От удаленных и локальных атак

 

Говоря об удаленных атаках, следует отметить, что защита от них взаимосвязана с методами доступа и использованными пользователем ресурсами глобальной сети. Сети являются общедоступными. Удаленный доступ к этим ресурсам может осуществляться анонимно любым неавторизированным пользователем. Примером неавторизированного доступа является подключение к www- или FTP-серверам. В этом случае, если трафик пользователя будет перехвачен, пройдет через сегмент атакующего, то последний не получит ничего, кроме общедоступной информации, т.е. отпадает забота о защите информации. Если же планируется авторизированный доступ к удаленным ресурсам, то следует обратить на эту проблему особое внимание.

Методы защиты связаны также с используемой пользователем операционной системой, имея при этом в виду: собирается ли пользователь разрешать удаленный доступ из сети к своим ресурсам. Если нет, то пользователь должен использовать чисто «клиентскую» ОС (например, Windows 98 или NT Workstation). Удаленный доступ к данной системе в принципе невозможен, что, безусловно, повышает ее безопасность (хотя и не гарантирует ее пол­ностью). Естественно, все ограничения, связанные с безопас­ностью, ухудшают функциональность системы. В связи с этим существует такая аксиома безопасности: «Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности. Чем более удобна, быстра и многофункциональна вычислительная система, тем она менее безопасна». Естественно, полная изоляция компьютера от глобальной сети путем отключения разъема или создания выделенной линии связи обеспечивает абсолютную безопасность от удаленных атак, однако полностью исключает функциональные возможности сетей и поэтому бессмысленна. Основная же цель комплексной защиты информации – обеспечение максимальных функциональных возможностей при максимальной защищенности сети. Среди разнообразных мер по защите от удаленных атак наиболее простыми и дешевыми являются административные меры. Например, как можно защититься от анализа сетевого трафика злоумышленником, если известно, что с помощью программного прослушивания можно перехватить любую информацию, которой обмениваются удаленные пользователи, когда по каналу передаются нешифрованные сообщения? Также известно, что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают элементарную защиту передаваемых по сети идентификаторов (имен) и аутентификаторов (паролей).

Поэтому администраторы сетей могут запретить использовать эти базовые протоколы для предоставления авторизированного доступа к ресурсам своих систем. При необходимости можно рекомендовать средства защиты этих протоколов.

Определенную опасность представляет использование так называемого протокола ARP. Этот протокол осуществляет поиск и сопоставление IP-адреса с адресом конкретной локальной сети (например, Ethernet) и направление следования именно по этому адресу. Перехваченный IP-пакет может быть в данном случае направлен по ложному адресу (по ложному ARP-серверу). Чтобы устранить эту неприятность, связанную с отсутствием у ОС каждого хоста необходимой информации о соответствующих IP- и Ethernet-адресах остальных хостов внутри данного сегмента сети, сетевой администратор создает статическую ARP-таблицу в виде файла, куда вносится необходимая информация об адресах. Данный файл устанавливается на каждый хост внутри сетевого сегмента, и, следовательно, у сетевой ОС отпадает необходимость использования удаленного ARP-поиска.

Известна также уязвимость адресной службы DNS, что позволяет кракеру получить глобальный контроль над соединениями путем навязывания ложного маршрута через хост кракера – ложный
DNS-сервер. Это приводит к катастрофическим последствиям для огромного числа пользователей. Защита от ложного DNS-сервера – достаточно сложная задача, однако и в этом случае могут быть предложены административные методы, которые могут предотвратить установление такого глобального контроля или защитить подобную удаленную систему. Разработаны административные меры от навязывания ложного маршрута, защиты от отказа в обслуживании и от других причин нарушения безопасности информации.

Признавая важность административных мер защиты от удаленных атак, тем не менее, следует считать, что основную роль играют все же программно-аппаратные методы защиты. Центральным элементом в комплексе программно-аппаратных методов является криптография. В течение многих лет криптография использовалась исключительно в военных целях с привлечением и внедрением фундаментальных научных исследований (достаточно вспомнить работы А. Тьюринга и их практическую реализацию в крупном вычислительном комплексе в Великобритании в период второй мировой войны). Агентство национальной безопасности АНБ Соединенных Штатов Америки и его аналоги в бывшем Советском Союзе, Англии, Франции, Израиле и других странах затратили миллиарды долларов на разработку криптографических методов, пытаясь обеспечить безопасность собственных линий связи и одновременно – взломать все чужие. Как правило, работы этих ведомств по данной тематике носили секретный характер. В последние 20 – 30 лет наблюдается бурный рост несекретных академических исследований в области криптографии. Сегодня современная компьютерная криптография широко практикуется и за стенами военных ведомств, что, безусловно, связано с расширением сферы деятельности людей, в которых возникает потребность в криптографических методах защиты информации. Это научное направление имеет очень серьезное теоретическое (математическое, алгоритмическое) обоснование и связано с работами таких выдающихся ученых, как упоминавшийся выше Алан Тьюринг, Клод Шеннон, Давид Кан и др. В открытой печати уже появилось довольно много публикаций, учебников и солидных монографий по криптографии [11], [12], [13].

Конкретная реализация методов криптографии связана с разработкой аппаратных и программных средств, так, например, мейнфреймы фирмы IBM, начиная с 90-х годов оснащаются криптографическими процессорами, обеспечивающими шифрование и дешифрование сообщений с минимальной дополнительной нагрузкой на центральный процессор. Эти спецпроцессоры могут обрабатывать большие объемы данных и обеспечивать высокий уровень защищенности вычислительных систем. Важную роль в реализации криптографических методов играет разработка генераторов «истинно случайных» чисел и другие исследования.

В качестве примера применения криптографических методов рассмотрим процедуру защиты IP-протокола в глобальной сети Интернет. Обеспечить безопасность глобальной сети Интернет особенно трудно, поскольку дейтаграммы, передающиеся от отправителя до конечного получателя, проходят через несколько промежуточных сетей и маршрутизаторов, не контролируемых ни отправителем, ни получателем. Таким образом, поскольку дейтаграммы могут быть перехвачены без ведома отправителя, их содержимому нельзя доверять. Например, рассмотрим сервер, который использует процедуру аутентификации источника для проверки того, что запросы поступают от авторизированных клиентов. Процедура аутентификации источника требует, чтобы сервер при получении каждой дейтаграммы проверял IP-адрес отправителя, и принимал запросы только от компьютеров, адреса которых перечислены в специальном списке. Данный вид аутентификации обеспечивает слабую защиту, поскольку ее можно легко обойти. В частности, один из промежуточных маршрутизаторов может контролировать трафик проходящих через него дейтаграмм и фиксировать IP-адреса авторизированных клиентов, которые могут быть перехвачены любым злоумышленником, контролирующим этот маршрутизатор. Затем этот злоумышленник может выступить в роли авторизированного клиента.

Группа IETF (Internet Engineering Task Forse) – инженерная группа, входящая в структуру архитектурного совета Интернет, разработала набор протоколов, которые обеспечивают безопасную связь в глобальной сети. Все вместе они называются семейством протоколов IPsec (IP security или защитным протоколом IP). В этих протоколах аутентификация и шифрование данных выполняются на уровне протокола IP.

Методы криптографии, применяемые при разработке разнообразных криптопротоколов, составляют основу программных методов защиты информации в сетях. В то же время они являются составной частью так называемой методики Firewall, являющейся сейчас основой программно-аппаратных средств осуществления сетевой политики безопасности в IP-сетях и реализующих следующие функции:

Многоуровневая фильтрация сетевого трафика. Фильтрация обычно происходит на четырех уровнях OSI:

канальном (Ethernet);

сетевом (IP);

транспортном (TCP, UDP);

прикладном (FTP, TELNET, HTTP, SMTP и т.д.).

Фильтрация сетевого трафика является основной функцией системы Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику в выделенном сегменте IP-сети. Настроив для этого соответствующим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящимся в защищенном сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети.

Proxy – схема с дополнительной идентификацией и аутентификацией пользователей. Смысл proxy-схемы заключается в создании соединения с конечным адресатом через промежуточный сервер, называемый proxy-сервером (proxy – полномочный), на хосте Firewall.

Создание приватных сетей с виртуальными IP-адресами. Если администратор безопасности считает целесообразным скрыть истинную топологию своей внутренней IP-сети, он может использовать proxy-сервер для отделения своей внутренней приватной сети со своими внутренними виртуальными IP-адресами, которые, очевидно, непригодны для внешней адресации. При этом proxy-сервер должен осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Эти же схемы применяются и в том случае, если для создания IP-сети выделено недостаточное количество IP-адресов. Основным аппаратным компонентом для реализации методики управления доступом к объединенной сети является специализированное устройство называемое брандмауэром, ассоциируемое с термином Firewall (термин брандмауэр позаимствован из строительства, где он обозначает толстую несгораемую стену, благодаря которой секция строения становится непроницаемой для огня). Обычно «брандмауэр» устанавливается между внутренней сетью организации и каналом, ведущим к внешним сетям (например, к глобальной сети Интернет), брандмауэры разделяют объединенную сеть на две области, которые неофициально называются внутренней и внешней. Хотя сама идея брандмауэра проста, ее реализация усложняется множеством факторов. Один из них – внутренняя сеть организации может иметь несколько внешних соединений. При этом необходимо сформировать периметр безопасности (security perimeter), установив брандмауэр на каждое внешнее соединение. Чтобы гарантировать эффективность периметра безопасности, во всех брандмауэрах должны использоваться одинаковые ограничения доступа. В противном случае злоумышленники могут обойти ограничения, наложенные одним брандмауэром, и зайти в объединенную сеть через другой.

Существует несколько способов реализации брандмауэров [10]. Выбор способа зависит от того, какое количество внешних каналов существует в организации. В большинстве случаев каждый барьер в брандмауэре реализуется на основе маршрутизатора, содержащего фильтр пакетов. Чтобы брандмауэр не замедлял работу сети, его аппаратное и программное обеспечение должно быть оптимизировано на решение конкретной задачи. Решению этой задачи способствует и тот факт, что в большинство коммерческих маршрутизаторов включен быстродействующий механизм фильтрации пакетов, который выполняет основную часть работы.

На практике, как правило, возникает необходимость создать безопасный брандмауэр, который предотвратит нежелательный доступ извне, и в то же время позволит пользователям внутренней сети получить доступ к внешним службам. При этом необходимо выработать специальный механизм безопасности. В общем случае организация может обеспечить доступ к внешним службам только через защищенный компьютер. Поэтому обычно с каждым брандмауэром связывают один защищенный компьютер и устанавливают на этом компьютере набор шлюзов уровня приложения. Для того чтобы такой компьютер мог служить в качестве безопасного канала связи, его степень защиты должна быть очень высока. Поэтому такой компьютер часто называют бастионным узлом. На бастионном узле запускаются службы, которые организация хочет сделать видимыми извне, а также proxy-серверы, которые позволяют внутренней сети получить доступ к внешним серверам. В брандмауэре также может использоваться так называемая «тупиковая сеть», которая позволяет изолировать внешний трафик от внутреннего. К этой сети подключаются брандмауэры, а также бастионный узел.

Все брандмауэры можно разделить на три типа:

пакетные фильтры (packet filter);

серверы прикладного уровня (application gateways);

серверы уровня соединения (circuit gateways).

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры.Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая IP-адреса, флажки или номера TCP-портов в заголовке этого пакета. IP-адрес и номер порта – информация сетевого и транспортного уровней соответственно, но пакетные фильтры используют и информацию прикладного уровня, так как все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта.

Серверы прикладного уровня.Брандмауэры с серверами прикладного уровня используют серверы конкретных сервисов – TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Использование серверов прикладного уровня позволяет решить важную задачу – скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне.

При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый временной диапазон использования сервиса, компьютеры, с которых можно пользоваться сервисом, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты – взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Серверы уровня соединения.Сервер уровня соединения представляет собой транслятор TCP-соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, тогда как источников может быть много (соединение типа «один со многими»). Используя различные порты, можно создавать различные конфигурации. Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Говоря о программных средствах защиты информации необходимо отметить, что конечной целью атаки кракера является определенный компьютер, с конкретной реализацией сетевых протоколов, с конкретной определенной системой. В связи с этим необходимо коснуться защиты операционных систем. Среди типичных атак, которым могут быть подвергнуты любые ОС, можно указать следующие [6]:

кража пароля (подглядывание за несколькими пользователями, получение из файла, кража носителей и т.п.);

подбор пароля (перебор возможных вариантов, включая оптимизированный перебор);

копирование «жестких» дисков компьютера;

сбор «мусора»: если средство ОС позволяют восстанавливать ранее удаленные объекты, злоумышленник может получить доступ к удаленным объектам (удаленных другими пользователями), просмотрев содержимое их мусорных корзин;

превышение полномочий: используя ошибки в программном обеспечении или администрировании ОС, злоумышленник получает полномочия, превышающие те, которые предоставлены ему согласно действующей политике безопасности;

отказ в обслуживании (целью этой атаки является частичный или полный вывод ОС из строя, как правило, с помощью вирусов).

Самой распространенной ОС в глобальной сети Интернет является ОС Unix, основными протоколами, определяющими сети Интернет, являются протоколы TCP/IP, которые были разработаны для ОС Unix. Не менее 90 % мощных Интернет-узлов работают под управлением этой ОС и различных ее диалектов. Основные концепции Unix разрабатывались в конце 60-х – начале 70-х годов прошлого столетия, когда не было никакой теории компьютерной безопасности, и никто не подозревал, о тех крупных неприятностях, которые возникнут по мере развития сетевых технологий.

Современные сетевые операционные системы оказываются в заведомо более выгодном положении, поскольку они разрабатывались с учетом ошибок Unix и современной ситуации с безопас­ностью сетей. Однако это вовсе не говорит об их большей безопасности.

За долгий срок жизни Unix исследователями написаны, а администраторами изучены сотни статей и книг относительно механизмов безопасности Unix и способов их нарушения. Все это позволяет предположить, что никаких сюрпризов Unix больше не преподнесет.

С новыми ОС ситуация прямо противоположная. И хотя в них заложены концепции, согласующиеся с современным состоянием теории безопасности, у них очень малый срок эксплуатации. Они активно исследуются хакерами и кракерами, и, несмотря на опыт Unix, начинают проходить тот же самый путь и совершать те же самые ошибки в обеспечении безопасности.

В дополнение к гл. 6 следует добавить несколько замечаний о структуре средств информационной безопасности ОС Unix и наиболее слабых ее местах. Как известно, изначально Unix была ориентирована на централизованные вычисления в системах коллективного пользования как многозадачная, многопользовательская ОС. Пользователи системы разделялись на группы, в зависимости от прав доступа (или привилегий):

суперпользователь (root), имеющий неограниченные права;

обычный пользователь, имеющий права в рамках своего идентификатора (UID, user ID) и членство в группе (GID, group ID) – права и ограничения устанавливаются для него суперпользователем.

По мере развития ОС и использования Unix-машин в качестве серверов в глобальных сетях среди обычных пользователей выделялись так называемые специальные пользователи. Они, как правило, имеют зарегистрированные имена (guest, bin, uucp и т.п.) и номера UID и GID. Прав у этого пользователя еще меньше, чем у обычного. Их устанавливает суперпользователь для работы с конкретными приложениями. Одним из интересных примеров специального пользователя является анонимный пользователь FTP, который так и называется anonymous, или ftp.

И, наконец, есть категория так называемых псевдопользователей, не имеющих никаких прав и не идентифицируемых системой. Но они могут подключаться к системе с помощью так называемых программ-демонов (в современной терминологии серверов), в частности, используя средства электронной почты e-mail. От этого пользователя не требуется аутентификации, учет по нему также не ведется.

Именно две последние категории пользователей (особенно последняя) и являются причиной основных неприятностей в OC Unix с точки зрения информационной безопасности. Среди основных причин уязвимости Unix принято считать наличие демонов; механизм SUID/SGIN; излишнее доверие (поскольку в не столь давние времена создатели делали систему «под себя», не подозревая, насколько теснее и опаснее станет компьютерный мир через несколько лет); «люки».

Механизм SUID/SGIN – атрибут, который предоставляет право иметь привилегии суперпользователя, в частности возможность смены идентификатора (собственного пароля).

Также слабым местом Unix-систем являются «люки». Люком, или «черным входом» (backdoor), часто называют оставленную разработчиком недокументированную возможность взаимодействия с системой (чаще всего – входа в нее), например известный только разработчику универсальный «пароль». Люки оставляют в конечных программах вследствие ошибки, не убрав отладочный код, или вследствие необходимости продолжения отладки уже в реальной системе из-за ее высокой сложности, или же из корыстных интересов. Люки – любимый путь в удаленную систему не только у хакеров, но и у журналистов, и режиссеров вместе с подбором «главного» пароля перебором за минуту до взрыва, но в отличие от последнего способа люки реально существуют. Классический пример люка – это, конечно, отладочный режим в sendmail.

Учитывая динамику развития ОС Unix в настоящее время, можно сказать, что она является наиболее мощной и надежной, в том числе и с точки информационной безопасности системы.

На рынке достаточно много предложений средств защиты Интернет, однако по ряду параметров ни одно из них не может быть признано адекватным задачам защиты информации именно для Интернет. Например, достаточно криптостойкой и замечательной по своей идее является распространенная система PGP (Pritty good privacy). Однако, поскольку PGP обеспечивает шифрование файлов, она применима только там, где можно обойтись файловым обменом. Защитить, например, приложения «on-line» при помощи PGP затруднительно. Кроме того, уровень иерархии управления защиты PGP слишком высок: эту систему можно отнести к прикладному или представительскому уровням модели OSI. Стыковка защиты PGP с другими прикладными системами потребует также определенных усилий, если, конечно, вообще окажется осуществимой. Альтернативу таким «высокоуровневым» системам защиты среди традиционных решений составляют устройства защиты канального и физического уровня – скремблеры и канальные шифраторы. Они «невидимы» с прикладного уровня и, в этом смысле, совместимы со всеми приложениями. Однако такие системы имеют ограниченную совместимость с различным каналообразующим оборудованием и физическими средами передачи данных. Это, как правило, не сетевые устройства, способные распознавать топологию сети и обеспечить связь из конца в конец через многие промежуточные узлы, а «двухточечные» системы, работающие на концах защищаемой линии и поэтому вносящие значительную аппаратную избыточность. И, конечно же, на таких устройствах невозможно построить систему защиты в рамках такой сети, как Интернет, уже хотя бы потому, что невозможно обеспечить их повсеместное распространение (вследствие высокой цены) и всеобщую аппаратную совместимость.

В заключение этого краткого обсуждения методов защиты информации следует отметить, что люди представляют собой наиболее уязвимое звено в любой системе безопасности. Служащий фирмы либо по злому умыслу, либо по неосторожности, либо, не зная принятой в организации стратегии, может поставить под угрозу самую современную систему безопасности. В изучении методов защиты информации сложилось даже целое направление – социальная инженерия, связанная со злоупотреблением доверия пользователей, например, как одним из наиболее эффективных методов получить информацию у ничего не подозревающих людей, особенно в больших организациях, где многие пользователи не знают персонал своих компьютерных подразделений «в лицо», общаясь, в основном, по телефону. По определению самих хакеров «социальная инженерия» – термин, используемый взломщиками и хакерами для обозначения несанкционированного доступа другим способом, чем взлом программного обеспечения; цель – обмануть людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону, электронную почту, разговоры по Интернет в «реальном времени», обыкновенную почту, личные встречи и т.п.