Безопасность и Internet - статьи

         

Почтовый сервер и DNS.


МЭ включает средства построения этих видов сервиса, при этом позволяет

полностью скрыть структуру внутренней сети от внешнего мира, как в

почтовых адресах, так и в DNS.



Подсистема Firewall Scanner


Межсетевой экран - необходимое средство для защиты информационных ресурсов корпоративной сети. Но обеспечить необходимый уровень сетевой безопасности можно только при правильной настройке межсетевого экрана. Установка межсетевого экрана без проведения необходимого обследования и имеющиеся уязвимости в сетевых сервисах и протоколах - приглашение для любого осведомленного злоумышленника.

Подсистема Firewall Scanner&153; поможет максимизировать уровень защищенности Вашего межсетевого экрана путем его тестирования на наличие известных уязвимостей и неправильной конфигурации. Простота использования подсистемы Firewall Scanner&153; гарантирует достоверный анализ конфигурации межсетевых экранов, защищающих Вашу корпоративную сеть.

Подсистема Firewall Scanner&153; используется при испытаниях межсетевых экранов, проводимых практически всеми независимыми лабораториями и компьютерными изданиями. В т.ч. при помощи подсистемы Firewall Scanner&153; в 27 ЦНИИ МО РФ тестировался межсетевой экран "Застава-Джет".



Подсистема Intranet Scanner


Подсистема Intranet Scanner&153; - средство анализа сетевой безопасности, разработанное для автоматического обнаружения уязвимостей, использующее обширное число тестов на проникновение. Эта простая в использовании система, позволяет достоверно оценить эффективность и надежность конфигурации рабочих станций Вашей корпоративной сети.

К сетевым системам, тестируемым Intranet Scanner, относятся:

UNIX(r)-хосты; Операционные системы Microsoft Windows NT&153;, Windows(r) 95 и другие, поддерживающие стек протоколов TCP/IP; Интеллектуальные принтеры, имеющие IP-адрес; X-терминалы; И т.п.

Администраторы безопасности, как правило, защищают только те компьютеры, на которых обрабатывается критичная информация. Однако общий уровень безопасности сети равен уровню безопасности самого слабого ее звена. Поэтому недооценка в защите нечасто используемых служб типа сетевой печати или сетевого факса могут быть использованы злоумышленниками для проникновения в Вашу корпоративную сеть или компрометации ее информационных ресурсов. Подсистема Intranet Scanner&153; поможет быстро обнаружить такие слабые места и порекомендовать меры по их коррекции или устранению.



Подсистема Web Security Scanner


Незащищенный Web-сервер - удобная цель для злоумышленника. Подсистема Web Security Scanner&153; поможет Вам выявить все известные уязвимости и неправильную конфигурацию Web-сервера и предложит рекомендации по повышению уровня его защищенности.

Подсистема Web Security Scanner&153; проводит анализ операционной системы, под управлением которой работает Web-сервер, самого приложения, реализующего функции Web-сервера, и CGI-скриптов. В процессе тестирования оценивается безопасность файловой системы, поиски сценариев CGI с известными уязвимостями и анализ пользовательских CGI-скриптов. Уязвимости Web-сервера идентифицируются и описываются в отчете с рекомендациями по их устранению.



Посылка управляющих последовательностей SNMP


Система RealSecure? версии 2.0 имеет возможность генерации управляющих последовательностей по протоколу SNMPv1 или передачу определенных данных в качестве возможного ответного действия на обнаруженную атаку или какое-либо контролируемое системой несанкционированное действие. Посылаемая последовательность содержит данные о времени и типе обнаруженной атаки или несанкционированного действия.

Данная возможность может использоваться для дополнительной обработки обнаруженной атаки средствами управления сетью типа HP OpenView, IBM NetView, Tivoli TME10 или любых других, позволяющих обрабатывать входящие управляющие последовательности по протоколу SNMP.



Потенциальная опасность обхода межсетевого экрана


Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники какой-либо организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в Internet. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана.

Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.



Потенциально опасные возможности


Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от "мобильного" кода Java и ActiveX практически нет. Доступ такого кода в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java, сценариев JavaScript и т.п., на самом деле враждебный код может попасть в защищаемую зону даже в случае полного их блокирования в настройках межсетевого экрана.

Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного "мобильного" кода.



Правила пользования... электронной почтой?


Михаил Савельев

"Открытые Системы"

LAN, #04/2002



Пример проверки, осуществляемой системой WebTrends Security Analyzer


<TestAuthor> WebTrends Corporation </TestAuthor>

<TestCopyright> Copyright 1998, WebTrends Corporation, All Rights Reserved. </TestCopyright>

<TestVersion> 2.0 </TestVersion>

====================================================================

<TestDependency>estabvc</TestDependency>

<TestCategory>inventory</TestCategory>

====================================================================

<TestTitle>Query OS Type via Netbios</TestTitle>

<TestVulnerabilityDescription>

This test attempts to determine the operating system type and version running on

the specified hosts.

</TestVulnerabilityDescription>

====================================================================

<Test>

# osdetectnt.pl

# attempt to detect OS using a netbios over tcp/ip call

require "crowbar.pl";

$theTargetNetbiosName = GetStringParam($crowbar::WTDB_NetbiosName);

crowbar::WTDebugOutput("OSDetect -- the target netbios name is $theTargetNetbiosName");

if($theTargetNetbiosName){

$a = crowbar::WTGetNTOSInfo($theTargetNetbiosName);

if($a){

$a =~ /^OSTYPE (.*):VERSION (.*)/;

$type = $1;

$version = $2;

crowbar::WTDebugOutput("Type is $type, version is $version\n");

if($version =~ m/OSVersion_Unknown/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Unknown") + 1, "Unknown", -1);

}

elsif($version =~ m/OSVersion_WindowsNT_3_5_0/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 3.5") + 1, "Version 3.5", -1);

}

elsif($version =~ m/OSVersion_WindowsNT_3_5_1/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 3.51") + 1, "Version 3.51", -1);

}

elsif($version =~ m/OSVersion_WindowsNT_4_0/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 4.0") + 1, "Version 4.0", -1);

}

elsif($version =~ m/OSVersion_WindowsNT_5_0/){


crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 5.0") + 1, "Version 5.0", -1);

}

if($type =~ m/OSType_Unknown/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Unknown") + 1, "Unknown", -1);

}

elsif($type =~ m/OSType_Unix/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Unix Server") + 1, "Unix Server", -1);

}

elsif($type =~ m/OSType_WindowsNTServer/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Server") + 1, "Windows NT Server", -1);

}

elsif($type =~ m/OSType_WindowsNTPDC/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(" Windows NT Primary Domain Controller") + 1, "Windows NT Primary Domain Controller", -1);

}

elsif($type =~ m/OSType_WindowsNTBDC/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Backup Domain Controller") + 1, "Windows NT Backup Domain Controller", -1);

}

elsif($type =~ m/OSType_WindowsNTWorkstation/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Workstation") + 1, "Windows NT Workstation", -1);

}

elsif($type =~ m/OSType_WindowsNT/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT") + 1, "Windows NT", -1);

}

elsif($type =~ m/OSType_Windows95/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows 95/98") + 1, "Windows 95/98", -1);

}

elsif($type =~ m/OSType_Windows98/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows 98") + 1, "Windows 98", -1);

}

}

}

</Test>


Пример проверки, осуществляемой системой CyberCop CASL


# spoof_check.cape

# this script is used by the built-in filter checks

# please do not modify it

ip

ip_version=4

ip_proto=IPPROTO_UDP

ip_flags=0

ip_id=42

ip_done

udp

udp_sport=6834

udp_dport=5574

udp_done

data=SAS-ipspoofing

end_of_packet



Принцип действия контекстного контроля доступа


Контекстный контроль доступа (ККД) - это механизм контроля доступа на уровне приложений для IP трафика. Он распостраняется на стандартные TCP/UDP приложения, мультимедиа (включая H.323 приложения, CU-SeeME, VDOLive, Streamworks и др.), протокол Oracle БД. ККД отслеживает состояние соединения, его статус.

Обычные и расширенные списки доступа, реализованные в IOS, тоже контролируют статус состояния. Однако при их использовании рассматривается только информация из заголовка пакета. ККД же использует всю информацию в пакете и использует ее для создания временых списков доступа для обратного трафика от этого приложения. После окончания соединения эти списки доступа уничтожаются. ККД является более строгим механизмом защиты, чем обычные списки доступа, поскольку он учитывает тип приложения и особенности его поведения

В настоящее время FFS существует только для маршрутизаторов 2500 и 1600 серий, наиболее распостраненных в Интернет.



Программный маршрутизатор:


предотвращает несанкционированную передачу данных с компьютера в интернет "троянцами" и другими приложениями, установленными без ведома пользователя; защищает портативные ПК при работе в беспроводных и других малозащищенных сетях; блокирует некоторые злонамеренные программы, но не в состоянии их удалить.



Производительность системы аутентификации.


Межсетевые экраны PIX обеспечивают производительность намного выше, чем конкурирующие продукты. Высокая скорость обеспечивается за счет сквозных (cut-through) proxy. В отличие от обычных proxy серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI ( что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.

Еще одним фактором, который тормозит работу обычных proxy-серверов является то, что для каждой TCP сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 16000 сессий одновременно. При полной загрузке PIX модели 10000 поддерживает пропускную способность 90 Мбит/с ( два T3 канала)



Простота использования


Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:

задание глубины сканирования; выбор сканируемых узлов; запуск процесса сканирования; генерация и анализ отчета.


Интуитивно понятный графический интерфейс и простота использования системы поможет быстро и легко настроить ее с учетом требований, предъявляемых в Вашей организации. Принципы функционирования системы не требуют реконфигурации других систем, используемых Вами. Это выгодно отличает систему RealSecure?, например, от межсетевых экранов или средств контроля "активного" кода (Java, ActiveX и т.п.).




Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:

задание глубины сканирования; выбор сканируемых узлов; запуск процесса сканирования; генерация и анализ отчета.



"Проверка заголовков" (banner check)


Указанный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.

Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.

Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков "по умолчанию". Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.

Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы.



Прозрачность при использовании.


Главным положительным качеством пакетных фильтров является их прозрачность,

т.е. комфортабельность использования. Кроме того, при использовании пакетного

фильтра нет необходимости изменять клиентское матобеспечение.

Нынешний уровень развития фильтров на уровне приложений позволяют достичь

практически полной прозрачности. Рассматриваемый МЭ - пример наиболее

эффективной реализации этих возможностей. Для пользователей внутренней сети

МЭ может рассматриваться как стандартный роутер.



Расширенное ядро


Игнорирует пакеты со специальными признаками

Закрыта прямая передача через ядро пакетов

Добавлена система глобального мониторинга соединений

Включен анализатор направления передачи пакетов

Установлен режим перехвата всех пакетов для прозрачного режима

Полностью закрыты от внешнего доступа сервисы, использующиеся локально



Растущий интерес


ИТ-специалисты в той или иной степени используют свободно распространяемые средства защиты уже около 15 лет. Сейчас все больший интерес к таким инструментам проявляют крупные компании, консультанты по вопросам защиты и поставщики услуг, которые могут адаптировать подобное программное обеспечение к нуждам конкретных пользователей. Например, EDS начала использовать свободно распространяемый инструментарий защиты компании Astaro для обеспечения безопасности компонента переднего плана Web-сайтов нескольких кредитных союзов, предлагающих возможности обработки транзакций.

Интеграторы систем информационной безопасности признают, что пользователей привлекает невысокая цена свободно распространяемых средств. Например, Ричард Майр, управляющий директор R2R Informations und Kommunikations, отметил, что его компания уже долгие годы предлагает свой коммерческий межсетевой экран. Однако собранные данные показывают, что 75% клиентов компании отдают предпочтение свободно распространяемым аналогам. Компания Guardent предлагает подписку на услуги Internet-защиты стоимостью 1,5 тыс. долл. в месяц, основу которой составляет ее Security Defense Appliance. Это решение объединяет в себе коммерческие компоненты, такие как межсетевой экран PIX компании Cisco Systems, и свободно распространяемые компоненты, в том числе iptables, Nessus и Snort. Аналогичная услуга, опирающаяся исключительно на коммерческие продукты, может стоить около 10 тыс. долл.

В то же время, компания C2Net Software, которую недавно приобрела Red Hat, разработала свой коммерческий сервер Stronghold Secure Web Server на базе Apache и OpenSSL — свободно распространяемого инструментария, реализующего протоколы защиты на уровне сокетов и на транспортном уровне, а также содержащего криптографическую библиотеку общего назначения.

По словам консультанта по вопросам защиты Пола Робичаукса из компании Robichaux & Associates, организации, которые предъявляют особые требования к защите, определяемые законодательством, например, работающие в области здравоохранения и финансов, вряд ли станут использовать свободно распространяемый инструментарий. Вместо этого, они, скорее всего, будут по-прежнему зависеть от производителей, на которых они могут возложить ответственность за нарушение защиты. Робичаукс считает, что свободно распространяемые системы защиты чаще будут использоваться консалтинговыми и сервисными фирмами, которые уже знают эти инструментальные средства и доверяют им, а также компаниями, чьи отделы ИТ уже опробовали такие решения.

Марк Кокс, директор по разработке группы OpenSSL компании Red Hat добавил: «Организации, работающие на Unix-платформах, таких как Linux и Solaris, скорее всего, будут выбирать инструменты типа Nessus, Snare и Snort, поскольку их история разработки и использования аналогична Unix».



Различные варианты реагирования на атаки


Система RealSecure? имеет возможность по заданию различных вариантов реагирования на обнаруженные атаки:

запись факта атаки в регистрационном журнале; уведомление об атаке администратора через консоль управления; уведомление об атаке администратора по электронной почте; аварийное завершение соединения с атакующим узлом; запись атаки для дальнейшего воспроизведения и атаки; реконфигурация межсетевых экранов или маршрутизаторов; посылка управляющих SNMP-последовательностей; задание собственных обработчиков атак.



Разница в реализации


Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и ненахождения - в случае другого. Хорошую ассоциацию приводит ведущий разработчик системы Internet Scanner Девид ЛеБлан. "Если вы спросите меня - дома мой товарищ или нет, я просто позвоню ему. Если его телефон не отвечает, то я позвоню вам и сообщу, что его нет дома. Затем вы идете к нему домой, стучите в дверь и он отвечает. Не называйте меня лжецом только из-за того, что то, что я пытался сделать не сработало. Возможно, я был не прав или необходимо было использовать другие методы, но я пытался сделать то, что считал нужным". Так и со средствами поиска уязвимостей.

Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах. Например, анализ и разбор поля sysDescr в журнале регистрации системы Internet Scanner существенно помогает во многих спорных случаях.

Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах. Например, использование учетной записи halt для демона Telnet на некоторых компьютерах под управлением Unix или Windows NT не приведет к плачевным последствиям, в то время как на старых версиях Unix это вызовет запуск команды /bin/halt при попытке доступа к удаленной системе с использованием этой учетной записи.



Реконфигурация маршрутизаторов


Аналогично реконфигурации межсетевого экрана CheckPoint Firewall-1, система RealSecure? позволяет управлять маршрутизаторами серии 7000 компании Cisco Systems.



Реконфигурация межсетевых экранов


В версии 2.0 системы RealSecure? появилась уникальная возможность управления межсетевым экраном компании CheckPoint - Firewall-1. Взаимодействие осуществляется по технологии OPSEC? (Open Platform for Secure Enterprise Connectivity) и, входящему в нее, протоколу SAMP (Suspicious Activity Monitoring Protocol). Сертификация системы RealSecure (в апреле 1998 г.) на совместимость с технологией OPSEC позволяет расширяет возможности системы по реагированию на обнаруженные атаки. Например, после обнаружения атаки на WWW-сервер, система RealSecure? может по протоколу SAMP послать сообщение межсетевому экрану Firewall-1(r) для запрета доступа с адреса, осуществляющего атаку.

В версии 2.5 системы RealSecure? к возможности управления межсетевым экраном CheckPoint Firewall-1 добавилась возможность посылки уведомления об атаке на межсетевой экран Lucent Managed Firewall.



Saint


Security Administrators Integrated Network Tool — сканер уязвимых мест защиты (см. рис. 1), который работает с большинством разновидностей Unix, включая Linux. Сканер создан на базе свободно распространяемого инструментария для анализа дефектов защиты Satan (Security Administrator’s Tool for Analyzing Networks). Компания Saint (www.saintcorporation.com) отказалась от более старых версий сканера, но продает новейший его вариант, а также SAINTwriter для генерации настраиваемых отчетов и SAINTexpress для автоматического обновления сигнатур дефектов защиты.


Рис. 1. Saint — сканер, который проверяет системы на наличие уязвимых мест. С учетом конкретной конфигурации механизм контроля определяет, может ли Saint (и до какой степени) сканировать набор сетевых узлов. Подсистема выбора целей создает список атак для тестов, запускаемых на сканируемых узлах. Подсистема сбора данных собирает факты о результатах работы зондов. С помощью базы правил механизм взаимодействий обрабатывает факты, при этом собирая данные и определяя новые адресуемые хосты, зонды и факты. Подсистема результатов отображает собранные данные как гиперпространство, с которым пользователи могут работать с помощью браузера



Самы популярные атаки в Интернет


В марте 1999 г. самыми популярными атаками (или наиболее уязвимыми приложениями), как было установлено NIST, являлись Sendmail, ICQ, Smurf, Teardrop, IMAP, Back Orifice, Netbus, WinNuke и Nmap.

Sendmail: Sendmail - это очень старая программа, в которой на протяжении всей ее истории имелись уязвимости. Sendmail - наглядное доказательство того, что у сложных программ редко бывают исправлены все ошибки, так как разработчики постоянно добавляют новые возможности, из-за которых появляются новые уязвимые места. Последние атаки против sendmail попадают в категорию удаленного проникновения, локального проникновения, а также удаленного блокирования компьютера. ICQ: - это сложная программа онлайнового общения с большим числом разнообразных возможностей, название которой является сокращением для фразы "I-Seek-You." (я ищу вас). Сейчас она используется приблизительно 26 миллионами пользователей. В прошлом году было разработано несколько атак на ICQ, которые позволяли атакующему выдавать себя за другого и расшифровывать "зашифрованный" трафик. Затем атакующий начинал диалог в ICQ с тем человеком, чьим другом являлся тот, за кого он себя выдавал, и посылал ему через ICQ троянские кони (враждебные программы, встроенные в казалось бы нормальные программы). Smurf: Smurf использует сеть, в которой машины обрабатывают широковещательные ping-пакеты для переполнения жертвы пакетами ответов на ping. Эту атаку можно представить как усилитель, позволяющий атакующему анонимно блокировать работу компьютера жертвы из-за прихода ему по сети огромного количества пакетов. Teardrop: Teardrop полностью блокирует компьютеры с Windows 95 и Linux, используя ошибку в подпрограммах сетевых драйверов, обрабатывающих фрагментированные пакеты. IMAP: IMAP позволяет пользователям получать их электронные письма с почтового сервера. В последний год было выпущено программное обеспечение сервера IMAP, в котором содержались ошибки, позволяющие удаленному атакующему получать полный контроль над машиной. Эта уязвимость очень опасна, так как большое количество почтовых сервероа используют уязвимое программное обеспечение IMAP. Back Orifice: Back Orifice - это троянский конь, позволяющий пользователю удаленно управлять компьютером с Windows 95/98 с помощью удобного графического интерфейса. Netbus: Netbus аналогичен Back Orifice, но может атаковать как Windows NT, так и Windows 95/98. WinNuke: WinNuke полностью блокирует работу компьютера с Windows 95 путем посылки ему особого пакета "срочные данные" по протоколу TCP. Nmap: Nmap - это сложное средство для сканирования сети. Помимо всего прочего, nmap может сканировать с помощью нескольких протоколов, работать в скрытом режиме и автоматически идентифицировать удаленные операционные системы.



Самый удобный сканер


Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим пакетом наверняка был бы признан McAfee. Правда, в остальном у McAfee много недостатков — например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, в то время как на самом деле это не так.

McAfee, конечно, не единственный пакет с "глюками" — хотя их у него и много. Ни одна из рассмотренных программ не прошла гладко тест на удаление вируса CTX, "троянского коня" Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin — инфекция была полностью удалена, а система не повреждена. После попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.

Самым большим недостатком пакета Norton оказалась его медлительность. Когда в системе установлен этот пакет, она запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32, влияние которых на быстродействие наименее заметно. Norton медленнее всех выполняет полное сканирование жесткого диска — проверка диска со скоростью вращения 5400 об/мин, данные на котором занимают 575 Мб, на компьютере с Windows XP, Pentium III 800 МГцб 256 Мб RAM, длится около 12 мин. Самая быстрая из программ обзора, NOD32, выполняет эту операцию всего за 52 с. (Правда, Norton лучше распознает вирусы.) Следующим по скорости после NOD32 был сканер Panda, справившийся с задачей немногим более чем за 2,5 мин.

Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin Internet Security 2004: эта программа отличается не только качественным сканированием и разумной ценой, но также логичным и понятным интерфейсом.



Сентябрь


Компания America Online

начала блокировать всю электронную почту от пяти фирм, "фарширующих"

Интернет низкопробной продукцией: cyberpromo.com, honeys.com,

answerme.com, netfree.com и servint.com. (AP, 4 сентября). Фирма

CyberPromo, один из самых злостных нарушителей этики Интернет,

запрещающей рассылать по электронной почте всякий хлам, возбудила

судебный иск, обвиняя AOL в нарушении прав на свободу слова. На

заседании, состоявшемся 4 ноября, суд Филадельфии отверг эти аргументы.

(EPIC Alert 3.19). Суд постановил, что вопреки утверждениям Cyber

Promotions, компания AOL на самом деле имеет право блокировать

поток, изливаемый плодовитым производителем непрошенных электронных

сообщений. Судья отклонил ссылки на Первую поправку к конституции,

заявив, что ни у кого нет права навязывать ненужную электронную

корреспонденцию подписчикам Интернет-услуг. (AP, 4 ноября). В

другом деле со сходной тематикой, компания Concentric Network

Corporation возбудила 2 октября судебный иск против Cyber Promotions

и ее владельца Sanford Wallace, требуя моральной и материальной

компенсации за ущерб, вызванный отправкой тысяч поддельных электронных

сообщений с низкопробным содержанием, якобы исходящих от Concentric

Network. Этот хлам вызвал перегрузку сети, так как десятки тысяч

писем с несуществующими адресами были возвращены бедным "отправителям",

в почтовую систему Concentric Network. По постановлению суда фирмы

Wallace и Cyber Promotions подписали клятвенные заверения больше

никогда так не делать (см. www.concentric.net).

В начале сентября неизвестный

криминальный хакер организовал против поставщика Интернет-услуг

PANIX (Нью-Йорк) атаку с использованием так называемого "SYN-наводнения".

Смысл данной атаки в том, что на сервер направляется поток поддельных

запросов на установление TCP-соединений с несуществующими IP-адресами.

Этот поток вызывает перегрузку сервера, что ведет к отказу в обслуживании

законных пользователей. (AP, 13 сентября; RISKS 18.45). В течение


недели специалисты по TCP/IP предоставили заплаты для противостояния

подобным атакам на доступность. Исчерпывающий анализ данной проблемы

можно найти по адресу info.cert.org/pub/cert_advisories/CA-96.21.tcp_syn_flooding.

Также в Нью-Йорке губернатор

Pataki подписал новый закон, объявляющий уголовным преступлением

компьютерную передачу непристойных материалов лицам, не достигшим

семнадцати лет. Закон определил новый класс E уголовных преступлений

- распространение непристойных материалов среди подростков среднего

возраста (Penal Law Section 235.21). Такие деяния наказываются

заключением в тюрьме штата на срок до четырех лет. (LACC-D, 12

сентября).

Как явствует из интервью

с Margot Kidder, опубликованного в "People Online",

компьютерный вирус стал последним звеном в цепи, приведшей ее

к широко обсуждавшемуся в прессе нервному расстройству. (Актрису

нашли на чьем-то заднем дворе, съежившуюся и что-то бормочущую.)

Неидентифицированный вирус необратимо разрушил единственный экземпляр

книги, над которой исполнительница главной роли в фильме "Супермен"

работала три года. Резервной копии сделано не было. (RISKS 18.46).

Заместитель начальника

управления по экономическим преступлениям Министерства внутренних

дел России сообщил, что российские хакеры с 1994 по 1996 год сделали

почти 500 попыток проникновения в компьютерную сеть Центрального

банка России. В 1995 году ими было похищено 250 миллиардов рублей.

(ИТАР-ТАСС, AP, 17 сентября).

Бурю протестов вызвало

известие о том, что газеты "Tampa Tribune" и "St.

Petersburg Times" получили компьютерные диски с именами 4

тысяч жертв СПИДа. Диски были присланы из окружного управления

здравоохранения вместе с анонимным письмом, в котором утверждалось,

что служащий управления показывал людям в баре список больных

и предостерегал своих друзей от контактов с ВИЧ-инфицированными.

(AP, 20 сентября). Служащий сознался в преступлении и в октябре

был уволен.

Компания Penguin Books



распространила по электронной почте сфабрикованный совет от имени

вымышленного профессора Edward Prideaux из несуществующего Колледжа

славянских наук. Текст розыгрыша был таким: "По Интернет

рассылается компьютерный вирус. Если Вы получите электронное сообщение

с заголовком "Irina", немедленно УДАЛИТЕ его, НЕ читая.

Некий злодей рассылает сведения о людях и файлы с заголовком "Irina".

Если Вы наткнетесь на такое письмо или файл, не загружайте его.

Содержащийся в нем вирус затрет Ваш жесткий диск, уничтожив все

данные. Пожалуйста, соблюдайте осторожность во время путешествий

по Интернет. Перешлите данное письмо Вашим близким и знакомым."

Письмо вызвало беспокойство у некоторых получателей, которые засыпали

своих антивирусных поставщиков запросами о помощи против этой

несуществующей напасти. (Graham Cluley, в "Proceedings of

the International Virus Prevention Conference '97").

Телефонные хакеры начали

прослушивать телефонные линии в квартирах и домах американцев,

подключаясь к каналам, проходящим через расположенные неподалеку

"бежевые ящики". Такие ящики стоят на тротуарах по всей

Америке. Специалисты компании Pacific Bell утверждают, что только

в Калифорнии каждую неделю выявляется 10 - 15 новых "включений".

Ежегодный ущерб, наносимый при этом компании, оценивается в несколько

миллионов долларов. (UPI, 22 сентября).

В Кентукки бывший сотрудник

управления по сбору налогов сознался в краже 4.2 миллионов долларов

из казначейства штата. Он использовал компьютеры штата для организации

компенсационных налоговых выплат на счет созданной им фиктивной

корпорации (AP, 23 сентября).

Paul Engel, брокер фондовой

биржи в Сан-Франциско, сообщил, что размолвка с сотрудником исследовательской

фирмы SRI International Inc. привела к "взрыву" 23 сентября

"почтовой бомбы". В этот день Пол получил от компьютеров

SRI 25 тысяч писем, состоящих из одного слова - "Идиот".



Поток писем сделал работу за компьютером невозможной, поэтому

в декабре мистер Энгель предъявил фирме SRI иск на 25 тысяч долларов.

(UPI, 27 декабря). Независимо от исхода судебного разбирательства,

данный случай еще раз доказывает, что корпоративная политика безопасности

должна явным образом задавать границы допустимого использования

корпоративных идентификаторов пользователей в Интернет.

На шокированную женщину

обрушились сотни телефонных звонков с запросами сексуальных услуг

после того, как ее имя и телефон, якобы принадлежащие проститутке,

были разосланы по Интернет. (PA News, 25 сентября).

В конце сентября злобный

робот-стиратель удалил 27 тысяч сообщений из различных телеконференций

в Usenet. Особенно пострадали телеконференции, организованные

иудеями, мусульманами, феминистками и гомосексуалистами. У некоторых

"стирателей" были расистские и человеконенавистнические

имена. В настоящее время не ясно, противоречит ли подобный вандализм

каким-либо законам, зато достаточно очевидно, что аналогичные

атаки будут продолжаться до тех пор, пока правом на удаление сообщений

из Сети не будут обладать только их однозначно идентифицируемые

авторы. ("San Jose Mercury News", 25 сентября).

Судом Лос-Анджелеса Kevin

Mitnick был обвинен по 25 пунктам, включая кражу программного

обеспечения, повреждение компьютеров в университете Южной Калифорнии,

неавторизованном использовании паролей, а также использовании

украденных кодов сотовых телефонов. Кевин не признал себя виновным.

(AP, Reuters, 27, 30 сентября).

Как забавное напоминание

о розыгрыше с вирусом "Good Times", начавшемся в 1994

году, некто продемонстрировал, как написать текст на HTML, разрывающий

Netscape-сеанс и даже иногда ломающий Windows 95. Секрет прост

- Web-страница должна всего лишь ссылаться на порты LPT1 или COM

как на источники данных. У пользователей почтового клиента Netscape

проблемы еще неприятнее, так как можно загрузить "отравленное"



электронное сообщение и автоматически проинтерпретировать HTML-код,

"завесив" навигатор и сделав отравленное письмо неудаляемым.

(www.pcmag.com/news/trends/t961002a.htm).

Криптоаналитики из компании

Bellcore Dan Boneh, Richard A. DeMillo и Richard J. Lipton показали,

что нарушение нормальной работы смарт-карт может дать достаточно

информации об алгоритмах шифрования и ключах для проведения успешного

криптоанализа. (Edupage, 1 октября; RISKS 18.50; www.bellcore.com/SMART/secwp.html). Опираясь на эту работу и свои прежние исследования,

израильские ученые Eli Biham и Adi Shamir опубликовали предварительный

вариант статьи "The Next Stage of Differential Fault Analysis:

How to break completely unknown cryptosystems" ("Очередной

этап анализа дифференциальных ошибок: как взламывать абсолютно

незнакомые криптосистемы"). В аннотации (см. RISKS 18.56)

авторы пишут: "Идею использования вычислительных ошибок для

взлома криптосистем впервые применили Boneh, Demillo и Lipton

к системам с открытыми ключами. Затем Biham и Shamir распространили

ее на большинство криптосистем с секретными ключами. (RISKS 18.54).

В нашем новом исследовании мы вводим модифицированную модель ошибок,

делающую возможным нахождение секретного ключа, хранящегося в

защищенном от вскрытия криптографическом устройстве, даже если

о структуре и функционировании этого устройства ничего не известно.

Прекрасным примером приложения новой модели является система Skipjack,

разработанная Агентством национальной безопасности США. Конструкция

этой системы неизвестна, она реализована в виде защищенной от

доступа микросхемы, устанавливаемой на имеющиеся в продаже ПК-модули

компании Fortezza. Мы не проводили тестовых атак на Skipjack,

но мы считаем, что они представляют реальную угрозу по отношению

к некоторым приложениям смарт-карт, спроектированным без учета

описываемых средств."

В ноябре британский криптограф

Ross Anderson опубликовал предварительный вариант статьи "A



serious weakness of DES" ("Серьезная слабость DES").

([RISKS 18.58, 18.62; www.cl.cam.ac.uk/users/rja14/tamper.html).

Аннотация гласит: "Eli Biham и Adi Shamir (RISKS 18.56) недавно

указали, что если атакующий может вызывать направленные ошибки

в ключевой памяти криптографических устройств, он сможет быстро

выделить ключи. Хотя их атака очень элегантна, ее нельзя назвать

практичной применительно ко многим реальным системам. Например,

внесение однобитного изменения в DES-ключ при правильной реализации

криптосистемы приведет к сообщению об ошибке четности."

Однако, если скомбинировать

идеи израильских ученых с недавней работой по восстановлению памяти

(автор - Peter Gutman), можно получить две весьма практичные атаки.

Одна из них позволяет выделить электронные ключи смарт-карт с

помощью гораздо более дешевого оборудования, чем то, которое в

настоящее используют пираты платного телевидения. Вторая представляет

реальную угрозу для неохраняемых банковских устройств. Эти атаки

показывают, что свойства DES, которые раньше казались безобидными,

на самом деле свидетельствуют о серьезной ошибке проектирования.

Новости из подполья. Журнал

"Phrack" номер 48 выпустили новые редакторы: "ReDragon",

"Voyager" и "Daemon9". В этом номере, как

и в ежеквартальном хакерском журнале "2600", опубликованы

исходные тексты программ, реализующих упоминавшуюся выше атаку

против доступности - "SYN-наводнение". Greg Perry, известный

в подполье как "Digital Hitler", арестован по обвинению

в мошенничестве на ниве сотовой телефонии.

В сентябрьском докладе

группы IS/Recon содержится следующее настоятельное предупреждение:

Воззвание группы IS/Recon

Вопреки нашим усилиям

по защите информационных систем от атак злоумышленников, последние

продолжают использовать сведения по безопасности, почерпнутые

из открытых источников, для выявления уязвимых систем и нападения

на них. Не боясь повториться или уподобиться волку, воющему на



луну, мы подчеркиваем обязательность быстрого наложения заплат

и поддержания постоянного контакта с производителями для внесения

в системы всех рекомендованных изменений. Самым свежим и тревожным

примером сбора информации о брешах в безопасности является новая

страница на одном из отслеживаемых нами типичных хакерских Web-серверов.

По адресу "http://..." располагается Web-страница, позволяющая

Вам ввести информацию о Вашей системе и опробовать Ваш экземпляр

программы httpd на предмет наличия в нем "дыры", описанной

в CERT Advisory 96.06. На хакерском сервере имеется регистрационный

журнал, в котором фиксируются все обращения к серверу и, в частности,

к упомянутой странице. ПОМНИТЕ! Когда Вы загружаете эту страницу,

в журнал попадает Ваш IP-адрес. Не делайте этого с Ваших корпоративных

компьютеров! Если Вы обнаружите свои знания о данном сервере,

Вы можете стать объектом атаки со стороны этих людей или невольно

способствовать тому, что мы "потеряем" сервер хакеров,

если они закроют его или поймут, что за ними следят. Чтобы взглянуть

на Web-страницу злоумышленников, воспользуйтесь каким-либо другим,

не корпоративным Интернет-адресом.


Сертификация


Сертификация продукта уполномоченными государственными организациями может дать серьезный импульс к его широкому применению. Правительство США требует, чтобы системы защиты и другие продукты, связанные с информационными технологиями, проходили проверку на соответствие Federal Information Processing Standard, осуществляемую Национальным институтом по стандартам и технологии (NIST), прежде чем американским госучреждениям можно будет их приобрести.

Стоимость тестирования на соответствие может варьироваться от десятков до сотен тысяч долларов. Все это может помешать организациям, создающим свободно распространяемое обеспечение (и имеющими, как правило, весьма скромный бюджет), сертифицировать свои технологии. Фактически, как отметила Аннабел Ли, директор программы NIST Cryptographic Module Validation Program, ей не известен ни один свободно распространяемый продукт, прошедший сертификацию.



Сертификация системы Internet Scanner


2 сентября 1998 г. система Internet Scanner&153; получила сертификат Государственной технической комиссии при Президенте РФ № 195 и стала первой в России системой анализа защищенности признанной этой авторитетной в области защиты информации организацией. Сертификация проводилась по техническим условиям (ТУ № 19-98), поскольку Руководящий документ, в котором приводятся требования к средства анализа защищенности в настоящий момент не разработан. Применение сертифицированной системы Internet Scanner дает два преимущества по сравнению с другими аналогичными средствами. Во-первых, "информационные системы, органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" (Федеральный Закон РФ от 25.01.95 "Об информации, информатизации и защите информации", ст.19). Сертификация системы Internet Scanner позволяет применять ее в государственных организациях. Во-вторых, сертификат выдается по результатам сертификационных испытаний, проводимых независимой испытательной лабораторией, назначаемой Гостехкомиссией России. В процесс испытаний осуществляется большое число тестов, которые гарантируют отсутствие "недекларированных возможностей" (Сертификат соответствия Гостехкомиссии России № 195).



Сервера прикладного уровня


Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов -

TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя

весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером

образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного

брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:

терминалы (Telnet, Rlogin)

передача файлов (Ftp)

электронная почта (SMTP, POP3)

WWW (HTTP)

Gopher

Wais

X Window System (X11)

Принтер

Rsh

Finger

новости (NNTP) и т.д.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от

внешних пользователей структуру локальной сети, включая информацию в заголовках

почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством

является возможность аутентификации на пользовательском уровне (аутентификация - процесс

подтверждения идентичности чего-либо; в данном случае это процесс подтверждения,

действительно ли пользователь является тем, за кого он себя выдает). Немного подробнее об

аутентификации будет сказано ниже.

При описании правил доступа используются такие параметры как название сервиса, имя

пользователя, допустимый временной диапазон использования сервиса, компьютеры, с

которых можно пользоваться сервисом, схемы аутентификации. Сервера протоколов

прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие

с внешним миров реализуется через небольшое число прикладных программ, полностью

контролирующих весь входящий и выходящий трафик.



Сервера уровня соединения


Сервер уровня соединения представляет из себя транслятор TCP соединения.

Пользователь образует соединение с определенным портом на брандмауэре, после чего

последний производит соединение с местом назначения по другую сторону от брандмауэра. Во

время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть

много ( соединение типа один - много). Используя различные порты, можно создавать

различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем

сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор

статистики по его использованию.



Схемы подключения


Для подключения брандмауэров используются различные схемы. Брандмауэр может

использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для

подключения к внешней сети (см рис. 1). Иногда используется схема, изображенная на рис 3, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.

Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed

брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор (см рис. 4).

При этом между внешним роутером и брандмауэром имеется только один путь, по которому

идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является

единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с

точки зрения безопасности и надежности защиты.

Другая схема представлена на рис. 5.

При этом брандмауэром защищается только одна

подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто

располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые

брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с

точки зрения загрузки машины и безопасности самого брандмауэра

Существуют решения (см рис. 6),которые позволяют организовать для серверов,

которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за

доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не

могли случайно или умышленно открыть дыру в локальную сеть через эти сервера.

Для повышения уровня защищенности возможно использовать в одной сети несколько

брандмауэров, стоящих друг за другом.



Сильнее угроза — крепче защита


Елена Полонская
Издательский Дом "КОМИЗДАТ"

Мы протестировали 16 инструментов для защиты компьютеров и компьютерных сетей от интернет-червей, вирусов, шпионских программ и хакеров.

Целью нынешних интернетовских злоумышленников уже давно перестал быть ваш компьютер. Сегодня их цель — вы сами. Преступники, пользующиеся украденными номерами кредитных карточек и идентификационной информацией, широко используют вирусы и интернет-червей, чтобы заманить в ловушку свои жертвы. Вирусы — это только одна из возможных угроз. В некоторых спамовых сообщениях электронной почты используются так называемые "рыболовные" схемы, направленные на то, чтобы заставить получателя такого письма раскрыть конфиденциальную банковскую информацию или сообщить номер кредитной карточки. Поддельные рекламодатели создают ложные всплывающие окна, которые, используя слабые места операционной системы, устанавливают на компьютере жертвы шпионские программы.

Поскольку в сферу внимания информационной безопасности все чаще попадают более серьезные вещи, чем обычные вирусы, специалисты по компьютерной защите ввели термин malware — "злонамеренное программное обеспечение", которым обозначают любой код, наносящий вред компьютеру или его обладателю. Для сопротивления посягателям на частную информацию пользователя необходима глубокая и хорошо продуманная система обороны, состоящая из нескольких барьеров между злонамеренным ПО и системой. В этом обзоре мы рассмотрим:

межсетевые экраны, вирусные сканеры, инструментарий для удаления программ-шпионов пакеты для обеспечения безопасности.

Надеемся, представленный материал поможет вам подобрать себе подходящий арсенал.



Система генерации отчетов


Система Internet Scanner&153; обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.

Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.

К концу 1998 года планируется завершить русификацию системы Internet Scanner, и в частности системы генерации отчетов.

Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:

по сканируемым устройствам; по типу и версии операционной системы; по сетевым сервисам; по номерам портов; по именам пользователей; по уязвимостям; по IP-адресам; по DNS-именам; по степени риска.


Система RealSecure? обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.

Создаваемые отчеты могут содержать как подробную текстовую информацию о обнаруженных атаках, отсортированную по различным признакам, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.

Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:

по приоритету (степени риска) атаки; по IP-адресу отправителя; по IP-адресу получателя; по именам контролируемых событий.




Система System Security Scanner? обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.

Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.

К концу 1998 года планируется завершить русификацию системы System Security Scanner, и в частности системы генерации отчетов.



Система обработки статистики


МЭ содержит мощную систему сбора и анализа статистики. Учет ведется по

адресам клиента и сервера, имени пользователя, времени сеанса, времени

соединения, количеству переданных/принятых данных, действия администратора

по управлению пользователями, действий пользователей по авторизации

и изменения пароля. Система обработки производит анализ статистики

и предоставляет администратору подробный отчет. За счет использования

специальных протоколов МЭ позволяет организовать удаленное оповещение

об определенных событиях в режиме реального времени.



Система подсказки


Система Internet Scanner&153; обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или изменения и обновления, устраняющие найденные проблемы.

К концу 1998 года планируется завершить русификацию системы Internet Scanner (системы подсказки, документации, системы генерации отчетов и т.п.).


Система RealSecure? обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом осуществлять обнаружение атак на узлы Вашей корпоративной сети. Объемная база данных содержит подробную информацию обо всех обнаруживаемых системой атаках.




Система System Security Scanner? обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или patch'и и hotfix'ы, устраняющие найденные проблемы



Системные требования


Требования к аппаратному обеспечению:

Процессор - Pentium 133 МГц; ОЗУ - 64 Мб + 8 Мб на каждые 1000 сканируемых узлов; НЖМД - не менее 10 Мб + 2.5 Мб на каждые 100 сканируемых узлов; Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring (в последнем случае нет возможности проводить скрытое сканирование, UDP-bomb и SYN-flood); Монитор - 800х600, не менее 256 цветов.

Требования к программному обеспечению:

Операционная система Windows NT 4.0 с SP3 и выше, SunOS - 4.1.3 и выше; Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше; HP UX - 10.10 и выше; AIX - 4.1.5 и выше; Linux - ядро 2.0.24 и выше; Файловая система - желательно NTFS(для ОС Windows NT); Дополнительные сведения - для использования системы необходимы права администратора рабочей станции (желательно права администратора домена). Для повышения производительности установку лучше производить на Windows NT WorkStation (для ОС Windows NT).


Требования к аппаратному обеспечению: Процессор - Pentium Pro 200 МГц (рекомендуется Pentium II 300 МГц); ОЗУ - 64 Мб (рекомендуется 128 Мб); НЖМД - не менее 100 Мб (для базы данных и регистрационного журнала) + 10 Мб для ПО модуля слежения; Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring, FDDI.

Требования к программному обеспечению: Операционная система Windows NT 4.0 с SP3; Solaris - 2.4/2.5 + Motif; Linux - 1.3 + X Window R11; Дополнительные сведения - для использования системы требуются права администратора рабочей станции.




Требования к аппаратному обеспечению:

Процессор - Pentium 75 МГц; ОЗУ - 16 Мб (рекомендуется 32); НЖМД - не менее 10 Мб (для ОС Unix) и не менее 20 Мб (для ОС Windows); Монитор - 800х600, не менее 256 цветов. Требования к программному обеспечению: Операционная система Windows 95 и выше; Windows NT 3.0 и выше; SunOS - 4.1.3 и выше; Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше; HP UX - 9.05 и 10.x; AIX - 2.3.5, 4.1 и 4.2; Linux - 1.2.13 и выше; IRIX - 6.2, 6.3 и 6.4. Дополнительные сведения - для использования системы права администратора рабочей станции не требуются.



Системы сбора статистики и предупреждения об атаке


Еще одним важным компонентом брандмауэра является система сбора

статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих,

выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени

соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко

определять подлежащие протоколированию события, описать действия брандмауэра при атаках

или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое

послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на

экран консоли или администратора может помочь, если попытка оказалась успешной и

атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов,

служащие для обработки статистики. Они позволяют собрать статистику по использованию

ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с

которых проводились попытки несанкционированного доступа и т.д.



Snare


System Intrusion Analysis and Reporting Environment представляет собой размещаемую на хосте систему обнаружения вторжений, предназначенную для систем с Linux. Альянс InterSect Alliance (www.intersectalliance.com), который объединяет консультантов, специализирующихся на вопросах защиты, разработала и выпустила Snare в ноябре 2001 года.

Snare использует технологию динамически загружаемых модулей для взаимодействия с ядром Linux во время исполнения. За счет использования только тех модулей, которые необходимы для выполнения конкретной задачи, Snare снижает нагрузку на хостовую систему. А поскольку Snare загружается динамически, пользователям не нужно перезагружать систему или перекомпилировать ядро, как это бывает с некоторыми усовершенствованиями Linux.



Снижение производительности


Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.

В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.

Компромисс между типами межсетевых экранов - более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).



Snort


Snort (www.snort.org) считается одним из наиболее популярных свободно распространяемых инструментальных средств защиты. По оценкам Марти Реуша, ведущего разработчика Snort, данным приложением пользуется от 250-500 тыс. человек. Это программное обеспечение имеет группу активных сторонников и весьма детальную документацию.

Snort — упрощенная система обнаружения сетевых вторжений, способная выполнять в реальном времени анализ трафика и пакетов, зарегистрированных в IP-сетях. Выпущенная в 1998 году, Snort помогает выявить потенциальные нарушения защиты, выполняя протокольный анализ пакетов, а также поиск с сопоставлением по шаблону в информационном наполнении. Эта система способна выявлять работу зондов и обнаруживать различные нарушения защиты, такие как переполнение буфера, скрытое сканирование портов и атаки с использованием общего интерфейса шлюзов.

Snort работает на различных платформах, в том числе на FreeBSD, Linux, MacOS, Solaris и Windows.



Составляющие компоненты


Расширенное с точки зрения безопасности ядро ОС

Минимизированное окружение системы UNIX

Guardian - сетевой супер-сервер

Oracle - сервер аутентификации

Транслирующие сервера (proxy):

Telnet

FTP

Gopher

HTTP

Mail

TCP (сырой)

UDP Relay

Netacl

Системный журнал

Система оповещения в реальном времени

Система статистики

Система администрирования



Совершенствование системы безопасности


Виктор Олифер, Корпорация Uni

Положение компании CheckPoint как мирового лидера в области интегрированных продуктов безопасности позволяет комплексно решить задачу совершенствования системы безопасности на основе продуктов CheckPoint, а также продуктов третьих фирм, поддерживающих открытые стандарты платформы OPSEC.

Сегодня компания CheckPoint выпускает продукты нескольких линий, обеспечивающие защиту сети в различных аспектах, а также выполняющие функции управления сетью:

FireWall-1 - комплекс модулей, составляющих ядро любой системы безопасности на продуктах CheckPoint. Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Включает систему централизованного управления на основе правил политики, которая может управлять работой не только модулей FireWall-1, но и продуктов VPN-1, FloodGate-1. VPN-1 - набор продуктов для организации виртуальных частных сетей как со стороны центральной сети, так и со стороны удаленных пользователей. Продукты VPN-1 тесно интегрированы с FireWall-1. RealSecure - средства обнаружения вторжений в реальном времени. Экспертная база атак составляет более 160 образцов. Интегрированы с FireWall-1 - есть возможность автоматической реконфигурации правил экрана FireWall-1 при обнаружении вторжения. FloodGate - средства управления качеством обслуживания. Обеспечивают гибкое распределение полосы пропускания для различных классов трафика, а также отдельных соединений. Поддерживают централизованное управление на основе правил, интегрированных с правилами FireWall-1/VPN-1. MetaIP - система управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS и аутентификации, дополняя их собственным сервисом UAM отображения имен пользователей на IP-адреса. Сервис UAM может быть использован межсетевыми экранами FireWall-1, за счет чего обеспечивается контроль доступа на уровне пользователей в динамической среде DHCP.

Предложенная компанией CheckPoint в 1997 году платформа интеграции продуктов безопасности на основе открытых стандартов OPSEC (Open Platform for Secure Enterprise Connectivity) сегодня поддерживается более, чем 200 производителями, многие из которых являются членами OPSEC Alliance.

Популярность платформы OPSEC позволяет включать в систему безопасности предприятия лучшие в своей области продукты, которые дополняют возможности продуктов CheckPoint и обеспечивают высокую степень интеграции с FireWall-1/VPN-1 на основе стандартных протоколов и API.

Продукты компании CheckPoint и ее партнеров позволяют построить Защищенную Виртуальную Сеть (Secure Virtual Network), использующую все преимущества транспорта и сервисов Internet и защищающую в то же время все компоненты корпоративной сети.

Рассмотрим, каким образом система, построенная на продуктах CheckPoint и OPSEC-совместимых продуктах третьих фирм, удовлетворяет современным требованиям.



Создание сценариев для устранения найденных проблем


Система System Security Scanner? обладает уникальной возможностью по созданию скриптов (fix script), корректирующих или устраняющих обнаруженные в процессе анализа защищенности проблемы. Кроме того, в процессе создания fix-скрипта система S3 также создает скрипт, позволяющий отменить изменения, сделанные fix-скриптом. Это может потребоваться в том случае, если сделанные изменения нарушили нормальное функционирование отдельных хостов корпоративной сети.



Список литературы


Городецкий В.И., Котенко И.В., Карсаев О. В., Хабаров А.В. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах. ISINAS – 2000. Труды. – СПб., 2000. J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000, D. Denning, An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232, R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. // Technical report, Department of computer since, University of New Mexico, August 1990. D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). // Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994. С.А. Терехов. Байесовы сети // Научная сессия МИФИ – 2003, V Всеросийская научно - техническая конференция «нейроинформатика-2003»: лекции по нейроинформатике. Часть 1.-М.:МИФИ, 2003.-188с H. Debar, M. Becker,D. Siboni. A neural network component for intrusion detection systems // In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 – 250, Oakland, CA, USA, May 1992. K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. // Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988. P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997. K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995. K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX // Proceeding of the IEEE Symposium on Research in Security and Privacy. T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 – 304. T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection // Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991. J.P. Anderson, Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980. Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection // Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994. Vern Paxon. Bro: A system for detection network intruders in real time // Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.



Сравните и противопоставьте системы


Саттерфилд: Автономный анализ (offline analysis) трафика с целью генерации тревог практически бесполезен. Министерство обороны США, являясь пионером в области обнаружения атак, придерживалось этого подхода. Однако времена меняются. Обработка нажатий клавиш уже не отвечает требованиям масштабируемости. Обнаружение и генерация тревог в реальном масштабе времени существенно необходимы. Хотя и об автономном анализе данных не надо забывать.

Клаус: Как я упомянул раньше, современные системы обнаружения атак - это реальная сетевая информация и инструментальные средства с некоторым встроенным интеллектом. Проанализированы ли данные в реальном масштабе времени или после свершения события, - различие только в своевременности реагирования. Система RealSecure обеспечивает обнаружение и реагирование на атаки в реальном масштабе времени. Мы также обеспечиваем средства управления данными для проведения автономного анализа. Анализ данных "постфактум" очень полезен при наличии обученного персонала. Требуемый состав персонала для эксплуатации системы обнаружения атак очень трудно определить, поскольку это зависит от объема данных, требующих анализа. Важно, чтобы системы обнаружения атак поддерживали этот процесс, предоставляя эффективные средства управления данными.

Карри: Если вы серьезно относитесь к защите, вы должны работать в реальном масштабе времени. Нападавший может войти, сделать то, что он должен и уйти в течение нескольких минут или даже секунд. Вы должны быть способны действовать мгновенно, чтобы среагировать на нападение. Автономный анализ нужен, если вы хотите знать, что вы делали в последний вторник. К сожалению, вы не имеете достаточно времени, чтобы проводить такой анализ. Хорошо то, что эта задача может быть легко автоматизирована и не требует большого числа людей.

Спаффорд: Тревога в реальном масштабе времени - это когда вы можете среагировать и устранить результат атаки, слушая сигнал тревоги. Автономный анализ часто снижает производительность контролируемых машин (за счет обработки и хранения большого объема регистрационных данных - примечание переводчика), однако также позволяет "сделать шаг назад", вновь рассмотреть событие и, возможно, "откатить" изменения, сделанные в результате реагирования. Если действие не привело к ожидаемым результатам, если тревога не сработала, то нет никакой разницы между автономным анализом и анализом в реальном масштабе времени! Вы называете ваш продукт системой обнаружения атак? Некоторые специалисты различают атаку (intrusion) и злоупотребление (misuse). Некоторые называют эти средства не системы обнаружения атак, а системы мониторинга сети. Каково ваше определение системы обнаружения атак?

Ранум: Мы называем нашу систему универсальным инструментом анализа трафика. Она имеет свойство программируемости, так что вы можете сами "сказать" ей, что надо обнаруживать. Если вы хотите обнаруживать, скажем, атаку SYN Flood, то вы можете сами запрограммировать функцию чтения SYN-пакетов и функцию реагирования в случае нахождения в них статистических аномалий. Также просто вы можете запрограммировать модель анализа роста WAN или подсчета посещений Web-сервера. Я думаю, что обнаружение атак - это одна из задач, которую вы можете решить с помощью нашей универсальной системы. Мы считаем, что люди устали от приобретения систем, которые реализуют только одну функцию. Даже, если она реализована хорошо.

Карри: Компания IBM предлагает обслуживание, которое объединяет предложение систем обнаружения атак в реальном режиме времени (компания IBM предлагает систему RealSecure компании ISS - примечание переводчика), круглосуточный текущий контроль обученным персоналом и опытную группу экспертов, реагирующих на нарушения и инциденты безопасности. Мы различаем термины "злоупотребление" и "атака", но давайте не будем сейчас останавливаться на этом. Мы полагаем, что система обнаружения атак - больше чем несколько датчиков, развернутых в сети. Вы нуждаетесь в сообщающейся системе, которая позволяет вам собирать информацию от датчиков на центральной консоли. Вы нуждаетесь в системе, хранящей эту информацию для более позднего анализа, и в средствах, чтобы такой анализ провести. Вы нуждаетесь в средствах, контролирующих эти датчики постоянно и мгновенно реагирующих в случае тревоги. Атака может быть завершена за минуты и даже секунды. В заключение, и возможно это наиболее важно, вы нуждаетесь в группе выделенных экспертов в области защиты, которые знают, как использовать все эти средства для всесторонней защиты от постоянно растущих угроз. Все эти компоненты вместе образуют реальную и эффективную систему обнаружения атак. Если вы реализуете ее без какого-либо из этих компонентов, то вы только вводите себя в заблуждение.

Саттерфилд: Все сводится к семантике. "Обнаружение атак" - термин, используемый для описания конечной цели деятельности. Вы должны обнаружить, когда кто-то делает что-то, что дает ему доступ к чему-то, к чему у него доступа быть не должно. В действительности, технология обнаружения атак обеспечивает способность обнаружить что-то, что пользователь хочет обнаружить. Думайте об этом, как о микроскопе или телескопе для потока данных. Фактически, обнаружение злоупотреблений - только один из вариантов использования технологии обнаружения атак. Базовая технология позволяет вам просматривать сетевой пакет, только пакет, и ничего кроме пакета. Дальше вы можете увидеть что-нибудь другое, если увеличите "размер изображения".

Мониторинг - это хорошо. Обнаружение атак гораздо более эффективно, если осуществляется 24 часа в сутки, 7 дней в неделю. Стоимость таких услуг значительна. Мы полагаем, что компании, которые собираются предлагать эти услуги, хотят делать большой бизнес. Это обеспечит намного более высокое качество защиты ресурсов заказчиков, чем, если бы они сами реализовали у себя комплекс мер по обнаружению атак. Поставщики услуг могут выбирать технологии, позволяющие масштабировать и дублировать свои решения, тем самым, снижая издержки и свои, и заказчиков. Наблюдайте за выбором системы обнаружения атак крупными поставщиками услуг. Это будет показателем качества предлагаемых на рынке систем обнаружения атак.

Клаус: Опасно игнорировать термин "злоупотребление". Единственное различие, которое я делаю между "обнаружением атак" и "обнаружением злоупотреблений" - исходит ли нарушение снаружи сети (это атака) или изнутри сети (это злоупотребление). Оба потенциально разрушительны. Система RealSecure может быть развернута как снаружи межсетевого экрана, так и после него, что позволяет обнаружить как внешних злоумышленников, так и внутренних участников злоупотреблений. И она может реагировать на оба события. Еще можно сказать о различии между терминами так: "злоупотребление" определяет действие, которое нарушает стратегию использования сети (например, посещение порносайтов), в то время как, "атака" определяет действие, которое указывает на то, что кто-то атакует и ставит под угрозу защиту сети. Оба этих действия важны для администратора защиты и системы обнаружения атак, подобно RealSecure, могут обнаружить и помочь предотвратить оба этих действия.

Спаффорд: Для нас, атака - это подмножество злоупотребления. Посторонние атакуют систему, чтобы неправильно использовать ее. Однако авторизованные пользователи также могут злоупотреблять системой. Сетевой мониторинг полезен для управления и оптимизации сети. Он также может использоваться для обнаружения атак и злоупотреблений. Однако он не может обеспечить вам контроль приложений, работающих на хосте.


Девид Карри (David A. Curry) - старший аналитик по безопасности Internet в службе реагирования и помощи компании IBM (IBM Internet Emergency Response Service - IBM-ERS). Участник технической группы, отвечающей за управление инцидентами и реагирование на них для заказчиков IBM-ERS. Он также отвечает за создание бюллетеня Security Vulnerability Alert и разработку планов тестирования шлюзов заказчиков.

Карри начинал как системный программист Unix. Работал системным программистом в университете Purdue, исследовательском центре NASA, лаборатории SRI и т.п. Автор нескольких книг по программированию для операционной системы Unix и обеспечению ее информационной безопасности.

Кристофер Клаус (Christopher Klaus) - основатель и технический директор компании Internet Security Systems. Автор системы анализа защищенности на сетевом уровне Internet Scanner. Он обеспечивает консультационную поддержку в области безопасности многих государственных учреждений и компаний, входящих в список Fortune 500. Руководитель групп компании ISS, разрабатывающей системы Internet Scanner, System Security Scanner и RealSecure.

Маркус Ранум (Marcus J. Ranum) - президент компании Network Flight Recorder и руководитель исследовательской группы корпорации V-ONE. Автор многих межсетевых экранов, включая DEC Seal, TIS Gauntlet и TIS Internet Firewall Toolkit. Контролировал и защищал сети, построенные на основе UNIX в течение 13 лет, включая настройку и управление доменом whitehouse.gov.

Ранум - частый лектор и участник конференций по информационной безопасности.

Ли Саттерфилд (Lee Sutterfield) - один из основателей и исполнительный вице-президент компании WheelGroup. Получил признание в Центре информационной войны Военно-воздушных сил США. Имеет 15-тилетний опыт работы в области защиты информации.

Юджин Спаффорд (Eugene Spafford) - профессор, директор лаборатории COAST в университете Purdue. В университете занимался вопросами увеличения надежности компьютерных систем, что привело к занятию вопросами защиты информации. Автор большого числа публикаций в области обеспечения информационной безопасности. В течение последних лет служил консультантом многих государственных и коммерческих организаций, включая ФБР, АНБ, Министерство Энергетики, Военно-воздушные силы США и т.д. Является одним из авторов системы анализа защищенности на уровне операционной системы COPS, системы обнаружения атак Tripwire, IDIOT и многих других.


Сравнительные характеристики


Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов

прикладного уровня относительно друг друга.

К положительным качествам пакетных фильтров следует отнести следующие:

относительно невысокая стоимость

гибкость в определении правил фильтрации

небольшая задержка при прохождении пакетов

Недостатки у данного типа брандмауэров следующие :

локальная сеть видна ( маршрутизируется ) из INTERNET

правила фильтрации пакетов трудны в описании, требуются очень хорошие знания

технологий TCP и UDP

при нарушении работоспособности брандмауэра все компьютеры за ним становятся

полностью незащищенными либо недоступными

аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга

(атакующая система выдает себя за другую, используя ее IP-адрес)

отсутствует аутентификация на пользовательском уровне

К преимуществам серверов прикладного уровня следует отнести

следующие:

локальная сеть невидима из INTERNET

при нарушении работоспособности брандмауэра пакеты перестают

проходить через брандмауэр, тем самым не возникает угрозы

для защищаемых им машин

защита на уровне приложений позволяет осуществлять большое количество дополнительных

проверок, снижая тем самым вероятность взлома с использованием дыр в программном

обеспечении

аутентификация на пользовательском уровне

может быть реализована система немедленного

предупреждения о попытке взлома.

Недостатками этого типа являются:

более высокая, чем для пакетных фильтров стоимость;

невозможность использовании протоколов RPC и UDP;

производительность ниже, чем для пакетных фильтров.



Средства аутентификации пользователей


МЭ позволяет использовать различные средства аутентификации пользователей,

как системы одноразовых паролей, так и пароли условно-постоянного действия.

Использование последних для доступа через открытые сети крайне не

рекомендуется, ввиду их легкой компрометации. Из систем одноразовых

паролей поддерживаются все основные виды смарт-карт и софтверных

реализаций. В наших условиях наиболее употребительной системой может

стать S/Key, ввиду доступности. смарт-карты на данный момент не могут

импортироваться в соответствии с законодательством.



Статистика самых распространенных атак


В 1998 году NIST проанализировал 237 компьютерных атак, информация о которых была опубликована в Интернет. Этот анализ дал следующую статистику:

29% атак были организованы из-под Windows.
Урок: Не стоит считать опасной только Unix. Сейчас наступило время атак типа "укажи и кликни". в 20% атак атакующие смогли удаленно проникнуть в сетевые элементы (то есть маршрутизаторы, коммутаторы, хосты, принтеры и межсетевые экраны).
Урок: атаки, в ходе которых атакующий получает неавторизованный доступ к удаленным хостам не так уж редки. в 3% атак веб-сайты атаковали своих посетителей.
Урок: поиск информации в WWW больше не является полностью безопасным занятием. в 4% атак производилось сканирование Интернета на наличие уязвимых хостов.
Урок: Имеется много средств автоматического сканирования, с помощью которых могут быть скомпрометированы хосты. Системные администраторы (сами или с чьей-то помощью) должны регулярно сканировать свои системы (а не то это сделает кто-то другой). 5% атак оказались успешными атаками против маршрутизаторов и межсетевых экранов.
Урок: сами компоненты инфраструктуры Интернетеа уязвимы к атакам (правда благодаря профессионализму производителям компьютеров и программ для них, большинством этих атак были атаки удаленного блокирования компьютеров и сканирования, и только небольшая часть из них были удаленным проникновением в компьютеры.)



Страх «черного хода»


Поскольку исходные тексты открыты, некоторые компании опасаются, что хакеры будут создавать «черные ходы» в свободно распространяемом инструментарии, через которые они смогут проникать в системы. Робичаукс по этому поводу заметил: «Это одно из самых серьезных препятствий на пути широкого распространения открытого программного обеспечения. Однако вовсе не значит, что такое опасение обоснованно и имеет под собой реальную почву. Тем не менее, некоторые компании требуют, чтобы все свободно распространяемое программное обеспечение, используемое в их подразделениях, было создано «с нуля», без каких-либо готовых или загруженных пакетов».



Строгая защита


В основе работы PIX лежит алгоритм адаптивной защиты (ASA), который обеспечивает защиту соединений с контролем состояния. ASA отслеживает адреса источника и назначения, порядковые номера TCP соединений, номера портов и дополнительные TCP флаги для каждого пакета. Эта информация заносится в таблицу и все входящие и выходящие пакеты сравниваются со значениями в таблице. Это дает возможность прозрачной работы с Интернет внутренним пользователям и в то же время защищает внутреннюю сеть от несанкционированного доступа. Кроме того, в PIX используется встроенная система реального времени, которая по уровню защиты превосходит стандартные открытые системы вроде UNIX.