Embed Size (px)
DESCRIPTION
Â
Citation preview
2014
Юревич М.
Шеметенко В.
Рябчун А.
Шипилюк І.
Сахнюк Д.
Юрчук М.
Романюк О.
Захист інформації в інтернеті
Зміст
Вільне використання програм ...................................................................... 4
Захист комп'ютера від атак через интернет ................................................ 7
1. Виявлення атак ...................................................................................... 8
1.1. Виявлення атак на мережному уровні ............................................. 11
1.2. Виявлення атак на системному уровні ............................................ 12
1.3. Переваги систем виявлення атак на мережному уровні ................ 13
1.4. Переваги систем виявлення атак системного рівня ....................... 16
1.5. Необхідність на обох системах виявлення атак мережного і системного рівня ...................................................................................... 19
1.6. Список вимоги до систем виявлення атак ....................................... 20
2. Атаками увесь світ переповнився .......................................................... 21
3. Як захисту від віддалених атак у мережі Internet? ................................ 24
3.1. Адміністративні засоби захисту від віддалених атак у мережі Internet ...................................................................................................... 26
3.1.1. Який захист від аналізу мережного трафіка? .................................. 27
3.1.2. Як захисту від помилкового ARP-сервера? ..................................... 28
3.1.3. Який захист від помилкового DNS-сервера? ................................... 29
3.1.4. Як захиститись від нав'язування помилкового маршруту під час використання протоколу ICMP? ................................................................. 30
3.1.5. Як захиститись від відмови від обслуговування? ............................ 32
3.1.6. Як захиститись від підміни однієї зі сторін при взаємодії з допомогою базових протоколів сімейства TCP/IP .................................... 33
3.2. Програмно-апаратні засоби захисту від віддалених атак у мережі Internet ......................................................................................................... 34
3.2.1. Методика Firewall як основний программно-аппаратное засіб здійснення мережевий політики безпеки в виділеному сегменті IP-сети. 35
1. Багаторівнева фільтрація мережного трафика. .................................... 36
2. Proxy-схема з додатковою ідентифікацією і аутентификацией користувачів на Firewall-хосте. ................................................................... 36
3. Створення приватних мереж (PrivateVirtualNetwork - PVN) з " віртуальними " IP-адресами (NAT - NetworkAddressTranslation). ............. 38
3.2.2. Програмні засоби захисту, застосовувані у мережі Internet............ 41
SKIP-технология і криптопротоколы SSL, S-HTTP як основний засіб
захисту з'єднання заліза і переданих даних у мережі Internet ................. 42
Мережний монітор безпеки IPAlert-1.......................................................... 46
1. Контроль за відповідністю IP- і Ethernet-адресов в пакетах, переданих хостами, які перебувають всередині контрольованого сегмента мережі. 47
4. Контроль на наявність ICMPRedirectповідомлення. ............................. 47
4. Ринок систем безопасности ................................................................... 48
4.1. Основні тенденції ринку: статистика і прогнозы .............................. 48
4.2. Структура ринку безпеки .................................................................. 52
4.3. Лідери над ринком систем безпеки .................................................. 53
5. Концепція захисту комп’ютерних програм ............................................. 57
6. Захист комп'ютерних програм і баз даних в Україні .............................. 58
Висновок ...................................................................................................... 61
Використана література ............................................................................ 62
Вільне використання програм
Ідея охорони програм (будь-яким способом) періодично зазнає критики з
різних позицій. На очевидність деяких запатентованих комп'ютерних
програм (наприклад‚ патент США №5963916, що виданий в жовтні 1999
р.) вказує американський програміст Ричард М.Т. Столмен [3]. В дуже
заплутаній та складній формулі зазначеного патенту йдеться про досить
типові дії: прослуховування музики за допомогою комп'ютерної мережі.
Як відомо, можливість слухати музику, що записана на віддаленому від
користувача сервері, з'явилась ще на початку 90-х років разом з
бурхливим розвитком мережі Інтернет. На наш погляд, видача цього
патенту, стала можливою внаслідок неякісно проведеної експертної
перевірки заявленого технічного рішення.
Вільне розповсюдження програм, прибічником якого є Ричард
Столмен, -звичайно, гарна справа. І справді, вільне розповсюдження
програм з відкритим вихідним кодом (наприклад, операційна система
Linux та програми для неї) дає змогу користувачеві вільно вивчати
механізм їх роботи, вносити будь-які зміни, виправляти допущені
розробником помилки. Чим більше людей працюють над кодом програми,
тим більш досконалішою вона стає. Але така "іділія" може існувати лише
як паралельна альтернатива комерційному програмному забезпеченню.
Якщо всі програми будуть розповсюджуватися таким чином, то
знайдеться не дуже багато бажаючих, що захочуть платити за них гроші.
То ж на які кошти будуть жити програмісти?
Доки ведуться дискусії про способи охорони комп'ютерних програм,
та необхідність такої охорони взагалі, розробники, усвідомлюючи
недоліки існуючого авторського механізму охорони, самі захищають свої
розробки, передбачаючи складні методи запобігання копіюванню і
несанкціонованому використанню, які потребують введення спеціальних
паролів, необхідність отримування файлів-ключів, обмеження
функціональності незареєстрованих копій, появу дратуючих нагадувань
про необхідність реєстрації, обмеження терміну дії програми 30 днями та
інше. Деякі розробники, щоб отримати гарантований прибуток
розміщують платну рекламу в інтерфейсах своїх програм, яка‚ до того ж‚
постійно оновлюється за допомогою мережі Інтернет. Як бачимо, таке
різноманіття способів охорони ще більше відрізняє програми від
літературних творів, до яких вони прирівняні законодавчо. Чи не правда,
складно уявити собі книгу, що перестає відкриватися на 18-й сторінці або
через 30 днів після її покупки, або книгу, на першій сторінці якої
надрукована грізна ліцензійна угода, не погодившись з якою, читач не
має права цю книгу прочитати. Тому, поки існують чисельні прибічники
вільного програмного забезпечення і не менш чисельні прибічники
комерційного програмного забезпечення, до тих пір повинні існувати
форми як вільного, так і комерційного розповсюдження і використання
програм. А право вибирати одне чи інше нехай залишається за
користувачами.
Може виникнути запитання, а чи не зможе хто-небудь
недобросовісний взяти чужу вільну вже готову програму і запатентувати
її на своє ім'я, тим самим заборонивши її вільне використання. Відповідь
проста: будь-який програміст, створивши програму, буде повинен
вирішити: патентувати її, або зробити вільною. При виборі останнього
варіанта йому достатньо лише опублікувати її вихідний код, наприклад в
Інтернеті. Автоматично така програма стає відомою і доступною
широкому загалу і стає рівнем техніки, тому отримати на неї патент вже
не вдасться, бо для патентування необхідно цей рівень перевищити.
Ще одним доводом супротивників патентування є твердження про
можливу монополізацію ринку програмного забезпечення великими
компаніями, що буде гальмувати процес розвитку комп'ютерних
технологій. Однак, розглянувши нинішню ситуацію на цьому ринку, можна
побачити, що він вже достатньо монополізований найбільшими
американськими компаніями (наприклад: Microsoft, Oracle, Corel, Adobe).
При цьому лобіювання інтересів монополістів в уряді США призводить до
застосування до ряду країн (у тому числі до України) так званих
"антипіратських" санкцій, що насамперед негативно позначається на
розвитку комп’ютерних технологій у цих країнах. Не витративши жодної
гривні на патентування своїх програм в Україні, монополісти жадають
продавати їх за явно завищеними цінами, що непосильні не тільки
окремим користувачам, але й навіть багатьом підприємствам. Слід
додати, що, наприклад ціни на продукцію Microsoft навіть у США визнані
завищеними. А хто ж бореться проти "піратського" використання програм
в Україні? Може сама Microsoft виявляє факти незаконного використання
своїх програм, а потім подає позови в суд на підприємства, організації та
окремих користувачів, сплачуючи при цьому судові витрати та мита? Та
щось не чути про такі факти. Виявленням використання "піратських" копій
програм займаються українські правоохоронні органи, що фінансуються з
державного бюджету, тобто за наші з вами кошти!
Усе програмне забезпечення‚ що створюється цими монополістами‚
поставляється на ринок лише в об'єктному коді, а вихідні коди
зберігаються ними в таємниці і не розголошуються. Саме це гальмує
розвиток комп'ютерних технологій (в тому числі і в Україні). Варто
нагадати, що патент, як виключне право на технічне рішення, видається
лише в обмін на розкриття суспільству сутності цього технічного рішення.
Публікація алгоритму та вихідного коду програми в описі до патенту і
могла бути цим розкриттям. Разом з тим обмежений термін охорони
програмного продукту забезпечував би перехід комп'ютерних програм у
загальне надбання через 5-7 років, що‚ безумовно сприяло б
вирівнюванню технологічного рівня розвитку комп'ютерних технологій у
різних країнах.
Захист комп'ютера від атак через интернет
Атака на комп'ютерну систему - це дія, предбачена зловмисником, що
полягає у пошуку компромісу та використанні тій чи іншій уразливості.
Отже, атака - це реалізація загрози. Зауважимо, що таке трактування
атаки (з участю людини, має злий намір), виключає присутній у
визначенні загрози елемент випадковості, але, як свідчить практика, це
часто буває неможливо розрізнити навмисні і випадкові дії, й добра
система захисту повинна адекватно реагувати будь-яку з них.
Далі, дослідники зазвичай виділяють три основні види загроз безпеки - це
загрози розкриття, цілісності і в обслуговуванні.
Загроза розкриття полягає тому, що набуває розголосу тому, кому було б
її знати. У термінах комп'ютерної безпеки загроза розкриття має місце
щоразу, коли отримано доступом до деякою конфіденційної комп'ютерної
інформації, що зберігається у обчислювальної системі чи переданої від
однієї системи в іншу. Іноді замість слова " розкриття " використовуються
терміни " крадіжка " чи " витік " .
Загроза цілісності включає у собі будь-яке навмисне зміна (модифікацію і
навіть видалення) даних, які у обчислювальної системі чи переданих з
однієї системи до іншої. Зазвичай вважається, що загрозу розкриття
піддаються більшою мірою державні структури, а загрозу цілісності -
ділові чи коммерческие.
Загроза відмови від обслуговування виникає щоразу, коли час деяких дій
блокується доступом до деякому ресурсу обчислювальної системи.
Реально блокування то, можливо постійним, те щоб запитуваний ресурс
ніколи було отримано, чи її може викликати лише затримку цього
ресурсу, досить тривалу у тому, щоб він став непотрібним. У разі кажуть,
що ресурс исчерпан.
Типовими погрозами серед Інтернету є: Збій у роботі одній з компонент
мережі. Збій через помилки під час проектування чи помилок
устаткування чи програм можуть призвести до відмови в обслуговуванні
чи компрометації безпеки через неправильне функціонування однієї з
компонент мережі. Вихід із ладу брандмауэра чи хибні відмови в
авторизації серверами аутентифікації є взірцями збоїв, які впливають на
безпеку. Сканування інформації. Неавторизованный перегляд критичної
інформації зловмисниками чи авторизованими користувачами може
статися, з використанням різних механізмів - електронного листа від із
неправильним адресатом, роздруківка принтера, неправильно
сконфигурированные списки управління доступом, спільного
використання кількома людьми одного ідентифікатора тощо.
Використання інформації недоцільно - використання інформації для
цілей, відмінних авторизованих, можуть призвести до відмови в
обслуговуванні, зайвим затратам, втрати репутації. Винуватцями цього
може бути як внутрішні, і зовнішні користувачі. Неавторизованное
видалення, модифікація чи розкриття інформації - спеціальне
спотворення інформаційних цінностей, що може призвести до втрати
цілісності чи конфіденційності інформації. Проникнення - атака
неавторизованих осіб або систем, яка може призвести до відмови в
обслуговуванні чи значним затратам на відновлення після інциденту.
Маскарад - спроби замаскуватися під авторизованого користувача для
крадіжки сервісів чи інформації, або заради ініціації фінансових
транзакцій, що приведуть фінансових втрат чи проблемам для
организации.
1. Виявлення атак
Історично вийшло, що технології, якими будуються системи виявлення
атак, прийнято умовно ділити на дві категорії: виявлення аномального
поведінки (anomalydetection) і виявлення зловживань (misusedetection).
Однак у практичної діяльності застосовується інша класифікація,
враховує принципи практичної реалізації таких систем: виявлення атак
лише на рівні мережі (network-based) на рівні хоста (host- based). Перші
системи аналізують мережевий трафік, тоді як другі — реєстраційні
журнали ОС чи докладання. Кожен із класів має чесноти та вади, але це
трохи згодом. Слід зазначити, що лише ті системи виявлення атак може
бути однозначно віднесено до жодного з названих класів. Зазвичай, вони
містять у собі можливості кількох категорій. Проте ця класифікація
відбиває ключові можливості, що різнять одну систему виявлення атак
від другой.
Нині технологія виявлення аномалій не отримала широкого поширення, і
лише у комерційно розповсюджуваній системі вона використовується.
Пов'язано це про те, що це технологія красиво виглядає у теорії, але
важко реалізується практично. Зараз, проте, намітився поступовий
повернення до неї (особливо у Росії), і можна сподіватися, що у
незабаром користувачі матимуть змогу одержати перші комерційні
системи виявлення атак, які працюють за цієї технологии.
Інший підхід для виявлення атак — виявлення зловживань, яке залежить
від описі атаки як шаблону (pattern) чи сигнатури (signature) й пошуку
даного шаблону в контрольованому просторі (мережному трафіку чи
журналі реєстрації). Антивірусні системи є яскравим прикладом системи
виявлення атак, працюючої у цій технологии.
Як відзначалося вище, існує два класу систем, обнаруживающих атаки на
мережному і операційному рівні. Принципове перевагу мережевих
(network-based) систем виявлення атак у тому, що вони ідентифікують
нападу колись, ніж досягнуть атакуемого вузла. Ці системи простішими
розгортання у крупних мережах, бо ні вимагають установки різні
платформи, використовувані у створенні. У Росії найбільшого поширення
отримали операційні системи MS-DOS, Windows 95, NetWare і
WindowsNT. Різні діалекти UNIX в нас не настільки поширені, як у Заході.
З іншого боку, системи виявлення атак лише на рівні мережі мало
знижують продуктивності сети.
Системи виявлення атак лише на рівні хоста створюються до роботи під
управлінням конкретної ОС, що накладає ними певні обмеження.
Наприклад, мені відома жодна система цього класу, функціонуюча під
керівництвом MS-DOS чи WindowsforWorkgroups (тоді як ці операційні
системи ще чимало поширені у Росії). Використовуючи знання того, як
має «вести» себе операційна система, кошти, побудовані з огляду на це
підходу, іноді можуть побачити вторгнення, пропускаемые мережними
засобами виявлення атак. Проте найчастіше це досягається дорогою
ціною, оскільки стала реєстрація, необхідна до виконання такого роду
виявлення, істотно знижує продуктивність защищаемого хоста. Такі
системи сильно завантажують процесор і вимагають великих обсягів
дискового простору для зберігання журналів реєстрацію ЗМІ й, у
принципі, неспроможні для высококритичных систем, що працюють у
режимі реального часу (наприклад, система «Операційний день банку»
чи систему диспетчерського управління). Проте, попри що, обидві ці
підходу можна буде застосувати за захистом вашої організації. Коли
хочете захистити чи кілька вузлів, то системи виявлення атак лише на
рівні хоста можуть бути непоганим вибором. Але коли ви хочете
захистити більшу частину мережевих вузлів організації, то системи
виявлення атак лише на рівні мережі, мабуть, будуть найкращим
вибором, оскільки збільшення кількості вузлів у мережі неможливо
позначиться рівні захищеності, достигаемом з допомогою системи
виявлення атак. Вона зможе без додаткової настройки захищати
додаткові вузли, тоді як і разі застосування системи, функціонуючої лише
на рівні хостів, знадобиться її установка та налаштування за кожен
защищаемый хост. Ідеальним рішенням стала б система виявлення атак,
що об'єднує у собі обидві ці підхода.
Існуючі сьогодні над ринком комерційні системи виявлення атак
(IntrusionDetectionSystems, IDS) використовують із розпізнавання і
відображення атак або мережевий, або системний підхід. У кожному разі
продукти шукають сигнатури атак, специфічні шаблони, які зазвичай
свідчить про ворожі чи підозрілі дії. Що стосується пошуку цих шаблонів в
мережному трафіку, IDS дбає про мережному рівні. Якщо IDS шукає
сигнатури атак у товстих часописах реєстрації ОС чи докладання, це
системний рівень. Кожен підхід має чесноти та вади, але вони обидва
доповнюють одне одного. Найефективнішою є система виявлення атак,
що використовує у роботі обидві технології. У даному матеріалі
обговорюються розбіжності у методах виявлення атак на мережному і
системному рівнях із єдиною метою демонстрації їх слабких і сильних
сторін. Також описуються варіанти застосування кожного із засобів для
найбільш ефективного виявлення атак.
1.1. Виявлення атак на мережному уровні
Системи виявлення атак мережного рівня використовують як джерела
даних для аналізу необроблені (raw) мережні пакети. Як правило, IDS
мережного рівня використовують мережевий адаптер, функціонуючий в
режимі " прослуховування " (promiscuous), і аналізують трафік у
реальному масштабі часу у його проходження через сегмент мережі.
Модуль розпізнавання атак використовує чотири широковідомих методу
для розпізнавання сигнатури атаки: o Відповідність трафіку шаблоном
(сигнатуре), вираженню чи байткоду, характеризуючих про атаку чи
підозрілому дії; o Контроль частоти подій чи перевищення порогової
величини; o Кореляція кількох подій з низьким пріоритетом; o Виявлення
статистичних аномалий.
Щойно атака виявлено, модуль реагування надає широкий набір
варіантів повідомлення, видачі сигналу тривоги й реалізації контрзаходів
в у відповідь атаку. Ці варіанти змінюються не від системи до системи,
але, як правило, містять у собі: повідомлення адміністратора через
консоль чи з електронної пошти, завершення з'єднання з атакуючим
вузлом і/або запис сесії на подальше аналізу та збору доказательств.
1.2. Виявлення атак на системному уровні
На початку 80-х, ще до його того, як мережі отримали свій розвиток,
найпоширеніша практика виявлення атак полягала у перегляді журналів
реєстрації щодо наявності у них подій, які свідчать про підозрілої
активності. Сучасні системи виявлення атак системного рівня
залишаються потужними інструментами розуміння вже здійснених атак і
визначення відповідних методів усунення можливостей їхнього
майбутнього застосування. Сучасні IDS системного рівня як і
використовують журнали реєстрації, але де вони стали
автоматизованими і включають найскладніші методи виявлення,
засновані на новітніх дослідженнях у математиці. Зазвичай, IDS
системного рівня контролюють систему, події та журнали реєстрації подій
безпеки (securitylog чи syslog) у мережах, працюючих під керівництвом
WindowsNT чи Unix. Коли якійсь із цих файлів змінюється, IDS порівнює
нові запису із сигнатурами атак, щоб перевірити, чи є відповідність. Якщо
така відповідність знайдено, то система посилає адміністратору сигнал
тривоги чи спричиняє дію інші задані механізми реагирования.
IDS системного рівня постійно розвиваються, поступово включаючи всі
нові й нові методи виявлення. Один їх таких популярних методів
залежить від перевірці контрольних сум ключових системних і
виконуваних файлів через регулярні інтервали часу щодо
несанкціонованих змін. Своєчасність реагування безпосередньо з
частотою опитування. Деякі продукти прослуховують активні порти і
повідомляють адміністратора, якщо хтось намагається отримати до них
доступ. Такий тип виявлення вносить до операційної середу
елементарний рівень виявлення атак на мережному уровне.
1.3. Переваги систем виявлення атак на мережному уровні
IDS мережного рівня мають чимало переваг, які відсутні в системах
виявлення атак на системному рівні. Насправді, багато покупці
використовують систему виявлення атак мережного рівня через її низьку
вартість та необхідність своєчасного реагування. Нижче подані основні
причини, що роблять систему виявлення атак на мережному рівні
важливий компонент ефективної реалізації політики безопасности.
1. Низька вартість експлуатації. IDS мережного рівня необхідна
встановлювати у найважливіших місцях мережі контролю трафіку,
циркулирующого між чисельних систем. Системи мережного рівня не в
вимагають, щоб у кожному хості встановлювалося програмне
забезпечення системи виявлення атак. Коли щодо контролю в усій
мережі місць, у яких встановлено IDS невелика, то вартість їхнього
перебування експлуатацію у мережі підприємства нижче, ніж вартість
експлуатації систем виявлення атак на системному уровне.
2. Виявлення атак, які пропускаються на системному рівні. IDS
мережного рівня вивчають заголовки мережевих пакетів на наявність
підозрілої чи ворожої діяльності. IDS системного рівня не в працюють із
заголовками пакетів, отже, вони можуть визначати ці типи атак.
Наприклад, багато мережні атаки типу " відмову у обслуговуванні " ( "
denial-of-service " ) і " фрагментований пакет "
(TearDrop) може бути ідентифіковані лише шляхом аналізу заголовків
пакетів, тоді, як проходять через мережу. Цей тип атак то, можливо
швидко ідентифікований з допомогою IDS мережного рівня, яка
переглядає трафік у реальному масштабі часу. IDS мережного рівня
досліджувати зміст тіла даних пакета, відшукуючи команди чи певний
синтаксис, використовувані у конкретних атаках.
Наприклад, коли хакер намагається скористатися цим програму
BackOrifice на системах, що поки не вражені нею, цей факт то, можливо
виявлено шляхом дослідження саме змісту тіла даних пакета. Як
зазначалося вище, системи системного рівня не в працюють на
мережному рівні, і тому здатні розпізнавати такі атаки.
3. Для хакера важче видалити сліди своєї присутності. IDS мережного
рівня використовують " живої " трафік для виявлення атак у реальному
масштабі часу. Отже, хакер неспроможна видалити сліди своєї
присутності. Аналізовані дані включають як інформацію про методі атаки,
а й інформацію, яка може допомогти при ідентифікації зловмисника і
доказі у суді. Оскільки чимало хакери добре з журналами реєстрації, вони
знають, як маніпулювати цими файлами для приховання слідів своєї
діяльності, знижуючи ефективність систем системного рівня, яким
потрібна цю інформацію у тому, аби виявити атаку.
4. Виявлення і реагування у реальному масштабі часу. IDS мережного
рівня виявляють підозрілі і ворожі атаки В МІРУ ТОГО,
ЯК ВОНИ ВІДБУВАЮТЬСЯ, і тому забезпечують значно більше швидке
повідомлення і реагування, ніж IDS системного рівня. Наприклад, хакер,
який ініціює атаку мережного рівня типу " відмову у обслуговуванні " з
урахуванням протоколу TCP, то, можливо зупинено IDS мережного рівня,
посылающей встановлений прапор Reset в заголовку TCP-пакета
завершення з'єднання з атакуючим вузлом, як атака викликає руйнації чи
пошкодження атакуемого хоста. IDS системного рівня, зазвичай, не
розпізнають атаки досі відповідного запису до наукового журналу і
роблять дій у відповідь вже по тому, якою була зроблено запис. На той
час найважливіші системи чи ресурси вже може бути скомпрометовані чи
порушена працездатність системи, яка запускає IDS системного рівня.
Повідомлення у реальному масштабі часу дозволяє швидко зреагувати
відповідно до попередньо певними параметрами. Діапазон цих реакцій
змінюється від вирішення проникнення режимі спостереження у тому,
щоб зібрати інформацію про атаку і атакуючому, до негайного
завершення атаки.
5. Виявлення невдалих атак чи підозрілих намірів. IDS мережного рівня,
встановлена із зовнішнього боку межсетевого экрана
(МСЕ), може виявляти атаки, націлені на ресурси за МСЕ, попри те що
те, що МСЕ, можливо, відіб'є ці спроби. Системи системного рівня не в
бачать що проглядали атак, які досягають хоста за МСЕ. Ця загублена
інформація то, можливо найважливішою в оцінці й удосконаленні
політики безопасности.
6. Незалежність від ОС. IDS мережного рівня не в залежить від
операційними системами, встановлених в корпоративної мережі.
Системи виявлення атак на системному рівні вимагають конкретних ОС
для правильного функціонування та генерації необхідних результатов.
1.4. Переваги систем виявлення атак системного рівня
І хоча системи виявлення атак системного рівня не в настільки швидкі, як
відповідники мережного рівня, вони пропонують переваги, яких немає
мають останні. До цих гідностям можна віднести суворіший аналіз,
пильна увага до даних подію на конкретному хосте і більше низька
вартість внедрения.
1. Підтверджують успіх чи відмова атаки. Оскільки IDS системного рівня
використовують журнали реєстрації, містять даних про подіях, які справді
мали місце, то IDS цього можуть із високої точністю визначати – чи
справді атака була успішною чи ні. У цьому плані IDS системного рівня
забезпечують чудове доповнення до систем виявлення атак мережного
рівня. Таке об'єднання забезпечує раннє попередження з допомогою
мережного компонента і " успішність " атаки з допомогою системного
компонента.
2. Контролює діяльність конкретного вузла. IDS системного рівня
контролює діяльність користувача, доступом до файлам, зміни прав
доступу до файлам, спроби установки нових програм і/або спроби
одержати доступ привілейованим сервісів. Наприклад, IDS системного
рівня може контролювати всю logon- і logoff-деятельность користувача, і
навіть дії, що їх кожним користувачем при підключенні до неї. Для
системи мережного рівня дуже важко забезпечити такий рівень
деталізації подій. Технологія виявлення атак на системному рівні може
також контролювати діяльність, що зазвичай ведеться лише
адміністратором. Операційні системи реєструють будь-яку несприятливу
подію, у якому додаються, видаляються чи змінюються облікові записи
користувачів. IDS системного рівня виявляти відповідну зміну відразу,
щойно воно відбувається. IDS системного рівня також проводити аудит
змін політики безпеки, які впливають те що, як системи здійснюють
відстеження у журналах реєстрацію ЗМІ й т.д.
У остаточному підсумку системи виявлення атак на системному рівні
можуть контролювати зміни у ключових системних файлах чи
виконуваних файлах. Спроби перезаписати такі файли чи інсталювати "
троянських коней " може бути виявлено і насильно припинено. Системи
мережного рівня іноді втрачають такий тип діяльності.
3. Виявлення атак, які втрачають системи мережного рівня. IDS
системного рівня виявляти атаки, які може бути виявлено засобами
мережного рівня. Наприклад, атаки, що здійснюються з самого
атакуемого серверу, неможливо знайти виявлено системами виявлення
атак мережного рівня.
4. Добре адресованих мереж з шифруванням і комутацією. Оскільки IDS
системного рівня встановлюється в різних хостах мережі підприємства,
вони можуть подолати що з проблем, які під час експлуатації систем
мережного рівня мережах із комутацією і шифрованням.
Комутація дозволяє управляти великомасштабними мережами, як
кількома невеликими мережними сегментами. Через війну буває важко
визначити найкраще місце для установки IDS мережного рівня. Іноді
можуть допомогти адміністративні порти (managedports) й порти
відображення (mirrorports, spanports) трафіку на комутаторах, але це
методи який завжди застосовні. Виявлення атак на системному рівні
забезпечує більш роботу в коммутируемых мережах, т.к. дозволяє
розмістити IDS лише з тих вузлах, у яких це необхідно.
Певні типи шифрування також представляють проблеми для систем
виявлення атак мережного рівня. Залежно від цього, відбувається
шифрування (канальне чи абонентське), IDS мережного рівня може
залишитися " сліпий " до визначених атакам. IDS системного рівня не в
мають цього обмеження. До того ж ОС, і, отже, IDS системного рівня,
аналізує расшифрованный вхідний трафик.
5. Виявлення і реагування майже реальному масштабі часу. Хоча
виявлення атак на системному рівні не забезпечує реагування на справді
реальному масштабі часу, воно, за правильної реалізації, можна майже
реальному масштабі. На відміну застарілих систем, які перевіряють
статусу і змісту журналів реєстрації через заздалегідь певні інтервали,
багато сучасних IDS системного рівня отримують переривання від ОС,
щойно з'являється нова запис у журналі реєстрації. Ця нова запис то,
можливо оброблена відразу ж потрапити, значно зменшуючи час між
розпізнаванням атаки і реагуванням її у. Залишається затримка між
моментом записи операційній системою події у журнал реєстрацію ЗМІ й
моментом розпізнавання її на систему виявлення атак, а й у часто
зловмисник то, можливо виявлено зупинено колись, ніж завдасть будь-
якої ущерб.
6. Не вимагають додаткових апаратних коштів. Системи виявлення атак
на системному рівні встановлюються на існуючу мережну
інфраструктуру, включаючи файлові серверу, Web-сервера та інші
використовувані ресурси. Таку можливість йому може зробити IDS
системного рівня дуже ефективними за вартістю, оскільки вони
вимагають чергового вузла у мережі, якому необхідно перейматися,
здійснювати технічне обслуговування може й управляти им.
7. Низька ціна. Попри те що, що системи виявлення атак мережного рівня
забезпечують аналіз трафіку в усій мережі, часто-густо є досить
дорогими. Вартість однієї системи виявлення атак може перевищувати
$10000. З іншого боку, системи виявлення атак на системному рівні
стоять сотні доларів за агент і може купуватися покупцем у разі потреби
контролювати лише ті вузли підприємства, без контролю мережевих
атак.
1.5. Необхідність на обох системах виявлення атак мережного і системного рівня
Обидві ухвали: IDS та мережевого, і системного рівнів мають гідності й
переваги, які ефективно доповнюють одне одного. Наступне покоління
IDS, в такий спосіб, має містити інтегровані системні і мережні
компоненти. Комбінування цих двох технологій значно поліпшить опір
мережі до атакам і зловживань, дозволить посилити політику безпеки та
зробити більшу гнучкість у процес експлуатації мережевих ресурсов.
Малюнок, представлений нижче, ілюструє те, як взаємодіють методи
виявлення атак на системному і мережному рівнях під час створення
більш ефективну систему мережевий захисту. Одні події виявляються
лише за допомоги мережевих систем. Інші – лише за допомогою
системних. Деякі вимагають застосування обох типів виявлення атак для
надійного обнаружения.
1.6. Список вимоги до систем виявлення атак
Характеристики для систем виявлення атак наступного покоління:
1. Можливості виявлення атак на системному і мережному рівні,
інтегровані на єдину систему.
2. Спільно використовувана консоль управління з несуперечливим
інтерфейсом для конфігурації продукту, політики управління і
відображення окремих подій, і з системних, і з мережевих компонентів
системи виявлення атак.
3. Інтегрована база даних подій.
4. Інтегрована система генерації отчєтов.
5. Можливості здійснення кореляції подій.
6. Інтегрована он-лайновая допомогу для реагування на инциденты.
7. Уніфіковані і несуперечливі процедури инсталляции.
8. Додавання можливості контролю над власними подіями.
У четвертому кварталі 1998 року вийшла RealSecureT версії 3.0, яка
відповідає всього цього требованиям.
. Модуль спостереження RealSecure - виявляє атаки на мережному рівні
у мережах Ethernet, FastEthernet, FDDI і TokenRing.
. Агент RealSecure - виявляє атаки на серверах та інших системних
устройствах.
. Менеджер RealSecure - консоль управління, що забезпечує
конфігурацію модулів спостереження і агентів RealSecure і об'єднує
аналіз мережного трафіку і системних журналів реєстрації у реальному
масштабі часу. [2]
2. Атаками увесь світ переповнився
Для захисту від різноманітних атак можна застосувати дві стратегії.
Перша залежить від придбанні самих расхваливаемых (хоча завжди
самих кращих) систем захисту від усіх можливих видів атак. Такий спосіб
дуже простий, але вимагає величезних грошових вкладень. Жоден
домашній користувач і навіть керівник організації не почне робити це.
Тому зазвичай використовується друга стратегія, яка полягає в
попередньому аналізі ймовірних загроз і наступному виборі засобів
захисту від них.
Аналіз загроз, чи аналіз ризику, він може здійснюватися двома шляхами.
Складний, проте він більше ефективний засіб у тому, що колись, ніж
вибирати найімовірніші загрози, здійснюється аналіз інформаційний
системи, оброблюваної у ній інформації, використовуваного програмно-
апаратного забезпечення тощо. Це дозволить істотно звузити спектр
потенційних атак і тим самим збільшити ефективність вкладення великих
грошей в об'єкти, куплені засоби захисту. Але такий аналіз вимагає часу,
засобів і, найголовніше, високій кваліфікації фахівців, які проводять
інвентаризацію аналізованої мережі. Деякі компанії, а про домашніх
користувачів, може дозволити собі піти у такий спосіб. Що й казати
робити? Можна зробити вибір засобів захисту з урахуванням про
стандартних загроз, тобто, поширених найбільше. Попри те що деякі
властиві защищаемой системі загрози можуть залишитися поза увагою,
більша частина з них все-таки потрапить у окреслені рамки. Які ж види
загроз і атак є найпоширенішими? Відповіді це питання і присвячена дана
стаття. Щоб наведені дані були точнішими, я вживатиму статистику,
отриману із різних источников.
Цифри, цифри, цифры…
Отож Європа найчастіше робить комп'ютерні злочини і реалізує різні
атаки? Які загрози найпоширеніші? Наведу дані, отримані
найавторитетнішим у цій галузі джерелом — Інститутом комп'ютерної
безпеки (CSI) і групою комп'ютерних нападів відділення ФБР в Сан-
Франциско. Ці дані були було опубліковано у березні 2000 року у
щорічний звіт «2000 CSI/FBIComputerCrimeandSecuritySurvey».
Відповідно до цих данным:
. 90% респондентів (великі корпорації і державні організації) зафіксували
різні атаки за свої інформаційні ресурсы;
. 70% респондентів зафіксували серйозні порушення політики безпеки,
наприклад віруси, атаки типу «відмову у обслуговуванні», зловживання із
боку працівників і т.д.;
. 74% респондентів понесли чималі фінансових втрат внаслідок цих
нарушений.
Протягом кількох років, також зріс обсяг втрат внаслідок порушень
політики безпеки. Якщо 1997 року сума втрат дорівнювала 100 млн. дол.,
1999-го 124 млн., то 2000-му цю цифру зросла до 266 млн. дол.. Розмір
збитків атак типу «відмову у обслуговуванні» досяг 8,2 млн. дол. До
іншим цікавим даним можна віднести джерела атак, типи поширених атак
й розміри збитків них .
Інший авторитетний джерело — координаційний центр CERT — також
підтверджує ці дані. З іншого боку, відповідно до зібраним їм даним,
зростання числа інцидентів, що з безпекою, збігаються з поширенням
Internet.
Зацікавлення електронну комерцію сприятиме посиленню цього
зростання наступні роки. Відзначено й інша тенденція. У 80-ті — початку
90-х років зовнішні зловмисники атакували вузли Internet з цікавості або
заради демонструванні власної кваліфікації. Зараз атаки найчастіше
переслідують фінансові чи політичну мету. Як стверджує чимало
аналітиків, число успішних проникнень до інформаційної системи лише у
1999 року зросла вдвічі проти попереднім роком (з 12 до 23%). І на 2000-
му, і 2001-му роках ця тенденція сохраняется.
У цій сфері є і російська статистика. І хоча вона неповна, і, на думку
багатьох фахівців, являє собою лише верхівку айсберга, я-таки наведу ці
цифри. За 2000 рік, за даними МВС, було зареєстровано 1375
комп'ютерних злочинів. У порівняні з 1999 роком цю цифру зросла більш
ніж 1,6 разу. Дані управління боротьби з злочинами у сфері високих
технологій МВС РФ (Управління «Р») показують, що найбільше злочинів
— 584 від загальної кількості — належить до неправомірному доступу до
комп'ютерної інформації; 258 випадків — це заподіяння майнової шкоди з
допомогою комп'ютерних коштів; 172 злочину пов'язані з плеканням якого
і поширенням різних вірусів, точніше, «шкідливих програм для ЕОМ»; 101
злочин — із серії «незаконним виробництвом чи придбання із єдиною
метою збуту технічних засобів для незаконного отримання», 210 —
шахрайство із застосуванням комп'ютерних і телекомунікаційних мереж;
44 — порушення правил експлуатації ЕОМ та його сетей.
3. Як захисту від віддалених атак у мережі Internet?
Особливість мережі Internet нині у тому, що 99% відсотків інформаційних
ресурсів мережі є загальнодоступними. Віддалений доступом до цих
ресурсів може здійснюватися анонімно будь-яким неавторизованным
користувачем мережі. Прикладом такого неавторизованного доступу до
загальнодоступним ресурсів є підключення до WWW- чи FTP-серверам, у
цьому разі, коли таке доступ разрешен.
Визначившись, яких ресурсів мережі Internet користувач має наміру
здійснювати доступ, треба було б наступного року питання: а збирається
чи користувач вирішувати віддалений доступ із електромережі до своїх
ресурсів? Якщо немає, тоді можна буде використовувати як мережевий
ОС " суто клієнтську " ОС (наприклад, Windows " 95 чи NTWorkstation),
яка містить программ-серверов, які забезпечують віддалений доступ, а,
отже, віддалений доступом до даної системи у принципі неможливий, так
як і просто програмно не передбачено (наприклад, ОС Windows " 95 чи
NT, щоправда з однією але: під дані системи справді немає серверів FTP,
TELNET, WWW тощо. буд., але не слід забувати про вмонтовану у яких
можливість надання віддаленого доступу до файлової системі, зване
поділ (share) ресурсів. А згадавши по меншою мірою дивну позицію
фірми Microsoft стосовно гарантуванню безпеки своїх систем, потрібно
серйозно подумати, як зупинити вибір на продуктах даної фірми.
Останній приклад: в Internet з'явилася програма, що дає атакуючому
несанкціонований віддалений доступом до файлової системі ОС
WindowsNT 4.0!). Вибір клієнтської ОС багато в чому вирішує проблеми
безпеки для даного користувача (не можна одержати доступ ресурсу,
просто немає!). Але цього разі погіршується функціональність системи.
Тут своєчасно сформулювати, з погляду, основну аксіому безопасности:
Аксіома безпеки. Принципи доступності, зручності, швидкодії і
функціональності обчислювальної системи антагоністичні принципам її
безопасности.
Ця аксіома, у принципі, очевидна: що більш доступна, зручна, швидка і
багатофункціональна ЗС, тим вона менш безпечна. Прикладів можна
привести масу. Наприклад, служба DNS: зручно, але небезпечно.
Повернімося у виборі користувачем клієнтської мережевий ОС. Це, до
речі, одне із дуже здорових кроків, які ведуть мережевий політиці
ізоляціонізму. Ця мережна політика безпеки залежить від здійсненні як і
повнішої ізоляції своєї обчислювальної системи від зовнішнього світу.
Також однією з кроків забезпечувати даної політики є, наприклад,
використовувати системи Firewall, дозволяють створити виділений
захищений сегмент (наприклад, приватну мережу), відділений від
глобальної мережі. Звісно, ніщо корисно довести цю політику мережного
ізоляціонізму абсурдно - просто висмикнути мережевий кабель (повна
ізоляція від зовнішнього світу!). Не забувайте, це теж " рішення " всіх
негараздів з віддаленими атаками і мережевий безпекою (у зв'язку з з в
повній відсутності оных).
Отже, нехай користувач мережі Internet вирішив використовуватиме
доступу до мережі лише клієнтську мережну ОС і здійснювати з
допомогою неї лише неавторизованный доступ. Проблеми з безпекою
вирішені? Анітрохи! Усе було було б гаразд, якби не була така погано.
Для атаки " Відмова у обслуговуванні " абсолютно має значення ні вид
доступу, застосовуваний користувачем, ні тип мережевий ОС (хоча
клієнтська ОС з погляду захисту від атаки кілька краще). Ця атака,
використовуючи фундаментальні прогалини у безпеки протоколів та
інфраструктури мережі Internet, вражає мережну ОС на хосте
користувача з єдиною метою - змінити його працездатність. ля атаки, що
з нав'язуванням помилкового маршруту при допомоги протоколу ICMP,
метою котрої є відмову у обслуговуванні, ОС Windows " 95 чи WindowsNT
- найбільш ласа мета. Користувачу у тому разі залишається на те, що
його скромний хост технічно нескладне жодного інтересу для атакуючого,
котрі можуть змінити його працездатність хіба що з бажання просто
напакостити.
3.1. Адміністративні засоби захисту від віддалених атак у мережі Internet
Найбільш правильним кроком у цьому напрямі буде запрошення фахівця
з інформаційну безпеку, що з вами постарається вирішити сув'язь
завдань із забезпечення необхідного необхідного рівня безпеки для
вашої розподіленої ЗС. Це дуже складна комплексна завдання, на
вирішення яку слід визначити, що (список контрольованих об'єктів та
часових ресурсів РВР), чого (аналіз можливих загроз даної РВР) як і
(вироблення вимог, визначення політики безпеки і вироблення
адміністративних і програмно-апаратних заходів для забезпечення
практично розробленої політики безпеки) защищать.
Мабуть, найбільш простими й дешевими є саме адміністративні засоби
захисту від информаційно-руйнуючихвпливів.
3.1.1. Який захист від аналізу мережного трафіка? Існує атака, що дозволяє кракеру з допомогою програмного
прослуховування каналу передачі повідомлень у мережі перехоплювати
будь-яку інформацію, якої обмінюються віддалені користувачі, коли з
каналу передаються лише нешифрованные повідомлення. Можна
показати, що базові прикладні протоколи віддаленого доступу TELNET і
FTP не передбачають елементарну криптозащиту переданих через
мережу навіть ідентифікаторів (імен) і аутентификаторов (паролів)
користувачів. Тому адміністраторам мереж, очевидно, можна
порекомендувати недопущення використання цих базових протоколів
надання віддаленого авторизованого доступу до ресурсів своїх систем і
слід вважати аналіз мережного трафіку тієї постійно що існує загрозою,
яку можна усунути, але зробити її здійснення власне безглуздим,
застосовуючи стійкі криптоалгоритмы захисту IP-потока.
3.1.2. Як захисту від помилкового ARP-сервера?
У разі, якщо в мережевий ОС немає інформації відповідності IP- і
Ethernet-адресов хостів всередині одного сегмента IP-мережі, даний
протокол дозволяє посилати широкомовний ARP-запрос до пошуку
необхідного Ethernet-адреса, який атакуючий може надіслати помилковий
відповідь, й надалі, весь трафік на канальном рівні виявиться
перехоплене атакуючим відбудеться через помилковий ARP-сервер.
Вочевидь, що у ліквідації даної атаки потрібно ліквідувати причину, через
яку можливо її здійснення. Основною причиною успіху даної віддаленій
атаки - відсутність необхідної інформації в ОС кожного хоста про
відповідних IP- і Ethernet-адресах решти хостів всередині цього сегменту
мережі. Отже, найпростішим рішенням буде створення мережним
адміністратором статичної ARP-таблицы як файла (в ОС UNIX зазвичай
/etc/ethers), куди треба внести соответствую-щую інформацію про
адреси. Цей файл встановлюється за кожен хост всередині сегмента, і,
отже, у мережевий ОС зайвими використання віддаленого ARP-поиска.
3.1.3. Який захист від помилкового DNS-сервера?
Використання у мережі Internet служби DNS у нинішньому вигляді може
дозволити кракеру отримати глобальний контроль над сполуками
шляхом нав'язування помилкового маршруту через хост кракера -
помилковий DNS-сервер. Здійснення цієї віддаленій атаки, заснованої на
потенційних уязвимостях служби DNS, можуть призвести до
катастрофічних наслідків для величезного числа користувачів Internet та
мріяв стати причиною масового порушення інформаційну безпеку даної
глобальної мережі. У наступних двох пунктах пропонуються можливі
адміністративні методи профілактики чи скруті даної віддаленій атаки
для адміністраторів і користувачів сіті й для адміністраторів DNS-
серверов.
а) Як адміністратору мережі захиститись від помилкового DNS-сервера?
Якщо відповідати це питання коротко, тоді ніяк. Ні адміністративно, ні
програмно не можна захисту від атаки на існуючу версію служби DNS.
Оптимальним з погляду безпеки рішенням пропускатимуть відмовитися
від використання служби DNS у вашій захищеному сегменті! Звісно,
зовсім відмовитися від використання імен при зверненні до хостам для
користувачів буде, дуже не зручно. Тому можна запропонувати таке
компромісне рішення: використовувати імена, але відмовитися від
механізму віддаленого DNS- пошуку. Ви правильно здогадалися, що це
повернення до схемою, що використовувалася до появи служби DNS з
виділеними DNS-серверами. Тоді з кожної машині у мережі існував hosts
файл, у якому перебувала інформацію про відповідних іменах і IP-
адресах всіх хостів у мережі. Вочевидь, що у сьогодні адміністратору
можна зробити в такий файл інформацію про лише найчастіше
відвідуваних користувачами даного сегмента серверах мережі. Тому
використання практично цього рішення надзвичайно утруднено і, певне,
нереально (що, наприклад, робити з броузерами, що використовують
URL з именами?).
Для труднощ здійснення такої віддаленої атаки можна запропонувати
адміністраторам використовувати служби DNS замість протоколу UDP,
який встановлюється за умовчанням, протокол TCP (хоча з документації
далеко ще не очевидно, як він змінити). Це значно утруднить для
атакуючого передачу на хост помилкового DNS-відповіді без прийому
DNS-запиту.
Загальний ще невтішний висновок такий: у мережі Internet під час
використання існуючої версії служби DNS немає прийнятного рішення
захисту від помилкового DNS-сервера (і відмовишся, як у з ARP, і
використовувати опасно)!
б) Як адміністратору DNS-сервера захисту від помилкового DNS-
сервера?
Якщо відповідати це питання коротко, то, знов-таки, ніяк. Єдиним
способом потяжчити здійснення даної віддаленій атаки, це
використовуватиме спілкування з хостами і коїться з іншими DNS-
серверами лише протокол TCP, а чи не UDP. Проте, це тільки утруднить
виконання атаки - пам'ятаймо як про можливе перехоплення DNS-
запроса, і про можливість математичного передбачення початкового
значення TCP- ідентифікатора ISN.
Насамкінець порекомендувати для в усій мережі Internet швидше перейти
або до нової більш захищеної версії служби DNS, або прийняти єдиний
стандарт на захищений протокол. Зробити такий перехід, попри все
колосальні витрати, конче необхідно, інакше мережу Internet то, можливо
просто поставлена навколішки перед всевозрастающими успішними
спробами порушення безпечності з допомогою даної службы!
3.1.4. Як захиститись від нав'язування помилкового маршруту під час використання протоколу ICMP?
Атака, що полягала у передачі на хост помилкового ICMPRedirect
повідомлення про зміну вихідного маршруту наводила як до
перехоплення атакуючим інформації, і спричиняє порушення
працездатності атакуемого хоста. А, щоб захисту від даної віддаленій
атаки, необхідно або фільтрувати це повідомлення (використовуючи
Firewall чи фільтруючий маршрутизатор), не допускаючи його влучення
на кінцеву систему, або відповідним чином вибирати мережну ОС, яка
ігнорувати це повідомлення. Проте звичайно існує адміністративних
способів спричинити мережну ОС так, щоб заборонити їй зраджувати
маршрут і реагувати На цей повідомлення. Єдиний спосіб, наприклад, у
разі ОС Linux чи FreeBSD залежить від тому, щоб змінити вихідні тексти й
перекомпілювати ядро ОС. Вочевидь, що така екзотичний багатьом
спосіб можлива лише для вільно розповсюджуваних разом із вихідними
текстами операційними системами. Зазвичай на практиці немає іншого
способу дізнатися реакцію використовуваної ви ОС на ICMPRedirect
повідомлення, як послати це повідомлення і подивитися, яким буде
результат. Експерименти показали, що це повідомлення дозволяє
змінити маршрутизацію на ОС Linux 1.2.8, Windows " 95 і WindowsNT 4.0.
Слід зазначити, що продукти компанії Microsoft немає особливої
захищеністю від його можливих віддалених атак, властивих IP-сетям.
Отже, використовувати дані ОС в захищеному сегменті IP-мережі
представляється небажаним. Це буде цим адміністративним рішенням
захисту сегмента мережі від даної віддаленій атаки.
3.1.5. Як захиститись від відмови від обслуговування?
Немає і не може бути прийнятних засобів захисту від відмови від
обслуговуванні у наявному стандарті IPv4 мережі Internet. Це з тим, що в
стандарті неможливий контролю над маршрутом повідомлень. Тому
неможливо забезпечити надійному контролю за мережними сполуками,
тому що в одного суб'єкта мережного взаємодії є можливість зайняти
необмежена кількість каналів зв'язки України із віддаленим об'єктом і
навіть залишитися анонімним. Через це будь-який сервер у мережі
Internet то, можливо цілком паралізоване з допомогою віддаленій атаки.
Єдине, що запропонувати підвищення надійності роботи системи,
подвергаемой даної атаці, - це використовувати максимально потужні
комп'ютери. Чим більший число і частота роботи процесорів, ніж більший
обсяг оперативної пам'яті, тим паче надійної буде робота мережевий ОС,
коли її у обрушиться спрямований " шторм " хибних запитів створення
сполуки. З іншого боку, необхідно використання відповідних вашим
обчислювальним потужностями операційними системами з м'якою
внутрішньою чергою, здатної вмістити велика кількість запитів на
підключення. Адже те, що ви, наприклад, поставите на суперЕОМ
операційну систему Linux чи WindowsNT, які мають довжина черги для
одночасно оброблюваних запитів близько 10, а тайм-аут очищення черзі
кілька хвилин, то, попри всі обчислювальні потужності комп'ютера, ОС
буде цілком паралізована атакуючим.
3.1.6. Як захиститись від підміни однієї зі сторін при взаємодії з допомогою базових протоколів сімейства TCP/IP
Як зазначалося раніше, єдиним базовим протоколом сімейства TCP/IP, у
якому спочатку передбачена функція забезпечення безпеки з'єднання
заліза і його абонентів, є протокол транспортного рівня - протокол TCP.
Що ж до базових протоколів прикладного рівня: FTP, TELNET, r-служба,
NFS, HTTP, DNS, SMTP, то них не передбачає додаткову захист сполуки
своєму рівні, і залишає розв'язання всіх проблем із гарантування безпеки
сполуки протоколу нижчого транспортного рівня - TCP. Проте, згадавши
про можливих атаках на TCP-соединение, розглянутих п. 4.5, де було
зазначено, що з перебування атакуючого щодо одного сегменті із єдиною
метою атаки захисту від підміни однієї з абонентів TCP-соединения у
принципі неможливо, а разі перебування у різні сегменти через
можливість математичного передбачення ідентифікатора TCP-
соединенияISN також реальна підміна однієї з абонентів, нескладно дійти
невтішного висновку, що з використанні базових протоколів сімейства
TCP/IP дбати про безпеку сполуки практично неможливо! Це наслідок те,
що, до жалю, все базові протоколи мережі Internet з погляду
забезпечення інформаційну безпеку неймовірно застаріли.
Єдине, які можна порекомендувати мережним адміністраторам для
захисту тільки від межсегментных атак на сполуки - за базовий "
захищеного " протоколу використовувати протокол TCP і мережні ОС, у
яких початкова значення ідентифікатора TCP-соединения справді
генерується випадково (непоганий псевдослучайный алгоритм генерації
використовується на минулих версіях ОС FreeBSD).
3.2. Програмно-апаратні засоби захисту від віддалених атак у мережі Internet
До программно-аппаратным засобам забезпечення інформаційної
безпеки зв'язку в обчислювальних мережах относятся:
. апаратні шифратори мережного трафика;
. методика Firewall, реалізована з урахуванням програмно-апаратних
засобів;
. захищені мережні криптопротоколы;
. програмно-апаратні аналізатори мережного трафика;
. захищені мережні ОС.
Існує дуже багато літератури, присвяченій цих засобів захисту,
призначеним від використання у мережі Internet (протягом останніх два
року, практично щономера будь-якого комп'ютерного журналу можна
знайти статті з цього тему).
Далі ми, наскільки можна коротко, ніж повторювати всім добре відому
інформацію, опишемо ці кошти захисту, застосовувані в Internet. А
переслідуємо такі цілі: по-перше, вкотре повернемося до міфу про "
абсолютної захисту " , яку нібито забезпечують системи Firewall,
очевидно, стараннями їх продавців; по-друге, порівняємо існуючі версії
криптопротоколов, що застосовуються у Internet, і дамо оцінку, власне,
критичного стану цій галузі; і він, ознайомимо читачів із можливістю
захисту з допомогою мережного монітора безпеки, покликаного
забезпечити здійснення динамічного контролю над виникаючими в
защищаемом сегменті IP-мережі ситуаціями, які свідчать про проведення
даний сегмент одній з описаних у Пророчий 4 главі віддалених атак.
3.2.1. Методика Firewall як основний программно-аппаратное засіб здійснення мережевий політики безпеки в виділеному сегменті IP-сети У випадку методика Firewall реалізує такі основні три функции:
1. Багаторівнева фільтрація мережного трафика.
Фільтрація зазвичай складає трьох рівнях OSI: мережному (IP);
транспортному (TCP, UDP); прикладному (FTP, TELNET, HTTP, SMTP
тощо. д.).
Фільтрація мережного трафіку є основним функцією систем Firewall і
дозволяє адміністратору безпеки мережі централізовано здійснювати
необхідну мережну політику безпеки в виділеному сегменті IP-мережі, то
є, налаштувавши відповідним чином Firewall, можна вирішити чи
заборонити користувачам як доступ із зовнішнього мережі до відповідним
службам хостів або до хостам, що у защищаемом сегменті, і доступ
користувачів із внутрішньої мережі до відповідним ресурсів зовнішньої
мережі. Можна навести аналогію з адміністратором локальної ОС, який
здійснення політики безпеки у системі призначає необхідним чином
відповідні відносини між суб'єктами (користувачами) і об'єктами системи
(файлами, наприклад), що дозволяє розмежувати доступ суб'єктів
системи до її об'єктах відповідно до заданими адміністратором правами
доступу. Ті ж міркування застосовні до Firewall-фильтрации: як суб'єктів
взаємодії виступатимуть IP-адреси хостів користувачів, а як об'єкти,
доступом до яким необхідно розмежувати, - IP-адреси хостів,
використовувані транспортні протоколи і надання віддаленого доступа.
2. Proxy-схема з додатковою ідентифікацією і аутентификацией користувачів на Firewall-хосте.
Proxy-схема дозволяє, по-перше, при доступі до захищеному Firewall
сегменту мережі здійснити у ньому додаткову ідентифікацію і
аутентификацию віддаленого користувача і, по-друге, є підвалинами
створення приватних мереж з віртуальними IP-адресами. Сенс proxy-
схемы полягає у створенні з'єднання з кінцевим адресатом через
проміжний proxy-сервер (proxy від анг. повноважний) на хосте Firewall. У
цьому proxy- сервері і може здійснюватися додаткова ідентифікація
абонента.
3. Створення приватних мереж (PrivateVirtualNetwork - PVN) з " віртуальними " IP-адресами (NAT - NetworkAddressTranslation).
У разі, якщо адміністратор безпеки мережі вважає доцільним приховати
справжню топологію своїм внутрішнім IP-мережі, йому можна
порекомендувати використовувати системи Firewall до створення
приватній мережі (PVN-сеть). Хостам в PVN-сети призначаються будь-які
" віртуальні " IP- адреси. Для адресації на зовнішній мережу (через
Firewall) необхідно або використання на хосте Firewall описаних вище
proxy-серверов, або застосування спеціальних систем роутинга
(маршрутизації), лише крізь що й можлива зовнішня адресація. Це
наслідок те, що використовуваний у внутрішній PVN-сети віртуальний IP-
адрес, очевидно, не доречний під час зовнішньої адресації (зовнішня
адресація - це адресація до абонентам, які є поза PVN-сети). Тому proxy-
сервер чи засіб роутинга має здійснювати зв'язку з абонентами із
зовнішнього мережі зі свого справжнього IP-адреси. До речі, цю схему
зручна у разі, якщо вам до створення IP-мережі виділили недостатня
кількість IP-адрес (в стандарті IPv4 трапляється часто-густо, для
створення повноцінної IP-мережі з допомогою proxy-схемы достатньо
тільки одного виділеного IP-адреси для proxy-сервера).
Отже, будь-яке пристрій, реалізує хоча б з цих функцій Firewall-методики,
і є Firewall-устройством. Наприклад, ніщо не заважає вам
використовувати як Firewall-хоста комп'ютер зі звичайною ОС FreeBSD чи
Linux, що має відповідним чином необхідно скомпілювати ядро ОС.
Firewall подібного типу забезпечуватиме лише багаторівневу фільтрацію
IP-трафика. Інша річ, запропоновані над ринком потужні Firewall-
комплексы, зроблені з урахуванням ЕОМ чи мини-ЭВМ, зазвичай
реалізують всі функції Firewall-мето-дики і є полнофункциональными
системами Firewall. На наступному малюнку зображений сегмент мережі,
відділений від зовнішньої мережі повнофункціональним Firewall-хостом.
Проте адміністраторам IP-мереж, піддавшись реклами систем Firewall,
годі помилятися з того приводу, що Firewall це гарантія абсолютної
захисту від віддалених атак у мережі Internet. Firewall - й не так засіб
забезпечення безпеки, скільки можливість централізовано здійснювати
мережну політику розмежування віддаленого доступу до доступним
ресурсів вашої мережі. Так, у разі, якщо, наприклад, до цього хосту
заборонено віддалений TELNET-доступ, тоFirewall однозначно відверне
можливість даного доступу. Але річ у цьому, більшість віддалених атак
мають зовсім інші мети (безглуздо намагатися отримати певний вид
доступу, коли він заборонено системою Firewall). Які з розглянутих
віддалених атак може запобігти Firewall? Аналіз мережного трафіку?
Вочевидь ні! Несправжній ARP-сервер? І нехай, немає і (за захистом
зовсім не від обов'язково використовувати Firewall). Несправжній DNS-
сервер? Ні, на жаль, Firewall вам не помічник. Накинення помилкового
маршруту з допомогою протоколу ICMP? Так, цю атаку шляхом
фільтрації ICMP-сообщенийFirewall легко відіб'є (хоча достатньо
фільтруючого маршрутизатора, наприклад Cisco). Підміна жодного з
суб'єктів TCP-соединения? Відповідь негативна; Firewall тут абсолютно
не до чого. Порушення працездатності хоста шляхом створення
спрямованого шторму хибних запитів чи переповнення черги запитів? І
тут застосування Firewall лише погіршить річ. Атакуючому у тому, щоб
шпигат (відрізати від зовнішнього світу) все хосты всередині захищеного
Firewall-системой сегмента, досить атакувати лише одне Firewall, а чи не
кілька хостів (це легко пояснюється лише тим, що зв'язок внутрішніх
хостів з зовнішнім світом можливе тільки через Firewall).
Із усього вищесказаного зовсім на слід, що використовувати системи
Firewall абсолютно безглуздо. Ні, нині цій методиці (саме як методиці!)
немає альтернативи. Але треба чітко усвідомити і пам'ятати її основне
призначення. Вважаємо, що "застосування методики Firewall задля
забезпечення мережевий безпеки є необхідною, але зовсім на достатня
умова, вам і непотрібно вважати, що, поставивши Firewall, ви разом
вирішите всі з мережевий безпекою і позбудетеся від усіх можливих
віддалених атак із електромережі Internet. Прогнилу з погляду безпеки
мережу Internet ніяким окремим Firewall " ом не защитишь!
Із усього вищесказаного зовсім на слід, що використовувати системи
Firewall абсолютно безглуздо. Ні, нині цій методиці (саме як методиці!)
немає альтернативи. Але треба чітко усвідомити і пам'ятати її основне
призначення. Вважаємо, що "застосування методики Firewall задля
забезпечення мережевий безпеки є необхідною, але зовсім на достатня
умова, вам і непотрібно вважати, що, поставивши Firewall, ви разом
вирішите всі з мережевий безпекою і позбудетеся від усіх можливих
віддалених атак із електромережі Internet. Прогнилу з погляду безпеки
мережу Internet ніяким окремим Firewall " ом не защитишь!
3.2.2. Програмні засоби захисту, застосовувані у мережі Internet
До програмним методам захисту у мережі Internet можна віднести колись
всього захищені криптопротоколы, за якими з'являється можливість
надійний захист сполуки. Наступним пунктом йтиметься про існуючих
нині в Internet підходах, і основних, вже розроблених, криптопротоколах.
До іншому класу програмних методів захисту від віддалених атак
ставляться існуючі нині програми, головна мета яких - аналіз мережного
трафіку щодо наявності однієї з відомих активних віддалених впливу.
SKIP-технология і криптопротоколы SSL, S-HTTP як основний засіб захисту з'єднання заліза і переданих даних у мережі Internet Одне з основних причин успіху віддалених атак на розподілені ЗС у
використанні мережевих протоколів обміну, які можуть надійно
ідентифікувати віддалені об'єкти, захистити з'єднання і передані по нього
дані. Тому цілком природно, у процесі функціонування Internet було
створено різні захищені мережні протоколи, використовують
криптографію і з закритим, і з відкритою ключем. Класична криптографія з
симетричними криптоалгоритмами припускає наявність у передавальної і
приймаючої сторони симетричних (однакових) ключів для шифрування і
дешифрування повідомлень. Ці ключі передбачається розподілити
заздалегідь між кінцевим числом абонентів, що у криптографії
називається стандартної проблемою статичного розподілу ключів.
Вочевидь, що "застосування класичної криптографії з симетричними
ключами можливе лише обмеженій безлічі об'єктів. У "тенета Internet всім
її достойників покінчити з проблемою статичного розподілу ключів,
очевидно, неможливо. Однак однією з перших захищених протоколів
обміну в Internet був протокол Kerberos, заснований саме у статичному
розподілі ключів для кінцевого числа абонентів. Так само шляхом,
використовуючи класичну симметричную криптографію, змушені йти наші
спецслужби, розробляють свої захищені криптопротоколы для мережі
Internet. Це тим, що чомусь досі немає гостированного криптоалгоритма з
відкритою ключем. Скрізь у світі подібні стандарти шифрування давно
ухвалені й сертифіковані, чому ми, певне, знову йдемо іншим путем!
Отже, зрозуміло, що з здобуття права дати можливість захиститися
всьому, безлічі користувачів мережі Internet, а чи не обмеженому його
подмножеству, необхідно використовувати динамічно вироблювані під
час створення віртуального сполуки ключі під час використання
криптографії з відкритою ключем. Далі ми розглянемо основні нині
підходи і протоколи, щоб забезпечити захист соединения.
SKIP (SecureKeyInternetProtocol)-технологией називається стандарт
инкапсуляции IP-пакетов, дозволяє у наявному стандарті IPv4 на
мережному рівні забезпечити захист з'єднання заліза і переданих у ній
даних. Це досягається так: SKIP-пакет є звичайний IP- пакет, полі даних
якого представляє з себе SKIP-заголовок певного спецификацией
формату і криптограму (зашифровані дані). Така структура SKIP-пакета
дозволяє безперешкодно спрямовувати його кожному хосту у мережі
Internet (міжмережний адресація іде за рахунок звичайному IP-заголовку
в SKIP-пакете). Кінцевий одержувач SKIP-пакета із заздалегідь певному
розробниками алгоритму розшифровує криптограму і формує звичайний
TCP- чи UDP-пакет, що й передає відповідному звичайному модулю (TCP
чи UDP) ядра ОС. У принципі так, ніщо корисно розробникові формувати
за такою схемою свій оригінальний заголовок, відмінний від SKIP-
заголовка.
S-HTTP (SecureHTTP) - це розроблений компанією Enterprise Integration
Technologies (EIT) спеціально для Web захищений HTTP-протокол.
Протокол S-HTTP дозволяє забезпечити надійну криптозащиту лише
HTTP- документів Web-севера і функціонує на прикладному рівні моделі
OSI. Ця особливість протоколу S-HTTP робить її абсолютно
спеціалізованим засобом захисту сполуки, як наслідок, неможливе його
застосування за захистом решти прикладних протоколів (FTP, TELNET,
SMTP та інших.). З іншого боку, жодного з існуючих нині основних Web-
броузерів (ні Netscape Navigator 3.0, ні Microsoft Explorer 3.0) не
підтримують даний протокол.
SSL (Secure Socket Layer) - розробка компанії Netscape - універсальний
протокол захисту сполуки, функціонуючий на сеансовом рівні OSI. Цей
протокол, використовує криптографію з відкритою ключем, на сьогодні,
на погляд, єдиний універсальним засобом, що дозволяє динамічно
захистити будь-яке з'єднання з використанням будь-якого прикладного
протоколу (DNS, FTP, TELNET, SMTP тощо. буд.). Це з тим, що SSL, на
відміну S-HTTP, функціонує на проміжному сеансовом рівні OSI (між
транспортним - TCP, UDP, - і прикладним - FTP, TELNET тощо. буд.). У
цьому процес створення віртуального SSL-соединения іде за рахунок
схемою Диффи і Хеллмана (п. 6.2), яка дозволяє виробити криптостойкий
сеансовый ключ, вживаний у подальшому абонентами SSL-соединения
для шифрування переданих повідомлень. Протокол SSL сьогодні вже
оформився як офіційної стандарту захисту для HTTP-соединений, тобто
за захистом Web-серверов. Його підтримують, природно,
NetscapeNavigator 3.0 і як дивно, MicrosoftExplorer 3.0 (пригадаємо ту
жорстоку війну броузерів між компаніями Netscape і Microsoft). Звісно,
задля встановлення SSL-соединения з Web-сервером ще слід розумно
наявність Web-сервера, підтримує SSL. Такі версії Web-серверов вже є
(SSL-Apachе, наприклад). У укладанні розмови про протоколі SSL слід
зазначити наступний факт: законами США донедавна було заборонено
експорт криптосистем з довжиною ключа понад 40 кримінальних біт
(недавно він збільшили до 56 біт). Тож у про існуючі версії броузерів
використовуються саме 40-битные ключі. Криптоаналитиками шляхом
експериментів з'ясовано, що у наявної версії протоколу SSL шифрування
з допомогою 40-битного ключа перестав бути надійної захистом для
переданих через мережу повідомлень, оскільки шляхом простого
перебору (240 комбінацій) цей ключ підбирається період від 1,5 (на
суперЕОМ SiliconGraphics) до 7 діб (у процесі обчислень
використовувалося 120 робочих станцій та кілька міні ЭВМ).
Отже, очевидно, що повсюдне застосування цих захищених протоколів
обміну, особливо SSL (звісно, із довжиною ключа понад 40 кримінальних
біт), поставить надійний бар'єр по дорозі різноманітних віддалених атак і
серйозно ускладнить життя кракеров усього світу. Але ж трагізм
сьогоднішню ситуацію з забезпеченням безпеки в Internet у тому, що поки
що жоден з існуючих криптопротоколов (які вже чимало) не оформився як
єдиного стандарту захисту сполуки, який підтримувався б усіма
виробниками мережевих ОС! Протокол SSL, з наявних сьогодні,
підходить з цього роль найкраще. Якби підтримували все мережні ОС, то
пішло б б створення спеціальних прикладних SSL-совместимых серверів
(DNS, FTP, TELNET, WWW та інших.). Не домовитися ухвалення єдиного
стандарту на захищений протокол сеансового рівня, тоді знадобиться
ухвалення багатьох стандартів право на захист кожної окремої
прикладної служби. Наприклад, вже розроблено експериментальний,
ніким не підтримуваний протокол SecureDNS. Також існують
експериментальні SSL- сумісні SecureFTP- і TELNET-серверы. Але це без
прийняття єдиного підтримуваного усіма виробниками стандарту на
захищений протокол не має жодного сенсу. На сьогодні виробники
мережевих ОС що неспроможні домовитися про єдину позицію по цій
проблемі і тим самим, перекладають розв'язання цих проблем
безпосередньо на користувачів Internet і пропонують їм вирішувати свої
проблеми з інформаційної безпекою оскільки тим заманеться!
Мережний монітор безпеки IPAlert-1
Практичні і теоретичні пошуки авторів, в напрямі, пов'язаному з
дослідженням безпеки розподілених ЗС, зокрема і мережі Internet (два
полярних напрями дослідження: порушення і забезпечення інформаційну
безпеку), навели для наступної думку: у мережі Internet, як та інших
мережах (наприклад, NovellNetWare, WindowsNT), відчувається серйозна
нестача програмного засоби захисту, здійснює комплексний контроль
(моніторинг) на канальном рівні до всього потоком переданої через
мережу інформації з метою виявлення всіх типів віддалених впливів,
описаних у 4 главі. Дослідження ринку програмного забезпечення
мережевих засобів захисту для Internet виявило те що, що подібних
комплексних коштів виявлення віддалених впливів за нашими даними
немає, інші ж, що є, призначені щоб виявити впливів однієї конкретної
типу (наприклад, ICMPRedirect чи ARP). Тому немає й розпочато
розробка засіб контролю сегмента IP-мережі, покликаного забезпечити
використання їх у мережі Internet і який отримав таке назва: мережевий
монітор безпеки IPAlert-1. Основне завдання цього кошти, програмно
аналізує мережевий трафік в каналі передачі, не у відбитку здійснюваних
на каналі зв'язку віддалених атак, а їх виявленні, протоколюванні (віданні
файла аудиту з протоколюванням в зручною на подальше візуального
аналізу формі всіх подій, що з віддаленими атаками даний сегмент
мережі) і негайним сигнализировании адміністратору безпеки разі
виявлення віддаленій атаки. Основне завдання мережного монітора
безпеки IPAlert-1 є здійснення контролю над безпекою відповідного
сегмента мережі Internet.
Мережний монітор безпеки IPAlert-1 має такими функціональними
можливостями і що дозволяє, шляхом мережного аналізу, побачити такі
віддалені атаки на контрольований їм сегмент мережі Internet.
Функціональні можливості мережного монітора безпеки IPAlert-1
1. Контроль за відповідністю IP- і Ethernet-адресов в пакетах, переданих хостами, які перебувають всередині контрольованого сегмента мережі.
На хосте IPAlert-1 адміністратор безпеки створює статичну ARP-таблицу,
куди заносить інформацію про відповідних IP- і Ethernet-адресах хостів,
що є всередині контрольованого сегмента сети.
Ця функція дає змоги виявити несанкціоновану змінуIP- адреси або його
підміну (IPSpoofing).
2. Контроль за коректним використанням механізму віддаленого ARP- поиска.
Ця функція дозволяє, використовуючи статичну ARP-таблицу, визначити
найвіддаленіші атаку " Несправжній ARP-сервер " .
3. Контроль за коректним використанням механізму віддаленого DNS- поиска.
Ця функція дозволяє визначити всіх можливих види віддалених атак на
службу DNS.
4. Контроль на наявність ICMPRedirectповідомлення.
Ця функція оповіщає виявлення ICMPRedirect повідомлення й відповідної
віддаленій атаки.
5. Контроль за коректністю спроб віддаленого підключення шляхом
аналізу переданих запросов.
Ця функція дає змоги виявити, по-перше, спробу дослідження закону
зміни початкового значення ідентифікатора TCP-соединения - ISN, по-
друге, найвіддаленіші атаку " відмову у обслуговуванні " , здійснювану
шляхом переповнення черги запитів на підключення, і він, спрямований "
шторм " хибних запитів на підключення (як TCP, і UDP), що призводить
також до відмови в обслуживании.
Отже, мережевий монітор безпеки IPAlert-1 дозволяє знайти, оповістити і
запротоколювати всі види віддалених атак, добре описані у 4 главі! У
цьому ця програма у разі перестав бути конкурентом системам Firewall.
IPAlert-1, використовуючи описані і систематизовані на чотири главі
особливості віддалених атак на мережу Internet, служить необхідним
доповненням - до речі, незрівнянно дешевшим, - до системам Firewall.
Без монітора безпеки більшість спроб здійснення віддалених атак на ваш
сегмент мережі залишиться приховано від ваших очей. Жоден з відомих
авторам файрволов не займається подібним інтелектуальним аналізом
що проходять у мережі повідомлень для виявлення різноманітних
віддалених атак, обмежуючись, у разі, веденням журналу, куди
заносяться дані про спроби добору паролів для TELNET і FTP, про
скануванні портів і скануванні мережі з допомогою знаменитої програми
віддаленого пошуку відомих уязвимостей мережевих ОС - SATAN. Тому,
якщо адміністратор IP-мережі не хоче залишатися байдужим й
задовольнитися роллю простого статиста при віддалених атаках з його
мережу, йому бажано використовувати мережевий монітор безпеки
IPAlert- 1. До речі, нагадаємо, що Цутому Шимомура зміг
запротоколювати атаку Кевіна Митника.
4. Ринок систем безопасности
4.1. Основні тенденції ринку: статистика і прогнозы
Як відомо, той, хто має інформації, володіє світом. Проте сьогодні дедалі
переконливіше звучить й те, щонайменше актуальне твердження: той,
хто має інформації, постійно побоюється втратити чи втратити з неї
контроль.
За оцінками чимало аналітиків, 2001 року характер зломів істотно
змінився: раніше хакер діяв переважно сам однією з об'єктом атаки
(тобто за суті аполітичне), то час можна казати про групових діях хакерів,
що у швидко мінливих обстановці сучасного світу стало знаковим
явищем. Атака — це не є просто спосіб самовираження і «показове
виступ», а інструмент завдання удару по мети. Дослідження свідчать, що
Комп'ютерна Мережа (КС) майже скрізь дуже уразлива, тому активізація
цього виду діяльності містить у собі пряму небезпека, особливо у момент
напруженості відносин між різними політичними групами та іноземними
державами. Експерти зазначають, більшість великих ресурсів мережі досі
не захищені.
З досліджень загальних тенденцій інформаційну безпеку в IT-секторе
можна дійти невтішного висновку, що компанії досить інертно змінюють
свою інформаційну політику області інформаційну безпеку, що й
стратегічне бачення постійно запізнюється в охопленні перспективи, які
практику роботи з персональними даними і культурний рівень
захищеності інфраструктур важко назвати задовільними. Як аргументів,
розмовляючих на її користь затвердження, можна навести вражаючі
цифри. Так, більшість компаній неадекватно співвідносять свою
діяльність із існуючими погрозами: наприклад, лише одне компанія із 10
удаляет/меняет паролі після звільнення працівника, хоча 80% компаній
мають відповідні регламенти. Результати досліджень свідчить про
слабкої прихильності організацій до аудиту з питань інформаційної
безпеки (35%), про мінімальних зусиллях зі стимулювання легального
розслідування інцидентів (17%), про недостатнє розуміння джерел
загрози (79% досі вважають, що головна небезпека виходить ззовні, хоча
статистика доводить протилежне). Дослідження засвідчили, що 60% топ-
менеджерів розглядає інформаційну безпеку корпорацій як проблему
технологій (atechnologyproblem) і лише (40%) — як стратегічну проблему
бізнесу корпорації (astrategicbusinessissue).
Проте, попри перелічені вище факти, нині очевидна явне зростання уваги
суспільства до проблем інформаційну безпеку, до тому спектру відносин,
які зазвичай називають ElectronicSecurity. Підтвердженням цього є що.
На думку фахівців аналітичної компанії IDC, попит на системи Інтернет-
безпеки в найближчими роками буде стрімко зростати, що перетворить
даний сектор ринку одного з найприбутковіших. За розрахунками IDC,
середньорічний зростання на ринку систем Інтернет-безпеки протягом
п'яти років становитиме 23%, і до 2005 року ринок досягне обсягу 14
млрд. дол. Як вважають фахівці IDC, основний потенціал лежать у
секторі програмних продуктів, виділені на безпечної аутентифікації,
авторизації і адміністрування, — в так званому секторі продуктів групи 3А
(Адміністрування, Авторизація, Аутентификация). На думку IDC,
програмне забезпечення інформаційну безпеку 3А складається з
реалізацій функцій адміністрування, авторизації і аутентифікації, що
використовуються адміністрування безпеки на окремих комп'ютерних
системах чи корпоративних рамках, і включає у собі процеси визначення,
створення, зміни, видалення та принципи аудиту користувачів. По
оцінкам тієї самої джерела, щорічний приріст цьому секторі становитиме
28%, і до 2005 року що займе 67% ринка.
Відомо, що з чинників, стримуючих розвиток електронної комерції, є
проблема безпеки. Відповідно до досліджень Конфедерації британської
промисловості (CBI), компанії більше вірить у безпеку В2В -операцій.
Більше половини підприємств, опитаних CBI, заявили, що вони довіряють
В2В-коммерции, тоді як "про В2С-операциях так висловилося лише 32%.
Хоча шахрайство з банківськими мапами та становить близько
чотирьох% від кількості серйозних інцидентів, аналітики CBI відзначають,
що страх шахрайства як і стримує розвиток електронного бізнесу,
особливо В2С-сектора.
Серед інших важливих тенденцій ринку треба сказати те, що компанії
поки що хто не готовий захиститися навіть уявити безпечний сервіс,
оскільки в них вистачає кваліфікованого персоналу (70,5%) і вони
стратегічно неспроможна прорахувати, наскільки вигідним буде
впровадження нових практик безпеки (45,9%). Такі далеко ще не
обнадійливі результати були виявлено під час дослідження з Японії,
котра в жодному разі перестав бути технологічно відсталою країною.
Фахівці стверджують, у сфері мережевий безпеки відчувається дуже
гостра нестача персоналу, здатного ефективно вирішувати відповідні
задачі.
Одне з останніх опитувань минулого року зафіксував дедалі більшу
занепокоєність американців у зв'язку з проблемами
конфиденциальнности і мережевий безпеки. І хоча акцентувала було
зроблено оцінці безпеки корпоративних й урядових мереж, загалом
контексті відповідей простежується тривога стосовно до всього, що
оточує людей цьому невизначеному світі: що 71% респондентів заявили,
що вони стурбовані проблемою безпеки в КС, а 78% стурбовані
можливістю крадіжки чи іншого неанкціонованого їх застосування
персональної інформацією КС.
Безпека бездротових операцій продовжує турбувати та самої компанії, і
користувачів. Ті й ті побоюються, що хакери зможуть перехоплювати
інформацію «на льоту». З іншого боку, потенційної проблемою
представляється втрата користувачами мобільних пристроїв, містять
конфіденційну информацию.
4.2. Структура ринку безпеки
Те, що у 60-ті роки називалося комп'ютерної безпекою, а 70-ті —
безпекою даних, нині понад точно іменується інформаційної безпекою.
Інформаційна безпеку включає заходів для захисту процесів створення
цих, їхнього введення, обробітку грунту і виведення. Головна мета у
тому, щоб захистити і гарантувати точність і цілісність інформації,
мінімізувати руйнації, що мати місце, якщо інформація буде
модифікована чи зруйнована. Інформаційна безпеку потребує
врахування всіх подій, коли така інформація створюється, модифікується,
коли до неї забезпечується доступ і коли він пошірюється.
Інформаційну безпеку гарантує досягнення наступних целей:
. конфіденційність критичної информації;
. цілісність інформації та пов'язаних із нею процесів (створення,
введення, оброблення і вывода);
. доступність інформацією разі потреби;
. облік всіх процесів, що з информації.
Загалом плані ринок безпеки інформаційних систем можна умовно
розділити на два ідеологічно які пов'язані направления.
Перше напрям ставить за мету інформаційну захист мереж, то є захист
інформації, яка циркулює всередині інформаційних мереж. У час це
найбільш востребованно, тому добре розвинене. Сюди входять різні
антивіруси, міжмережеві фільтри (firewall), писав криптографічні кошти,
захисні протоколи, цифрові підпис т.п. Найбільш надійним засобом нині є
шифрування з відкритим ключом.
Другий напрямок, стрімко розвивається а останнім часом, пов'язані з
безпосередньої захистом об'єктів мережі. Цей напрям своєї у основному
механічні устрою, предотвращающие доступом до апаратної частини,
тобто до серверів, персональним комп'ютерів тощо. Основне завдання
зазначених пристроїв у тому, щоб за допомогою різних крепежей, замків,
захисних кожухів тощо. не дати порушнику можливості розкрити
комп'ютер. У арсеналі є також програмні кошти, що дозволяють
знаходити викрадені комп'ютери по тому, як їх хоча б раз було залучено
до телефонної сіті або до Інтернету. Ці програми складаються із двох
галузей: імені клієнта й центру обробки інформації. Коли клієнт
установлено в комп'ютер, він періодично (щоп'ятнадцять хвилин)
пов'язують із центром і передає доступну інформацію про поточному
статусі комп'ютера (IP-адрес, номер телефону, якого підключений у цей
момент комп'ютер, тощо.). Клієнт інсталюється в такий спосіб, щоб бути
захищеною від форматування вінчестера, і не видатним з допомогою
звичайних коштів ОС (processviewers). Ще одна варіант реалізації другого
напряму у цьому, що комп'ютери з допомогою додаткової проводки і
спеціальних датчиків, які кріпляться до задньої панелі комп'ютера,
об'єднують у мережу, відрізняється від мережі передачі, і підключаються
до апаратному влаштуванню, здатному реєструвати не санкціонованого
доступу і включатимуть сигнализацию.
Швидше за все, у майбутньому ми свідками інтеграції цих двох напрямів,
що є природним кроком шляху до підвищенню рівні захисту інформації. І
з такий інтеграції зможе з'явитися якась універсальна система безпеки, а
й у адміністратора безпеки буде єдине робоче місце, із якої він зможе
контролювати порядок обробки даних, і цілісність об'єктів. Установка
такої системи не зажадає додаткової прокладки кабелів, та її робота
неможливо позначиться на продуктивності мережі передачі
4.3. Лідери над ринком систем безпеки
КорпораціяSymantec
КорпораціяSymantec, одне із світових лідерів у створенні систем безпеки
до роботи на Інтернеті, є головним постачальником над ринком систем
безпеки. Те Що корпорації Symantec торгову марку Norton об'єднує лінію
що використовуються забезпечення інформаційної безпеки продуктів,
котрі посідають провідні позиції у світі як за кількістю продажу роздрібній
торгівлі, і за кількістю галузевих нагород. Штаб- квартира Symantec
лежить у г.Купертино, прим. Каліфорнія. Корпорація має представництва
в 37 странах.
У звіті GartnerDataquest ця компанія названа світовим лідером в галузі
постачання програмних засобів задля забезпечення інформаційної
безпеки. Ця оцінка полягає в обсязі доходів від продажу нових ліцензій
2000 року. Звіт GartnerDataquest показує, зростання, продемонстрований
корпорацією Symantec, випереджає зростання ринку коштів безпеки —
зростання доходів корпорації Symantec становив 40% протягом року. «У
результаті злиття з компанією Axent, що відбулося грудні 2000 року,
корпорація Symantec перемістилася з 4-го на 1-е у списку, заволодівши у
своїй 14,7% ринку коштів безпеки», — йдеться у звіті. Програмні кошти
безпеки Symantec, відповідно до класифікації GartnerDataquest,
включають: антивірусне програмне забезпечення, програми шифрування,
кошти виявлення спроб несанкціонованого проникнення й інші засоби
інформаційної захисту — міжмережеві екрани, програми фільтрації Web-
ресурсов, докладання керувати доступом до зовнішніх мереж. Корпорація
Symantec пропонує кошти антивірусної захисту, міжмережеві екрани,
віртуальні приватні мережі, кошти виявлення слабких місць системи
безпеки і спроб несанкціонованого проникнення, програми фільтрації
інформаційних ресурсів Інтернету й електронної пошти, технології
віддаленого управління, і навіть послуги з забезпечення інформаційної
безпеки.
КомпаніяNetworkAssociates, Inc. Слід сказати, як і Symantec, впевнено домінує над ринком систем
безпеки, контролюючи близько 60% світового фінансового ринку
антивірусів. По даним NetworkAssociates, Inc. (NAI) вона має більш 60
млн. користувачів у світі. NAI пропонує одне з укомплектованих в
функціональному і споживчому плані сімейство програм, які захищають,
управляють і контролюють корпоративні мережі. Функціональні
можливості і широта рішень, запропоновані NetworkAssociates,
доповнюються можливостями, набутими у PrettyGoodPrivacy (PGP) і
MagicSolutions, і навіть наймогутнішими засобами антивірусних коштів
Dr.Solomon’s, перша версія якої був випущена на початку 1997 року
фірмою Dr.Solomon’sSoftware. За інформацією McAfee (підрозділи
NetworkAssociates, Inc.), програмний продукт
McAfeeGroupShieldExchange вже третій рік отримує нагороду BestBuy від
SecureComputingMagazine, виграючи в порівняльному тесті антивірусів
для MSExchange. У порівняльному огляді антивірусів для
MicrosoftExchange 2001 McAfeeGroupShield отримав найвищі оцінки,
обійшовши продукти інших антивірусних виробників, таких як Symantec,
«Лабораторія Касперского», TrendMicro, F-Secure, Panda,
ComputerAssociates і др.
Корпорація Computer Associates International, Inc. Звіт IDC визначив Computer Associates International, Inc. (CA) як
лідируючого постачальника програмного забезпечення у області
аутентифікації, авторизації і адміністрування (3А), якому належить 15,5%
світового ринку. У 2001 року звіт IDC під назвою «Прогноз і аналіз
міжнародного ринку програмного забезпечення безпеки роботи у
Інтернет на 2001-2005 роки» виділив СА як світового лідируючого
постачальника програмного забезпечення захисту даних під час роботи з
Інтернету другий рік поспіль. СА пропонує рішення 3А засобами
сімейства продуктів eTrust (eTrust PKI, eTrust SSO, eTrust CA-ACF2,
eTrust CA-Top Secret, eTrust Admin, eTrust Access Control і eTrust Intrusion
Detection). «СА очевидне світовим лідером з розробки рішень щодо
інформаційну безпеку і з технологічної ефективності, і з загального
обсягу над ринком», — зазначив віце- президент СА на рішення eTrust,
Barry Keyes. — Переваги нашій новій бізнес-моделі ліцензування,
всебічний технічний сервіс і прозоре інтегроване рішення управління
електронним бізнесом дозволив і ми зробити має собі рівних цінності
пропозицію менеджерам по інформаційну безпеку підприємств і сервис-
провайдеров». Сімейство продуктів eTrust дозволяє команді управління
захищати, адмініструвати доступ і гарантувати управління економіки й
безпеку комплексної автоматизованої системи. Рішення eTrust сумісно з
діючими стандартами захисту даних, гарантує можливість взаємодії з
існуючі механізми внутрішній безпеці із механізмами партнерів у
мережному партнерстві.
На завершення бажалося б вкотре відзначити, що проблему
інформаційну безпеку з кожним роком стає дедалі актуальною. І ринок,
відгукуючись на масовий попит напевне буде пропонувати, а втім, вже
пропонує, надійні і геть гідні рішення з забезпечення безпеки. І головне
зараз — зупинити будь-що наступ інформаційного хаосу, який
провокується любителями зазирнути через плече або покопатися в чужих
електронних портфелях. Тому кожен має вибрати собі надійне засіб
інформаційної захисту, що забезпечить йому належну інформаційну
безпеку.[
5. Концепція захисту комп’ютерних програм
Американський Акт визначає термін ―комп’ютерна програма‖ як
―набір тверджень чи інструкцій для використання безпосередньо або
опосередковано у комп’ютері з метою отримання певної мети‖.
Саме це вираження і є об’єктом охорони авторського права. Ідеї ж,
покладені в основу комп’ютерної програми, навіть виражені в ній та
описані нею, авторським правом не охороняються. Їх захист є
прерогативою іншої галузі права інтелектуальної власності – патентного
права.
Концепція захисту комп’ютерних програм патентним правом має
багато як прихильників, так і противників. Існує ряд дуже істотних
практичних ускладнень, що виникають при патентуванні комп’ютерних
програм:
1. Процедура патентування є дуже тривалою, на її проходження
потрібно від 2 до 5 років, у той час як термін життя самого програмного
забезпечення може бути коротше. Відомо, що комп'ютерні програми дуже
швидко застарівають.
2. Відсутній фонд програмного забезпечення і, таким чином,
можливість виявлення аналогів, прототипів, із якими можна було б
порівняти нове рішення, проводячи патентну експертизу.
3. Оскільки для об’єктів цього типу дуже важко виявити випадки
порушення прав, то повна публікація опису об’єкта, прийнята у патентних
документах, з одного боку, недоцільна, а з іншого – може виявитися
занадто ємною для патентного документа, що більш підходить для
наукової публікації, ніж для патентного опису.
Аргументація прихильників захисту комп’ютерних програм
патентним правом зводиться до наступного:
1. Тривалий термін процедури патентування не є принциповою
перешкодою. По-перше, вважається, що патентний захист одержують
лише нові, оригінальні програмні продукти, виконані на рівні винаходів. А
такі розробки живуть набагато довше терміну експертизи. По-друге, не
складає особливої складності розробка методів проведення швидкої
―чорнової‖ експертизи, таких як виявлення аналогів і прототипів
запропонованого програмного продукту, істотних відмінностей його від
прототипів та інших програм, рівня новизни і т.п., оскільки програмне
забезпечення за самою своєю суттю ідеально пристосоване для
опрацювання на комп’ютері.
2. Велика кількість виданих патентів на об’єкти програмного
забезпечення у таких країнах, як США, Великобританія, ФРН та Японія,
існуюча практика проведення їх експертизи, ціла серія рішень патентних
судів спростовують твердження про те, що об’єкти цього типу взагалі
неможливо порівняти, виявити, розпізнати чи скласти для них патентну
формулу.
3. Проблема відсутності фонду патентних програм для пошуку
аналогів і проведення експертизи навряд чи може стати серйозною
перешкодою при бажанні визнання патентоспроможності комп’ютерних
програм. Адже аналогічні проблеми виникали за всіх часів існування
патентної системи при введенні нових об’єктів охорони і завжди були
переборені.
6. Захист комп'ютерних програм і баз даних в Україні
Відомо, що з травня 1998 року Україна внесена до переліку країн,
де обіг контрафактної продукції набув загрозливих масштабів. Особливе
занепокоєння викликають розміри порушення авторського права і
суміжних прав.
Український Закон містить докладне визначення, згідно з яким
поняття ―комп’ютерна програма‖ означає ―набір інструкцій у вигляді слів,
цифр, кодів, схем, символів чи у будь-якому іншому вигляді, виражених у
формі, придатній для зчитування комп’ютером, які приводять його у дію
для досягнення певної мети або результату‖ та ―охоплює як операційну
систему, так і прикладну програму, виражені у вихідному або
об’єктивному кодах‖.
За опитуванням експертів, проведеним Центром економічного та
політичного дослідження ім. О. Розумкова найгострішою проблемою є
захист комп'ютерних програм і баз даних в Україні (65,3% порушень).
Згідно з Законом України "Про авторське право і суміжні права" від
23 грудня 1993, в новій редакції від 11 липня 2001 року комп'ютерна
програма визначена як "набір інструкцій у вигляді слів, цифр, кодів, схем,
символів чи в будь-якому іншому вигляді, виражених у формі, яку читає
машина, і які приводять її у дію для досягнення певної мети або
результату". Розглядаючи текст літературного твору, можна зробити
висновок, що це також послідовність символів, слів, цифр, які реалізують
певну лінію, зміст твору. Результатом такої спорідненості є той факт, що
комп'ютерні програми охороняються як літературні твори згідно з
Бернською конвенцією про охорону літературних і художніх творів
(Паризький акт від 24 липня 1971, зі змінами від 2 жовтня 1979 року).
Законодавство України у сфері захисту об'єктів інтелектуальної
власності, а саме комп'ютерних програм, умовно можна поділити на такі
блоки:
міжнародні угоди, ратифіковані Верховною Радою України, які є
частиною національного законодавства (Бернська конвенція про охорону
літературних і художніх творів);
спеціальне законодавство в області охорони інтелектуальної
власності (Закон України "Про авторське право і суміжні права", Закон
України "Про захист від недобросовісної конкуренції" тощо);
загальне законодавство (Цивільний, Кримінальний, Митний кодекси
України та інші нормативно-правові акти). Щодо міжнародної охорони
комп'ютерних програм, то важливими є положення Бернської конвенції
про охорону
літературних і художніх творів (Паризький акт від 24 липня 1971, зі
змінами від 2 жовтня 1979 року). Стаття 3 Конвенції містить наступне: "1.
Охорона, передбачена цією Конвенцією, застосовується:
до авторів, які є громадянами однієї з країн Союзу, щодо їх творів,
як випущених у світ, так і не випущених у світ;
до авторів, які не є громадянами однієї з країн Союзу, щодо їх
творів випущених у світ вперше в одній із цих країн. 2. Автори, які не є
громадянами однієї з країн Союзу, але мають своє звичайне місце
проживання в одній із таких країн, прирівнюються для цілей цієї конвенції
до громадян цієї країни".
Необхідно зазначити ще один важливий документ у сфері захисту
прав інтелектуальної власності. Це Угода з торгових аспектів прав
інтелектуальної власності (ТРІПС), яка встановлює межі запобігання
порушенню будь-якого права інтелектуальної власності. Так, у статті 50
Угоди йдеться про необхідність прийняття тимчасових меж без
заслуховування протилежної сторони, коли існує загроза знищення слідів
правопорушення. Головна вимога Угоди ТРІПС - це швидкість та
ефективність усіх заходів. Особливо це стосується власників
комп'ютерних програм під час пошуку, виявлення і арешту незаконних
копій і засобів їх вироблення на території порушника. Існує загроза того,
що коли потенціального порушника викличуть до суду усі докази будуть
знищені.
Аналіз спеціального та загального законодавства у сфері охорони
інтелектуальної власності вказує на існування великої кількості норм, які
передбачають захист прав на об'єкти інтелектуальної власності та
відповідальність за їх порушення. Закон України "Про авторське право і
суміжні права" від 23 грудня 1993, в новій редакції від 11 липня 2001 року
проголошує, що комп'ютерні програми є об'єктами права інтелектуальної
власності і охороняються як літературні твори. Закон забезпечує захист
об'єктів інтелектуальної власності у кримінальному, адміністративному та
цивільному порядку.
Згідно статті 176 Кримінального кодексу України "незаконне
відтворення, розповсюдження творів науки, літератури, мистецтва,
комп'ютерних програм і баз даних... караються штрафом від 100 до 400
неоподатковуваних мінімумів доходів громадян або виправними
роботами на строк до двох років з конфіскацією всіх примірників творів,
матеріальних носіїв комп'ютерних програм, баз даних..."
Захист авторського права у адміністративному порядку
здійснюється шляхом подачі автора заяви до Міністерства культури та
інших міністерств і відомств, або до Державного департаменту
інтелектуальної власності.
Висновок
З початком широкого використання міжнародних мереж передачі даних
загального користування темпи росту мережної злочинності зростають в
геометричної прогресії. За оцінками експертів Міжнародного центру
безпеки Інтернет (CERT) кількість інцидентів пов’язаних з порушенням
мережної безпеки зросла в порівнянні з 2000 роком майже у 10 разів.
Основними причинами, що провокують ріст мережної злочинності є
недосконалі методи і засоби мережного захисту, а також різні уразливості
у програмному забезпеченню елементів, що складають мережну
інфраструктуру.
Основними джерелами небезпек для користувачів Інтернету являється
діяльність хакерів, вірусів та спамів. Існують засоби, що утруднюють
доступ до чужих комп'ютерів – це брандмауери, антивірусне та
антиспамове програмне забезпечення. Велике значення також має
дотримання користувачами правил безпеки під час роботи в Інтернеті.
Для отримання персональної інформації, небезпечні особи
використовують чати, системи обліку миттєвими повідомленнями та
сайти знайомств. Дотримання простих правил в спілкуванні через мережу
Інтернет, дозволить захистити користувача від недобрих намірів
зловмисників.
Використана література
Microsoft. Партнерство в навчанні. "Основи комп'ютерних мереж та
Інтернету". Видавнича група BHV. Київ 2006
О.Г. Пасічник, О.В. Пасічник, І.В. Стеценко. Основи веб-дизайну.
Видавнича група BHV. Київ 2008.
Медведковский И.Д., Семьянов П.В. Атака на Internet. – 2-е издание. – М:
ДМК, 1999.
Вертузаєв М.С., Юрченко О.М. Захист інформації в комп’ютерних
системах від несанкціонованого доступу. Навчальний посібник. К.:
Видавництво Європейського Університету, 2001.
Ермолаев Е. Атака грубой силой. В жур. Хакер (спец. выпуск), №10,2004.
http://uk.wikipedia.org/wiki/%B2%ED%F2%E5%F0%ED%E5%F2
http://uk.wikipedia.org/wiki/Захист_інформації
http://uk.wikipedia.org/wiki/Комплексна_система_захисту_інформації
