test attempts to determine the operating system type and version running on
the specified hosts.
</TestVulnerabilityDescription>
====================================================================
<Test>
# osdetectnt.pl
# attempt to detect OS using a netbios over tcp/ip call
require "crowbar.pl";
$theTargetNetbiosName = GetStringParam($crowbar::WTDB_NetbiosName);
crowbar::WTDebugOutput("OSDetect -- the target netbios name is $theTargetNetbiosName");
if($theTargetNetbiosName){
$a = crowbar::WTGetNTOSInfo($theTargetNetbiosName);
if($a){
$a =~ /^OSTYPE (.*):VERSION (.*)/;
$type = $1;
$version = $2;
crowbar::WTDebugOutput("Type is $type, version is $version\n");
if($version =~ m/OSVersion_Unknown/){
crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Unknown") + 1, "Unknown", -1);
}
elsif($version =~ m/OSVersion_WindowsNT_3_5_0/){
crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 3.5") + 1, "Version 3.5", -1);
}
elsif($version =~ m/OSVersion_WindowsNT_3_5_1/){
crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 3.51") + 1, "Version 3.51", -1);
}
elsif($version =~ m/OSVersion_WindowsNT_4_0/){
crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 4.0") + 1, "Version 4.0", -1);
}
elsif($version =~ m/OSVersion_WindowsNT_5_0/){
crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 5.0") + 1, "Version 5.0", -1);
}
if($type =~ m/OSType_Unknown/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Unknown") + 1, "Unknown", -1);
}
elsif($type =~ m/OSType_Unix/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Unix Server") + 1, "Unix Server", -1);
}
elsif($type =~ m/OSType_WindowsNTServer/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Server") + 1, "Windows NT Server", -1);
}
elsif($type =~ m/OSType_WindowsNTPDC/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(" Windows NT Primary Domain Controller") + 1, "Windows NT Primary Domain Controller", -1);
}
elsif($type =~ m/OSType_WindowsNTBDC/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Backup Domain Controller") + 1, "Windows NT Backup Domain Controller", -1);
}
elsif($type =~ m/OSType_WindowsNTWorkstation/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Workstation") + 1, "Windows NT Workstation", -1);
}
elsif($type =~ m/OSType_WindowsNT/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT") + 1, "Windows NT", -1);
}
elsif($type =~ m/OSType_Windows95/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows 95/98") + 1, "Windows 95/98", -1);
}
elsif($type =~ m/OSType_Windows98/){
crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows 98") + 1, "Windows 98", -1);
}
}
}
</Test>
Пример проверки, осуществляемой системой CyberCop CASL
# spoof_check.cape
# this script is used by the built-in filter checks
# please do not modify it
ip
ip_version=4
ip_proto=IPPROTO_UDP
ip_flags=0
ip_id=42
ip_done
udp
udp_sport=6834
udp_dport=5574
udp_done
data=SAS-ipspoofing
end_of_packet
Принцип действия контекстного контроля доступа
Контекстный контроль доступа (ККД) - это механизм контроля доступа на уровне приложений для IP трафика. Он распостраняется на стандартные TCP/UDP приложения, мультимедиа (включая H.323 приложения, CU-SeeME, VDOLive, Streamworks и др.), протокол Oracle БД. ККД отслеживает состояние соединения, его статус.
Обычные и расширенные списки доступа, реализованные в IOS, тоже контролируют статус состояния. Однако при их использовании рассматривается только информация из заголовка пакета. ККД же использует всю информацию в пакете и использует ее для создания временых списков доступа для обратного трафика от этого приложения. После окончания соединения эти списки доступа уничтожаются. ККД является более строгим механизмом защиты, чем обычные списки доступа, поскольку он учитывает тип приложения и особенности его поведения
В настоящее время FFS существует только для маршрутизаторов 2500 и 1600 серий, наиболее распостраненных в Интернет.
Продукционные/Экспертные системы
Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем.
Примеры использования таких систем в СОВ описаны достаточно широко. Такая система кодирует информацию о вторжениях в правилах вида if(если) причина then(то) решение, причем при добавление правил причина соответствует событию(ям), регистрируемых подсистемой сбора информации СОВ. В части (if) правила кодируются условия (причины), необходимые для атаки. Когда все условия в левой части правила удовлетворены, выполняется действие (решение), заданное в правой его части [].
Основные проблемы приложений, использующих данный метод, которые обычно возникают при их практическом применении:
недостаточная эффективность при работе с большими объемами данных; трудно учесть зависимую природу данных параметров оценки.
При использовании продукционных систем для обнаружения вторжений можно установить символическое проявление вторжения при помощи имеющихся данных.
Трудности:
Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых данных. База фактов, соответствующая левой части «продукции», используется для определения правой части. В левой части продукционного правила все элементы объединяются при помощи связи «и». Встроенная экспертиза хороша только в том случае, если моделируемые навыки администратора безопасности не противоречивы. Это практическое рассуждение, возможно, касается недостаточной централизованности усилий экспертов безопасности в направлении создания исчерпывающих множеств правил. Обнаруживаются только известные уязвимости. Существуют определенный программный инжиниринг, связанный с установкой (поддержанием) баз знаний. При добавлении или удалении какого-либо из правил должно изменяться остальное множество правил. Объединение различных измерений вторжений и создание связанной картины вторжения приводит к тому, что частные причины становятся неопределенными. Ограничения продукционных систем, в которых используется неопределенная причина, довольно хорошо известны.
Программный маршрутизатор:
предотвращает несанкционированную передачу данных с компьютера в интернет "троянцами" и другими приложениями, установленными без ведома пользователя; защищает портативные ПК при работе в беспроводных и других малозащищенных сетях; блокирует некоторые злонамеренные программы, но не в состоянии их удалить.
Производительность системы аутентификации.
Межсетевые экраны PIX обеспечивают производительность намного выше, чем конкурирующие продукты. Высокая скорость обеспечивается за счет сквозных (cut-through) proxy. В отличие от обычных proxy серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI ( что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.
Еще одним фактором, который тормозит работу обычных proxy-серверов является то, что для каждой TCP сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 16000 сессий одновременно. При полной загрузке PIX модели 10000 поддерживает пропускную способность 90 Мбит/с ( два T3 канала)
Простота использования
Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:
задание глубины сканирования; выбор сканируемых узлов; запуск процесса сканирования; генерация и анализ отчета.
Интуитивно понятный графический интерфейс и простота использования системы поможет быстро и легко настроить ее с учетом требований, предъявляемых в Вашей организации. Принципы функционирования системы не требуют реконфигурации других систем, используемых Вами. Это выгодно отличает систему RealSecure?, например, от межсетевых экранов или средств контроля "активного" кода (Java, ActiveX и т.п.).
Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:
задание глубины сканирования; выбор сканируемых узлов; запуск процесса сканирования; генерация и анализ отчета.
"Проверка заголовков" (banner check)
Указанный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.
Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.
Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков "по умолчанию". Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.
Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы.
Прозрачность при использовании.
Главным положительным качеством пакетных фильтров является их прозрачность,
т.е. комфортабельность использования. Кроме того, при использовании пакетного
фильтра нет необходимости изменять клиентское матобеспечение.
Нынешний уровень развития фильтров на уровне приложений позволяют достичь
практически полной прозрачности. Рассматриваемый МЭ - пример наиболее
эффективной реализации этих возможностей. Для пользователей внутренней сети
МЭ может рассматриваться как стандартный роутер.
Расширенное ядро
Игнорирует пакеты со специальными признаками
Закрыта прямая передача через ядро пакетов
Добавлена система глобального мониторинга соединений
Включен анализатор направления передачи пакетов
Установлен режим перехвата всех пакетов для прозрачного режима
Полностью закрыты от внешнего доступа сервисы, использующиеся локально
Растущий интерес
ИТ-специалисты в той или иной степени используют свободно распространяемые средства защиты уже около 15 лет. Сейчас все больший интерес к таким инструментам проявляют крупные компании, консультанты по вопросам защиты и поставщики услуг, которые могут адаптировать подобное программное обеспечение к нуждам конкретных пользователей. Например, EDS начала использовать свободно распространяемый инструментарий защиты компании Astaro для обеспечения безопасности компонента переднего плана Web-сайтов нескольких кредитных союзов, предлагающих возможности обработки транзакций.
Интеграторы систем информационной безопасности признают, что пользователей привлекает невысокая цена свободно распространяемых средств. Например, Ричард Майр, управляющий директор R2R Informations und Kommunikations, отметил, что его компания уже долгие годы предлагает свой коммерческий межсетевой экран. Однако собранные данные показывают, что 75% клиентов компании отдают предпочтение свободно распространяемым аналогам. Компания Guardent предлагает подписку на услуги Internet-защиты стоимостью 1,5 тыс. долл. в месяц, основу которой составляет ее Security Defense Appliance. Это решение объединяет в себе коммерческие компоненты, такие как межсетевой экран PIX компании Cisco Systems, и свободно распространяемые компоненты, в том числе iptables, Nessus и Snort. Аналогичная услуга, опирающаяся исключительно на коммерческие продукты, может стоить около 10 тыс. долл.
В то же время, компания C2Net Software, которую недавно приобрела Red Hat, разработала свой коммерческий сервер Stronghold Secure Web Server на базе Apache и OpenSSL — свободно распространяемого инструментария, реализующего протоколы защиты на уровне сокетов и на транспортном уровне, а также содержащего криптографическую библиотеку общего назначения.
По словам консультанта по вопросам защиты Пола Робичаукса из компании Robichaux & Associates, организации, которые предъявляют особые требования к защите, определяемые законодательством, например, работающие в области здравоохранения и финансов, вряд ли станут использовать свободно распространяемый инструментарий. Вместо этого, они, скорее всего, будут по-прежнему зависеть от производителей, на которых они могут возложить ответственность за нарушение защиты. Робичаукс считает, что свободно распространяемые системы защиты чаще будут использоваться консалтинговыми и сервисными фирмами, которые уже знают эти инструментальные средства и доверяют им, а также компаниями, чьи отделы ИТ уже опробовали такие решения.
Марк Кокс, директор по разработке группы OpenSSL компании Red Hat добавил: «Организации, работающие на Unix-платформах, таких как Linux и Solaris, скорее всего, будут выбирать инструменты типа Nessus, Snare и Snort, поскольку их история разработки и использования аналогична Unix».
Различные варианты реагирования на атаки
Система RealSecure? имеет возможность по заданию различных вариантов реагирования на обнаруженные атаки:
запись факта атаки в регистрационном журнале; уведомление об атаке администратора через консоль управления; уведомление об атаке администратора по электронной почте; аварийное завершение соединения с атакующим узлом; запись атаки для дальнейшего воспроизведения и атаки; реконфигурация межсетевых экранов или маршрутизаторов; посылка управляющих SNMP-последовательностей; задание собственных обработчиков атак.
Разница в реализации
Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и ненахождения - в случае другого. Хорошую ассоциацию приводит ведущий разработчик системы Internet Scanner Девид ЛеБлан. "Если вы спросите меня - дома мой товарищ или нет, я просто позвоню ему. Если его телефон не отвечает, то я позвоню вам и сообщу, что его нет дома. Затем вы идете к нему домой, стучите в дверь и он отвечает. Не называйте меня лжецом только из-за того, что то, что я пытался сделать не сработало. Возможно, я был не прав или необходимо было использовать другие методы, но я пытался сделать то, что считал нужным". Так и со средствами поиска уязвимостей.
Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах. Например, анализ и разбор поля sysDescr в журнале регистрации системы Internet Scanner существенно помогает во многих спорных случаях.
Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах. Например, использование учетной записи halt для демона Telnet на некоторых компьютерах под управлением Unix или Windows NT не приведет к плачевным последствиям, в то время как на старых версиях Unix это вызовет запуск команды /bin/halt при попытке доступа к удаленной системе с использованием этой учетной записи.
Развитие методов и средств аутентификации
Средства безопасности FireWall-1/VPN-1 поддерживают разнообразные схемы аутентификации пользователей, которые могут активизироваться при задании соответствующих правил доступа. Эти схемы на сегодня включают аутентификацию на основе паролей, хранящихся в FireWall-1, цифровых сертификатов X.509, систем аутентификации ОС, RADIUS, TACACS, SecurID и ряда других. С помощью модуля Account Management, входящего в состав FireWall-1/VPN-1, в правилах доступа можно использовать информацию о пользователях и группах, хранящуюся во внешних базах учетных данных, поддерживающих протокол LDAP (например, NDS или Active Directory), что освобождает администратора безопасности от необходимости дублировать пользовательские данные в системе FireWall-1/VPN-1.
Поддержка цифровых сертификатов и инфраструктуры публичных ключей PKI в продуктах CheckPoint обеспечивает масштабированное решение проблемы аутентификации массовых пользователей. Продукты FireWall-1/VPN-1 работают сегодня с системами PKI компаний Entrust, VeriSign, Netscape, Microsoft, Baltimore Technologies и Data Key, это делает возможным аутентификацию пользователей в гетерогенной среде, когда сертификаты изданы и подписаны различными сертифицирующими организациями. Используя систему VPN-1 Certificate Manager компании CheckPoint, в которую входит сервер сертификатов от Entrust Technologies и LDAP-совместимая служба каталогов от Nescape Communications, предприятие может самостоятельно поддерживать инфраструктуру публичных ключей, администрируя ее с помощью стандартной графической утилиты Account Management.
Компания CheckPoint уделяет большое внимание поддержке схем аутентификации, обеспечивая возможность интеграции своих продуктов практически со всеми распространенными в корпоративных сетях системами этого назначения.
Для работы с пользователями межсетевой экран (а при необходимости и другие средства безопасности, например, шлюз VPN) может выполнять аутентификацию пользователей либо полностью самостоятельно, либо с привлечением внешних систем аутентификации и авторизации, которые имеются в сетевых операционных системах или системах удаленного доступа. Самостоятельное выполнение аутентификации экраном ведет к дублированию базы учетных записей пользователей, что нежелательно по многим причинам. В то же время сегодня в корпоративных сетях широко используются средства аутентификации, основанные на централизованной службе каталогов, такой как NDS компании Novell или Directory Services компании Microsoft (которую должна сменить служба Active Directory для Windows 2000, обладающая существенно более высокой масштабируемостью и совместимостью с основными стандартами Internet ). Такие системы аутентификации обладают многими привлекательными свойствами:
обеспечивается единый логический вход пользователя в сеть (а не на отдельный сервер), администратор работает с единственной записью учетных данных о каждом пользователе и системном ресурсе, система отлично масштабируются за счет распределенного характера базы данных каталога, доступ к данным каталога осуществляется с помощью стандартного для Internet протокола LDAP (службой Directory Services не поддерживается) данные о пользователях и ресурсах сети хранятся в иерархическом виде, соответствующем структуре организации и сети.
Для повышения эффективности работы с пользователями межсетевой экран должен уметь использовать учетные данные, хранящиеся в службе каталогов сети, при конструирования правил доступа (например, обращаясь к ним по протоколу LDAP), а также выполнять транзитную аутентификацию, выполняя роль посредника между пользователем и используемой в сети системой аутентификации. Такой вариант работы средств безопасности позволяет администратору средств безопасности сосредоточиться на выполнении своих прямых обязанностей и не дублировать работу по администрированию пользователей.
Особым случаем является аутентификация массовых клиентов предприятия, которые возникают при ведении бизнеса с помощью Internet. При усложнении схем бизнеса появляются различные категории массовых клиентов, которым нужно давать разные права доступа. Для аутентификации массовых клиентов традиционные схемы на основе индивидуальных паролей неэффективны, так как требуют ввода в систему и хранения каждого пароля, и, следовательно, плохо масштабируются. Для работы с массовыми пользователями очень желательно, чтобы межсетевой экран поддерживал технологию аутентификации на основе цифровых сертификатов стандарта X.509 и инфраструктуры публичных ключей (PKI), которая получает все большее распространение в Internet. Сертификаты позволяют разбить пользователей на несколько классов и предоставлять доступ в зависимости от принадлежности пользователя к определенному классу. Инфраструктура публичных ключей нужна для организации жизненного цикла сертификатов и позволяет, в частности, проверить подлинность предъявленного сертификата за счет проверки подлинности цифровой подписи сертифицирующей организации (Certificate Authority) или цепочки сертифицирующих организаций, если организация, выдавшая сертификат, не входит в перечень пользующихся на данном предприятии доверием сертификационных центров.
Аутентификация на основе сертификатов может применяться не только к массовым клиентам, но и к сотрудникам предприятий-партнеров, а также и к собственным сотрудникам.
Поддержка межсетевым экраном сертификатов и инфраструктуры публичных ключей приводит к исключительно масштабируемым системам аутентификации, так как в этом случае в системе требуется хранить только открытые ключи нескольких корневых сертифицирующих организаций и поддерживать протоколы взаимодействия с их серверами сертификатов. Для успешной работы в гетерогенной среде, порождаемой взаимодействием с различными пользователями и организациями, важно, чтобы средства безопасности могли поддерживать продукты PKI основных ведущих производителей, таких как Entrust, Netscape, Microsoft и т.п.
Реконфигурация маршрутизаторов
Аналогично реконфигурации межсетевого экрана CheckPoint Firewall-1, система RealSecure? позволяет управлять маршрутизаторами серии 7000 компании Cisco Systems.
Реконфигурация межсетевых экранов
В версии 2.0 системы RealSecure? появилась уникальная возможность управления межсетевым экраном компании CheckPoint - Firewall-1. Взаимодействие осуществляется по технологии OPSEC? (Open Platform for Secure Enterprise Connectivity) и, входящему в нее, протоколу SAMP (Suspicious Activity Monitoring Protocol). Сертификация системы RealSecure (в апреле 1998 г.) на совместимость с технологией OPSEC позволяет расширяет возможности системы по реагированию на обнаруженные атаки. Например, после обнаружения атаки на WWW-сервер, система RealSecure? может по протоколу SAMP послать сообщение межсетевому экрану Firewall-1(r) для запрета доступа с адреса, осуществляющего атаку.
В версии 2.5 системы RealSecure? к возможности управления межсетевым экраном CheckPoint Firewall-1 добавилась возможность посылки уведомления об атаке на межсетевой экран Lucent Managed Firewall.
Saint
Security Administrators Integrated Network Tool — сканер уязвимых мест защиты (см. рис. 1), который работает с большинством разновидностей Unix, включая Linux. Сканер создан на базе свободно распространяемого инструментария для анализа дефектов защиты Satan (Security Administrator’s Tool for Analyzing Networks). Компания Saint () отказалась от более старых версий сканера, но продает новейший его вариант, а также SAINTwriter для генерации настраиваемых отчетов и SAINTexpress для автоматического обновления сигнатур дефектов защиты.
Рис. 1. Saint — сканер, который проверяет системы на наличие уязвимых мест. С учетом конкретной конфигурации механизм контроля определяет, может ли Saint (и до какой степени) сканировать набор сетевых узлов. Подсистема выбора целей создает список атак для тестов, запускаемых на сканируемых узлах. Подсистема сбора данных собирает факты о результатах работы зондов. С помощью базы правил механизм взаимодействий обрабатывает факты, при этом собирая данные и определяя новые адресуемые хосты, зонды и факты. Подсистема результатов отображает собранные данные как гиперпространство, с которым пользователи могут работать с помощью браузера
Самы популярные атаки в Интернет
В марте 1999 г. самыми популярными атаками (или наиболее уязвимыми приложениями), как было установлено NIST, являлись Sendmail, ICQ, Smurf, Teardrop, IMAP, Back Orifice, Netbus, WinNuke и Nmap.
Sendmail: Sendmail - это очень старая программа, в которой на протяжении всей ее истории имелись уязвимости. Sendmail - наглядное доказательство того, что у сложных программ редко бывают исправлены все ошибки, так как разработчики постоянно добавляют новые возможности, из-за которых появляются новые уязвимые места. Последние атаки против sendmail попадают в категорию удаленного проникновения, локального проникновения, а также удаленного блокирования компьютера. ICQ: - это сложная программа онлайнового общения с большим числом разнообразных возможностей, название которой является сокращением для фразы "I-Seek-You." (я ищу вас). Сейчас она используется приблизительно 26 миллионами пользователей. В прошлом году было разработано несколько атак на ICQ, которые позволяли атакующему выдавать себя за другого и расшифровывать "зашифрованный" трафик. Затем атакующий начинал диалог в ICQ с тем человеком, чьим другом являлся тот, за кого он себя выдавал, и посылал ему через ICQ троянские кони (враждебные программы, встроенные в казалось бы нормальные программы). Smurf: Smurf использует сеть, в которой машины обрабатывают широковещательные ping-пакеты для переполнения жертвы пакетами ответов на ping. Эту атаку можно представить как усилитель, позволяющий атакующему анонимно блокировать работу компьютера жертвы из-за прихода ему по сети огромного количества пакетов. Teardrop: Teardrop полностью блокирует компьютеры с Windows 95 и Linux, используя ошибку в подпрограммах сетевых драйверов, обрабатывающих фрагментированные пакеты. IMAP: IMAP позволяет пользователям получать их электронные письма с почтового сервера. В последний год было выпущено программное обеспечение сервера IMAP, в котором содержались ошибки, позволяющие удаленному атакующему получать полный контроль над машиной. Эта уязвимость очень опасна, так как большое количество почтовых сервероа используют уязвимое программное обеспечение IMAP. Back Orifice: Back Orifice - это троянский конь, позволяющий пользователю удаленно управлять компьютером с Windows 95/98 с помощью удобного графического интерфейса. Netbus: Netbus аналогичен Back Orifice, но может атаковать как Windows NT, так и Windows 95/98. WinNuke: WinNuke полностью блокирует работу компьютера с Windows 95 путем посылки ему особого пакета "срочные данные" по протоколу TCP. Nmap: Nmap - это сложное средство для сканирования сети. Помимо всего прочего, nmap может сканировать с помощью нескольких протоколов, работать в скрытом режиме и автоматически идентифицировать удаленные операционные системы.
Самый удобный сканер
Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим пакетом наверняка был бы признан McAfee. Правда, в остальном у McAfee много недостатков — например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, в то время как на самом деле это не так.
McAfee, конечно, не единственный пакет с "глюками" — хотя их у него и много. Ни одна из рассмотренных программ не прошла гладко тест на удаление вируса CTX, "троянского коня" Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin — инфекция была полностью удалена, а система не повреждена. После попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.
Самым большим недостатком пакета Norton оказалась его медлительность. Когда в системе установлен этот пакет, она запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32, влияние которых на быстродействие наименее заметно. Norton медленнее всех выполняет полное сканирование жесткого диска — проверка диска со скоростью вращения 5400 об/мин, данные на котором занимают 575 Мб, на компьютере с Windows XP, Pentium III 800 МГцб 256 Мб RAM, длится около 12 мин. Самая быстрая из программ обзора, NOD32, выполняет эту операцию всего за 52 с. (Правда, Norton лучше распознает вирусы.) Следующим по скорости после NOD32 был сканер Panda, справившийся с задачей немногим более чем за 2,5 мин.
Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin Internet Security 2004: эта программа отличается не только качественным сканированием и разумной ценой, но также логичным и понятным интерфейсом.
Сентябрь
Компания America Online
начала блокировать всю электронную почту от пяти фирм, "фарширующих"
Интернет низкопробной продукцией: cyberpromo.com, honeys.com,
answerme.com, netfree.com и servint.com. (AP, 4 сентября). Фирма
CyberPromo, один из самых злостных нарушителей этики Интернет,
запрещающей рассылать по электронной почте всякий хлам, возбудила
судебный иск, обвиняя AOL в нарушении прав на свободу слова. На
заседании, состоявшемся 4 ноября, суд Филадельфии отверг эти аргументы.
(EPIC Alert 3.19). Суд постановил, что вопреки утверждениям Cyber
Promotions, компания AOL на самом деле имеет право блокировать
поток, изливаемый плодовитым производителем непрошенных электронных
сообщений. Судья отклонил ссылки на Первую поправку к конституции,
заявив, что ни у кого нет права навязывать ненужную электронную
корреспонденцию подписчикам Интернет-услуг. (AP, 4 ноября). В
другом деле со сходной тематикой, компания Concentric Network
Corporation возбудила 2 октября судебный иск против Cyber Promotions
и ее владельца Sanford Wallace, требуя моральной и материальной
компенсации за ущерб, вызванный отправкой тысяч поддельных электронных
сообщений с низкопробным содержанием, якобы исходящих от Concentric
Network. Этот хлам вызвал перегрузку сети, так как десятки тысяч
писем с несуществующими адресами были возвращены бедным "отправителям",
в почтовую систему Concentric Network. По постановлению суда фирмы
Wallace и Cyber Promotions подписали клятвенные заверения больше
никогда так не делать (см. ).
В начале сентября неизвестный
криминальный хакер организовал против поставщика Интернет-услуг
PANIX (Нью-Йорк) атаку с использованием так называемого "SYN-наводнения".
Смысл данной атаки в том, что на сервер направляется поток поддельных
запросов на установление TCP-соединений с несуществующими IP-адресами.
Этот поток вызывает перегрузку сервера, что ведет к отказу в обслуживании
законных пользователей. (AP, 13 сентября; ). В течение
недели специалисты по TCP/IP предоставили заплаты для противостояния
подобным атакам на доступность. Исчерпывающий анализ данной проблемы
можно найти по адресу .
Также в Нью-Йорке губернатор
Pataki подписал новый закон, объявляющий уголовным преступлением
компьютерную передачу непристойных материалов лицам, не достигшим
семнадцати лет. Закон определил новый класс E уголовных преступлений
- распространение непристойных материалов среди подростков среднего
возраста (Penal Law Section 235.21). Такие деяния наказываются
заключением в тюрьме штата на срок до четырех лет. (LACC-D, 12
сентября).
Как явствует из интервью
с Margot Kidder, опубликованного в "People Online",
компьютерный вирус стал последним звеном в цепи, приведшей ее
к широко обсуждавшемуся в прессе нервному расстройству. (Актрису
нашли на чьем-то заднем дворе, съежившуюся и что-то бормочущую.)
Неидентифицированный вирус необратимо разрушил единственный экземпляр
книги, над которой исполнительница главной роли в фильме "Супермен"
работала три года. Резервной копии сделано не было. ().
Заместитель начальника
управления по экономическим преступлениям Министерства внутренних
дел России сообщил, что российские хакеры с 1994 по 1996 год сделали
почти 500 попыток проникновения в компьютерную сеть Центрального
банка России. В 1995 году ими было похищено 250 миллиардов рублей.
(ИТАР-ТАСС, AP, 17 сентября).
Бурю протестов вызвало
известие о том, что газеты "Tampa Tribune" и "St.
Petersburg Times" получили компьютерные диски с именами 4
тысяч жертв СПИДа. Диски были присланы из окружного управления
здравоохранения вместе с анонимным письмом, в котором утверждалось,
что служащий управления показывал людям в баре список больных
и предостерегал своих друзей от контактов с ВИЧ-инфицированными.
(AP, 20 сентября). Служащий сознался в преступлении и в октябре
был уволен.
Компания Penguin Books
распространила по электронной почте сфабрикованный совет от имени
вымышленного профессора Edward Prideaux из несуществующего Колледжа
славянских наук. Текст розыгрыша был таким: "По Интернет
рассылается компьютерный вирус. Если Вы получите электронное сообщение
с заголовком "Irina", немедленно УДАЛИТЕ его, НЕ читая.
Некий злодей рассылает сведения о людях и файлы с заголовком "Irina".
Если Вы наткнетесь на такое письмо или файл, не загружайте его.
Содержащийся в нем вирус затрет Ваш жесткий диск, уничтожив все
данные. Пожалуйста, соблюдайте осторожность во время путешествий
по Интернет. Перешлите данное письмо Вашим близким и знакомым."
Письмо вызвало беспокойство у некоторых получателей, которые засыпали
своих антивирусных поставщиков запросами о помощи против этой
несуществующей напасти. (Graham Cluley, в "Proceedings of
the International Virus Prevention Conference '97").
Телефонные хакеры начали
прослушивать телефонные линии в квартирах и домах американцев,
подключаясь к каналам, проходящим через расположенные неподалеку
"бежевые ящики". Такие ящики стоят на тротуарах по всей
Америке. Специалисты компании Pacific Bell утверждают, что только
в Калифорнии каждую неделю выявляется 10 - 15 новых "включений".
Ежегодный ущерб, наносимый при этом компании, оценивается в несколько
миллионов долларов. (UPI, 22 сентября).
В Кентукки бывший сотрудник
управления по сбору налогов сознался в краже 4.2 миллионов долларов
из казначейства штата. Он использовал компьютеры штата для организации
компенсационных налоговых выплат на счет созданной им фиктивной
корпорации (AP, 23 сентября).
Paul Engel, брокер фондовой
биржи в Сан-Франциско, сообщил, что размолвка с сотрудником исследовательской
фирмы SRI International Inc. привела к "взрыву" 23 сентября
"почтовой бомбы". В этот день Пол получил от компьютеров
SRI 25 тысяч писем, состоящих из одного слова - "Идиот".
Поток писем сделал работу за компьютером невозможной, поэтому
в декабре мистер Энгель предъявил фирме SRI иск на 25 тысяч долларов.
(UPI, 27 декабря). Независимо от исхода судебного разбирательства,
данный случай еще раз доказывает, что корпоративная политика безопасности
должна явным образом задавать границы допустимого использования
корпоративных идентификаторов пользователей в Интернет.
На шокированную женщину
обрушились сотни телефонных звонков с запросами сексуальных услуг
после того, как ее имя и телефон, якобы принадлежащие проститутке,
были разосланы по Интернет. (PA News, 25 сентября).
В конце сентября злобный
робот-стиратель удалил 27 тысяч сообщений из различных телеконференций
в Usenet. Особенно пострадали телеконференции, организованные
иудеями, мусульманами, феминистками и гомосексуалистами. У некоторых
"стирателей" были расистские и человеконенавистнические
имена. В настоящее время не ясно, противоречит ли подобный вандализм
каким-либо законам, зато достаточно очевидно, что аналогичные
атаки будут продолжаться до тех пор, пока правом на удаление сообщений
из Сети не будут обладать только их однозначно идентифицируемые
авторы. ("San Jose Mercury News", 25 сентября).
Судом Лос-Анджелеса Kevin
Mitnick был обвинен по 25 пунктам, включая кражу программного
обеспечения, повреждение компьютеров в университете Южной Калифорнии,
неавторизованном использовании паролей, а также использовании
украденных кодов сотовых телефонов. Кевин не признал себя виновным.
(AP, Reuters, 27, 30 сентября).
Как забавное напоминание
о розыгрыше с вирусом "Good Times", начавшемся в 1994
году, некто продемонстрировал, как написать текст на HTML, разрывающий
Netscape-сеанс и даже иногда ломающий Windows 95. Секрет прост
- Web-страница должна всего лишь ссылаться на порты LPT1 или COM
как на источники данных. У пользователей почтового клиента Netscape
проблемы еще неприятнее, так как можно загрузить "отравленное"
электронное сообщение и автоматически проинтерпретировать HTML-код,
"завесив" навигатор и сделав отравленное письмо неудаляемым.
().
Криптоаналитики из компании
Bellcore Dan Boneh, Richard A. DeMillo и Richard J. Lipton показали,
что нарушение нормальной работы смарт-карт может дать достаточно
информации об алгоритмах шифрования и ключах для проведения успешного
криптоанализа. (Edupage, 1 октября; ; ). Опираясь на эту работу и свои прежние исследования,
израильские ученые Eli Biham и Adi Shamir опубликовали предварительный
вариант статьи "The Next Stage of Differential Fault Analysis:
How to break completely unknown cryptosystems" ("Очередной
этап анализа дифференциальных ошибок: как взламывать абсолютно
незнакомые криптосистемы"). В аннотации (см. )
авторы пишут: "Идею использования вычислительных ошибок для
взлома криптосистем впервые применили Boneh, Demillo и Lipton
к системам с открытыми ключами. Затем Biham и Shamir распространили
ее на большинство криптосистем с секретными ключами. ().
В нашем новом исследовании мы вводим модифицированную модель ошибок,
делающую возможным нахождение секретного ключа, хранящегося в
защищенном от вскрытия криптографическом устройстве, даже если
о структуре и функционировании этого устройства ничего не известно.
Прекрасным примером приложения новой модели является система Skipjack,
разработанная Агентством национальной безопасности США. Конструкция
этой системы неизвестна, она реализована в виде защищенной от
доступа микросхемы, устанавливаемой на имеющиеся в продаже ПК-модули
компании Fortezza. Мы не проводили тестовых атак на Skipjack,
но мы считаем, что они представляют реальную угрозу по отношению
к некоторым приложениям смарт-карт, спроектированным без учета
описываемых средств."
В ноябре британский криптограф
Ross Anderson опубликовал предварительный вариант статьи "A
serious weakness of DES" ("Серьезная слабость DES").
([, ; ).
Аннотация гласит: "Eli Biham и Adi Shamir () недавно
указали, что если атакующий может вызывать направленные ошибки
в ключевой памяти криптографических устройств, он сможет быстро
выделить ключи. Хотя их атака очень элегантна, ее нельзя назвать
практичной применительно ко многим реальным системам. Например,
внесение однобитного изменения в DES-ключ при правильной реализации
криптосистемы приведет к сообщению об ошибке четности."
Однако, если скомбинировать
идеи израильских ученых с недавней работой по восстановлению памяти
(автор - Peter Gutman), можно получить две весьма практичные атаки.
Одна из них позволяет выделить электронные ключи смарт-карт с
помощью гораздо более дешевого оборудования, чем то, которое в
настоящее используют пираты платного телевидения. Вторая представляет
реальную угрозу для неохраняемых банковских устройств. Эти атаки
показывают, что свойства DES, которые раньше казались безобидными,
на самом деле свидетельствуют о серьезной ошибке проектирования.
Новости из подполья. Журнал
"Phrack" номер 48 выпустили новые редакторы: "ReDragon",
"Voyager" и "Daemon9". В этом номере, как
и в ежеквартальном хакерском журнале "2600", опубликованы
исходные тексты программ, реализующих упоминавшуюся выше атаку
против доступности - "SYN-наводнение". Greg Perry, известный
в подполье как "Digital Hitler", арестован по обвинению
в мошенничестве на ниве сотовой телефонии.
В сентябрьском докладе
группы IS/Recon содержится следующее настоятельное предупреждение:
Вопреки нашим усилиям
по защите информационных систем от атак злоумышленников, последние
продолжают использовать сведения по безопасности, почерпнутые
из открытых источников, для выявления уязвимых систем и нападения
на них. Не боясь повториться или уподобиться волку, воющему на
луну, мы подчеркиваем обязательность быстрого наложения заплат
и поддержания постоянного контакта с производителями для внесения
в системы всех рекомендованных изменений. Самым свежим и тревожным
примером сбора информации о брешах в безопасности является новая
страница на одном из отслеживаемых нами типичных хакерских Web-серверов.
По адресу "http://..." располагается Web-страница, позволяющая
Вам ввести информацию о Вашей системе и опробовать Ваш экземпляр
программы httpd на предмет наличия в нем "дыры", описанной
в CERT Advisory 96.06. На хакерском сервере имеется регистрационный
журнал, в котором фиксируются все обращения к серверу и, в частности,
к упомянутой странице. ПОМНИТЕ! Когда Вы загружаете эту страницу,
в журнал попадает Ваш IP-адрес. Не делайте этого с Ваших корпоративных
компьютеров! Если Вы обнаружите свои знания о данном сервере,
Вы можете стать объектом атаки со стороны этих людей или невольно
способствовать тому, что мы "потеряем" сервер хакеров,
если они закроют его или поймут, что за ними следят. Чтобы взглянуть
на Web-страницу злоумышленников, воспользуйтесь каким-либо другим,
не корпоративным Интернет-адресом.
Сертификация
Сертификация продукта уполномоченными государственными организациями может дать серьезный импульс к его широкому применению. Правительство США требует, чтобы системы защиты и другие продукты, связанные с информационными технологиями, проходили проверку на соответствие Federal Information Processing Standard, осуществляемую Национальным институтом по стандартам и технологии (NIST), прежде чем американским госучреждениям можно будет их приобрести.
Стоимость тестирования на соответствие может варьироваться от десятков до сотен тысяч долларов. Все это может помешать организациям, создающим свободно распространяемое обеспечение (и имеющими, как правило, весьма скромный бюджет), сертифицировать свои технологии. Фактически, как отметила Аннабел Ли, директор программы NIST Cryptographic Module Validation Program, ей не известен ни один свободно распространяемый продукт, прошедший сертификацию.
Сертификация системы Internet Scanner
2 сентября 1998 г. система Internet Scanner&153; получила сертификат Государственной технической комиссии при Президенте РФ № 195 и стала первой в России системой анализа защищенности признанной этой авторитетной в области защиты информации организацией. Сертификация проводилась по техническим условиям (ТУ № 19-98), поскольку Руководящий документ, в котором приводятся требования к средства анализа защищенности в настоящий момент не разработан. Применение сертифицированной системы Internet Scanner дает два преимущества по сравнению с другими аналогичными средствами. Во-первых, "информационные системы, органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" (Федеральный Закон РФ от 25.01.95 "Об информации, информатизации и защите информации", ст.19). Сертификация системы Internet Scanner позволяет применять ее в государственных организациях. Во-вторых, сертификат выдается по результатам сертификационных испытаний, проводимых независимой испытательной лабораторией, назначаемой Гостехкомиссией России. В процесс испытаний осуществляется большое число тестов, которые гарантируют отсутствие "недекларированных возможностей" (Сертификат соответствия Гостехкомиссии России № 195).
Сервера прикладного уровня
Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов -
TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя
весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером
образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного
брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:
терминалы (Telnet, Rlogin)
передача файлов (Ftp)
электронная почта (SMTP, POP3)
WWW (HTTP)
Gopher
Wais
X Window System (X11)
Принтер
Rsh
Finger
новости (NNTP) и т.д.
Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от
внешних пользователей структуру локальной сети, включая информацию в заголовках
почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством
является возможность аутентификации на пользовательском уровне (аутентификация - процесс
подтверждения идентичности чего-либо; в данном случае это процесс подтверждения,
действительно ли пользователь является тем, за кого он себя выдает). Немного подробнее об
аутентификации будет сказано ниже.
При описании правил доступа используются такие параметры как название сервиса, имя
пользователя, допустимый временной диапазон использования сервиса, компьютеры, с
которых можно пользоваться сервисом, схемы аутентификации. Сервера протоколов
прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие
с внешним миров реализуется через небольшое число прикладных программ, полностью
контролирующих весь входящий и выходящий трафик.
