Безопасность Internet

лобальной сети  Internet,
однако  они  могут  использоваться  и  для   защиты   от
"нападений"  из  корпоративной  интрасети,   к   которой
подключена   локальная   сеть   предприятия.   Ни   один
межсетевой экран не может  гарантировать  полной  защиты
внутренней  сети  при  всех  возможных  обстоятельствах.
Однако   для   большинства   коммерческих    организаций
установка  межсетевого   экрана   является   необходимым
условием  обеспечения  безопасности   внутренней   сети.
Главный довод в  пользу  применения  межсетевого  экрана
состоит в том, что  без  него  системы  внутренней  сети
подвергаются опасности со стороны слабо защищенных служб
сети Internet, а также зондированию и  атакам  с  каких-
либо других хост-компьютеров внешней сети.



        Локальная сеть           Локальная  сеть.  Схема
        установления межсетевого экрана


      Проблемы недостаточной информационной безопасности
являются "врожденными" практически для всех протоколов и
служб Internet. Большая часть  этих  проблем  связана  с
исторической  зависимостью  Internet   от   операционной
системы UNIX. Известно, что  сеть  Arpanet  (прародитель
Internet)    строилась     как     сеть,     связывающая
исследовательские    центры,    научные,    военные    и
правительственные учреждения, крупные университеты  США.
Эти структуры использовали операционную систему  UNIX  в
качестве   платформы   для   коммуникаций   и    решения
собственных  задач.  Поэтому   особенности   методологии
программирования в среде UNIX и ее архитектуры  наложили
отпечаток на реализацию  протоколов  обмена  и  политики
безопасности    в    сети.    Из-за     открытости     и
распространенности система UNIX  стала  любимой  добычей
хакеров.  Поэтому  совсем  не  удивительно,  что   набор
протоколов TCP/IP, который обеспечивает  коммуникации  в
глобальной сети Internet  и  в  получающих  все  большую
популярность интрасетях, имеет  "врожденные"  недостатки
защиты. То  же  самое  можно  сказать  и  о  ряде  служб
Internet.
      Набор протоколов управления передачей сообщений  в
Internet   (Transmission    Control    Protocol/Internet
Protocol  -   TCP/IP)   используется   для   организации
коммуникаций в неоднородной сетевой  среде,  обеспечивая
совместимость   между   компьютерами    разных    типов.
Совместимость - одно  из  основных  преимуществ  TCP/IP,
поэтому   большинство   локальных   компьютерных   сетей
поддерживает эти протоколы. Кроме того, протоколы TCP/IP
предоставляют  доступ   к   ресурсам   глобальной   сети
Internet. Поскольку  TCP/IP  поддерживает  маршрутизацию
пакетов, он обычно используется в  качестве  межсетевого
протокола.  Благодаря  своей  популярности  TCP/IP  стал
стандартом де фактора для межсетевого взаимодействия.
      В   заголовках    пакетов    TCP/IP    указывается
информация,  которая  может   подвергнуться   нападениям
хакеров.  В  частности,  хакер  может  подменить   адрес
отправителя в своих "вредоносных"  пакетах,  после  чего
они   будут   выглядеть,   как   пакеты,    передаваемые
авторизированным клиентом.
      Отмечу     "врожденные     слабости"     некоторых
распространенных служб Internet.
      Простой  протокол   передачи   электронной   почты
(Simple  Mail  Transfer  Protocol  -   SMTP)   позволяет
осуществлять почтовую транспортную службу Internet. Одна
из проблем безопасности, связанная  с  этим  протоколом,
заключается в том, что пользователь не  может  проверить
адрес  отправителя  в  заголовке  сообщения  электронной
почты. В результате хакер может  послать  во  внутреннюю
сеть большое количество почтовых сообщений, что приведет
к перегрузке и блокированию работы почтового сервера.
      Популярная в Internet программа электронной  почты
Sendmail  использует  для   работы   некоторую   сетевую
информацию   -   IP-адрес   отправителя.    Перехватывая
сообщения, отправляемые с помощью Sendmail, хакер  может
употребить эту информацию для  нападений,  например  для
спуфинга (подмены адресов).
      Протокол передачи файлов (File Transfer Protocol -
FTP) обеспечивает передачу текстовых и двоичных  файлов,
поэтому его часто используют в Internet для  организации
совместного   доступа   к   информации.    Его    обычно
рассматривают как один из методов  работы  с  удаленными
сетями. На FTP-серверах хранятся  документы,  программы,
графика и другие виды информации. К данным  этих  файлов
на FTP-серверах нельзя обратиться  напрямую.  Это  можно
сделать, только переписав их целиком  с  FTP-сервера  на
локальный  сервер.  Некоторые  FTP-серверы  ограничивают
доступ пользователей к своим архивам  данных  с  помощью
пароля, другие же предоставляют  свободный  доступ  (так
называемый  анонимный  FTP-сервер).  При   использовании
опции анонимного FTP  для  своего  сервера  пользователь
должен быть уверен, что на нем  хранятся  только  файлы,
предназначенные для свободного распространения.
      Служба сетевых имен (Domain  Name  System  -  DNS)
представляет собой распределенную базу  данных,  которая
преобразует имена пользователей и хост-компьютеров в IP-
адреса, указываемые в заголовках  пакетов,  и  наоборот.
DNS также хранит информацию о структуре  сети  компании,
например количестве компьютеров с IP-адресами  в  каждом
домене. Одной из проблем DNS является то, что  эту  базу
данных  очень  трудно  "скрыть"  от   неавторизированных
пользователей.  В  результате  DNS  часто   используется
хакерами как источник информации  об  именах  доверенных
хост-компьютеров.
      Служба  эмуляции  удаленного  терминала   (TELNET)
употребляется  для  подключения  к  удаленным  системам,
присоединенным к сети, применяет базовые возможности  по
эмуляции  терминала.  При  использовании  этого  сервиса
Internet пользователи должны регистрироваться на сервере
TELNET, вводя свои имя и  пароль.  После  аутентификации
пользователя его рабочая станция функционирует в  режиме
"тупого"  терминала,  подключенного  к  внешнему   хост-
компьютеру. С этого терминала пользователь может вводить
команды, которые обеспечивают  ему  доступ  к  файлам  и
запуск программ. Подключившись к серверу  TELNET,  хакер
может  сконфигурировать  его  программу  таким  образом,
чтобы она записывала имена и пароли пользователей.
     Всемирная паутина (World Wide Web  -  WWW)  -  это
система,  основанная  на  сетевых  приложениях,  которые
позволяют   пользователям    просматривать    содержимое
различных серверов  в  Internet  или  интрасетях.  Самым
полезным   свойством    WWW    является    использование
гипертекстовых документов, в которые встроены ссылки  на
другие документы  и  Web-узлы,  что  дает  пользователям
возможность легко переходить от одного узла  к  другому.
Однако это же свойство является и наиболее слабым местом
системы WWW, поскольку ссылки на Web-узлы, хранящиеся  в
гипертекстовых документах, содержат  информацию  о  том,
как  осуществляется  доступ  к  соответствующим   узлам.
Используя эту информацию, хакеры  могут  разрушить  Web-
узел  или   получить   доступ   к   хранящейся   в   нем
конфиденциальной информации.
      К уязвимым службам и протоколам Internet относятся
также протокол копирования UUCP, протокол  маршрутизации
RIP, графическая оконная система Х Windows и др.
      Решение  о   том,   фильтровать   ли   с   помощью
межсетевого  экрана  конкретные  протоколы   и   адреса,
зависит  от  принятой   в   защищаемой   сети   политики
безопасности.   Межсетевой   экран   является    набором
компонентов,   настраиваемых   таким   образом,    чтобы
реализовать   выбранную   политику    безопасности.    В
частности, необходимо решить, будет ли ограничен  доступ
пользователей к определенным службам  Internet  на  базе
протоколов TCP/IP и если будет, то до какой степени.
      Политика сетевой безопасности  каждой  организации
должна включать две составляющие:
 . политику доступа к сетевым сервисам;
 . политику реализации межсетевых экранов.
      В  соответствии  с  политикой  доступа  к  сетевым
сервисам  определяется  список  сервисов   Internet,   к
которым пользователи должны иметь  ограниченный  доступ.
Задаются также ограничения на методы доступа,  например,
на использование протоколов SLIP (Serial  Line  Internet
Protocol) и РРР (Point-to-Point  Protocol).  Ограничение
методов доступа необходимо для того, чтобы  пользователи
не могли обращаться к  "запрещенным"  сервисам  Internet
обходными путями. Например, если для ограничения доступа
в   Internet   сетевой    администратор    устанавливает
специальный   шлюз,   который   не   дает    возможности
пользователям работать  в  системе  WWW,  они  могли  бы
установить    РРР-соединения    с    Web-серверами    по
коммутируемой линии.
      Политика  доступа  к   сетевым   сервисам   обычно
основывается на одном из следующих принципов:
1) запретить доступ из Internet во внутреннюю  сеть,  но
разрешить доступ из внутренней сети в Internet;
2) разрешить ограниченный доступ во внутреннюю  сеть  из
Internet,   обеспечивая    работу    только    отдельных
"авторизированных" систем, например почтовых серверов.
      В соответствии с политикой  реализации  межсетевых
экранов  определяются   правила   доступа   к   ресурсам
внутренней сети. Прежде  всего,  необходимо  установить,
насколько "доверительной"  или  "подозрительной"  должна
быть система защиты. Иными словами,  правила  доступа  к
внутренним ресурсам  должны  базироваться  на  одном  из
следующих принципов:
1) запрещать все, что не разрешено в явной форме;
2) разрешать все, что не запрещено в явной форме.
      Реализация межсетевого экрана  на  основе  первого
принципа обеспечивает значительную защищенность.  Однако
правила доступа, сформулированные в соответствии с  этим
принципом,   могут   доставлять    большие    неудобства
пользовател

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно