Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Можно ли Windows NT доверять секреты?

Росс Гринберг

Если ваш генеральный директор однажды запрет вас в своем кабинете, чтобы добиться наконец внятного ответа на вопрос: способна ли Windows NT в достаточной степени обеспечить безопасность сети вашего предприятия? - что вы намерены ему ответить? "Да, несомненно..." или "Ни в коем случае...". Или, может быть, затянете свое привычное "Ну, это зависит..."? Честный ответ: "Я не знаю, и мне нужно некоторое время, чтобы это проверить", - на этот раз вряд ли удовлетворит вашего босса.

Правда заключается в том, что на сегодняшний день ни одна ОС не способна с достаточной степенью безопасности защитить критически важные данные без дополнительных продуктов или специальных разработок. Стандартные ОС, как правило, гарантируют приемлемый уровень защиты в сети лишь для данных, не являющихся секретными. Если сравнить системы безопасности Windows NT с другими ОС, можно уверенно сказать: NT обеспечивает ту же степень защиты, что и Unix, при условии использования дополнительных продуктов.

Учитывая все это, вы могли бы уверенно сказать своему начальнику, что Windows NT достаточно надежна в качестве платформы, а гарантией тому может стать размах корпорации Microsoft и ее положение на рынке. Что стоит такому гиганту нанять лучших экспертов по защите данных?! Не так ли?

Но давайте вспомним относительно недавнюю историю. Около трех лет назад, когда макровирусы впервые вторглись в сферу обеспечения безопасности данных, корпорация Microsoft начала активные консультации с крупнейшими специалистами в области борьбы с ними. Пользователи тогда просили Microsoft хотя бы отключить макросы, задаваемые по умолчанию, чтобы как можно быстрее свести к минимуму вероятность заражения. Но Microsoft отказалась, ссылаясь на то, что эти макросы когда-нибудь могут пригодиться. В настоящее же время проблема макровирусов стоит острее, чем когда-либо. Станет ли Microsoft в обозримом будущем более восприимчивой к предложениям по защите данных для Windows NT?

Хотя фирма уже проявила определенную покладистость в этом отношении. Большинство "дыр", обнаруженных пользователями в системе безопасности NT, в том числе связанных с доступом к Интернет, были устранены; при этом необходимые вставки и исправления в программе делались довольно быстро. Фактически большая часть пакета SP3 (Service Pack 3) для Windows NT 4.0 была связана с защитой данных, при этом указывалось - без преувеличений! - почти на 150 проблем безопасности. "Дыры" латаются в NT быстрее, чем в любой ОС Unix, хотя для двух таких систем - FreeBSD и Lunix - "заплатки" на наиболее уязвимые места для вторжений из внешней сети тоже были выпущены быстро - преимущество, которым обладают ОС с общим исходным кодом.

Возможно, ваш директор поинтересуется, изменится ли что-то в отношении защиты данных в новой, несколько запаздывающей версии 5.0 ОС Windows NT. Изменится, но не много: появится несколько криптографических интерфейсов программирования и схем аутентификации. А вот насчет скандально известных "дыр" в системе безопасности, открытых за последние полгода пользователями продуктов Microsoft, активно работающих с Web-браузером Internet Explorer 4.0, можно сказать только то, что интеграция этого браузера с операционной системой повлечет за собой еще большую неопределенность в отношении обеспечения секретности.

Если ваш директор читает газеты - что для вас, как руководителя отдела информатизации, небезопасно - то он, возможно, поинтересуется заявленным Microsoft уровнем безопасности C2, гарантированным в Windows NT. Ведь этот уровень защиты является стандартом для Министерства обороны и Национального агентства безопасности, а они-то знают все о защите данных. Так что вопрос о выборе операционной системы абсолютно ясен, не так ли?

Однако, даже бегло ознакомившись с документацией, вы поймете, что для совместимости с C2 операционной системе Windows NT требуется определенная конфигурация. Кроме того, данный уровень безопасности гарантируется только на некоторых аппаратных архитектурах. Спасибо и на этом, хотя руководители информационных служб, возможно, ожидали несколько большего.

Существует даже мнение, что не имеет смысла рассматривать соответствие какой-либо системы стандарту безопасности C2 Orange Book (Оранжевая книга), если система не является автономной. Строго говоря, это правильно, поскольку стандарт действительно предназначен только для автономных систем, не оснащенных даже модемом. Но существует вариант стандарта C2, предназначенный для его применения к системам сетевой обработки, популярный в Европе и известный еще как Red Book (Красная книга). Windows NT хорошо подготовлена к процедуре сертификации на соответствие Red Book, составной частью которой является прохождение проверки на соответствие спецификациям Orange Book.

Надо заметить, NT не первая ОС, предлагающая безопасность уровня C2: VMS4.4 еще 10 лет назад была сертифицирована на соответствие этим требованиям, а кроме того, подобную процедуру сертификации прошли многие разновидности ОС Unix. Более подробную информацию о сертификации на соответствие уровню C2 можно найти по адресу http://www.disa.mil/MLS/info/orange.

Не надо упускать из виду, что титанические усилия по защите корпоративных сетей во многом обусловлены истерией, нагнетаемой вокруг проблем информационной безопасности. Ваши данные с гораздо большей вероятностью пострадают от того, что вы случайно опрокинете на сервер чашку с кофе, чем от злоумышленника, выжидающего момент, когда вы оставите ему лазейку в защите, чтобы разрушить вашу систему. Но и на этот случай есть старое испытанное средство... Я надеюсь, вы регулярно делаете резервные копии своих данных?

Один из методов хакеров, известный как "Teardrop", использует такую прореху в стеке TCP/IP ОС Windows NT (впрочем, как и в сетевых стеках многих других систем), как сборка больших пакетов без согласования их размеров с объемом приемного буфера, что приводит к полному краху системы.

Еще один способ, правда уже более изощренный - так называемая атака Syn Flooding. Это когда сетевой взломщик посылает целый поток пакетов синхронизации на атакуемый сервер. "Жертва" вынуждена выдавать пакеты ответной синхронизации Syn Acks, которые, как правило, уходят по адресу, придуманному злоумышленником, и, естественно, не получают подтверждения, при этом атакуемый сервер полностью парализуется.

Как вы уже поняли, составной частью атаки Syn Flooding является подстановка фиктивного IP-адреса отправителя, таким образом, вашего врага не так уж легко выследить. Интересно, что при данном способе нападения используется как раз одно из достоинств стека TCP/IP - трехступенчатое квитирование сеанса связи. Нарушение безопасности обычно включает в себя использование сильных сторон системы против нее, как в этом примере: простое прерывание квитирования способно вывести всю систему из строя.

Между прочим, подставить фиктивный адрес отправителя пакета чрезвычайно легко - это может сделать практически любой программист, а особенно в последнее время, когда появились такие программы, как Land, доступные всему сетевому сообществу и в виде исходных текстов, и в виде исполняемого файла. Таким образом, для взлома системы теперь не требуется и особой квалификации. Исходные тексты программы Land хорошо откомментированы; правда, сама программа содержит массу ошибок. Но это и неудивительно: вряд ли стоит ожидать от хакеров, что они организуют расширенное бета-тестирование своего "программного продукта".

Многие возлагают большие надежды на межсетевые экраны, но и они отнюдь не являются абсолютно надежным средством защиты. Если кто-нибудь из взломщиков, знающий, с кем вы обычно общаетесь по Интернет, захочет получить такую информацию, как имя домена, идентификатор пользователя и ваш пароль (в большинстве случаев она передается открытым текстом, причем на системы, практически не имеющие никаких средств защиты), ему будет достаточно немного "поиграть" с программным сетевым анализатором. После этого ему ничего не стоит подключиться к вашему домену с полученными регистрационными данными через тот же межсетевой экран или в обход его.

Существуют способы получения идентификаторов пользователей и их паролей, которые не требуют даже сетевого анализатора. Так, благодаря известным "дырам" в протоколе SMB (Server Message Block) фиктивный сервер может в автоматическом режиме запросить регистрационные данные у клиента, после того как прошла процедура установления соединения. Например, рабочие станции с запущенными на них старыми версиями Internet Explorer доверчиво передадут "подставному" удаленному серверу свое регистрационное имя и пароль лишь в слегка зашифрованном или вовсе открытом виде. На одном из узлов Интернет таким образом было собрано более 2 тыс. идентификаторов пользователей и их паролей. Неплохо, да?

Еще один актуальный вопрос обеспечения безопасности: позволять ли выполняться на своей машине компонентам ActiveX или модулям plug-in, загружаемым из глобальной сети? Мягко говоря, это нежелательно. Представьте себе, что вы с каких-то случайных Web-страниц загрузили компонент ActiveX или модуль plug-in браузера Netscape, который тут же получил доступ ко всем ресурсам локальной сети с теми привилегиями, которые предоставляет ваш статус. Вы готовы им всецело довериться? А если во время работы с Web-браузером вы зарегистрированы как сетевой администратор? Мою мысль можете продолжить сами... И хотя в большинстве современных браузеров доступ чужеродных программ к локальным ресурсам требует получения специального разрешения - это опция, которую не только пользователи, но даже администраторы сети отключают в первую очередь.





  
6 '1998
СОДЕРЖАНИЕ

колонка редактора

• Cеть напрокат

локальные сети

• Сегментирующие концентраторы для рабочих групп

• Сопряжение сетей Ethernet и Fast Ethernet

• NDPS - решение проблем сетевой печати?

• Рост рынка волоконной оптики

• Можно ли Windows NT доверять секреты?

• Системы микроклимата

• Тестируем переключатели KVM

корпоративные сети

• На переднем крае IP-коммутации

• Исследуем связующее ПО

• Как выбрать коммутатор АТМ

услуги сетей связи

• Практические аспекты построения корпоративных сетей Frame Relay (часть II)

• Связь в Сургуте: слагаемые успеха

• Интеллектуальные сети и услуги

• Куда шагает Frame Relay

системы учрежденческой связи

• Системы микросотовой связи стандарта DECT

• Принципы выбора УПАТС (часть II)

• Документальная телеконференция: недостающее звено между аудио- и видеоконференц-связью

интернет и интрасети

• Border Manager - служба безопасности от Novell

• Кто ищет, тот всегда найдет

защита данных

• Защита от "вероломных" Java-приложений

• Серверы-посредники Socks

• CeBIT'98: технологии информационной безопасности

новые продукты

• Новые сетевые принтеры на Comtek'98, Не хочу отдавать обратно OfficeConnect Dual Analog, С возвращением, LANNET!; Мультисервисный концентратор доступа MC3810 фирмы Cisco, Пополнение семейства Vanguard, Кластер серверов от INPRO Computer Systems

только на сервере

• Система S.W.I.F.T. и информационная безопасность

• Экспертиза, проектирование и реинжиниринг



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх