Современные информационные технологии/4.
Информационная безопасность.
К.т.н. Шадхін В.Ю., Мещеряков А.А, Фесюк І.В.
Київський Національний університет технологій та
дизайну
Аналіз погроз інформаційної безпеки й засоби захисту від
них
Вступ
Інформаційна безпека
не є запорукою безпеки компанії, інформації й комп'ютерних систем. На жаль,
забезпечити надійний захист "змахом чарівної палички" не можливо. Але
реалізувати її на високому рівні цілком реально, хоча концепції, що лежать у її
основі не прості.
Інформаційна
безпека - це система, що дозволяє виявляти вразливі місця організації,
небезпеки, що загрожують їй, і справлятися з нею. На жаль, відомо багато
прикладів, коли продукти, що вважаються "ліками на всі випадки
життя", насправді не давали належного ефективного захисту. А їх виробники,
заявляли про те, що саме їх продукт вирішує всі проблеми безпеки.
Класифікація мережевих атак і засобів
боротьби
Мережеві атаки
настільки ж різноманітні, як і системи, проти яких вони спрямовані. Мережа
Інтернет створювалася для зв'язку між державними установами та університетами з
метою надання допомоги навчального процесу та наукових досліджень. Творці цієї
мережі не підозрювали, наскільки широке поширення вона отримає. У результаті в
специфікаціях ранніх версій Інтернет-протоколу (IP) були відсутні вимоги
безпеки.
a)
Сніффер
пакетів
Сніффер пакетів
представляє собою прикладну програму, яка використовує мережеву карту, що
працює в режимі promiscuous mode (у цьому режимі всі пакети, отримані по
фізичних каналах, мережевий адаптер відправляє додатком для обробки). При цьому
сніффер перехоплює усі мережні пакети, які передаються через певний домен. В
даний час сніффери працюють в мережах на цілком законній підставі. За допомогою
сніфферів можна дізнатися корисну, а іноді і конфіденційну інформацію
(наприклад, імена користувачів і паролі).
Знизити загрозу сніффінга пакетів можна
за допомогою таких засобів:
• Автентифікація. Сильні засоби автентифікації є
найважливішим способом захисту від сніффінга пакетів. Під «сильними» ми розуміємо
такі методи автентифікації, які важко обійти. Прикладом такої автентифікації є
одноразові паролі (One-Time Passwords, OTP).
• Комутована інфраструктура. Ще одним засобом боротьби зі
сніффінгом пакетів у мережевому середовищі є створення комутованій
інфраструктури. Якщо у всій організації використовується комутований Ethernet,
хакери можуть отримати доступ тільки до трафіку, що надходить на той порт, до якого
вони підключені.
• Антисніффери. Цей засіб боротьби зі сніффінгом полягає
в установці апаратних чи програмних засобів, які розпізнають сніфери, які
працюють у мережі.
• Криптографія. Це самий ефективний засіб боротьби зі
сніффінгом пакетів хоча й не запобігає перехоплення і не розпізнає роботу
сніффер, але робить цю роботу марною.[1]
b)
IP-спуфінг
IP-спуфінг
відбувається в тому випадку, коли хакер, що знаходиться усередині корпорації
або поза її межами, видає себе за санкціонованого користувача.
Загрозу спуфінга можна послабити за допомогою
перерахованих заходів:
• Контроль доступу. Найпростіший засіб запобігання
IP-спуфінга полягає в правильному підборі управління доступом.
• Фільтрація RFC 2827. Адміністратор може припинити
спроби спуфінга чужих мереж користувачами своє мережі. Для цього необхідно
відбраковувати будь-який вихідний трафік, початкова адреса якого не є одним з
IP-адрес вашої організації.
Найбільш
ефективний метод боротьби з IP-спуфінга - той же, що і у випадку зі сніффінгом
пакетів: необхідно зробити атаку абсолютно неефективною. IP-спуфінг може
функціонувати тільки за умови, що автентифікація відбувається на базі IP-адрес.
Тому впровадження додаткових методів автентифікації робить подібні атаки
марними.
c)
Відмова
в обслуговуванні
Denial of Service (DoS), без сумніву, є найбільш відомою
формою хакерських атак. Серед хакерів атаки DoS вважаються дитячою забавкою, а
їх застосування викликає зневажливі усмішки, оскільки для організації DoS
потрібно мінімум знань і умінь. Тим не менше саме простота реалізації і
величезні масштаби завданої шкоди залучають до DoS пильну увагу адміністраторів,
що відповідають за мережеву безпеку.
Більшість атак
DoS розраховані не на програмні помилки або проломи в системі безпеки, а на
загальні слабкості системної архітектури.
Загроза атак типу DoS може бути знижена трьома способами:
• Функції антиспуфінга. Правильна конфігурація функцій
антиспуфінга на маршрутизаторах і міжмережевих екранах допоможе знизити ризик
DoS.
• Функції анти-DoS. Правильна конфігурація функцій
анти-DoS на маршрутизаторах і міжмережевих екранах здатна обмежити ефективність
атак. Ці функції часто обмежують кількість напіввідкритих каналів у будь-який
момент часу.
• Обмеження обсягу трафіку (traffic rate limiting).
Організація може попросити провайдера (ISP) обмежити обсяг трафіку. Цей тип
фільтрації дозволяє обмежити обсяг некритичного трафіку, що проходить по вашій
мережі. Типовим прикладом є обмеження обсягів трафіку ICMP, який
використовується тільки для діагностичних цілей.
d)
Парольні
атаки
Хакери можуть
проводити парольні атаки за допомогою цілого ряду методів, таких як простий
перебір (brute force attack), троянський кінь, IP-спуфінга і сніффінг пакетів.
Хоча логін і пароль найчастіше можна отримати за допомогою IP-спуфінга і
сніффінга пакетів, хакери нерідко намагаються підібрати пароль і логін,
використовуючи для цього численні спроби доступу. Такий підхід носить назву
простого перебору (brute force attack).
Часто для такої
атаки використовується спеціальна програма, яка намагається отримати доступ до
ресурсу загального користування (наприклад, до сервера).
Парольних атак
можна уникнути, якщо не користуватися паролями в текстовій формі. Одноразові
паролі або криптографічний автентифікація можуть практично звести нанівець
загрозу таких атак. Нажаль, не всі програми, хости і пристрої підтримують
вищезгадані методи автентифікації.[2]
e)
Атаки
типу Man-in-the-Middle
Для атаки типу
Man-in-the-Middle хакеру потрібен доступ до пакетів, що передаються по мережі.
Такий доступ до всіх пакетів, що передаються від провайдера в будь-яку іншу
мережу, може отримати співробітник цього провайдера. Для атак даного типу часто
використовуються сніффери пакетів, транспортні протоколи та протоколи
маршрутизації.
Ефективно
боротися з атаками типу Man-in-the-Middle можна тільки за допомогою
криптографії.
f)
Атаки на
рівні додатків
Атаки на рівні
додатків можуть проводитися кількома способами. Найпоширеніший з них -
використання відомих слабкостей серверного програмного забезпечення (sendmail,
HTTP, FTP).
Головна
проблема при атаках на рівні додатків полягає в тому, що хакери часто
користуються портами, яким дозволений прохід через міжмережевий екран.
Заходи, які
можна зробити, щоб знизити уразливість для атак цього типу – це читати
лог-файли операційних систем і мережеві лог-файли або аналізувати їх за
допомогою спеціальних аналітичних додатків;[3]
g)
Мережева
розвідка
Мережева
розвідка - це збір інформації про мережу за допомогою загальнодоступних даних і
додатків. При підготовці атаки проти будь-якої мережі хакер, як правило,
намагається отримати про неї якомого більше інформації.
Методи захисту:
• використання найсвіжіших версій операційних систем і
додатків і найостанніших корекційних модулів («патчів»);
• використання систем розпізнавання атак (IDS).
h)
Зловживання
довірою
Цей тип дій не
є в повному сенсі слова атакою чи штурмом. Він являє собою зловмисне
використання відносин довіри, що існують у мережі. Класичним прикладом такого
зловживання є ситуація в периферійній частині корпоративної мережі. У цьому сегменті
часто розташовуються сервери DNS, SMTP і HTTP. Оскільки всі вони належать до
одного й того ж сегменту, злом будь-якого з них призводить до злому всіх інших,
тому що ці сервери довіряють іншим системам своєї мережі.
Ризик
зловживання довірою можна знизити за рахунок більш жорсткого контролю рівнів
довіри в межах своєї мережі.
i)
Переадресація
портів
Переадресація
портів є різновидом зловживання довірою, коли зламаний хост використовується
для передачі через міжмережевий екран трафіку, який в іншому випадку був би
обов'язково відбракований.
Основним
способом боротьби з переадресацією портів є використання надійних моделей
довіри.
j)
Віруси і
додатки типу «троянський кінь»
Робочі станції
кінцевих користувачів дуже уразливі для вірусів і троянських коней. Вірусами
називаються шкідливі програми, які впроваджуються в інші програми для виконання
певної небажаної функції на робочій станції кінцевого користувача.
Троянський кінь
- це не програмна вставка, а справжня програма, яка на перший погляд здається
корисним додатком, а на ділі виконує шкідливу роль.
Боротьба з
вірусами та троянськими кіньми ведеться за допомогою ефективного антивірусного
програмного забезпечення, що працює на рівні користувача і, можливо, на рівні
мережі.[4]
Висновок
Таким чином, у мережі не повинна перебувати інформація,
розкриття якої приведе до серйозних наслідків. Навпаки, у мережі необхідно
розміщати інформацію, поширення якої бажане її власникові. При цьому завжди
необхідно враховувати той факт, що в будь-який момент ця інформація може бути
перехоплена, перекручена або може стати недоступною. Отже, мова повинна йти не
про захищеність Internet, а про забезпечення розумної достатності інформаційної
безпеки мережі.
Звичайно, це не
скасовує необхідності ознайомлення користувача з багатим і увесь час зростаючим
арсеналом програмних і апаратних засобів забезпечення інформаційної безпеки
мережі. Проте варто відзначити, що ці засоби не в змозі перетворити мережу в досконале
захищене середовище.
Список використаних джерел:
1. Прикладная криптография. /Б. Шнайер. - М.:
Издательство ТРИУМФ,2002.
2. Основы криптографии:
Учебное пособие. /Алферов А.П., Зубов А.Ю., Кузьмин А.С. Черемушкин А.В. - М.:
Гелиос, 2001.
3. Защита информации в
компьютерных системах и сетях / Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф.; Под
ред. В.Ф.Шаньгина. - М.: Радио и связь, 1999. - 328с
4. Атака через INTERNET /
Медведовский И.Д., Семьянов П.В.,
Платонов В.В.; Под ред. проф. Зегжды П.Д. - Спб: Мир и семья-95, 1998. - 296с.:
ил.