Защита компьютера от атак через интернет

 в сети Internet

       К   программно-аппаратным   средствам   обеспечения    информационной
безопасности средств связи в вычислительных сетях относятся:
    . аппаратные шифраторы сетевого трафика;
    . методика Firewall, реализуемая на базе программно-аппаратных средств;
    . защищенные сетевые криптопротоколы;
    . программно-аппаратные анализаторы сетевого трафика;
    . защищенные сетевые ОС.
       Существует огромное количество литературы, посвященной этим средствам
защиты, предназначенным для использования в сети Internet (за последние  два
года практически в каждом номере любого компьютерного  журнала  можно  найти
статьи на эту тему).
       Далее мы, по возможности  кратко,  чтобы  не  повторять  всем  хорошо
известную  информацию,  опишем  данные  средства   защиты,   применяемые   в
Internet.  При  этом  мы  преследуем  следующие  цели:  во-первых,  еще  раз
вернемся к мифу об "абсолютной защите" , которую якобы обеспечивают  системы
Firewall, очевидно, благодаря стараниям  их  продавцов;  во-вторых,  сравним
существующие  версии  криптопротоколов,  применяемых  в  Internet,  и  дадим
оценку, по сути,  критическому  положению  в  этой  области;  и,  в-третьих,
ознакомим читателей  с  возможностью  защиты  с  помощью  сетевого  монитора
безопасности, предназначенного для осуществления динамического  контроля  за
возникающими в защищаемом сегменте  IP-сети  ситуациями,  свидетельствующими
об осуществлении на данный сегмент одной из описанных в  4  главе  удаленных
атак.

    3.2.1. Методика Firewall как основное программно-аппаратное средство
  осуществления сетевой политики безопасности в выделенном сегменте IP-сети


      В общем случае методика  Firewall  реализует  следующие  основные  три
функции:
      1. Многоуровневая фильтрация сетевого трафика.
      Фильтрация обычно осуществляется на трех уровнях OSI:
      сетевом (IP);
      транспортном (TCP, UDP);
      прикладном (FTP, TELNET, HTTP, SMTP и т. д.).
      Фильтрация сетевого трафика является основной функцией систем Firewall
и позволяет администратору безопасности  сети  централизованно  осуществлять
необходимую сетевую политику безопасности в выделенном сегменте IP-сети,  то
есть,  настроив  соответствующим  образом  Firewall,  можно  разрешить   или
запретить  пользователям  как  доступ  из  внешней  сети  к  соответствующим
службам хостов или к  хостам,  находящихся  в  защищаемом  сегменте,  так  и
доступ пользователей из внутренней сети к соответствующим  ресурсам  внешней
сети. Можно провести аналогию с администратором локальной  ОС,  который  для
осуществления политики безопасности в системе назначает необходимым  образом
соответствующие отношения  между  субъектами  (пользователями)  и  объектами
системы (файлами, например), что  позволяет  разграничить  доступ  субъектов
системы к ее объектам в соответствии  с  заданными  администратором  правами
доступа. Те же  рассуждения  применимы  к  Firewall-фильтрации:  в  качестве
субъектов взаимодействия будут выступать IP-адреса хостов  пользователей,  а
в качестве объектов, доступ к которым необходимо разграничить,  -  IP-адреса
хостов,  используемые  транспортные  протоколы   и   службы   предоставления
удаленного доступа.
      2.  Proxy-схема  с  дополнительной  идентификацией  и  аутентификацией
пользователей на Firewall-хосте.
      Proxy-схема позволяет, во-первых, при доступе к  защищенному  Firewall
сегменту  сети   осуществить   на   нем   дополнительную   идентификацию   и
аутентификацию удаленного пользователя и, во-вторых,  является  основой  для
создания приватных  сетей  с  виртуальными  IP-адресами.  Смысл  proxy-схемы
состоит в создании  соединения  с  конечным  адресатом  через  промежуточный
proxy-сервер (proxy от англ. полномочный) на хосте Firewall. На этом  proxy-
сервере и может осуществляться дополнительная идентификация абонента.
      3.  Создание  приватных  сетей  (Private  Virtual  Network  -  PVN)  с
"виртуальными" IP-адресами (NAT - Network Address Translation).
      В  том  случае,   если   администратор   безопасности   сети   считает
целесообразным скрыть истинную топологию своей внутренней  IP-сети,  то  ему
можно порекомендовать использовать системы Firewall для  создания  приватной
сети (PVN-сеть). Хостам  в  PVN-сети  назначаются  любые  "виртуальные"  IP-
адреса. Для адресации во  внешнюю  сеть  (через  Firewall)  необходимо  либо
использование  на  хосте  Firewall  описанных  выше   proxy-серверов,   либо
применение  специальных  систем  роутинга  (маршрутизации),   только   через
которые и  возможна  внешняя  адресация.  Это  происходит  из-за  того,  что
используемый во  внутренней  PVN-сети  виртуальный  IP-адрес,  очевидно,  не
пригоден  для  внешней  адресации  (внешняя  адресация  -  это  адресация  к
абонентам, находящимся за  пределами  PVN-сети).  Поэтому  proxy-сервер  или
средство роутинга должно осуществлять связь с абонентами из внешней сети  со
своего настоящего IP-адреса. Кстати, эта схема удобна  в  том  случае,  если
вам для создания IP-сети выделили  недостаточное  количество  IP-адресов  (в
стандарте  IPv4  это  случается  сплошь  и  рядом,  поэтому   для   создания
полноценной IP-сети с использованием proxy-схемы  достаточно  только  одного
выделенного IP-адреса для proxy-сервера).
      Итак, любое устройство, реализующее  хотя  бы  одну  из  этих  функций
Firewall-методики,  и  является  Firewall-устройством.  Например,  ничто  не
мешает вам использовать в качестве Firewall-хоста  компьютер  с  обычной  ОС
FreeBSD  или   Linux,   у   которой   соответствующим   образом   необходимо
скомпилировать ядро ОС.  Firewall  такого  типа  будет  обеспечивать  только
многоуровневую фильтрацию IP-трафика. Другое  дело,  предлагаемые  на  рынке
мощные Firewall-комплексы,  сделанные  на  базе  ЭВМ  или  мини-ЭВМ,  обычно
реализуют все функции  Firewall-мето-дики  и  являются  полнофункциональными
системами Firewall. На следующем рисунке изображен сегмент сети,  отделенный
от внешней сети полнофункциональным Firewall-хостом.
                                    [pic]

        Рис. 2. Обобщенная схема полнофункционального хоста Firewall.
       Однако  администраторам  IP-сетей,  поддавшись  на   рекламу   систем
Firewall, не стоит заблуждаться на  тот  счет,  что  Firewall  это  гарантия
абсолютной защиты от удаленных атак в сети Internet. Firewall -  не  столько
средство  обеспечения  безопасности,  сколько  возможность   централизованно
осуществлять сетевую политику разграничения удаленного доступа  к  доступным
ресурсам вашей сети. Да, в том  случае,  если,  например,  к  данному  хосту
запрещен  удаленный  TELNET-доступ,  то  Firewall  однозначно   предотвратит
возможность данного доступа. Но дело в том, что большинство  удаленных  атак
имеют совершенно другие цели (бессмысленно  пытаться  получить  определенный
вид доступа, если он запрещен системой  Firewall).  Какие  из  рассмотренных
удаленных  атак  может  предотвратить  Firewall?  Анализ  сетевого  трафика?
Очевидно, нет!  Ложный  ARP-сервер?  И  да,  и  нет  (для  защиты  вовсе  не
обязательно использовать Firewall). Ложный  DNS-сервер?  Нет,  к  сожалению,
Firewall вам тут  не  помощник.  Навязывание  ложного  маршрута  при  помощи
протокола ICMP? Да,  эту  атаку  путем  фильтрации  ICMP-сообщений  Firewall
легко отразит (хотя достаточно будет фильтрующего  маршрутизатора,  например
Cisco). Подмена одного из  субъектов  TCP-соединения?  Ответ  отрицательный;
Firewall тут абсолютно не при чем. Нарушение работоспособности  хоста  путем
создания направленного  шторма  ложных  запросов  или  переполнения  очереди
запросов? В  этом  случае  применение  Firewall  только  ухудшит  все  дело.
Атакующему для того, чтобы вывести из строя (отрезать от внешнего мира)  все
хосты внутри защищенного Firewall-системой  сегмента,  достаточно  атаковать
только один Firewall, а не несколько хостов (это легко объясняется тем,  что
связь внутренних хостов с внешним миром возможна только через Firewall).
       Из всего вышесказанного отнюдь не следует, что  использование  систем
Firewall  абсолютно  бессмысленно.  Нет,  на  данный  момент  этой  методике
(именно как методике!)  нет  альтернативы.  Однако  надо  четко  понимать  и
помнить ее основное назначение. Нам представляется, что применение  методики
Firewall для  обеспечения  сетевой  безопасности  является  необходимым,  но
отнюдь не достаточным условием, и не нужно считать, что, поставив  Firewall,
вы разом решите все проблемы с сетевой безопасностью и  избавитесь  от  всех
возможных удаленных  атак  из  сети  Internet.  Прогнившую  с  точки  зрения
безопасности сеть Internet никаким отдельно взятым Firewall'ом не  защитишь!

       Из всего вышесказанного отнюдь не следует, что  использование  систем
Firewall  абсолютно  бессмысленно.  Нет,  на  данный  момент  этой  методике
(именно как методике!)  нет  альтернативы.  Однако  надо  четко  понимать  и
помнить ее основное назначение. Нам представляется, что применение  методики
Firewall для  обеспечения  сетевой  безопасности  является  необходимым,  но
отнюдь не достаточным условием, и не нужно считать, что, поставив  Firewall,
вы разом решите все проблемы с сетевой безопасностью и  избавитесь  от  всех
возможных удаленных  атак  из  сети  Internet.  Прогнившую  с  точки  зрения
безопасности сеть Internet никаким отдельно взятым Firewall'ом не  защитишь!


        3.2.2. Программные методы защиты, применяемые в сети Internet

       К программным методам защиты в сети  Internet  можно  отнести  прежде
всего  защищенные  криптопротоколы,  с  использованием  которых   появляется
возможность надежной защиты соединения. В следующем  пункте  пойдет  речь  о
существующих на  сегодняшний  день  в  Internet  подходах  и  основных,  уже
разработанных, криптопротоколах.
       К иному классу программных мет

Пред. 6 7 8 9 10

скачать работу

Отправка СМС бесплатно