Об’єкти і ресурси мережі, що контролюються

Безпека та захист комп’ютерних мереж

Ядром більшості інформаційних систем є комп’ютерна мережа, тому далі розглянемо питання безпеки та захисту комп’ютерних мереж.

Плануючи систему безпеки мережі, необхідно чітко визначити:

– об’єкти і ресурси мережі, які необхідно контролювати;

– від кого, від чого і на якому рівні ви збираєтеся захистити свою мережу;

– робочі групи користувачів і набір мінімально необхідних прав для кожної з них;

– хто буде здійснювати контроль над системою безпеки і що повинно бути зроблено у випадку виявлення атаки на мережу;

– відповідальність кожного співробітника за порушення правил безпеки;

Основними компонентами мережі, для яких звичайно організовують захист. є: сервери, робочі станції, середовища передачі та вузли комутації.

Основним призначенням серверівє зберігання і надання доступу і до інформації, надання сервісів різного типу. Отже, і всі можливі дії зловмисників можна класифікувати на спроби:

– отримання несанкціонованого доступу до інформації;

– отримання несанкціонованого доступу до послуг;

– виведення з робочого режиму певного класу послуг;

– зміни інформації або послуг (як допоміжний етап більшої атаки).

Спроби отримання доступу до інформації, що зберігається на сервері, в принципі нічим не відрізняються від подібних спроб для робочих станцій, а тому розглянуті нижче.

Проблема отримання несанкціонованого доступу до послуг має надзвичайно різноманітні форми і базується, в основному, на помилках або недокументованих можливостях програмного забезпечення, що надає послуги.

Серед атак, спрямованих на порушення нормального функціонування сервісів, найпоширенішим є клас „відмова в сервісі" (deny of service DoS). Атака „відмова в сервісі" може бути реалізована на різних рівнях моделі OSI: фізичному, канальному, мережевому, сеансовому.

Зміна інформації або послуг як частина більшої атаки також є важливою проблемою в захисті серверів. Якщо на сервері зберігаються паролі користувачів або інші дані, що можуть дозволити зловмиснику увійти в систему (наприклад, сертифікати ключів), то природно, сама атака на систему почнеться з атаки на подібний сервер. Найчастіше від такого виду атак страждають DNS-сервери (Domain Name System – служба доменних імен). Служба DNS в internet та intranet відповідає за зіставлення доменних імен (наприклад, www.polynet.lviv.ua чи www.bezpekacom.ua) та відповідних ІР-адрес (217.9.2.4 та 212.9.240.241). Якщо зловмиснику вдасться отримати права доступу до DNS-сервера певної мережі, він цілком може змінити програму DNS-сервісу. Звичайно зміна робиться таким чином, щоб на деякі види запитів замість правильної ІР-адреси клієнту видавалася IP-адреса машини зловмисника, а всі інші запити оброблялися коректно. Це дозволяє змінити шлях проходження трафіку, який можливо містить конфіденційну інформацію, і спрямувати потік інформації, який в нормальному режимі пройшов би поза досяжністю зловмисника, просто йому в руки.

Переважно метою атаки на робочу станціює отримання даних, що обробляються або зберігаються на ній. Основним засобом таких атак є троянські програми. За допомогою них стороння особа, що знає протокол роботи з цією програмою, може отримати віддалений доступ до системи. Ці програми можуть розповсюджуватись подібно до вірусів або пропонуватись під виглядом корисної утиліти чи пакета поновлень. Для боротьби з троянськими програмами використовується як звичайне антивірусне програмне забезпечення, так і декілька специфічних методів, орієнтованих винятково на них.

Розрізняють троянські програми, які постійно забезпечують доступ до зараженого комп’ютера, тримаючи на ньому відкритий порт транспортного протоколу, та програми, які не тримають відкритих портів. Останні пересилають зловмиснику певну інформацію, наприклад, паролі або копії текстів, що набираються з клавіатури. Троянські програми першого типу виявляють за допомогою утиліт контролю за мережевими портами, виявлення програм другого типу можливе тільки за допомогою мережевого моніторингу. Проте це досить складна задача, що вимагає участі кваліфікованого фахівця.

Найбільш простий спосіб, що забезпечує захист як від комп’ютерних вірусів, так і від троянських програм, – це встановлення на кожній робочій станції едвайзерів (adviser) – програм контролю за змінами в системних файлах і службових областях даних.

Фізичні середовища передачі –це одна з найуразливіших компонент комп’ютерних мереж. Основним видом атак на середовища передачі інформації є їх прослуховування. За можливістю прослуховування всі канали зв’язку діляться на:

– широкомовні з необмеженим доступом;

– широкомовні з обмеженим доступом;

– канали точка-точка.

До першої категорії належать безпровідні системи, прослуховування яких не може контролюватись, наприклад інфрачервоні та радіо мережі.

До другої категорії належать провідні системи, прослуховування трафіку в яких можливе усіма підключеними до мережі (підмережі) вузлами. Прикладами є мережа Token Ring, мережа Ethernet на коаксіальному кабелі та на скрученій парі з концентраторами (hubs).

Третю категорію складають провідні системи, у яких доступ до даних мають лише ті станції та вузли комутації, через які трафік проходить від пункту відправлення до пункту призначення. Прикладом є мережа Ethernet на скрученій парі з комутаторами (switches).

Кардинальним вирішенням проблем, пов’язаних з перехопленням електричних сигналів, що передаються на відстань, є застосування волоконно-оптичних кабелів, для яких характерною є відсутність електромагнітного випромінювання під час передачі.

Особливо гостро стоїть питання захисту середовища передачі в безпровідних мережах WLAN (Wireless Local Area Networks). Перехопити інформацію, що передається в радіоефірі, набагато простіше ніж в інших фізичних середовищах передачі. В незахищеній безпровідній мережі для перехоплення даних достатньо мати комп’ютер з відповідним мережевим адаптером. Для захисту WLAN в першу чергу потрібно подбати про обмеження зони покриття. В ідеальному випадку вона не повинна виходити за межі території, що контролюється власником мережі.

Базовим стандартом безпровідних мереж є стандарт IEEE 802.11 (1997 p.), що передбачає використання протоколу захисту інформації WEP (Wired Equivalent Privacy). На сьогодні цей протокол не задовольняє вимоги щодо безпеки більшості мереж. Для вирішення проблеми рекомендуються специфікації WPA (Wi-Fi Protected Access), IEEE 802.1х та IEEE 802.1li.

WPA має кращі криптологічні характеристики, ніж протокол WEP. Тут використовується протокол TRIP (Temporal Key Integrity Protocol), що передбачає динамічну зміну ключів шифрування в процесі обміну інформацією.

Стандарт IEEE 802.їх та протокол ЕАР (Extensible Authentication Protocol) дозволяють здійснювати автентифікацію користувачів. Протокол WEP цю функцію не підтримує.

У 2004 році здійснено ратифікацію стандарту IEEE 802.1li, що повинен поєднати покращену процедуру автентифікації, динамічну зміну ключів шифрування, перевірку пакетів та стійкий алгоритм шифрування AES.

Вузли комутаціїможуть цікавити зловмисника як:

– інструменти маршрутизації трафіку;

– компоненти мережі, що забезпечують її працездатність.

Отримавши доступ до таблиці маршрутизації, зловмисник може змінити шлях потоку інформації в потрібному йому напрямі. Найчастіше це трапляється, коли є можливість віддаленого управління вузлом комутації, а зловмисник дізнався пароль адміністратора або скористався незміненим паролем за замовчуванням.

Можливий інший шлях атаки з метою зміни таблиці маршрутизації. Більшість вузлів комутації великих мереж підтримують динамічну маршрутизацію. В цьому випадку таблиці маршрутизації коректуються на основі даних службових пакетів повідомлень протоколів маршрутизації, наприклад, протоколу RIP. Змінивши певним чином службові пакети протоколів маршрутизації, зловмисник може викликати автоматичну зміну таблиці маршрутизації і, відповідно, відправлення пакетів по потрібному йому шляху.

Під час атаки класу „відмова в сервісі" зловмисник звичайно примушує вузол комутації або передавати повідомлення по неправильному „тупиковому" шляху (як цього можна домогтися, ми розглянули вище), або взагалі перестати передавати повідомлення. Для досягнення другої мети звичайно використовують помилки в програмному забезпеченні, запущеному на самому маршрутизаторі, з метою його „зависання". Так, наприклад, було виявлено, що цілий ряд маршрутизаторів однієї відомої фірми при надходженні досить невеликого потоку неправильних блоків даних протоколу TCP або перестає передавати всі пакети доти, доки атака не припиниться, або взагалі зациклюється.

Від кого, від чого і на якому рівні ви збираєтеся захистити свою мережу

Пошук вразливих місць мережі є одним з важливих питань політики безпеки. Компонента вважається вразливою, якщо її збій або некоректне використання приводить до порушення безпеки системи. Ступінь захисту усієї мережі визначається захищеністю її найбільш уразливої ділянки.

Рекомендується здійснювати поділ мережі не тільки на зовнішню і внутрішню зони, але і поділ внутрішньої зони на окремі захищені сегменти. Чим менше треба контролювати ресурсів, тим більше ефективно це можна зробити, тому необхідно відключити все те, що не є потрібним для роботи: певні види програмного забезпечення, протоколи і порти, що не використовуються.

Вище при розгляді політики безпеки наведено перелік загроз, від яких треба захищати інформаційну систему. Більшість з цих загроз є актуальними і для комп’ютерних мереж.

Приступаючи до створення системи захисту мережі, необхідно пам’ятати:

– вартість захисту не повинна перевищувати вартості інформації, що захищається, або суми збитків, до яких може привести несанкціонований доступ до неї;

– вартість подолання зловмисником встановленого захисту повинна перевищувати вартість інформації, що захищається, або суму збитків.

Рівень захисту залежить також і від діяльності компанії і наявності в ній кваліфікованого персоналу, який зможе надалі підтримувати в робочому стані встановлене програмно-апаратне забезпечення. Чим складніша система захисту, тим більше ресурсів (людей, часу, грошей) вона вимагає для свого обслуговування.

Визначити слабкі з погляду безпеки місця допоможуть спеціальні утиліти. Зокрема, вони дозволяють:

– перевірити програмне забезпечення на наявність в ньому відомих вразливих місць, які у вас ще не виправлені, та скласти список необхідних і поновлень;

– просканувати мережу і скласти список відкритих портів протоколу TCP;

– показати перелік доступних мережевих ресурсів загального користування, який, можливо, доцільно звузити;

– перевірити паролі користувачів на надійність (термін використання, перевірка за словником);

– здійснити перевірку наявності програм-агентів („троянських коней"), що можуть бути використані зловмисником.