Національний університет біоресурсів та природокористування України
Захист даних в комп'ютерних
мережах стає однією з найбільш відкритих проблем в сучасних
інформаційно-обчислювальних системах. На сьогоднішній день сформульовано три
базові принципи інформаційної безпеки, завданням якої є забезпечення:
- Цілісності даних - захист від
збоїв, що ведуть до втрати інформації або її знищення;
- Конфіденційності інформації;
- Доступності інформації для авторизованих
користувачів.
Розглядаючи проблеми, пов'язані
із захистом даних у мережі, виникає питання про класифікацію збоїв і несанкціонування
доступу, що веде до втрати або небажаній зміні
даних. Це можуть бути збої устаткування (кабельної системи, дискових систем,
серверів, робочих станцій і т.д.), втрати інформації (через інфікування комп'ютерними
вірусами, неправильного зберігання архівних даних, порушень прав доступу до
даних), некоректна робота користувачів і обслуговуючого персоналу . Перелічені
порушення роботи в мережі викликали необхідність створення різних видів захисту
інформації. Умовно їх можна розділити на три класи:
- Засоби фізичного захисту;
- Програмні засоби (антивірусні
програми, системи розмежування повноважень, програмні засоби контролю доступу);
- Адміністративні заходи захисту
(доступ до приміщень, розробка стратегій безпеки фірми і т.д.).
На сьогоднішній день існує безліч
причин, які можуть серйозно вплинути на роботу локальних і глобальних мереж,
привести до втрати цінної інформації. Серед них можна виділити наступні:
1 . Несанкціонований доступ
ззовні, копіювання або зміна інформації випадкові або навмисні дії, що
призводять до:
- Спотворення або знищення даних;
- Ознайомлення сторонніх осіб з
інформацією, що становить банківську, фінансову або державну таємницю.
2 . Некоректна робота програмного
забезпечення, що призводить до втрати або псування даних:
- Помилок в прикладному або
мережевому ПЗ;
- Зараження систем комп'ютерними
вірусами.
3 . Технічні збої обладнання,
викликані:
- Відключенням електроживлення;
- Відмовою дискових систем і
систем архівації даних;
- Порушенням роботи серверів,
робочих станцій, мережевих карт, модемів.
4 . Помилки обслуговуючого
персоналу.
Звичайно, універсального рішення,
що виключає всі перераховані причини, немає, проте в багатьох організаціях
розроблені і застосовуються технічні та адміністративні заходи, що дозволяють
ризик втрати даних або несанкціонованого доступу до них звести до мінімуму.
Першим кроком на шляху до цього є
постійний моніторинг мереж. Його можна здійснювати різними способами і найбільш
поширений - це використання відповідних програм. Ці програми отримали назву
сканери або ж сканери безпеки. Такий шлях вирішення питання досить зручний,
адже сканери досить автоматизовані і економлять наш час.
Засоби аналізу захищеності (ЗАЗ), або сканери безпеки, призначені для
автоматизації роботи адміністратора безпеки шляхом пошуку потенційних порушень
політики безпеки та вразливостей ОС. При цьому ЗАЗ можуть виявляти такі види
порушень (вразливості):
·
“люки”
(back door) в програмах
и програми типу “троянський кінь”;
·
слабкі
паролі й неправильні налаштовування механізмів автентифікації;
·
сприйнятливість
до проникнення внаслідок неявних довірчих відношень між системами;
·
сприйнятливість
до атак на відмову в обслуговуванні;
·
неправильні
налаштовування міжмережевих екранів, мережевих і прикладних сервісів;
·
нездатність
засобів захисту системи адекватно реагувати на спроби збору інформації;
ЗАЗ можуть здійснювати сканування системи як “ззовні”, з використанням
для доступу до системи мережевих засобів (network-based), так і “зсередини”, працюючи
безпосередньо на хості, який аналізують (host-based, application-based). Як правило, мережеві сканери також
здатні здійснювати сканування локальної системи через “зворотний” інтерфейс
(127.0.0.1).
Для мережевих ЗАЗ існують дві групи способів виявлення
вразливостей – сканування й зондування.
Сканування (banner check) – механізм
пасивного аналізу, використовуючи який сканер намагається визначити існування
вразливості за непрямими ознаками без фактичного підтвердження її наявності.
Цей метод є найшвидшим і найпростішим для реалізації. Цей процес ідентифікує
відкриті порти, що знайдені на кожному мережевому пристрої, і збирає пов’язані
з портами заголовки (banner), знайдені під час сканування кожного порту. Аналіз
заголовків дозволяє ідентифікувати операційну систему й використовувані сервіси
аж до конкретної версії. На підставі апріорних знань про наявність вразливостей
в тій чи іншій версії ПЗ робиться висновок про наявність або відсутність
вразливості в системі, яку аналізують.
Варто зазначити, що певна функціональність щодо аналізу заголовків
включається навіть в ПЗ, яке призначене лише для сканування мереж (як
розглянутий у попередній роботі Nmap). ПЗ, що спеціально призначене для пошуку вразливостей, обов’язково має
базу даних щодо вразливостей, і механізми її оновлення.
Зондування (active check) – механізм
активного аналізу, який дозволяє впевнитись, чи присутня вразливість на вузлі,
що аналізують. Зондування виконнується шляхом імітування атаки, що використовує
вразливість, яку перевіряють. Цей метод повільніший, чим сканування, але майже
завжди значно точніший. Цей процес використовує інформацію, що була отримана в
процесі сканування, для детального аналізу кожного мережевого пристрою.
Наприклад, в ході сканування можна отримати відомості про відкриті TCP порти №№ 135, 139. Це ознака
використання в мережі служби NetBIOS (майже напевно, на системі, яку сканують, встановлено операційну систему
від Microsoft). При цьому можна
одразу підозрювати численні вразливості, притаманні системам Windows і протоколу NetBIOS. Далі логічною є взаємодія з
системою за протоколом NetBIOS для вивчення наявності загальнодоступних (shared) ресурсів, захищеності цих ресурсів
паролем. При цьому можна отримати відомості про користувачів системи, наявність
можливості адміністрування системи через мережу, тощо. За цими даними можна
отримати детальні й достатньо достовірні відомості про наявність вразливостей.
Також під час зондування можуть використовуватись відомі методи
реалізації атак для того, щоб остаточно підтвердити або спростувати наявність
тих вразливостей, які припускаються за результатами сканування, а також виявити
інші вразливості, які не можуть бути виявлені пасивними методами, як,
наприклад, нестійкість до атак типу “відмова в обслуговуванні” (“denial of
service”).
Необхідною складовою сканера безпеки є система підготовки звітів.
Оскільки основним призначенням цього ПЗ є надання інформації системним
адміністраторам, доброю ознакою якості програми є її здатність не лише виявляти
вразливості, але й надавати рекомендації з їх усунення.
Одним з перших мережевих сканерів був SATAN – System Administrator Tool for Analysis of
the Network. В часи його
появи (перша половина 90-х) ситуація з безпекою в Internet була просто катастрофічна (достатньо
пригадати успішне розповсюдження “віруса Морріса”, який автоматично, без
втручання користувачів, за одну ніч спромігся здійснити проникнення на тисячі
хостів). Тому поява SATAN – засобу, доступного для використання усіма зацікавленими, спричинила
величезний галас. Зрештою, переміг здоровий глузд – неможливо заборонити
розробку і розповсюдження подібних засобів через погану захищеність хостів,
навпаки, слід підтримувати достатній рівень захищеності хостів і для контролю
цього періодично застосовувати сканери безпеки.
Ніколи не можна сподіватись, що ваша система не буде знайдена
зловмисниками, не буде для них цікавою, або вони не будуть достатньо оснащені
або компетентні. Як правило, все відбувається навпаки. Зловмисників багато,
вони добре оснащені, серед них є дуже талановиті і досвідчені. Успіх
адміністратора безпеки ніколи не буває остаточним, оскільки успішними повинні
бути всі без виключення його дії протягом всього часу роботи системи. Але
система може бути скомпрометована внаслідок лише однієї з дуже багатьох спроб
лише одного з дуже багатьох порушників, навіть якщо всі інші спроби виявились
невдалими. Результат – успіх
зловмисника. Тому слід розуміти – адміністратор безпеки повинен постійно
випробувати свою систему “на міцність” (звичайно ж, з дотриманням мір
обачності). Він повинен бути на крок попереду зловмисників, користуючись своєю
обізнаністю щодо особливостей системи.
Пошук вразливостей є ще більш загрозливою активністю в мережі, ніж
сканування портів. Якщо його проводить неуповноважена або некомпетентна особа,
можуть виникнути наслідки, такі як відмова систем або їх компонентів, втрата
або псування інформаційних ресурсів, розголошення конфіденційної інформації.
Але ті ж дії у виконанні грамотних адміністраторів є невід’ємною складовою
мережевої безпеки.
Сканери безпеки бувають комерційні і вільні (безкоштовні). Мабуть,
найвідоміший з комерційних сканерів – Internet Scanner, продукт компанії Internet Security Systems.
З некомерційних сканерів слід відзначити сканер nessus, який складається з ядра, що працює
під керуванням Unix, та клієнтської частини, яка існує для різних систем. Ядро здійснює
сканування, використовуючи базу даних по вразливостям. Клієнтська частина
реалізує інтерфейс користувача. Сканер розповсюджується безкоштовно, з
відкритим кодом.
Дуже широкого поширення набула програма російських розробників XSpider. Хоча її бази даних були розраховані на пошук
вразливостей переважно в системах Windows (для інших платформ програма також надавала певний обсяг інформації, але
він поступався і детальністю, і точністю), програма мала зручний інтерфейс,
надавала детальні звіти, а при застосуванні імітації атак ефективно
використовувала вразливості, в тому числі підбирала слабкі паролі. На жаль,
успіх програми дозволив розробникам перевести її на комерційну основу, остання
безкоштовна версія датована груднем 2002 року.
Також слід пам’ятати, що для платформи Windows існує безкоштовний сканер безпеки
від розробників – Microsoft. Його застосування вимагає повноважень адміністратора, і хоча ніхто не
знає вади Windows краще за
їх творців з Microsoft, деякі вразливості цей сканер може не помічати через те, що розробники
не бажають їх такими визнавати. З іншого боку, цей продукт дуже зручний для
оцінювання поточного стану системи, особливо стосовно встановлення необхідних
оновлень і виправлень.
Список використаної літератури
1.
Документація XSpider 7 (довідник, підручник).
2.
Использование сканеров
безопасности в процессе тестирования сети на устойчивость к взлому, Лепихин В.
Б., Гордейчик С. В. Copyright© 2005, Учебный центр "Информзащита",
Москва – 2006.
3.
Internet Security Systems, Inc. Аналіз захисту. Мережевий чи системний рівень? Керівництво з вибору технології аналізу захищеності.
(http://www.infosec.ru/themes/default/publication.asp?folder=1988&matID=1670)
4.
DRAFT Guideline on Network Security Testing. NIST Special Publication
800–42.