Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Хорошо ли защищен ваш Web-узел?

Том Купер

Кажется, это становится неизбежным, как смерть или налоги, но рано или поздно почти каждую компанию, работающую в Интернет, атакуют взломщики. Иногда от такого вмешательства портится только содержимое Web-узла. В более серьезных случаях взломщикам удается проникнуть во внутреннюю сеть и украсть или испортить конфиденциальную информацию компании.

Мы вступаем в новую эпоху развития Интернет, когда Web-узлы из простых электронных досок объявлений превращаются в основное средство доступа к внутренним базам данных. Предприниматели все более уверенно начинают использовать Интернет для общения с заказчиками, проведения маркетинговых исследований в отношении конкурентов и выпускаемых ими продуктов, заниматься электронной коммерцией — иными словами, информация становится нашей валютой, и мы должны научиться защищать ее.

Давайте нашу программу по защите информации начнем с анализа тех слабых мест внутренней сети, которые возникают с появлением Web-сервера. Обсудим также стратегию организации безопасной работы в Интернет, начиная с защиты серверов и кончая установкой полномасштабных firewall-систем.

Поскольку обеспечение безопасной работы в Интернет — это не сиюминутно решаемая задача, мы расскажем о лучших средствах защиты и проинформируем вас о потенциально уязвимых местах, чтобы в дальнейшем можно было предупредить их появление.

Что нас беспокоит?

Следует опасаться трех основных видов "атаки". Первый из них приводит к отказу службы, вызывает перегрузку сервера или канала связи и вынуждает вас прекратить работу Web-узла, убрать "мусор" и выполнить процедуру перезагрузки. Второй — это "тайные" визиты, когда взломщик получает нужную ему информацию, но при этом ничего не портит. И наконец, третий вид представляет собой грубые нападения, в результате которых портятся или модифицируются данные.

Итак, что же делать после первого нападения? Проблема состоит в том, что изначально Интернет была создана с целью облегчить совместное использование информации. Потребность в ее защите возникла позже. В Интернет используется стек протоколов TCP/IP, основанный на передаче пакетов от узла к узлу. Протокол IP работает на сетевом уровне и отвечает за формирование и адресацию пакетов в Интернет.

Взломщику ничего не стоит послать пакет с любым обратным адресом и получить неавторизованный доступ к системам и/или услугам. Это действие аналогично изменению содержимого поля From в заголовке сообщения электронной почты. Отличие состоит в том, что могут быть "введены в заблуждение" такие средства Интернет, как HTTP или FTP, так как для определения вида запрашиваемой услуги они опираются на содержащуюся в пакете информацию.

Хотя на окончательное решение этой проблемы могут уйти годы, новая версия протокола IP, называемая IPv6, позволяет аутентифицировать информацию, содержащуюся в пакете. Но, до тех пор пока она не станет общепринятым стандартом, нам придется считать каждый IP-пакет подозрительным с точки зрения безопасности.

Следующий, более высокий уровень в семействе протоколов TCP/IP — транспортный, на котором для доставки пакетов по назначению используются протоколы TCP (Transmission Control Protocol) или UDP (User Datagram Protocol). Протокол TCP предназначен для приложений, требующих надежной передачи данных, и не используется в приложениях, основанных на их широковещательной передаче. Для этого служит протокол UDP, в котором отсутствует возможность аутентификации, а поэтому пользоваться им небезопасно. На многих защищенных Web-узлах запрещены любые службы Интернет, использующие протокол UDP, в частности такие, как RealAudio.

Поверх транспортного расположен прикладной уровень, где и реализованы основные приложения Интернет: HTTP, FTP, SMTP и Telnet. Обычно они работают в режиме привилегированного доступа (root access) с правом модифицировать файлы. Если взломщик "вскроет" одно из этих приложений, то может получить полномочия администратора системы и таким образом захватить управление сервером.

Проблемы создает не только сам стек TCP/IP — большинство угрожающих безопасности "дыр" возникают из-за ошибок в конфигурации сервера, его программном обеспечении или из-за ошибок служб Интернет, а также в связи с несвоевременной установкой "заплат" (patch) — программных кодов для исправления этих ошибок. Чтобы "облегчить" жизнь взломщикам, имеется целый ряд свободно распространяемых "исследовательских средств", например пакеты SATAN, написанные Дэном Фармером и Виетсом Венемой, и Internet Scanner фирмы Internet Security Systems. Эти средства позволяют определить слабые места узла Интернет, указывая тем самым возможные "плацдармы" для атаки. Кроме этого, существуют специальные средства для проверки конфигурации системы, огромное количество списков рассылки, групп новостей Usenet и Web-узлов, которые буквально "трубят" по всему миру об обнаружении все новых и новых слабых мест. Словом, любого Web-мастера или системного администратора, считающего, что проблемами защиты можно заниматься в свободное от более важных дел время, вряд ли ожидает удача.

План действий

Текущая оценка всех известных случаев взлома показывает, что от 70 до 80% их происходит изнутри. Это связано с недостаточным вниманием системных администраторов к защите паролей, размещением технических средств в местах, доступных посторонним, а также с некорректной конфигурацией системного и прикладного ПО и слабым контролем за правами доступа. Поэтому Web-узлы многих компаний вполне "созрели" для взлома. В этом случае единственным необходимым условием взлома становится мотив. Децентрализация и большая текучесть кадров, недостаточная организация охраны рабочих мест и обещания вознаграждений за украденную внутреннюю информацию компании приводят к тому, что фирмы становятся жертвами взлома изнутри.

Какова же стратегия защиты от внутренних и внешних атак? Предлагаем следующий план действий. Во-первых, выработайте четкую линию поведения в отношении использования Интернет, для этого сформулируйте степени риска и преимущества, которые дает вам доступ в эту глобальную сеть. Во-вторых, старайтесь минимизировать возможные риски и предоставьте пользователям только те услуги, которые вы действительно должны обеспечить. Например, не следует совмещать Web-сервер с более уязвимым FTP-сервером. Разрешайте анонимный доступ к услугам FTP и Telnet только в случае крайней необходимости. Предлагая услуги FTP, старайтесь по мере возможности использовать гиперссылки. Если вы все же должны обеспечить передачу по протоколу FTP, то для этого рекомендую более новое и надежное средство — PASV FTP. Вы можете исключить возможность взлома в ходе сеанса удаленного доступа, разрешив использование FTP только с системной консоли.

И наконец, самое главное: потребуйте от ваших пользователей никогда не давать паролей или другой конфиденциальной информации по телефону и научите их в случае необходимости защищаться от "социальной инженерии" — навязчивых звонков с предложениями помочь в поддержке сети или разобраться с сетевыми проблемами. Звонящий обманом узнает у пользователя его имя и пароль, а затем регистрируется в системе под этим именем. Получив таким образом доступ, взломщик выясняет права, присвоенные различным группам пользователей, и использует уязвимые места ОС с целью получить права администратора системы. Кевин Митник, самый известный американский хакер, был большим мастером по части такой "социальной инженерии", которая делает бесполезными все существующие firewall-системы и средства защиты серверов.

Короче говоря, при работе в сети следует всегда поступать так, как это делают жители Нью-Йорка, — не доверять никому: ни системному администратору, ни старшему менеджеру, ни технологу, ни консультанту по защите, ни пользователю. Тщательно закрывайте "дыры" в защите, ограничивая права пользователей, групп, права доступа к каталогам и файлам. Разрешайте использовать только минимум ресурсов c одноразовыми паролями, обеспечивайте надежную аутентификацию и отвергайте любой "доверенный" (trusted) доступ к вашим серверам Интернет.

Защита сервера

После того как вы окончательно выбрали и установили Web-сервер, необходимо настроить его систему безопасности. Конкретные детали процесса конфигурирования Web-сервера в значительной мере зависят от базовой платформы и применяемого сетевого программного обеспечения. Рекомендация для начинающих: чем меньше вы используете сетевых приложений и типов сервиса, тем меньше сделаете ошибок. На Web-сервере следует оставить урезанный вариант операционной системы, который обеспечит только многозадачность.

Поскольку в этом случае нет необходимости в распределенных файловых системах или сеансах удаленного доступа, не устанавливайте NFS (Network File System), NIS (Network Information Service), RPC (Remote Procedure Call) или команды R-группы в OC Unix. В операционной системе Windows NT не используйте функции RAS (Remote Access Server) на ваших серверах Интернет. При работе в MacOS не разрешайте применять протокол AppleTalk для связи с вашим Web-сервером.

При общении вашего сервера с другими серверами часто используется так называемый "доверенный" Web-сервер (web of trust). Однако недостаток такого доверенного сервера состоит в том, что при его "взломе" и ваш сервер также окажется уязвимым для взломщика, обычно уже имеющего права доступа администратора системы.

Чтобы защититься от этого, удалите в OC Unix файл .rhosts, содержащий список доверенных серверов. В Windows NT Server будьте внимательны при установке доменов. В MacOS не держите на Рабочем столе папку (folder) вашего Web-сервера, а поместите ее в другую папку (subfolder). Все процедуры по поддержке и модернизации программного обеспечения Web-сервера следует осуществлять с системной консоли, а не посредством удаленного доступа. И наконец, никогда не запускайте свой Web-сервер в привилегированном режиме, т. е. с правами доступа администратора системы. Если взломщику удастся найти "дыру" в системе защиты вашего Web-сервера, он получит к нему полный доступ. Всегда запускайте ваш Web-сервер или с правами доступа "nobody", или с правами непривилегированного пользователя.

С точки зрения безопасности наибольший риск исходит не от операционной системы самого Web-сервера, а от средств сетевой операционной системы. В ОС Unix главная проблема состоит в том, что в действительности это не одна операционная система, а две в одной. Во-первых, Unix является мощной многопользовательской и многозадачной операционной системой. Во-вторых, это мощная сетевая операционная система с функциями поддержки распределенной файловой системы, удаленного доступа и многими другими, какие только могут потребоваться вам в клиент-серверной среде, такой, как Интернет. Та же проблема актуальна и для Windows NT, хотя и в меньшей степени. Причина, по которой MacOS оказалась для Web-сервера самой безопасной операционной системой, заключается в том, что она не является сетевой. Поэтому очевидно: то, чего нет, атаковать невозможно. Чтобы в системах Unix и Windows NT уменьшить количество потенциальных точек входа, нужно отказаться от использования возможностей сетевой ОС.

Firewall-системы

Если ваш Web-сервер уже надежно защищен и работает под управлением хорошо защищенной операционной системы, обеспечьте безопасность вашей внутренней сети. Это можно сделать с помощью системы firewall. Она создает в вашей внутренней сети контролируемую точку, через которую проходит весь обмен с Интернет. В типичной архитектуре firewall-системы имеются средства фильтрации пакетов, модули-посредники (proxy), средства для аутентификации, сдвоенная служба доменных имен DNS и набор средств для осуществления мониторинга. Архитектура и уровень сложности вашей firewall-системы зависят от выбранной вами политики безопасности в Интернет, т. е. от допустимого риска, произведенных расходов и требуемой степени защиты.

Для приходящего из внешней сети трафика вам необходим фильтр, чтобы проверять заголовки каждого передаваемого пакета и задерживать все подозрительные. Если заголовок пакета благополучно прошел проверку, то пакет будет направлен к соответствующему серверу-посреднику (proxy server) для последующей проверки на прикладном уровне. Сервер-посредник анализирует пакет с точки зрения безопасности и решает, отвергнуть его или передать пользователю. В средних и больших компаниях фильтрация пакетов осуществляется одним или несколькими маршрутизаторами. В небольших компаниях или в компаниях с ограниченным бюджетом для этого можно использовать либо Network Address Translator (NAT), либо программное обеспечение для фильтрации пакетов, устанавливаемое на сервере.

Имеется целый ряд серверов-посредников. Наибольшее распространение получили модули-посредники прикладного уровня, поддерживающие один вид сервиса, например HTTP, и допускающие выполнение только безопасных действий. Наиболее подходящая альтернатива серверу-посреднику — механизм SOCKS. Он мало отличается от интеллектуального фильтра и не поддерживает специфические команды прикладного уровня.

Из имеющихся на сегодня примерно 20 различных служб Интернет устанавливайте только наиболее существенные: HTTP для поддержки Web, FTP для передачи файлов, NNTP для Usenet, SMTP для электронной почты. Служба Telnet слишком опасна и вовсе не является необходимой для большинства компаний. Если все-таки вы намерены использовать эту услугу, предоставьте ее только группе избранных пользователей.

Также будьте осторожны с Sendmail — программным обеспечением SMTP-сервера для Unix, которое из-за имеющихся в нем "дыр" пользуется дурной славой. Оно содержит 20 тыс. строк многократно исправленного и широко распространенного исходного текста. Sendmail имеет больше нареканий со стороны группы CERT (Computer Emergency Response Team), чем любые другие протоколы или услуги Интернет. Поскольку фирма Trusted Information Systems предлагает всем желающим вполне добротное и бесплатное программное обеспечение на основе протокола SMTP с поддержкой функций proxy, содержащее всего 600 строк хорошо документированного исходного текста, то дальнейшее использование ПО Sendmail неоправданно.

Одно из достаточно редко используемых средств firewall-систем — мониторинг событий. Как известно, у каждого сервера есть файл регистрации событий. Но кто же имеет столько времени, чтобы сидеть весь день и анализировать его? Именно для этого разработан целый ряд средств мониторинга, с помощью которых можно сформулировать правила отслеживания событий и отреагировать на них, если что-то пойдет не так. Например, Watcher — бесплатное инструментальное средство из архива COAST (см. "Список ссылок"). Его используют для установки сигнала тревоги, уведомляющего об "атаке" или каком-либо другом подозрительном событии. В архиве COAST также содержится целый ряд других средств защиты.

Аутентификация

Оставьте тщетные попытки придумать трудные для разгадывания пароли, пересылающиеся затем по сети на сервер. Вот вам решение проблемы создания надежной аутентификации в три приема. Во-первых, предоставьте права доступа к Web-серверу только системному администратору и, возможно, нескольким пользователям, которые должны будут обновлять файлы. Во-вторых, разрешите осуществлять входную регистрацию только с системной консоли. Это избавит вас от беспокойства, что кто-нибудь узнает пароль во время его передачи по сети. И наконец, в-третьих, используйте системы с одноразовыми паролями, например S/Key фирмы BellCore. Еще лучше для генерации одноразовых паролей воспользоваться специальными картами, такими, как SecurID фирмы Security Dynamics.

Однако надо иметь в виду, что в бесплатной версии S/Key применен хэш-алгоритм MD4, который, как известно, можно взломать. Не так давно найдено еще одно уязвимое место этой системы. Было доказано, что хэш-алгоритм MD5, используемый в коммерческой версии S/Key, теоретически также взламывается. Разумеется, это не означает, что его уже взломали, однако такое в принципе возможно. Даже система аутентификации Kerberos в прошлом году была взломана с помощью техники, ранее уже применявшейся для взлома первой реализации Secure Sockets Layer фирмы Netscape. Отсюда напрашивается очевидный вывод: ничто не может быть безопасным во веки веков, поэтому вы должны быть постоянно в курсе всего, что касается появления новых уязвимых мест.

Повторение пройденного

Итак, существует множество аспектов информационной безопасности в Интернет. Один из них связан с тем, что с точки зрения безопасности представляет собой ваш Web-сервер. Установите безопасную ОС, затем тщательно сконфигурируйте и протестируйте сервер. Всегда помните, что вопрос ограничения доступа для изменения информации на сервере является ключевым.

Своевременно устраняйте "дыры", быстро устанавливая на них "заплаты". Для проверки корректности конфигурации используйте специальный инструментарий. Читайте материалы CERT, запишитесь в списки рассылки, посвященные вопросам безопасности, firewall-системам, в списки сетевого "андеграунда", ежедневно читайте новости Usenet — будьте поактивнее. Установите firewall-систему с proxy-серверами. Что касается клиентского ПО, то ограничьте ваших пользователей только Web-браузерами и электронной почтой.

Безопасность вашего Web-узла немыслима без высокого уровня образования пользователей и надлежащих инструментальных средств. Для проверки корректности конфигурации и определения уязвимых мест вашей сети имеется множество средств — используйте их.

Все это, разумеется, невозможно сделать в одиночку, даже не пытайтесь. Только после того, как ваше руководство по достоинству оценит затраты и выгоды от использования Интернет, вы сможете обеспечить по-настоящему безопасный доступ в эту глобальную сеть


распечатать статью




  
3 '1997
СОДЕРЖАНИЕ

колонка редактора

• "Операция Ы-2", или Интеллектом сервер не испортишь

локальные сети

• Высокоскоростные сетевые адаптеры PC Card

• Microsoft и стандартизация дезинтегрируют сетевые ОС

• Варианты запуска кроссплатформенных приложений

корпоративные сети

• АТМ готова к работе на вашей магистрали

• Новые горизонты системного управления

• Факс-серверы масштаба предприятия экономят время и деньги

• Операционные системы: универсальность или многофункциональность?

• Проблемы внедрения корпоративных информационных систем

услуги сетей связи

• ISDN в России: первые шаги

• Как автоматизировать обработку телефонных запросов

• Выбираем устройство доступа к сети Frame Relay

• На пути к персональной связи: сети AMPS в России

• Первая пейджинговая сеть с двусторонней передачей сообщений

• Frame Relay и АТМ в Европе: догнать и перегнать Америку

интернет и интрасети

• "Узкие" места в сочетании Интернет + интрасеть

• Программное обеспечение: как получить поддержку?

• Анализ трафика Web-узла

• Не все Web-узлы сотворены равными...

защита данных

• Хорошо ли защищен ваш Web-узел?

• Правильный выбор системы firewall

новые продукты

• Dell PowerEdge 2100; HP NetServer E40 — сервер для малого бизнеса; Коммутация на третьем уровне в LANswitch; Новый Ultra Enterprise в стране "лилипутов"; Network Flyer 100 фирмы TDK Systems; SnapBack 4 фирмы Columbia Data Products; Internet LanBridge фирмы Virtual Motion; CycloneRAID фирмы Western Scientific; Firewall-1 фирмы CheckPoint Software Technologies; KEYview Pro: работаем с файлами приложений



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх