 |
Secure Shell как средство замены уязвимых сервисов TCP/IP 12 глава
|
|
|
|
1) полная копия (Full Backup), представляет собой точный образ сохраняемых данных;
2) дифференциальная копия (Differential Backup), содержит только файлы, измененные со времени создания последней полной копии;
3) инкрементальная копия (Incremental Backup), содержит только файлы, измененные со времени создания последней полной, дифференциальной или инкрементальной копии.
Для эффективного восстановления серверов под управлением Windows NT и NetWare после аварии система ARCserve предлагает опцию аварийного восстановления (Disaster Recovery Option). В случае изменения параметров сервера, например после установки пакетов исправления ошибок (Service Packs и Patches), для него создается комплект дискет аварийной копии. Для восстановления сервера после аварии необходимо подключить к серверу устройство резервного копирования с последней копией данных и произвести загрузку с первой дискеты из комплекта аварийной копии. При выполнении этих шагов на сервере будут восстановлены файловая система, приложения и все остальные ресурсы, в том числе и учетные записи пользователей. После перезагрузки сервер полностью готов к работе, причем он окажется в той же конфигурации, в какой был на момент создания последней резервной копии.
Для сохранения баз данных прикладных систем в интерактивном режиме система ARCserve содержит ряд специальных программ-агентов. Каждая из них служит для сохранения баз данных конкретной системы и функционирует как клиент системы ARCserve. В настоящий момент система ARCserve содержит агенты интерактивного резервного копирования для следующих популярных баз данных и прикладных систем клиент/сервер: Lotus Notes, Microsoft Exchange Server, Microsoft SQL Server, Oracle Server, SAP R/3, Btrieve. Centura (Gupta) SQLBase, Sybase SQL Server.
|
|
|
Кроме интерактивного резервного копирования баз данных, эти агенты обеспечивают и фрагментарное восстановление информации с резервных копий. В частности, агент для системы Microsoft Exchange Server предоставляет возможность восстановления отдельных папок и сообщений.
Помимо агентов для сохранения открытых баз данных, система ARCserve имеет агента для сохранения открытых файлов. Используя его. ARCserve может сохранять как сетевые файлы, открытые приложениями, например файлы приложений семейства Microsoft Office, так и базы данных прикладных систем, для которых не разработаны специализированные программы-агенты.
Управление системой ARCserve и всеми работами резервного копирования осуществляется из интерактивной графической программы-менеджера, функционирующей под управлением MS Windows 3.x, Windows 95 или Windows NT. Она предоставляет администратору и операторам системы резервного копирования следующие возможности:
• задание регламента резервного копирования, схемы ротаций лент, типов резервных копий, режима чистки устройств;
• управление устройствами резервного копирования;
• просмотр содержимого архивов и поиск требуемой информации в них;
• контроль за процессом резервного копирования;
• сбор служебной информации и статистики.
Для оперативного оповещения о событиях, возникающих в процессе копирования, система ARCserve позволяет автоматически передавать сообщения через сеть, электронную почту, пейджинговую или факсимильную связь или же выводить протокол всех событий на принтер.
Программный продукт ARCserve интегрирован с системой Unicenter TNG 2.0 компании Computer Associates, что позволяет включить средства резервного копирования в единую систему управления информационной средой предприятия.
В настоящее время предлагаются две основные схемы предоставления услуг по резервному копированию данных в Internet. Одна из них специализирована: используется конкретная программа для создания копий в определенной службе. Обычно поставщик предоставляет ПО бесплатно, плата взимается лишь за выделяемый на сервере объем памяти. Для конечных пользователей, копирующих только файлы данных (в отличие от копирования всей системы), цена, как правило, составляет от 10 до 20 долл./мес за пространство от 10 до 50 Мбайт. Одно из преимуществ специализированного метода состоит в том, что клиентское ПО работает в сочетании с программами центрального компьютера, повышая эффективность инкрементного резервирования: обычно копируются лишь внесенные в файлы изменения. Это, в свою очередь, уменьшает время, затрачиваемое на копирование, и пространство памяти, занимаемое на сервере.
|
|
|
Другой распространенный подход – применение программ, позволяющих копировать данные на любой сервер. Он удобен, поскольку некоторые поставщики услуг предоставляют бесплатно память для хранения данных, а если оплачивать лишь ресурс памяти, то нет привязки к конкретной службе – информационное пространство можно арендовать у поставщика, запросившего самую низкую цену. Однако за ПО надо платить, к тому же оно не обеспечивает такой же минимизации накладных расходов при инкрементном копировании, как специализированные программы.
Существует и третий подход – резервирование данных по электронной почте, – однако его нельзя признать практичным. При его использовании придется самостоятельно сжать и зашифровать данные, а затем отправить в свою службу по электронной почте.
Первопроходцами на рынке СРК через Internet стали компании McAfee и Connected.
Продукт McAfee под названием WebStor, использующий интерфейс утилиты Explorer системы Windows 95, поддерживает передачу информации не только по Internet, но и по сетям предприятий на основе Internet. Заплатив всего 10 дол. в месяц, пользователи смогут копировать свои данные на серверы McAfee.
Компания Connected предлагает более развитую службу резервного копирования DataSafe, которая выполняет защиту данных с помощью паролей, а также шифрование информации по стандартному алгоритму DES (Data Encryption Standard), давно применяемому в банках и других финансовых учреждениях. Информация пользователей размещается в двух зеркальных центрах хранения данных Connected, предусматривающих несколько уровней избыточности компонентов, что исключает возможность ее потери. Эта служба ориентирована на мелкие фирмы или отделения крупных корпораций, не имеющие собственных специалистов по резервному копированию.
|
|
|
Шифрование данных, помогая решить проблему безопасности, снижает пропускную способность системы. Именно поэтому потребители пока не спешат с внедрением СРК по Internet. Однако производители ПО исследуют другой способ резервного копирования с помощью Internet, основанный на применении Web-браузера в качестве пользовательского интерфейса. Системные администраторы с помощью Web-браузера смогут задать URL-адрес подсистемы хранения данных, расположенной на удаленном хост-компьютере, получить доступ к этой подсистеме и осуществлять ее мониторинг. Новую версию пакета ADSM (Adstar Distributed Storage Manager), в которой вместо собственного графического интерфейса применяются различные распространенные Web-браузеры, предлагает IBM. Ряд других компаний, в частности Legato Systems, Tivoli Systems, отделение Solstice фирмы SunSoft, Boole and Babbage и EMC, тоже собираются включить в свои продукты резервного копирования поддержку браузеров.
В качестве примера успешного применения Web-браузера для организации хранения данных приведем компанию CDB Infotek, которая распространяет среди подписчиков информацию, собранную из различных официальных источников. Раньше для резервного копирования данных объемом около 2,3 Тбайт, которые хранятся в СУБД Informix 7.12, функционирующей под управлением ОС HP-UX 10.0, фирма использовала только средства записи на четырехмиллиметровую DAT-ленту, подключенные к семи компьютерам HP 9000. CDB внедрила СРК Web Storage Manager фирмы Andataco для более надежного хранения информации. Эта система работает с двумя компьютерами HP 9000, оснащенными 20 дисковыми подсистемами типа RAID ESP (Enterprise Storage Packaging) и рассчитанными на объем информации 620 Гбайт. В качестве графического интерфейса служит браузер Navigator компании Netscape, посредством которого осуществляются контроль и управление удаленными дисковыми подсистемами.
|
|
|
Компания XactLabs предлагает онлайновую систему резервного копирования и выборки данных Atrieva. На ПК резидентно располагается ПО, которое каждую ночь автоматически подключается к СРК через Internet и по указанию пользователя копирует только новые или измененные файлы. XactLabs выдаст лицензии на эту технологию сторонним компаниям, которые обеспечат поддержку и резервного копирования, и выборки данных. XactLabs собирается предложить эти технологии компаниям, выпускающим дополнительное оборудование, ПО, коммуникационные средства и накопители для включения возможностей Atrieva в свои продукты. С помощью ПО Atrieva пользователи определяют те файлы, резервные копии которых они хотят получать каждую ночь. При этом данные сжимаются, шифруются, сканируются на наличие вирусов и передаются на высокоемкие накопительные устройства, где доступ к ним будет обеспечен ежедневно и круглосуточно.
Компания Software Partners [122] также предоставляет услуги резервного копирования по сети Internet. В отличие от компаний MCI Communications и McAfee Associates, которые реализовали программы резервного копирования по Internet для малых фирм и индивидуальных заказчиков, Software Partners намерена прийти на помощь организациям любого масштаба - вплоть до крупных корпораций. Новая программа, получившая название SafetyPosit, предоставит доступ к устройствам хранения данных компании Software Partners либо напрямую, либо через операторов Internet. Пользователи смогут составить удобное для них расписание резервного копирования, и SafetyPosit будет сохранять данные в "информационном бункере" Software Partners.
Компания не забыла и о потребностях автономных внутрикорпоративных интрасетей. В 1996 г. она добавила к своему ПО резервного копирования StorageCenter опцию резервирования по internet, которая поддерживает Windows NT и основные Unix-платформы.
SafetyPosit поддерживает шифрование данных, использующее алгоритм RSA, что должно гарантировать безопасность данных при их резервировании. Это очень существенный момент, поскольку операции резервирования будут выполняться по соединению с Internet, а не в рамках выделенной частной сети.
Пользователям Unix-систем (в том числе Sun Solaris, IBM AIX и HP-UX) SafetyPosit доступен с августа, а пользователям Windows NT и Windows 95 - с октября 1996 г. Поддерживать NetWare компания Software Partners не собирается, поскольку считает, что Windows и Unix обладают большим рыночным потенциалом.
9.3. Зеркальные серверы
Существует еще одна возможность защиты EDI - создание системы "зеркал" (mirror) серверов, дублирующих информацию главных серверов. Пример нарушения работы узла RITMPRESS и сохранение устойчивости обеспечения читателей газеты "ComputerWeek" научно-технической информацией (см. Введение) убеждает в действенности данной меры защиты.
|
|
|
Вопросы для самоконтроля по разделу 9
1. Какие фирмы известны на рынке продуктов защиты электронного обмена данными?
2. Расскажите об основных функциях и мерах защиты, реализованных в семействе продуктов PALINDROME.
3. Чем сетевое резервное копирование отличается от обычного сетевого копирования? Какие функциональные требования предъявляются к системам сетевого резервного копирования?
4. Какие схемы предоставления услуг по резервному копированию в Internet вам известны?
10. ИТОГОВЫЕ РЕКОМЕНДАЦИИ
10.1. Что делать в случае взлома сети
Может наступить момент, когда любому пользователю или системному администратору или группе обеспечения безопасности интрасети покажется, что их интрасеть стала жертвой взлома. Если замечено отсутствие, изменение или повреждение некоторых файлов, или появление новых, то, возможно, так оно и есть. На примере Unix можно указать наиболее часто атакуемые системные бинарные файлы (binaries) и директории:
бинарные файлы: /bin/login; /usr/etc/in.telnetd; /usr/etc/in.ftpd;
/usr/etc/in.tftpd; /usr/ucb/netstat; /bin/ps; bin/ls;
/usr/sbin/ifconfig; /bin/df; /usr/lib/Iibc;
/usr/ucb/cc;
директории: /.rhosts; /etc/hosts.equiv; /bin/.rhosts;
/etc/passwd; /etc/group; /var/yp/* (nis maps);
файлы окружения root (.login,.cshrc,.profile,.forward).
Чаще всего злоумышленники скрывают свои файлы в директориях: /tmp; /var/tmp: /etc/tmp; /usr/spool; /usr/lib/cron.
(Местоположение всех перечисленных файлов в различных версиях Unix может изменяться.)
Для обнаружения изменений в файловых системах существуют специальные средства, позволяющие обнаруживать несанкционированно сделанные исправления как в самих файлах, так и в файловой системе каждого компьютера интрасети (в зависимости от установленной на нем ОС).
С точки зрения прикладной программы файл – это именованная область внешней памяти, в которую можно записывать и из которой можно считывать данные. Правила именования файлов, способ доступа к данным, хранящимся в файле, и структура этих данных зависят от конкретной системы управления файлами (СУФ) и, возможно, от типа файла. СУФ берет на себя распределение внешней памяти, отображение имен файлов в соответствующие адреса во внешней памяти и обеспечение доступа к данным. Поскольку файловые системы являются общим хранилищем файлов, принадлежащих разным пользователям, СУФ должны обеспечивать авторизацию доступа к файлам. В общем виде подход состоит в том, что по отношению к каждому зарегистрированному пользователю интрасети для каждого существующего файла должны быть указаны действия, которые разрешены или запрещены данному пользователю. Но это вызывает большие накладные расходы как по хранению избыточной информации, так и по использованию этой информации для контроля правомочности доступа. Поэтому в большинстве современных СУФ применяется подход к защите файлов, впервые реализованный в ОС Unix. В этой системе каждому зарегистрированному пользователю соответствует пара целочисленных идентификаторов: идентификатор группы, к которой относится этот пользователь, и его собственный идентификатор в группе. Соответственно, при каждом файле хранится полный идентификатор пользователя, который создал этот файл, и отмечается, какие действия с файлом может производить он сам, какие действия с файлом доступны для других пользователей той же группы, и что могут делать с файлом пользователи других групп. Эта информация очень компактна, при проверке требуется небольшое количество действий, и этот способ контроля доступа удовлетворителен в большинстве случаев.
Разные файловые системы имеют разные атрибуты файлов, дополняющие возможности аудита.
• FAT хранит только информацию о дате/времени последнего изменения файла. Для директорий это момент ее создания.
• Файловая система ОС Unix хранит дату/время создания файла, последнего изменения файла и последнего обращения к файлу. Директория меняется при создании, удалении и переименовании файлов в ней и так же адекватно реагирует на обращения к ней.
• В некоторых файловых системах мэйнфреймов фиксируется не только дата/время обращения, но и кто именно обратился к данной информации.
Часто, посмотрев, кто, когда и откуда регистрировался в системе, можно вычислить взломщика. Поэтому log-файлы с информацией такого рода становятся одной из первых жертв при взломе интрасети. В log-файлах почтового сервера фиксируется, кто с кем переписывается – таким образом иногда можно выявить человека, который отправляет по электронной почте секретные документы в офис конкурирующей организации или послания личного характера. Очевидно, что log-файлы должны подвергаться резервному копированию, причем делать это надо достаточно часто, но хранить можно не очень долго.
Если обнаружено, что пользователи входили в систему из странных мест в неподходящее время или выполняли странные команды, то вполне вероятно, что хост подвергся нападению. Также явные признаки в виде сбоев, неправильного функционирования программ и т.п. могут указать на злоумышленные вторжения из Internet.
К сожалению, сегодня злоумышленники обладают достаточными навыками и программными средствами для того, чтобы в интрасети никогда не узнали, что на хост проникли взломщики, т.е. соответствующим образом корректируются файлы регистрации. Большинство вторжений замечаются, только если данные были повреждены или злоумышленник пренебрег тем, чтобы отредактировать системные файлы регистрации.
После того, как определено, что хост подвергся нападению, следует немедленно разорвать соединение с Internet и заняться устранением последствий. Прежде всего требуется заменить программы первостепенной важности типа login, Telnet, FTP и другое программное обеспечение оригиналами с дистрибутивных дисков или резервных лент. Это необходимо, чтобы удалить из системы все измененные версии программ, которые злоумышленник мог "подложить".
Кроме того, все пароли в системе должны быть изменены. Даже если предполагать, что злоумышленник раскрыл только один из них, никогда нельзя быть уверенным в этом до конца. В большинстве случаев злоумышленник, в первую очередь, пытается собрать как можно больше паролей, чтобы обеспечить себе возможность повторного входа в систему. Работая в среде Unix, можно быть абсолютно уверенным, что злоумышленник скопировал парольный файл для исследования его методом "зашифровать и сравнить", поэтому изменение всех паролей просто необходимо.
По возможности необходимо установить причину взлома и устранить это слабое место в интрасети, протестировав интрасеть специально предназначенными для этого программами. Все потенциальные точки несанкционированного входа в систему надо проранжировать (расположить в порядке убывания угроз для интрасети и финансового ущерба от их реализации) и определить меры защиты для каждой из них.
Возможно, системный администратор или группа обеспечения безопасности интрасети захочет установить ловушки для взломщика в надежде проконтролировать его действия в дальнейшем. Но эти намерения могут быть поняты злоумышленником, который попробует предпринять ответные действия. Никогда не следует недооценивать системного взломщика, ведь под удар может быть поставлена личная информация отдельного пользователя или информация всей компании.
В случае взлома в действие должна вступать специально созданная на этот случай группа немедленного реагирования. По заранее разработанному плану она устраняет последствия вторжения в систему и осуществляет ее восстановление.
Для предотвращения последующих посягательств на интрасети со стороны злоумышленников необходимо:
• оставить на сервере Internet лишь необходимые сетевые службы и учетные записи пользователей;
• периодически проверять файловую систему на наличие изменений;
• внимательно следить за системным журналом интрасети и за помещаемой в Internet информацией о безопасности.
Все эти советы хорошо описаны, например, в документе "WWW Security FAQ", находящемся в Internet по адресу http://www-genome.wi.mit.edu/WWW/faqs/www-securiry-faq.htrnl.
10.2. Как проследить за работой пользователей в Internet
Компаниям, контролирующим использование Internet, часто необходимо оправдать крупные капиталовложения. Чтобы выяснить, каким образом и насколько плодотворно для основной работы сотрудники расходуют суммы, потраченные нанимателем на Internet, администрация использует специальные средства. Причина кроется в следующем. Сегодня стоимость 1 ч работы в Internet по России составляет приблизительно 2,4 долл. В случае непроизводительной работы в глобальной сети только одного сотрудника со среднемесячным окладом 350 долл. в течение 4 ч, потери организации с учетом упущенной прибыли, амортизации оборудования и т.д. составят около 35-40 долл. в день или 12 000 долл. в год. Это и объясняет, почему во многих организациях доступ сотрудников в Internet ограничен и за ним ведется строгий контроль.
Из российских разработок наиболее известно средство контроля за сеансами работы в Internet – программная система Internet Log, разработанная Техническим управлением Ассоциации "Конфидент". В системе аутентификация каждого пользователя осуществляется на основе его личного электронного идентификатора Touch Memory. При запуске системы производится проверка наличия установленной системы защиты от НСД Dallas Lock 4.0 и карты администратора у запускающего программу пользователя. Ведется журнал работы в Internet, в котором записывается следующая информация: номер карты пользователя, дата и время входа и выхода в Internet, IP-адрес сервера, к которому происходило подключение, и действие (чтение/запись). Доступ к системному журналу имеет только администратор безопасности. Для каждого пользователя задается свой файл прав доступа к сокетам (Sockets Access Rights – SAR; сокет – совокупность адреса хоста и номера порта).
Наиболее часто применяемые программы зарубежного производства аналогичного назначения – для контроля и ограничения доступа к Web таковы [123]: Cyber Patrol Proxy фирмы Microsystems Software (http://www.microsys.com); WebSense фирмы NetPartners Internet Solutions (http://www.netpart.com); On Guard Internet Manager фирмы On Technology (http://www.onguard.on.com); SmartFilter фирмы Secure Compyting (http://www.securecomputing.com); Net Access Manager фирмы Sequel Technology (http://www.sequeltech.com); SurfWatch for Microsoft Proxy Server фирмы Spyglass (http://www.surfwatch.com).
10.3. Какие программные средства нужно использовать при подключении к Internet
Приведем примерный перечень основных средств, которые должны быть установлены в интрасети с доступом в открытые сети и которые требуют отдельного и тщательного администрирования.
1). Межсетевые экраны.
2). Системы управления доступом к информационным и сетевым ресурсам на основе идентификаторов и паролей.
3). Средства сетевого аудита.
4). Средства аудита хоста.
5). Анализаторы сетевого трафика (sniffer) и средства мониторинга сетевой безопасности.
6). Средства аудита файловых систем.
7). Криптографические утилиты и библиотеки.
8). Антивирусное ПО.
9). ПО, средства и библиотеки для proxy-серверов.
10). ПО контроля доступа прикладного уровня.
10.4. Краткие рекомендации администраторам безопасности интрасетей
Можно сформулировать некоторые универсальные правила, которых следует придерживаться администраторам интрасетей.
1). Не отставайте от хакеров, всегда будьте в курсе последних разработок из области компьютерной безопасности. Оформите подписку на несколько специализированных журналов, в которых подробно освещаются вопросы защиты сетей от взлома. Регулярно просматривайте материалы, помещаемые на хакерских серверах.
2). Руководствуйтесь принципом разумной достаточности – не стремитесь построить абсолютно надежную защиту. Чем мощнее защита, тем больше она потребляет ресурсов интрасети и тем труднее квалифицированно ее использовать.
3). Храните в секрете информацию о принципах действия защитных механизмов интрасети. Чем меньше известно об этих принципах, тем труднее организовать успешную атаку.
4). Постарайтесь максимально ограничить размеры защищаемой интрасети и без крайней необходимости не допускайте ее подключения к Internet.
5). Перед тем, как вложить денежные средства в покупку нового ПО, поищите информацию о нем на хакерских серверах Internet.
6). Размещайте серверы в охраняемых помещениях. Не подключайте к ним клавиатуры и дисплеи, чтобы никто не имел к ним доступа, только через интрасеть.
7). Абсолютно все сообщения, передаваемые по незащищенным каналам связи, должны шифроваться и снабжаться цифровой подписью.
8). Если защищаемая интрасеть имеет соединение с другой, незащищенной сетью, то все сообщения, отправляемые в эту сеть или принимаемые из нее, должны проходить через МЭ, а также шифроваться и снабжаться цифровой подписью.
9). Не пренебрегайте возможностями, которые предоставляет аудит. Интервал между сеансами просмотра журнала аудита не должен превышать одних суток.
10). Если окажется, что количество событий, помещенных в журнал аудита, велико, изучите внимательно все новые записи, поскольку не исключено, что интрасеть подверглась атаке злоумышленника, который пытается замести следы своего нападения, зафиксированные в журнале аудита.
11). Регулярно производите проверку целостности ПО интрасети. Проверяйте ее на наличие программных закладок.
12). Регистрируйте все изменения политики безопасности в обычном бумажном журнале. Регулярно сверяйте политику безопасности, принятую в интрасети, с зарегистрированной в этом журнале. Это поможет обнаружить присутствие программной закладки, если она была внедрена в интрасеть.
13). Пользуйтесь защищенными ОС (SCO Unix, Windows NT, Solaris).
14). Создайте несколько ловушек для злоумышленников (например, заведите на диске файл с заманчивым именем, прочитать который невозможно с помощью обычных средств, и если будет зафиксировано успешное обращение к этому файлу, значит, в интрасеть была внедрена программная закладка).
15). Регулярно тестируйте интрасеть с помощью специальных программ.
Вопросы для самоконтроля по разделу 10
1. По каким признакам можно определить, что произошел взлом интрасети?
2. Что делать в случае взлома интрасети?
3. Как предотвратить посягательства злоумышленников на интрасеть?
4. Как проследить за работой пользователей в Internet?
5. Какие программные средства нужно использовать при подключении к Internet?
6. Каковы краткие рекомендации администраторам безопасности интрасетей?
ЗАКЛЮЧЕНИЕ
Не все организации, подключаясь к Internet, оказываются подготовленными к обеспечению информационной безопасности. Несмотря на многочисленные предупреждения о реальных атаках на компьютеры в Internet, пользователи не спешат устанавливать даже элементарные МЭ (сегодня менее 30 % компьютеров имеют относительно надежные средства защиты).
Наиболее часто используемыми сегодня методами нападения из Internet являются следующие.
• Атаки, основанный на знаниях об уязвимостях в продуктах определенных производителей. О таких уязвимостях часто сообщается в бюллетенях безопасности самими производителями или группами типа CERT и CIAC.
• Атаки, основанные на знаниях об уязвимости специальных программ - скриптов cgibin. Программа phf, позволяющая прочитать любой файл в интрасети, все еще представляет интерес для взломщиков. Другие уязвимости - это следствие плохих методов кодирования CGI, а не обязательно недостатки самого CGI.
• Атака "отказ в обслуживании" (DoS), использующая различные методы. Две новые разновидности этих нападений включают атаки land и teardrop, которые основаны на нескольких недостатках протокола TCP/IP. Атаки "Ping of Death" и "TCP Syn Flooding" стали обычными, так же как и "штормы" на основе протокола UDP. Многие атаки типа DoS реализуются как для систем с ОС Unix, так и для Windows NT.
• "Почтовые бомбы" и спэмминг - посылка большого количества незапрашиваемой почты - могут снизить производительность работы сети и хоста, занять много места на диске или отвлечь впустую пользователей. Посылка спэма (spam) на ПК жертвы, на которых установлены ранние версии Sendmail, стала также чрезвычайно популярной.
• Атаки, основанные на знаниях о неправильно сконфигурированном анонимном FTP-сервере, когда пользователи могут получить неавторизированный доступ к информации или выполнить на сервере некоторые команды, компрометируя таким образом систему.
• Атаки, основанные на знаниях об уязвимостях названий. О некоторых уязвимостях BIND и названий, включая переполнение буфера, было публично сообщено в апреле 1998 г. С тех пор организация CERT заявляет о существенном увеличении вторжений через эти уязвимости.
Подводя итог описанных выше методов защиты в Internet, еще раз отметим наиболее существенные моменты.
1). Необходимо убедить пользователей и, что наиболее важно, администраторов сетей и администраторов по безопасности в полезности и необходимости установки средств защиты информации в каждой организации вне зависимости от ее размеров и области деятельности.
2). Следует выделить несколько доменов (участков) безопасности (security domain) [124] - например, офис, производство, опытные разработки, Internet, деловые партнеры. Затем надо нарисовать таблицу (матрицу), в каждой клетке которой следует указать, какие типы связи и сетевых услуг разрешены для каждого домена. Допустим, в домене опытных разработок можно пользоваться протоколом telnet, в офисном домене следует прибегать к услугам электронной почты, а для связи с бизнес-партнерами нужно прибегать к ftp. Эту матрицу, в свою очередь, можно рассматривать как план реализации системы защиты, куда могут входить МЭ, маршрутизаторы, различные программы, системы шифрования и прочие защитные средства (spit, duct tape, bailing wire, glue). Таким образом можно защитить сеть и от внешних (из Internet), и от внутренних опасностей, которых не меньше, чем первых. Многие администраторы сети уже осознали, что сеть надо делить на домены, к защите каждого из которых надо подходить в индивидуальном порядке.
3). Необходимо не забывать о централизации управления (создавая администрацию по безопасности интрасети) и комплексном подходе к решению вопросов информационной безопасности в интрасети. Ни один участок интрасети, на котором хранится или обрабатывается тем или иным образом важная информация, не должен остаться незащищенным и тем самым предоставлять потенциальный вход для НСД в интрасеть для злоумышленника.
|
|
|
