Price Zone onlineновостистатьипрайсыкаталогобъявленияфорум

  

 Компьютерная техника
 Комплектующие, периферия
 Сетевое оборудование
 Оргтехника
 Расходные материалы
 Техника связи
 Интернет, услуги, ПО
каталог товаров
Сайт обновлен: 18.11.2014



Самый безопасный и экологичный способ защиты от комаров SkeeterVac — борьба с комарами без шума, без электросети, без вреда для людей. Защита от комаров на площади до 40 соток. Вопросы-Ответы.
Безопасность сетей
24.12.2002
Безопасность сетей

Сеть Интернет полностью меняет нашу жизнь, и мы только учимся осознавать ее возможности. Однако эта технология несет в себе и потенциальную угрозу разглашения персональных данных, важных корпоративных ресурсов и даже государственных тайн, а хакерские атаки становятся все более изощренными и опасными. И поэтому вопросам сетевой безопасности нужно уделять особое внимание, какими бы призрачными не казались эти угрозы

Каждый день хакеры подвергают угрозе многие ресурсы, пытаясь получить к ним доступ с помощью специальных атак. Этому способствуют два основных фактора. Во-первых, это повсеместное проникновение Интернет. Сегодня к сети Интернет подключены миллионы устройств. Многие миллионы устройств будут подключены к ней в ближайшем будущем. И поэтому вероятность доступа хакеров к уязвимым устройствам постоянно возрастает. Кроме того, широкое распространение Интернет позволяет хакерам обмениваться информацией в глобальном масштабе. Простой поиск по ключевым словам типа "хакер", "взлом", "hack", "crack" или "phreak" даст вам тысячи сайтов, на многих из которых можно найти вредоносные коды и способы их использования. Во-вторых, это всеобщее распространение простых в использовании операционных систем и сред разработки. Этот фактор резко снижает уровень знаний и навыков, которые необходимы хакеру. Раньше хакер должен был обладать хорошими навыками программирования, чтобы создавать и распространять простые в использовании приложения. Теперь, чтобы получить доступ к хакерскому средству, нужно просто знать IP-адрес нужного сайта, а для проведения атаки достаточно щелкнуть мышкой.

И чтобы четко представить возможные угрозы для безопасности сети или данных, ниже будут перечислены типы существующих атак, а также способы по их предотвращению.

Классификация сетевых атак

Сетевые атаки столь же разнообразны, как и системы, против которых они направлены. Некоторые атаки отличаются большой сложностью. Другие может осуществить обычный пользователь, даже не предполагающий, какие последствия может иметь его деятельность. Для оценки типов атак необходимо знать некоторые ограничения, изначально присущие протоколу TCP/IP. Сеть Интернет создавалась для связи между государственными учреждениями и университетами в помощь учебному процессу и научным исследованиям. Создатели этой сети не подозревали, насколько широко она распространится, В результате в спецификациях ранних версий Интернет-протокола (IP) отсутствовали требования безопасности. Именно поэтому многие реализации IP являются изначально уязвимыми. Через много лет, получив множество рекламаций (RFC - Request for Comments), наконец, стали внедрять средства безопасности для IP. Однако ввиду того, что изначально средства защиты для протокола IP не разрабатывались, все его реализации стали дополняться разнообразными сетевыми процедурами, услугами и продуктами, снижающими риски, присущие этому протоколу. Далее будут кратко описаны типы атак, которые обычно применяются против сетей IP, и перечислены способы борьбы с ними.

Снифферы пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен. В настоящее время снифферы работают в сетях на вполне законном основании. Они используются для диагностики неисправностей и анализа графика. Однако ввиду того, что некоторые сетевые приложения передают данные в текстовом формате (Telnet, FTP, SMTP, POP3 и т.д.), с помощью сниффера можно узнать полезную, а иногда и конфиденциальную информацию (например, имена пользователей и пароли). Перехват имен и паролей создает большую опасность, так как пользователи часто применяют один и тот же логин и пароль для множества приложений и систем. Многие пользователи вообще имеют один пароль для доступа ко всем ресурсам и приложениям. Если приложение работает в режиме клиент/сервер, а аутентификационные данные передаются по сети в читаемом текстовом формате, эту информацию с большой вероятностью можно использовать для доступа к другим корпоративным или внешним ресурсам. Хакеры слишком хорошо знают и используют наши человеческие слабости (методы атак часто базируются на методах социальной инженерии). Они прекрасно знают, что мы пользуемся одним и тем же паролем для доступа к множеству ресурсов, и поэтому им часто удается, узнав наш пароль, получить доступ к важной информации. В самом худшем случае хакер получает доступ к пользовательскому ресурсу на системном уровне и с его помощью создает нового пользователя, которого можно в любой момент использовать для доступа в сеть и к ее ресурсам. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:

  • Аутентификация. Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под "сильным" мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP - One-Time Password). OTP - это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Типичным примером двухфакторной аутентификации является работа обычного банкомата, который опознает вас, во-первых, по вашей пластиковой карточке и, во-вторых, по вводимому вами ПИН-коду. Для аутентификации в системе ОТР также требуется ПИН-код и ваша личная карточка. Под "карточкой" (token) понимается аппаратное или программное средство, генерирующее (по случайному принципу) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Заметим, что этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей. Снифферы, перехватывающие другую информацию (например, сообщения электронной почты), не теряют своей эффективности.
  • Коммутируемая инфраструктура. Еще одним способом борьбы со сниффингом пакетов в вашей сетевой среде является создание коммутируемой инфраструктуры. Если, к примеру, во всей организации используется коммутируемый Ethernet, хакеры могут получить доступ только к графику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктура не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.
  • Анти-снифферы. Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты, Так называемые "анти-снифферы" измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать "лишний" график. Одно из таких средств, поставляемых компанией LOpht Heavy Industries, называется AntiSniff.
  • Криптография. Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов). IPSec представляет собой стандартный метод защищенной связи между устройствами с помощью протокола IP. К прочим криптографическим протоколам сетевого управления относятся протоколы SSH (Secure Shell) и SSL (Secure Socket Level).

IP-спуфинг

IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера. Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения. Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

  • Контроль доступа. Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, настройте контроль доступа на отсечение любого графика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Заметим, что это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.
  • Фильтрация RFC 2827. Вы можете пресечь попытки спуфинга чужих сетей пользователями вашей сети (и стать добропорядочным "сетевым гражданином"). Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов вашей организации. Этот тип фильтрации, известный под названием "RFC 2827", может выполнять и ваш провайдер (ISP). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе. К примеру, если ISP предоставляет соединение с IP-ад-ресом 15.1.1.0/24, он может настроить фильтр таким образом, чтобы с данного интерфейса на маршрутизатор ISP допускался только трафик, поступающий с адреса 15.1.1.0/24. Заметим, что до тех пор, пока все провайдеры не внедрят этот тип фильтрации, его эффективность будет намного ниже возможной. Кроме того, чем дальше от фильтруемых устройств, тем труднее проводить точную фильтрацию. Так, например, фильтрация RFC 2827 на уровне маршрутизатора доступа требует пропуска всего графика с главного сетевого адреса (10.0.0.0/8), тогда как на уровне распределения (в данной архитектуре) можно ограничить трафик более точно (адрес - 10.1.5.0/24).

Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

Отказ в обслуживании (Denial of Service - DoS)

DoS, без всякого сомнения, является наиболее известной формой хакерских атак. Кроме того, против атак такого типа труднее всего создать стопроцентную защиту. Даже среди хакеров атаки DoS считаются тривиальными, а их применение вызывает презрительные усмешки, потому что для организации DoS требуется минимум знаний и умений. Тем не менее, именно простота реализации и огромный причиняемый вред привлекают к DoS пристальное внимание администраторов, отвечающих за сетевую безопасность. Если вы хотите побольше узнать об атаках DoS, вам следует рассмотреть их наиболее известные разновидности, а именно:

  • TCP SYN Flood
  • Ping of Death
  • Tribe Flood Network (TFN) N Tribe Flood Network 2000 (TFN2K)
  • Trinco
  • Stacheldracht
  • Trinity

Отличным источником информации по вопросам безопасности является группа экстренного реагирования на компьютерные проблемы (CERT - Computer Emergency Response Team), опубликовавшая отличную работу по борьбе с атаками DoS.

Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к вашей сети или на получение из этой сети какой-либо информации. Атака DoS делает вашу сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения. В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений, и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак Во5 могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если график, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже не сможете, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, мы говорим о распределенной атаке DoS (DDoS - distributed DoS). Угроза атак типа DoS может снижаться тремя способами:

  • Функции анти-спуфинга. Правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827, Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.
  • Функции анти-DoS. Правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции часто ограничивают число полуоткрытых каналов в любой момент времени.
  • Ограничение объема графика (traffic rate limiting). Организация может попросить провайдера (15Р) ограничить объем графика. Этот тип фильтрации позволяет ограничить объем некритического графика, проходящего по вашей сети. Обычным примером является ограничение объемов графика ICMP, который используется только для диагностических целей. Атаки (D)DoS часто используют ICMP.

Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack), "троянский конь", IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и сниффинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя "проход" для будущего доступа, который будет действовать, даже если пользователь изменит свой пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.Прежде всего, парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. К сожалению, не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации. При использовании обычных паролей старайтесь придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д.). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге. Чтобы избежать этого, пользователи и администраторы могут поставить себе на пользу ряд последних технологических достижений. Так, например, существуют прикладные программы, шифрующие список паролей, который можно хранить в карманном компьютере. В результате пользователю нужно помнить только один сложный пароль, тогда как все остальные пароли будут надежно защищены приложением. С точки зрения администратора, существует несколько методов борьбы с подбором паролей. Один из них заключается в использовании средства L0phtCrack, которое часто применяют хакеры для подбора паролей в среде Windows NT. Это средство быстро покажет вам, легко ли подобрать пароль, выбранный пользователем.

Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа графика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии, Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что если хакер получит информацию о криптографической сессии (например, ключ сессии), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.

Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании хорошо известных слабостей серверного программного обеспечения (sendmail, HTTP, FTP). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей). К сожалению, многие хакеры также имеют доступ к этим сведениям, что позволяет им учиться.

Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки TCP порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный график для порта 80.

Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернет все новые уязвимые места прикладных программ. Самое главное здесь - хорошее системное администрирование. Вот некоторые меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

  • Читайте лог-файлы операционных систем и сетевые лог-файлы и/или анализируйте их с помощью специальных аналитических приложений.
  • Подпишитесь на услуги по рассылке данных о слабых местах прикладных программ: Bugtrad (http://www.securityfocus.com) и CERT (http://www.cert.com)
  • Пользуйтесь самыми свежими версиями операционных систем и приложений и самыми последними коррекционными модулями (патчами).
  • Кроме системного администрирования, пользуйтесь системами распознавания атак (IDS). Существуют две взаимодополняющие друг друга технологии IDS: 1) сетевая система IDS (NIDS) отслеживает все пакеты, проходящие через определенный домен. Когда система NDIS видит пакет или серию пакетов, совпадающих с сигнатурой известной или вероятной атаки, она генерирует сигнал тревоги и/или прекращает сессию. 2) хост-система IDS (HIDS) защищает хост с помощью программных агентов. Эта система борется только с атаками против одного хоста.
  • В своей работе системы IDS пользуются сигнатурами атак, которые представляют собой профили конкретных атак или типов атак. Сигнатуры определяют условия, при которых график считается хакерским. Аналогами IDS в физическом мире можно считать систему предупреждения или камеру наблюдения. Самым большим недостатком IDS является ее способность генерировать сигналы тревоги. Чтобы минимизировать количество ложных сигналов тревоги и добиться корректного функционирования системы IDS в сети, необходима тщательная настройка этой системы.

Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто это займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система, проявляющая чрезмерное любопытство.

Злоупотребление доверием

Собственно говоря, этот тип действий не является "атакой" или "штурмом". Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Классическим примером такого злоупотребления является ситуация в периферийной части корпоративной сети. В этом сегменте часто располагаются серверы DNS, SMTP и HTTP. Поскольку все они принадлежат к одному и тому же сегменту, взлом одного из них приводит к взлому и всех остальных, так как эти серверы доверяют другим системам своей сети. Другим примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран графика, который в противном случае был бы обязательно отбракован. Представим себе межсетевой экран с тремя интерфейсами, к каждому из которых подключен определенный хост. Внешний хост может подключаться к хосту общего доступа (DMZ), но не к хосту, установленному с внутренней стороны межсетевого экрана. Хост общего доступа может подключаться и к внутреннему, и к внешнему хосту. Если хакер захватит хост общего доступа, он сможет установить на нем программное средство, перенаправляющее трафик с внешнего хоста прямо на внутренний хост. Хотя при этом не нарушается ни одно правило, действующее на экране, внешний хост в результате переадресации получает прямой доступ к защищенному хосту. Примером приложения, которое может предоставить такой доступ, является netcat. Более подробную информацию можно получить на сайте http://www.avian.org

Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. предыдущий раздел). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS).

Несанкционированный доступ

Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин Telnet, хакер должен сначала получить подсказку Telnet на своей системе. После подключения к порту Telnet на экране появляется сообщение "authorization required to use this resource" (для пользования этим ресурсом нужна авторизация). Если после этого хакер продолжит попытки доступа, они будут считаться несанкционированными. Источник таких атак может находиться как внутри сети, так и снаружи.

Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту Telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.

Вирусы и приложения типа "троянский конь"

Рабочие станции конечных пользователей очень уязвимы для вирусов и "троянских коней". Вирусами называются вредоносные программы, которые внедряются в другие программы для выполнения определенной нежелательной функции на рабочей станции конечного пользователя. В качестве примера можно привести вирус, который прописывается в файле command.com (главном интерпретаторе систем Windows) и стирает другие файлы, а также заражает все другие найденные им версии command.com. "Троянский конь" - это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль. Примером типичного "троянского коня" является программа, которая выглядит, как простая игра для рабочей станции пользователя. Однако пока пользователь играет в игру, программа отправляет свою копию по электронной почте каждому абоненту, занесенному в адресную книгу этого пользователя. Все абоненты получают по почте игру, вызывая ее дальнейшее распространение.

Борьба с вирусами и "троянскими конями" ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и, возможно, на уровне сети. Антивирусные средства обнаруживают большинство вирусов и "троянских коней" и пресекают их распространение. Получение самой свежей информации о вирусах поможет эффективнее бороться с ними. По мере появления новых вирусов и "троянских коней" предприятие должно устанавливать новые версии антивирусных средств и приложений.

Что такое политика безопасности?

Вопрос безопасности всегда стоял перед компьютерными сетями, но сегодня как никогда растет осознание того, насколько важна безопасность компьютерных сетей в корпоративных инфраструктурах. В настоящее время для каждой корпоративной сети необходимо иметь четкую политику в области безопасности. Эта политика разрабатывается на основе анализа рисков, определения критически важных ресурсов и возможных угроз.

Политикой безопасности можно назвать и простые правила использования сетевых ресурсов, и детальные описания всех соединений и их особенностей, занимающие сотни страниц. Определение RFC 2196 (которое считается несколько узким и ограниченным) описывает политику безопасности следующим образом: "Политика безопасности - это формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации".

Важно понять, что сетевая безопасность - это эволюционный процесс. Нет ни одного продукта, способного предоставить корпорации полную безопасность. Надежная защита сети достигается сочетанием продуктов и услуг, а также грамотной политикой безопасности и ее соблюдением всеми сотрудниками сверху донизу. Можно заметить, что правильная политика безопасности даже без выделенных средств защиты дает лучшие результаты, чем средства защиты без политики безопасности.

Политика безопасности сети предприятия является результатом оценки риска и определения важных средств и возможных угроз. Средства сети в себя включают:

  • Хосты сети (такие как ПК; включает операционные системы, приложения и данные хостов)
  • Устройства сети (такие как маршрутизаторы, коммутаторы и межсетевые экраны)
  • Данные сети (данные, которые передаются по данной сети)

Вы должны установить, как средства Вашей сети, так и степень, в которой каждое из этих средств должно быть защищено. Если устройства сети или данные подвергнуты риску, приведет ли это к затруднению или краху? Чем больше вероятность краха, тем строже должна быть политика обеспечения безопасности.

Базовыми элементами политики в области безопасности являются идентификация, целостность и активная проверка. Идентификация призвана предотвратить угрозу обезличивания и несанкционированного доступа к ресурсам и данным. Целостность обеспечивает защиту от подслушивания и манипулирования данными, поддерживая конфиденциальность и неизменность передаваемой информации. И наконец, активная проверка (аудит) означает проверку правильности реализации элементов политики безопасности и помогает обнаруживать несанкционированное проникновение в сеть и атаки типа DoS.

Механизмы идентичности необходимо внедрять осторожно, т.к. даже самая продуманная политика может быть расстроена, если сложно использовать усовершенствования. Классическим примером является запись пароля на клочке бумаги и прикрепление его к монитору компьютера - что является выходом для потребителя, который должен помнить множество паролей для получения доступа к меняющимся составным частям сети. Обременительные или чрезмерно дублированные системы верификации и авторизации могут расстроить пользователей, поэтому их следует избегать. Методы идентификации могут основываться на протоколе S/Key или осуществляться при помощи специальных аппаратных средств (token password authentication). А в среде модемного доступа часто применяется механизм идентификации по протоколу Point-to-Point Protocol (PPP), который включает использование протоколов Password Authentication Protocol (PAP), Challenge Handshake Protocol (CHAP) и Extensible Authentication Protocol (EAP).

Целостность - это элемент, который включает безопасность устройства инфраструктуры сети (физический и логический доступ), безопасность периметра и конфиденциальность данных. Безопасность физического доступа может выражаться в размещении оборудования сети в специально созданных для этого оборудования шкафах, которые имеют ограниченный доступ.

Безопасность логического доступа главным образом относится к обеспечению механизмов идентичности (идентификации и авторизации) перед тем, как дать доступ для сети связи Telnet или для терминала к компонентам инфраструктуры общей сети (например, маршрутизаторам или межсетевым экранам). Безопасность периметра связана с функциями межсетевых экранов, определяющих, какой трафик разрешен или запрещен от различных зон сети, обычно - между сетью Интернет и главным комплексом или между пользователями удаленного доступа и главным комплексом.

Конфиденциальность данных может обеспечиваться протоколами безопасности на транспортном уровне SSL и Secure Shell Protocol (SSH), которые осуществляют безопасную передачу данных между клиентом и сервером. Безопасный протокол передачи гипертекста (S-HTTP) предоставляет надежный механизм Web-транзакций, однако в настоящее время наиболее популярным средством является SSL. Средство SOCKS является рамочной структурой, позволяющей приложениям клиент/сервер в доменах TCP и UDP удобно и безопасно пользоваться услугами сетевого межсетевого экрана. Протокол безопасности IP (IPSec) представляет собой набор стандартов поддержки целостности и конфиденциальности данных на сетевом уровне (в сетях IP). X.509 является стандартом безопасности и идентификации, который поддерживает структуры безопасности электронного информационного транспорта.

Последним главным элементом системы безопасности является аудит, который необходим для слежения и верификации процесса исследования политики безопасности. Для испытания эффективности инфраструктуры системы безопасности, аудит безопасности должен происходить часто, через равные промежутки времени. Он также должен включать проверки установки новой системы, методы для определения возможной вредительских действий кого-либо из внутреннего персонала и возможного наличия особого класса проблем (нападения типа "отказ в сервисе"), а также общее следование политике безопасности объекта.

При разработке политики безопасности необходимо учитывать требование сбалансировать легкость доступа к информации и адекватный механизм идентификации разрешенного пользователя и обеспечения целостности и конфиденциальности данных. Политика безопасности должна внедрятся принудительно как технически, так и организационно - тогда она будет по-настоящему эффективна.


 Статьи
12.02.2007 Исследования Intel приближают наступление эры тера-вычислений
29.01.2007 Прорыв Intel в технологии создания транзисторов
28.11.2006 Intel IDF 2006 Киев: третье пришествие
15.11.2006 Корпорация Intel положила начало эпохе четырехъядерных процессоров
01.11.2006 Есть Интернет - есть телефон
27.09.2006 Intel разрабатывает опытные микросхемы с производительностью порядка терафлоп
26.09.2006 Процессор Intel Core 2 Duo открывает новый этап в развитии компьютерного рынка Украины
13.09.2006 Wi-Fi - быстро, удобно, престижно
27.07.2006 Wi-Fi завоевывает Одессу
14.09.2005 "Путешествие" вместе с Intel успешно завершилось
07.06.2005 IDF 2005 по-киевски
27.04.2005 Дни компьютерных знаний Intel в Одессе
29.10.2004 "Все звенья одной сети" от Микродаты
12.10.2004 "Даешь лазерную печать!" - выиграли все
04.10.2004 "Прэксим Д" 10 лет - первые!
01.09.2004 Юбилейный дилерский форум от компании "ТиД"
25.08.2004 Выставка на старте
20.07.2004 Новая платформа Intel LGA775
06.07.2004 Путевое цифрошествие
29.06.2004 Intel: на пути к цифровому дому
08.06.2004 Передовые технологии - каждому студенту
30.04.2004 IDF в Украине - катализатор технологического прогресса
20.04.2004 В преддверии киевского IDF Spring 2004
20.04.2004 Пишите письма с запахом
16.04.2004 RFID: революция в области розничной торговли
07.04.2004 Страдания по IRQ
30.03.2004 Новый чипсет nVidia nForce3-250 для процессоров Athlon 64
24.03.2004 Wi-Fi: будущее беспроводных технологий
18.03.2004 IDF Spring 2004
17.03.2004 Принтеры - новая жизнь привычных технологий
02.03.2004 Что год текущий нам готовит?
24.02.2004 Ультрапортативные ПК: золотая середина
17.02.2004 Цифровая фотография как массовое явление
11.02.2004 Внешний интерфейс Serial ATA: первые факты
11.02.2004 Итоги 2003 года - процессоры, вчера и завтра
11.02.2004 Intel Prescott: первый взгляд
24.12.2003 Высокотехнологичные подарки к Новому Году
16.12.2003 Intel - 10 лет в Украине
26.11.2003 Обзор современных barebone-систем
25.11.2003 Современные интегрированные аудиорешения (часть вторая)
05.11.2003 Визит Крейга Барретта в Украину
15.10.2003 Ионизаторы - друзья компьютерщиков
14.10.2003 Выбор картриджа для лазерного принтера
07.10.2003 Руководство пользователя ноутбука
30.09.2003 Семинар Intel "Современные технологии для малого и среднего бизнеса"
30.09.2003 Особенности национальной выставки. КБО 2003 и REX2003
23.09.2003 Сравнение мобильных телефонов среднего класса с цветными экранами
16.09.2003 Обзор карманных многофункциональных компьютеров
10.09.2003 Программа мероприятий в рамках выставок "Управление и автоматизация" и "Компьютер. Банк. Офис"
10.09.2003 Обзор современных цифровых видеокамер
02.09.2003 Современные интегрированные аудиорешения
27.08.2003 Создание видео с помощью кодека DivX
19.08.2003 D-VHS: замена DVD или мертворожденный формат?
12.08.2003 Нанотрубки: игры атомами
22.07.2003 Нанотехнологии - настоящее и будущее
15.07.2003 Новые дисплейные технологии LCD: сегодня и завтра
11.07.2003 Сравнение форматов DVD-RW и DVD+RW
11.07.2003 Новая линейка чипсетов Intel i865
11.07.2003 PCI Express - шина будущего
11.07.2003 Обзор игровых консолей. Часть 2 - Nintendo 64, GameCube и GameBoy, Sega Dreamcast
11.07.2003 Обзор игровых консолей. Часть 1 - Microsoft XBox, Sony PlayStation 2
11.07.2003 Операционные системы. Часть 9 - Mac OS X
11.07.2003 Операционные системы. Часть 8 - Novell Netware
24.06.2003 Операционные системы. Часть 7 - OS/2
13.06.2003 Операционные системы. Часть 6 - Unix и Linux
04.06.2003 Операционные системы. Часть 5 - Microsoft Windows 2000 и Longhorn
25.04.2003 Операционные системы. Часть 4
22.04.2003 Универсальная автомобильная зарядка для ноутбука от ТиД
22.04.2003 Библиотека CD для 150 дисков Dacal CD-library от ТиД
16.04.2003 Операционные системы. Часть 3
09.04.2003 Операционные системы. Часть 2
04.04.2003 CeBit`2003 (Германия, Ганновер) глазами одесситов
25.03.2003 Операционные системы. Часть 1
25.03.2003 Будущее процессоров
25.03.2003 Будущее процессоров
13.03.2003 Вся правда о разгоне процессоров
04.03.2003 Oбзор современных платформ для процессоров Intel - Pentium 4 и Celeron
04.03.2003 Современные платформы для процессоров AMD
19.02.2003 Новый стандарт памяти DDRII SDRAM
13.02.2003 Обзор ATI Radeon 9700 Pro
04.02.2003 Тестирование nVidia GeForce FX
28.01.2003 Технология Hyper-Threading
24.12.2002 Безопасность сетей
17.12.2002 Семинар компании "ПРЭКСИМ-Д": Современные технологии и решения - путь к надежному и бесперебойному управлению предприятием
05.12.2002 VPN - виртуальные частные сети
26.11.2002 IP-телефония. Обзор технологии
19.11.2002 Интернет без проводов: описание технологий GPRS и 3G
15.11.2002 Семинар MacHOUSE. Новинки на рынке твердых носителей
15.11.2002 Road-show "МУК" и сетевые технологии Cisco
15.11.2002 Описание технологий xDSL
15.11.2002 NOKIA + Unitrade = фирменный магазин Nokia
23.10.2002 Локальные сети. Часть 2 - корпоративные сети
23.10.2002 Локальные сети. Часть 2 - корпоративные сети (продолжение)
15.10.2002 Локальные сети. Часть 1 - домашняя сеть
01.10.2002 Модемы: теория и советы
25.09.2002 Выбор монитора. Часть 3 - ЖК-мониторы
24.09.2002 Выбор монитора. Часть 2 - характеристики и стандарты
10.09.2002 Выбор монитора. Часть 1 - электронно-лучевая трубка
03.09.2002 Источники бесперебойного питания (ИБП). Часть 2 - практическая
28.08.2002 Источники бесперебойного питания (ИБП). Часть 1 - вводная
21.08.2002 Струйные принтеры. Часть 2 - устройства для фото-профессионалов
13.08.2002 Струйные принтеры. Часть 1 - устройства для дома и офиса
06.08.2002 Windows XP: полезные советы
23.07.2002 Покупаем клавиатуру: характеристики клавиатур и советы покупателю
22.07.2002 "Идеальный" компьютер или кое-что о Hammer. Часть вторая: что год грядущий нам готовит
17.07.2002 Обзор манипуляторов. Часть 3 - графические планшеты
16.07.2002 "Идеальный" компьютер или кое-что о Hammer. Часть первая: мечты, мечты...
10.07.2002 Обзор манипуляторов. Часть 2 - джойстики, рули, геймпады
02.07.2002 Обзор манипуляторов. Часть1 - мышиное царство
02.07.2002 Электронное правительство (e-goverment) - МИФ?
26.06.2002 Как выбрать сканер: обзор характеристик сканеров и советы покупателю
19.06.2002 Международный IT-форум и теннисный турнир "Дискавери"
19.06.2002 Описание интерфейса IEEE 1394 FireWire
11.06.2002 Обзор технологии беспроводной связи Bluetooth
06.06.2002 Дилерский форум ТиД или активизация бизнес-усилий "по-тидовски" под Виагру и Боярского
06.06.2002 Современные интерфейсы ПК: USB, FireWire, IrDA, Bluetooth
27.05.2002 Жесткие диски в вопросах и ответах: обзор основных характеристик жестких дисков
23.05.2002 Корпорация Инком: открытие нового офиса в Одессе
23.05.2002 "Скайлайн Электроникс": семинар "Коммерческие системы на платформе AMD"
23.05.2002 "Учимся писать": запись лазерных дисков CD-R/CD-RW
23.05.2002 "Учимся писать": обзор форматов записи CD-R/CD-RW/DVD дисков
22.05.2002 Обзор карт флэш-памяти
24.04.2002 Обзор PDA: "Дружелюбные карманники"
09.04.2002 Правильный домашний кинотеатр... или как разориться на кинопристрастиях
09.04.2002 Домашний кинотеатр на базе компьютера... или как сэкономить на кинопристрастиях
09.04.2002 Обзор видеоформатов MPEG
02.04.2002 Золотой звук. Часть 2 - эволюция стандартов Dolby Laboratories
02.04.2002 CeBIT, 2002 (Ганновер, Германия) - выставка глазами одесситов
26.03.2002 Золотой звук. Часть 1 - обзор звуковых карт
22.03.2002 Толковый словарь 3D-терминов
20.03.2002 Монстры графики: сравнительный обзор современных видеокарт. ( Часть 2: Radeon от ATi )
13.03.2002 Монстры графики: сравнительный обзор современных видеокарт. ( Часть 1: GeForce от nVidia )
06.03.2002 Особенности национальной выставки: HI-Tech 2002
27.02.2002 Новая и незнакомая: Windows XP
23.02.2002 Процессор Pentium 4: обзор и тестирование
23.02.2002 Парад чипсетов: обзор чипсетов для Penium 4
Главная • Новости • Статьи • Прайсы • Каталог • Обьявления • Форум • Список фирм
Price Zonedesigned by TDG