Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Защищайтесь, а не то...

Ренс Труст

Добиться безопасного подключения к Internet не так уж сложно.

Вопреки интригующим сюжетам голливудских фильмов “Сеть” и “Хакеры”, полных экзотических технических подробностей, причины реальных “взломов” компьютеров весьма прозаичны: злоумышленниками оказываются уволенные или неудовлетворенные своей карьерой служащие пострадавшей компании. Поэтому один из самых лучших способов защитить информацию — это создать служащим такие условия, при которых они с удовольствием занимались бы своей работой.

Между тем поддержание безопасности подключения к Internet должно стать для сетевых служб вашей компании столь же обыденным явлением, как гудок в телефонной трубке. Хотя средства массовой информации и создают пугающую картину компьютерных преступлений, в действительности обеспечить защиту информации несложно. Вы просто должны понять суть проблемы, приобрести навыки в обеспечении безопасности и осознать необходимость ежедневного проведения мероприятий по защите сети.

Сначала пароль

Один из наиболее распространенных способов проникновения в информационную систему — похищение входного пароля. Вы рискуете потерять пароль, если пользуетесь удаленным доступом к своим серверам по протоколам Telnet или FTP, а также если у вас открыт счет на Web-сервере, который требует для регистрации только идентификатор и пароль, а других средств защиты нет. Перехватывая информацию трафика Internet с помощью специальных программ, называемых “ищейками” (sniffer), хакеры собирают коллекции идентификаторов и паролей узлов Internet. Получив таким способом один пароль высокого уровня доступа к узлу, они продолжают похищать другие пароли и информацию или атакуют другие узлы сети, скрывая следы своего пребывания в системе, подвергшейся нападению.

В данной ситуации лучшая мера защиты от таких атак (хотя и не очень достижимая в реальной жизни) — запретить вход в корпоративную систему из Internet. Несмотря на эффективность, подобная мера вызовет недовольство многих удаленных пользователей сети, поскольку станут невозможными проверка почтовых ящиков электронной почты и загрузка файлов в переносные ПК. Более реальный путь — применение для входа из Internet пароля, отличного от того, который используется в офисной системе компании. Вопросы обеспечения безопасности в Internet, безусловно, важны, однако это всего лишь часть более общей проблемы защиты информации в целом. Исходите из предположения, что любой пароль, передаваемый по Internet, может быть похищен.

Одно из технических решений состоит в том, чтобы использовать однократный пароль. При этом украденный пароль, естественно, сразу же становится недействительным. Как и обычный “входной билет на одно лицо”, этот пароль предоставляет возможность войти в систему один раз, а значит, делает бессмысленным коллекционирование паролей с помощью “ищеек”.

Некоторые из подобных средств, в частности система SecurID компании Security Dynamics Technologies, основаны на аппаратной генерации одноразового пароля. Наиболее популярное программное решение — предназначенная для ОС Unix бесплатная программа S/Key, которую можно получить в архиве FTP по адресу ftp://tbumper.bellcore.com/ pub/nmb/skey. Этот программный продукт является стандартом де-факто и описан в RFC 1760.

Тем не менее даже применение одноразовых паролей не способно обеспечить абсолютной защиты сети. Более сложный способ атаки, названный “угон соединения TCP”, позволяет злоумышленнику незаметно переключить на себя соединение сразу после того, как легальный пользователь прошел регистрацию.

По этому сценарию протокол TCP передает последовательность чисел туда и обратно между связанными участниками сетевого соединения. Если “угонщику” удалось получить необходимую последовательность чисел, он может незаметно “встроиться” в середине сеанса связи. Затем, чтобы пройти регистрацию, ему даже не нужно красть пароль. У “жертвы” же создается представление, что соединение разорвалось по техническим причинам, что бывает довольно часто.

Противостоять таким атакам можно только с помощью сложных схем шифрования. Кодирование всего сеанса регистрации не только защищает от “ищеек”, но и делает бесполезными усилия “угонщиков” соединений. Они не в состоянии подобрать ключ шифрования, необходимый для подмены легального пользователя. Хотя само соединение все еще можно “увести”, его нельзя использовать для нанесения вреда компьютерной системе.

Если вы регулярно “посещаете” узлы Internet, подумайте об установке продукта SSН, обеспечивающего защищенный, шифрованный сеанс входа в сеть. SSH можно получить бесплатно по адресу: http://www.cs.hut.fi/ssh/. К сожалению, пока программа SSH функционирует только под Unix, но, согласно последним сообщениям, разрабатываются версии и для платформ Windows и Macintosh.

Затем защита сервера

Обеспечение надлежащей безопасности при входе в сеть и защита пароля безусловно важны, однако это всего лишь половина дела. Из-за сложности ПО сервера Internet вполне возможны скрытые ошибки как в кодах программ, так и в процедурах конфигурирования, которые могут оставить широкие незащищенные “дыры”.

Особого внимания требуют приложения, обслуживающие удаленных пользователей. Это— серверы Web типа программы httpd, с помощью которых обрабатывают Web-страницы или почтовые программы, управляющие потоками электронной почты в Internet. ПО следует не только тщательно конфигурировать, но и ежедневно проверять. Любые отклонения от этих правил дадут злоумышленникам шанс проникнуть в вашу сеть.

Наибольшую опасность для серверов Web представляют небрежно написанные программы-сценарии CGI, служащие для интерактивной обработки информации, размещенной на сервере. Многие из подобных программ воспринимают информацию от пользователя, вводимую с помощью экранных бланков, и передают ее для обработки другим программам. Если создатель CGI-приложения не предусмотрел достаточно тщательную проверку прав на вход, хакеры способны заставить сервер запустить программу, которая обладает полным доступом к системе. Поэтому при проектировании сервера Web необходимо позаботиться не только о функциональных возможностях, но и о безопасности.

Многие серверы Web отделены от внутренних сетей корпораций с помощью брандмауэров. При взломе сервера Web остальная часть системы остается нетронутой. Но брандмауэры Internet сосредоточены на защите единственной точки входа во внутреннюю сеть.

Большинство нападений через Internet связано с серьезными проблемами защиты информации в Unix-системах. И этому не следует удивляться, поскольку на большинстве серверов в Internet установлена именно Unix. Однако наличие брешей в защите свойственно не только этой ОС.

Например, система Windows for Workgroups компании Microsoft, в которой применяется Wolverine — стек TCP/IP собственной разработки, содержит серьезную ошибку в модуле совместного доступа к файлам. В результате каждый, с кем вы совместно используете некоторые файлы, может через протоколы TCP/IP получить полный доступ ко всему вашему диску. Совместно работать с файлами, безусловно, очень удобно для конечных пользователей, однако за привлекательными возможностями скрыто множество сложных проблем, которые почти неизбежно ведут к появлению брешей в системе защиты.

Комплекс защитных мер

Постоянно быть в курсе текущих проблем безопасности — задача не из легких, однако получить помощь можно из многих источников. Этому вопросу посвящены несколько списков рассылки электронной почты Internet. Для начала можно подписаться на Firewalls по адресу: firewalls-request@GreatCircle.com, а также на материалы Bugtraq (bugtraq-request@Crimelab.com), в которых обсуждаются наиболее удачные способы защиты информации.

На самом деле защита данных требует постоянного и неустанного внимания пользователя: он должен тщательно следить за ошибками в программах, знакомиться с “достижениями” хакеров, уметь оценивать, как и насколько внедрение нового продукта может обеспечить безопасность системы. Чтобы выполнять данную работу на должном уровне, необходимо сделать проверку ПО и конфигурации системы обязательной.

Отрадно наблюдать, что за последние два года в искусстве защиты информации наметился очевидный прогресс. Появилось много возможностей для обеспечения защиты данных. Нет недостатка и в квалифицированных консультантах по вопросам безопасности, готовых помочь поддерживать спокойную работу вашего узла.


распечатать статью




  
3 '1996
СОДЕРЖАНИЕ

колонка редактора

• Как заработать миллион

локальные сети

• Слишком много справочников

• Жесткие диски большой емкости для серверов

• Проблема сертификации кабелей

• Виртуальные ЛВС: мифы и реальность

• NDS - совместимое клиентское ПО для Windows 95

корпоративные сети

• Технология АТМ

• Сетевые технологии XXI века

• Суперсервер в сети NetWare

• Программные средства удаленного доступа

• Задержки при передаче файлов

услуги сетей связи

• Спутниковая сеть ТЕЛЕПОРТ-ТП: технология DAMA на российском рынке

• Компьютерная телефония снова в пути

• Спутниковая система передачи данных ROMANTIS DATA

приложения клиент-сервер

• Системы обмена электронными сообщениями

интернет и интрасети

• Windows 95: окно в Internet

• Парад программ просмотра

защита данных

• Защита от электронного шпионажа

• Защищайтесь, а не то ...

новые продукты

• Новая версия Back Offise, Система хранения данных SPANStor-Mag, IWare облегчает работу по TCP/IP в сети NetWare, Концентраторы TigerStack



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх