Резонно заметить,- если человек имеет СВОЙ дом, он всегда снабжен запором, даже если он совершенно пустой и в нем никто не живет. Это не вызывает никаких недоумений. Всем также понятно, что возымей кто-нибудь желание открыть запор, он это сделает, насколько бы хорош он(запор) ни был.
Internet - высокоскоростная улица, а локальные сети - те же дома. Прокси сервера и FireWall'ы - те же замки. Только наши с вами ассоциации о ворах-домушниках и хаккерах будут несколько натянутыми. Хаккеры - целая неформальная организация, имеющая свои Web сервера, лозунги и лидеров. В настоящее время исповедуется даже тенденция по признанию хаккеров "добрыми волшебниками", помогающими неквалифицированным сетевым админисраторам исправлять ошибки в сети, и всячески помогать и способствовать, например, подставляя патчи, без его ведома. Ангелы-хранители, прямо. Но, как сказал кто-то из мудрых, "в дейсвительности все совсем не так, как на самом деле".
Ушли те времена, когда стать хаккером было лишь уделом высококвалифицированных программистов, тративших годы на самообразование. В настоящее время хаккеры нового поколения пользуются уже давно существующими инструментариями и схемами атак на системы, лишь комбинируя ими, ища слабые места в защите. Масса таких взломщиков потенциально куда более опасна, чем несколько тех, кто пишет такие сценарии самолично, являясь гораздо более квалифицированными и потому более ответсвенными за свои действия людьми.
В настоящее время почти 80% абонентов подключаются к Internet по коммутирумым каналам. Риск потери данных в данном случае гораздо меньше, чем при выделенном соединении, т.к сединение в этом случае является чаще всего недолговременным, иницируется всегда пользователем сети и, кроме того, часто при разнесенных во времени соединениях используются различные IP адреcа. Так называемая динамическая IP адресация, популярная при данном виде соединения. Но все это не значит, что нужно отказаться от защиты вообще. Ограничение доступа и журнал доступа пользователей в сеть Internet, одновременная работа многих пользователей по одному коммутируемому соединению и защита от прямой видимости машин вашей сети в Internet все равно вызывают у администратора сети приступы унылых раздумий. В таких случаях используются Proxy сервера. Наиболее модным представителем которых, является сейчас WinProxy фирмы LanProject (www.winproxy.cz), на который не могут нарадоваться ни пользователи ни тестеры вот уже полгода. Конечно защита не является самым большим достоинством прокси серверов, но в случае коммутируемого соединения она достаточна.
Наиболее популярными системами подключения к Internet в США и все больше и больше в Западной Европе становяться Internet серверы. (Скоро видимо дойдет и до России). Это программно-аппаратные комплексы содержащие все для подключения и работы с Internet и Intranet, а именно, Web сервера, почтовые сервера, системы защиты FireWall (обычно достаточно мощные), а также все необходимое оборудование. Так называемые "all-in-one" или "solution-in-the-box". Iniiaiay i?e?eia eo iiioey?iinoe, по сравнению с традиционными решениями, - anaiauaieyueе возможности за гораздо меньшие деньги. Они модифицируются под коммутируемые каналы, ISDN, выделеные синхронные каналы и даже Dual Ethernet. На примере наиболее популярного из них - TEAM Internet фирмы Apexx Technology Inc. можно рассмотреть пример грамотного построения защиты локальной сети.
Наиболее надежные и вместе м тем простые схемы защиты построены на нескольких правилах, удовлетворению которым должен соответствовать каждый входящий в вашу сеть пакет данных TCP/IP. Например, одна из самых надежных моделей защиты используемая во многих продуктах, в том числе и TEAMInternet такова:
1. Разрешать любому из вашей сети доступ к любому ресурсу в Internet;
2. Разрешать каждому компьютеру в сети иметь доступ к административным утилитам системы защиты (в случае с TEAMInternet - TEAMPage), при условии, что он предоставляет верный пароль доступа;
3. Никому из Internet не разрешать доступ в вашу сеть и к системе защиты.
Несмотря на кажущуюся тривиальность такая схема и является наиболее надежной. Система защиты и компьютеры вашей сети защищены от неавторизованного доступа в основном третьим правилом. Это правило говорит, что любой пакет из Internet отвергается, если не выполняется следующее:
1. Пакет не должен являться попыткой инициировать соединение с системой защиты или с компьютером в локальной сети;
2. Пакет не должен иметь активизированный блок маршрутизации от источника
3. Пакет не может быть направлен к какому-либо TCP/IP порту приложения любого компьютера в сети;
4. Пакет не может быть перенаправлен к любому компьютеру в сети до тех пор пока не приняты все его фрагменты и все они прверены по правилам защиты (ещё один популярный вид взлома);
5. Пакет всегда должен быть ответом на запрос любого текущего соединения инициированного системой защиты или компьютеров из вашей локальной сети.
Проще говоря третье правило гласит:"Если никто из вашей сети не запрашивал данный пакет, его необходимо отвергнуть."
Типы взломов.
1. Соединение с агентом удаленного доступа используя украденный либо подобранный пароль. Многие компьютеры в Internet предоставляют возможность для удаленного доступа к своим системам через Internet. Для того чтобы получить доступ к системе достаточный для нанесения вреда или для получения конкурирующей информации система всегда запрашивает пароль.
Существуют программы, доступные через Internet, способные подбирать пароли. Если пароль подобран верно, взломщик имеет доступ к системе и способен натворить "чудес". Для систем типа TEAMInternet этот тип взлома не страшен, т.к. они не имеют сервиса удаленного доступа.
2. Развитие и проникновение сквозь ошибку ("дыру" в защите) в компьютерномй системе программного обеспечения. Взломщик может обнаружить ранее неизвестный метод для "обмана" системы защиты в месте доступа в вашу сеть.
TEAMInternet использует тоже самое программное обеспечение, что и наиболее сложные и исследованные продукты защиты Такие типы прорыва определяются таким программным обеспечением, давно хорошо изучены и легко блокируются TEAMInternet.
3. Взломщик может обмануть кого-нибудь в вашей сети с доступом к вашей системе защиты для изменения конфигураций с целью скомпрометировать её непробиваемость. Он может представиться от кого-нибудь из фирмы производителя вашей системы защиты и попросить подменить файлы или, например, разрешить доступ для обеспечения Update файлом, делающим вашу систему беззащитной.
4. Пользователь компьютера в вашей сети может иметь доступ к потенциально опасному сервису, который может синсталировать вирус на ваш компьютер. Обычно такие типы атаки включают:
1. Макро вирусы Word. Они могут распространяться как часть присоединений в электронной почте и активизируются при открытии файла в редакторе MS Word.
2 Так называемые Add-Ins программы просмотрщиков Web. Это небольшие приложения, которые загружаются на компьютер при доступе на определенные сайты в Internet. Они включают:
3 Microsoft Active-X
4 Модули Plug-In для Netscape
5 Java апплеты
Против последних двух типов атак не защищено ни одно приложение. Но существует множество программ типа Cheyenne Inoculan c агентами для разного вида почтовых систем. Достаточно часто пускаемые антивирусные программы на компьютерах и серверах могут значительно снизить вероятность безвозвратной утраты данных либо порчи, требующей длительного восстановления. Важно также предупреждать пользователей о потенциальной опасности открытия файловых присоединений в сообщениях электронной почты.
Особенно важно держать в секрете пароли с правами администратора. Системы же типа Lotus Notes вообще позволяют входить только при наличии определенного для каждого пользователя идентификационного файла, помимо этого требуется и пароль. Более того, некоторые администараторские задачи настраиваются так, что для доступа к ним необходимо сразу двое и даже более человек.
Каждая из систем защиты снабжена журналом событий, по которым можно отследить попытки взлома системы. Например, регистрируются все отвергнутые пакеты, пришедшие из Internet. Но это совсем не значит, что при наличии записи об отвергнутом пакете, вы обязательно подверглись нападению. Чаще всего такие записи могут говорить о неверных настройках вашей сети, могут быть сигналом того, что кто-из вашей сети попытался атаковать другой компьютер в Internet. В числе наиболее часто встречающихся причин распространения таких пакетов бывает неправильная настройка маршрутизации пакетов у оборудования вашего Internet провайдера.
Каким бы способом вы ни соединялись с Internet, вы должны думать о безопасности, хотя по всей видимости идеальной защиты не существует. Хаккеры презрительно отзываются о Novell и Windows NT, хвастаясь, что им доступны исходные тексты операционных систем, и они не соответствуют их представлениям о квалифицированной защите. Но оставлять ворота нараспашку, только потому что у кого-то есть ключ от вашего замка, не стоит.
Вячеслав Глушков,
главный
специалист,
InterProCom LAN
C уважением, Павел Нагаев . Июль 10, 2000 .
Источник: http://www.rudata.ru/ntadvice/russia/articles/security/