Опубликован: 10.10.2007 | Уровень: специалист | Доступ: платный
Лекция 11:

Введение в сетевую безопасность

Аннотация: Данная лекция представляет собой введение в сетевую безопасность. Рассматриваются основные тенденции, наблюдаемые в этой сфере, сформулированы общие принципы сетевой безопасности
Ключевые слова: информация, безопасность, торговля, IP, ПО, уязвимость, сеть, Интернет, RAID, UPS, ущерб, вирус, spyware, ARPANET, advanced, agency, network, WORM, Internet, программа, sniffer, DNS, фальсификация, DOS, IRC, вероятность, процент, SPAM, пользователь, доступ, Unix, схема доступа, исполнение, операции, SCO, компромисс, Хакер, базис, ddos, маршрутизатор, алгоритм, metering, информационные системы, сетевой червь, ICMP, flood, TCP, UDP, порт, RED, базы данных, значение, SNMP, поле, CGI, URL, переполнение, smtp, IMAP, POP3, NNTP, злоумышленник, FTP, finger, TFTP, конфигурация, пароль, rlogin, access control, list, CERT, длина, атака, адрес, ACL, сигнатура атаки, SSH, сервер, идентификация, рабочая станция, сигнатура, DBI, администратор, универсальность определений, почтовый сервер, SQL, опыт, класс, механизмы, внешний канал, SYN, ACK, путь, traceroute, утилита, whois, анализ, BGP, аутентификация, шлюз, потенциал, таймер, syn flooding, запрос, связь, очередь, ISN, initial, sequence number, RST, бит, шифрование, source routing, маршрут, spoofing, контроль, приложение, электронная подпись, PGP, виртуальный канал, кадр, префикс, протокол маршрутизации, опция, блокировка, LAN, ping, предел, TTL, gateway, RIP, domain name, service, вторжение, ключ, здравый смысл, программное обеспечение, BIOS, список, слабое звено, firewall, network security, инструментарий

Введение

В двадцать первом веке движущей силой и главным объектом всех отраслей человеческой деятельности становится информация, состояние каналов, сетей и безопасность серверов, которые будут основой экономического развития. К сожалению, сложные сетевые технологии достаточно уязвимы для целенаправленных атак. Причем такие атаки могут производиться удаленно, в том числе и из-за пределов национальных границ. Все это ставит новые проблемы перед разработчиками и строителями информационной инфраструктуры. Некоторые современные формы бизнеса полностью базируются на сетевых технологиях (электронная торговля, IP-телефония, сетевое провайдерство и т.д.) и по этой причине особенно уязвимы. Потребуется здесь и международное сотрудничество в сфере законодательства и установления барьеров для сетевых террористов. Не исключено, что придется со временем модифицировать с учетом требований безопасности некоторые протоколы и программы.

Безопасность представляет собой комплексное понятие, куда входят технические аспекты надежности оборудования, качество питающей сети, уязвимость программного обеспечения и т.д. Вы можете отключить сеть от Интернет, установить систему RAID для обеспечения дисковой защиты, снабдить систему надежным UPS, но в случае, например, пожара можете потерять базу данных, которую создавали несколько лет. Вам ведь все равно, нанесен ли ущерб хакером или несчастным случаем! Проектируя сеть, надо с самого начала учитывать все возможные угрозы, как объективные, так и субъективные.

Число ЭВМ, подключенных в Интернет, в 2006 году достигло миллиарда. Число WEB-серверов в 2005 году перевалило за 80 миллионов. Сегодня трудно представить себе фирму, организацию или учреждение, где бы для обработки документов, ведения бухгалтерии, учета, обмена сообщениями, доступа к информационным и поисковым серверам и так далее не использовали машин, подключенных к сети. Огромная масса людей не может себе представить жизнь без доступа к сети Интернет, который стал еще одним средством массовой информации. Но преимущества доступа к информации через сеть все чаще омрачаются атаками вирусов, червей, троянских коней, spyware и хакеров.

Первый случай атаки с помощью сетевого червя зарегистрирован в ARPANET (Advanced Research Projects Agency Network) в 1988 году (Morris worm), что изменило сетевую среду радикально и навсегда. Сеть ARPANET официально была объявлена Internet в 1989 году. Первая программа- sniffer была создана 1994 году. Первые атаки на систему DNS произошли в 1995 году, тогда же была впервые использована фальсификация адреса отправителя. Гонка в сфере DoS-атак началась в 1996 году.

В 2004 году зарегистрировано 523.109 сетевых инцидентов (это явилось результатом мониторинга 450 сетей в 35 странах мира). Из них 41% атак соответствовали различным видам несанкционированной активности, 26% были попытками несанкционированного доступа, 21% представляли собой сканирования, 9% — DoS-атаки и 3% — попытки некорректного использования приложений. Особенно популярно в последнее время использование уязвимостей браузеров. За последние шесть месяцев 2005 года выявлено более 1000 новых сетевых червей и вирусов (см., например, http://www.acmqueque.com). Большинство вирусов и червей с самого начала делаются полиморфными и метаморфными. Разработчиками предпринимаются специальные меры по их маскировке. Некоторые виды этих вредоносных программ, попав в ЭВМ жертвы, выявляет возможные уязвимости (результат такого исследования может быть передан автору программы по IRC-каналам) для последующих атак с привлечением других средств. Появились даже черви, которые уничтожают другие вредоносные программы в ЭВМ-жертве.

Внутренняя структура и функциональность вирусов и червей существенно усложняется. Они уже могут подбирать для себя специфические объекты для атаки. Для этих целей вирусы и черви используют информационные ресурсы, например, поисковые системы типа Google — таким образом они уменьшают вероятность обнаружения и повышают число жертв, так как время от момента разработки до детектирования и выработки средства противодействия увеличивается.

Если раньше большинство атак имели своей целью мелкое хулиганство или спортивный интерес, теперь все больший процент атак преследует преступные цели и коммерческий интерес. Хакеры готовят и продают наборы взломанных ими ЭВМ для рассылки SPAM, фишинга, шантажа и для DoS-атак. На данном этапе эти атаки предпринимаются против полулегального бизнеса (азартные игры через Интернет, порнографические сайты и т.д.). В последнее время отмечается тенденция применения сетевых атак с политической мотивацией. Данная тенденция означает, что средства вторжения будут выполнены все более профессионально.

Безопасность — вещь относительная. Для того, чтобы конкретизировать обсуждаемый предмет, введены четыре уровня безопасности, обозначенные латинскими буквами A-D. Каждый из уровней поделен на субуровни, обозначаемые соответствующей буквой и цифрой (например, А1, А2, А3 или D1, D2 и т.д.). Уровню D1 соответствует DOS, где пользователь имеет доступ ко всем системным ресурсам и программам. Владельцем файлов является текущий пользователь. С-уровень предлагает большую безопасность, чем D-уровень. На С-уровне пользователь должен быть идентифицирован, прежде чем он получит доступ к своим файлам. Стандартная система UNIX с канонической схемой доступа (login/password) относится к уровню безопасности С1. Уровень С2 включает возможность блокировать для пользователя исполнение некоторых команд, если не выполняются определенные условия, при этом пользователь не может также контролировать некоторые операции. Многие современные UNIX-системы, в частности, SCO-UNIX, могут обеспечивать безопасность на уровне С2. В-уровень дает еще большие гарантии безопасности, запрещая пользователю изменять условия доступа к файлам. Очень немногие операционные системы и практически ни одна коммерчески доступная система не обеспечивают такого уровня безопасности. Но при выборе следует учитывать, что повышение надежности неизбежно уменьшает удобство пользования системой, так что обычно приходится идти на определенный компромисс.

Разнообразие угроз, которые подстерегают пользователя, работающего в сети, огромно. Часть из них является платой за использование сложных информационных технологий, уязвимых к внешним воздействиям, другая часть сопряжена с деятельностью людей. Некоторые угрозы носят объективный характер, например, нестабильность или низкое качество питающего напряжения, электромагнитные наводки или близкие грозовые разряды, другие могут быть связаны с невежеством или неаккуратностью самого пользователя.

Если несколько лет назад атаки на сетевые объекты совершали в основном (около 90%) хулиганы, которые таким образом пытались самоутвердиться, сейчас вторжения на серверы и рабочие станции предпринимаются уже с корыстной целью. Речь не идет о вторжениях в банки, все много прозаичнее: хакер взламывает большое число машин, выбирая наиболее уязвимые, и формирует базис для распределенных сетевых атак отказа обслуживания ( DDoS ) на сервис-провайдеров или серверы фирм (заказы поступают от конкурентов), или для рассылки SPAM, что стало в нашей стране достаточно прибыльным и относительно безопасным бизнесом.

Мы в ИТЭФ были вынуждены заниматься проблемами сетевой безопасности с 1995 года, когда несколько раз подверглись DoS-атакам. Сначала мы даже не знали, что происходит. Наш маршрутизатор CISCO-4000 был достаточно тихоходен и при потоках более 2000 пакетов в секунду блокировался. Не имея специальных средств и навыков, мы на диагностику проблемы вначале тратили более суток. Связано это с тем, что DoS-атаки чаще всего предпринимаются с использованием фальсификации адреса отправителя. Две атаки были предприняты с ЭВМ из нашей локальной сети, взломанной ранее. Позднее такие объекты мы научились локализовать за несколько минут. Для этого была написана специальная программа. Алгоритм этой программы доложен на конференции МаБИТ-03, МГУ, октябрь 2003 год.

Но описанные атаки были вторичными. Для нас оставалось не ясным, как взламывались ЭВМ-жертвы в нашей локальной сети. Чтобы прояснить эту проблему, мы поставили на входе сети ЭВМ, на которой сначала стояла программа t-meter, а позднее — sniffer. Варьируя критерии отбора пакетов, мы смогли выявить IP-адреса машин, с которых производится сканирование адресов и портов ЭВМ нашей сети. В настоящее время число атак из расчета на одну ЭВМ превышает 15-20/сутки.

Следует учитывать, что характер атак становится все более изощренным. Хакеры объединяются в клубы, издают журналы и продают хакерские CD. Сегодня крайне актуальным становится кооперирование их потенциальных жертв.

Число официально зарегистрированных в мире сетевых вторжений различного рода возрастает экспоненциально, о чем можно судить по рис. 11.1. (см. http://www.cert.org/stats/). Этот рост совпадает с ростом числа узлов в Интернет. Применение сетей расширяется со скоростью 20% в месяц. Внешний трафик мультинациональных организаций увеличивается со скоростью 30% в год (см. также http://www.cuviello.com/_potrfolio/_semaphore).

Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????