Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Сделайте свою сеть безопасной

Майк Фратто

Вы ощущаете угрозу атак из сети Интернет? Конечно, такой риск существует, но он не настолько серьезен, как это иногда стараются преподнести средства массовой информации. К тому же существует немало способов защиты от возможного нападения.

Журнал Network Computing сообщает, что очень скоро Интернет “рухнет” и “сгорит”! Сиракузы, штат Нью-Йорк, 1 мая 2003 г.: “17 июля 2003 г. произойдет глобальное зависание всемирной сети Интернет. Иссякнут потоки данных и товаров, столь необходимых для существования электронной экономики. Зачахнет электронная дружба между людьми, лишенными возможности обмениваться битами и байтами. Запомните, впервые вы прочитали об этом здесь!”

Теперь мы полностью завладели вашим вниманием, не так ли? Но, как видите, этого не случилось. Тем не менее, начитавшись газетных сообщений, легко представить себе самое худшее. Когда вы подключаетесь к Интернет или к любой другой сети общего пользования, имеется достаточно причин для беспокойства — это угроза атак, вирусного заражения и пр. Однако в действительности все не так страшно, как расписывают СМИ (и отдельные чересчур напористые производители средств безопасности). Да, риск существует, но если вы точно определите ваши уязвимые места, то сможете заметно уменьшить его.

Ключом к снижению риска является ваша осведомленность о типах атак. Собрав и проанализировав данные из разных источников (в том числе из организации Cooperative Association for Internet Data Analysis — CAIDA, от фирмы Internet Security Systems — ISS, службы ICAT и Security Focus) и пообщавшись с людьми, занятыми на поприще информационной безопасности, мы пришли к ряду выводов о степени реальной угрозы Интернет-атак и о том, как можно свести к минимуму связанный с ними риск.

Разведывательная миссия

Атака, как правило, состоит из хорошо отработанной последовательности шагов. Обычно целью атаки является получение административных привилегий (детальное описание реальной атаки можно найти в статье Грега Шипли “Анатомия сетевого вторжения” (Сети и системы связи. 2000. № 1. С. 107)).

Первым этапом любой атаки является разведка. Атакующий старается как можно больше узнать об объекте, который он собирается атаковать, используя не только публичные базы данных и документы, но и сканеры портов и средства захвата пакетов. Идентифицировав целевые сервисы, злоумышленник старается найти в их ПО уязвимые места путем либо проведения дальнейших исследований, либо использования утилиты, предназначенной для определения чувствительности сервиса к атакам извне.

Кто там?

Стоит только подключиться к Интернет, как тут же замечаешь многочисленные попытки вторжения со стороны в собственную сеть. Один из клиентов компании Network Intelligence, владелец относительно небольшой сети, говорит, что каждую неделю его системы подвергаются тысячам операций сканирования.

Воспользовавшись данными организации Internet Storm Center (ISC) за 18 марта 2003 г., мы нанесли на диаграмму число источников и целей сканирования для пяти портов (см. “Наиболее активно сканируемые порты”) и обнаружили, что относительно малая группа IP-адресов сканировала большое их число. В течение суток центр ISC зарегистрировал 9598 уникальных IP-адресов, сканирующих порт 445, используемый для совместного доступа к файлам (по протоколу SMB) в среде Microsoft Windows 2000, а также 161 532 целевые системы, подвергавшиеся сканированию через указанный порт, т. е. целей было зарегистрировано примерно в 16 раз больше, чем источников сканирования.

С точки зрения причиняемого ущерба сканирование, как правило, безвредно. Системы обнаружения вторжений (Intrusion-Detection System — IDS) классифицируют сканирование как атаку низкого уровня. Здравый смысл подсказывает, что сканирование является предвестником атаки, и, хотя, возможно, так оно и есть, нельзя сказать, что соотношение числа сканирований и числа атак составляет 1:1. Если порт 445 подвергся сканированию, оказавшись открытым, то это вовсе не говорит о том, что атакующий обязательно вернется, и тем не менее это делает вероятность его возврата более высокой.

Дайте им палец, и они...

Если злоумышленник находит-таки сервисы, уязвимые места которых можно использовать для взлома сети, начинается вторая фаза атаки. Атакующий, возможно, попытается получить доступ к серверу или данным, хранящимся на нем. Атаки по методам нанесения подразделяются на две категории: автоматизированные и целенаправленные. Инструментальные средства для развертывания автоматизированных атак, во многом похожие на средства сканирования, будучи простыми в использовании, “пытаются” вслепую атаковать каждый хост подсети или, используя сканирование портов, сначала найти хосты, а уже затем атаковать их. В любом случае эти грубые, “лобовые” нападения рассчитаны на то, что в вашей сети работают уязвимые серверы. Проверив журнал регистрации событий своего Web-сервера, вы, вероятно, обнаружите следы таких нападений — закодированные URL-строки.

Автоматизированные атаки, “черви” и сканирование являются атрибутами повседневной жизни Интернет. Сколько-нибудь эффективных средств их блокирования не существует, и, за исключением того, что вы можете попытаться отследить их происхождение и заставить организацию-источник атаки или Интернет-провайдера вмешаться, у вас практически нет шансов остановить их. Некоторые Интернет-провайдеры, вероятно, отключат злонамеренных пользователей, если получат достаточное число жалоб и веские доказательства того, что атаки исходили из их сетей. Как бы там ни было, докладная записка в адрес владельца сетевого узла или его Интернет-провайдера имеет смысл, если вы систематически подвергаетесь сканированиям или автоматизированным атакам.

Особые хлопоты доставляют организациям быстро распространяющиеся “черви”. По оценкам авторов статьи “The Spread of the Sapphire/Slammer Worm” (http://www.caida.org/outreach/papers/2003/sapphire/sapphire.html#8), опубликованной ассоциацией CAIDA, единожды внедренный “червь” может инфицировать около семи хостов в минуту. При этом численность зараженных хостов удваивается каждые 8,5 с. Максимальная активность “червя” Sapphire, составлявшая 55 млн операций сканирования в секунду, наблюдалась примерно через три минуты после его внедрения в корпоративную сеть и практически истощила ее доступную полосу пропускания. График “Пять крупнейших Интернет-атак” красноречиво свидетельствует о поразительной активности “червей”. Число атак на наиболее широко распространенные протоколы остается относительно стабильным. Главный же удар приходится на порты 1434 (Sapphire/Slammer) и 445 (SMB). Разработчики “червей” создают все более изощренные методы их распространения, перенимая многие приемы “разведки”, используемые зачинщиками целена-правленных атак.

Написание “умного червя” требует немалых усилий и изобретательности от злоумышленника, и нам, можно сказать, крупно повезло в том, что обычные “черви” и вирусы не способны нанести нашим сетям сколько-нибудь серьезный урон. Одним из удивительных выводов, следующих из доклада ассоциации CAIDA, является тот факт, что даже в сетях с минимумом подключенных к Интернет хостов “червь” может распространяться все так же быстро. И все же “червь”, без-

условно, не является тем ПО, злонамеренное использование которого может нанести ощутимый ущерб.

Легкая добыча?

Куда опаснее случайных сканирований целенаправленные атаки. В этом случае ваша организация выбирается в качестве объекта для “захвата власти”. Будет ли этот захват успешным, зависит от многих факторов, главным из которых является ваша осведомленность о том, что на вас нацелился “захватчик”. Выяснение цели атаки — это уже следующий этап.

Самым неприятным здесь является то, что, чем более опытен злоумышленник, тем меньше вероятность обнаружения его во время атаки. Смягчающим данную ситуацию моментом является то, что число целенаправленных атак составляет лишь малую долю всех предпринимаемых в Интернет атак, а успешными целенаправленные атаки бывают еще реже. Например, в 2002 г. служба безопасности компании ISS зафиксировала 5052 инцидента, включая сканирование портов и более опасные атаки, однако только 80 из них (т. е. 1,6%) были настолько серьезными, что ISS пришлось заняться ими вплотную.

Согласно итоговому отчету компании ISS (см. “Наиболее активно атакующие регионы”), целых 82,53% всех атак имеет своим происхождением Северную Америку. Возможно, причиной этого является достаточно высокая степень “интернетизации” и множество “незалатанных” узлов кампусных и широкополосных сетей, которые используются в качестве точек ретрансляции хакерами, пытающимися замести свои следы. Следует, однако, признаться, что способа, который позволял бы определенно сказать, сидит ли злоумышленник за клавиатурой атакующего вас компьютера или транслирует свою атаку через множество систем, нет.

Можно попытаться выследить взломщика, начав с системы, атакующей вас непосредственно. Для этого вам необходимо заручиться согласием администратора этой системы понаблюдать за атакой до ближайшего транзитного компьютера и, связавшись с администратором последнего, попросить его проследить атакующее соединение до следующего транзитного компьютера, и т. д. Конечно, вам придется обратиться за помощью к совсем незнакомым людям, надеяться на то, что они обладают достаточным техническим опытом, чтобы выйти на следующий транзитный компьютер, и т. п. Честно говоря, все это абсолютно бесперспективно, если только вы не планируете преследовать атакующего в судебном порядке.

Контролируйте все, что можно

Многие инструментальные средства отыскивают известные программные компоненты взлома, для которых имеются “заплаты”. Частенько в Интернет-хостах можно обнаружить уязвимые места двух-, трехлетней давности. Будем откровенны: в ПО имеется столь большое число уязвимых мест, что практически в любой системе при желании можно найти “дыру”. Согласно данным, содержащимся в БД ICAT Metabase, с января 2000-го по март 2003 г. было обнаружено около 4 тыс. компонентов взлома.

Из полученного общего числа 1400 удаленных уязвимостей относятся к категории повышенной серьезности. Это означает, что управление такой системой может захватить злоумышленник (см. “Распределение уязвимостей по степени опасности”).

Наиболее серьезными потерями грозит нарушение системы безопасности (см. “Потери от атак”). Согласно определению ICAT, к нарушениям системы безопасности относятся уязвимости, которые позволяют злоумышленнику получить полномочия, недоступные обычным пользователям в соответствии с корпоративной политикой безопасности. Потери от нарушения системы безопасности подразделяются на два класса: получение всех полномочий, включая административные, и получение отдельных полномочий, что означает более ограниченный по сравнению с административным доступ к системе и данным. Нет ничего удивительного в том, что нарушение системы безопасности соответствует наиболее опасному типу потерь, поскольку целью большинства злоумышленников является получение доступа к командному процессору посредством командной строки или путем выполнения команд через уязвимое приложение, работающее на удаленной системе. Если мошенник получил доступ к командному процессору, считайте, что вы распрощались со своей системой безопасности.

Подразделение уязвимостей на типы позволяет определить, где концентрируются усилия взломщиков по поиску слабых мест в системе защиты и где эти места могут быть обнаружены: на условия их возникновения указывают классы ошибок. Согласно классификации Security Focus форума Bugtraq, львиная доля уязвимостей приходится на ошибки проверки корректности входных данных (см. “Распределение уязвимостей по классам ошибок”). К разряду изъянов проверки корректности входных данных относятся уязвимости, обусловленные отсутствием надлежащего контроля соблюдения синтаксиса входных данных или некорректной обработкой приложением полей форм. Так как все большее число приложений переводится сегодня на Web-модель, то можно ожидать, что число атак, попадающих в эту группу, будет только возрастать. В противоположность этому к нарушениям условий ограничения относятся ошибки переполнения буфера, позволяющие злоумышленнику использовать программные дефекты для исполнения внешнего кода. Наиболее трудными для исправления являются ошибки проектирования, причиной которых являются плохо реализованные алгоритмы, неаккуратные пользовательские интерфейсы и другие подобные им изъяны программных продуктов.

Используя данные ICAT и Bugtraq, вы можете получить в достаточной степени хорошее представление об известных компонентах взлома и при условии, что вы следите за выходом свежих “заплат” и подписываетесь на услуги рассылки “бюллетеней безопасности” ваших производителей, заметно снизить риск, связанный с подключением к Интернет.

И хотя то тут то там раздаются крики о грядущем наступлении “дня ноль” (zero-day), когда злоумышленники успеют воспользоваться дефектом той или иной программы до выпуска производителем “заплаты” для нее, такие примеры все же встречаются нечасто. Самое лучшее, что вы можете сделать, — это своевременно “латать” свои системы, принимать соответствующие меры безопасности и наделять высшими полномочиями доступа лишь благонадежных пользователей..





  
10 '2003
СОДЕРЖАНИЕ

электронная Россия

• Нижегородский форум инфокоммуникаций

бизнес

• Собеседование: как правильно оценить кандидата

инфраструктура

• ИБП в параллель

• Тестируем адаптеры iSCSI

• Сканируя эфир

информационные системы

• Как бороться с текучкой в call-центрах

• Корпоративные системы мгновенного обмена сообщениями

• Корпоративный контакт-центр

• Базы данных как источник сетевых заторов

сети связи

• Сети сигнализации будущего

• Процедура предварительного уведомления как один из путей усовершенствования протокола RSVP

• Хот-споты набирают силу

• Поставщики услуг хот-спотов: общие цели, уникальные достоинства

кабельные системы

• Высокоскоростной доступ по нескольким медным парам

• Маркирование кабельных систем по стандарту TIA/EIA-606-A

защита данных

• Сделайте свою сеть безопасной

новые продукты

• Switch 7700: возврат на рынок корпоративных решений


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх