Смекни!
smekni.com

Безопасность Internet (стр. 3 из 8)

Популярная в Internet программа электронной почты Sendmail использует для работы некоторую сетевую информацию - IP-адрес отправителя. Перехватывая сообщения, отправляемые с помощью Sendmail, хакер может употребить эту информацию для нападений, например для спуфинга (подмены адресов).

Протокол передачи файлов (File Transfer Protocol - FTP) обеспечивает передачу текстовых и двоичных файлов, поэтому его часто используют в Internet для организации совместного доступа к информации. Его обычно рассматривают как один из методов работы с удаленными сетями. На FTP-серверах хранятся документы, программы, графика и другие виды информации. К данным этих файлов на FTP-серверах нельзя обратиться напрямую. Это можно сделать, только переписав их целиком с FTP-сервера на локаль­ный сервер. Некоторые FTP-серверы ограничивают доступ пользо­вателей к своим архивам данных с помощью пароля, другие же предоставляют свободный доступ (так называемый анонимный FTP-сервер). При использовании опции анонимного FTP для сво­его сервера пользователь должен быть уверен, что на нем хранят­ся только файлы, предназначенные для свободного распрост­ранения.

Служба сетевых имен (Domain Name System - DNS) представляет собой распределенную базу данных, которая преобразу­ет имена пользователей и хост-компьютеров в IP-адреса, указы­ваемые в заголовках пакетов, и наоборот. DNS также хранит ин­формацию о структуре сети компании, например количестве компьютеров с IP-адресами в каждом домене. Одной из проблем DNS является то, что эту базу данных очень трудно "скрыть" от неавторизированных пользователей. В результате DNS часто ис­пользуется хакерами как источник информации об именах дове­ренных хост-компьютеров.

Служба эмуляции удаленного терминала (TELNET) употребляется для подключения к удаленным системам, присоединен­ным к сети, применяет базовые возможности по эмуляции терми­нала. При использовании этого сервиса Internet пользователи должны регистрироваться на сервере TELNET, вводя свои имя и пароль. После аутентификации пользователя его рабочая станция функционирует в режиме "тупого" терминала, подключенного к внешнему хост-компьютеру. С этого терминала пользователь мо­жет вводить команды, которые обеспечивают ему доступ к файлам и запуск программ. Подключившись к серверу TELNET, хакер мо­жет сконфигурировать его программу таким образом, чтобы она записывала имена и пароли пользователей.

Всемирная паутина (World Wide Web - WWW) - это систе­ма, основанная на сетевых приложениях, которые позволяют пользователям просматривать содержимое различных серверов в Internet или интрасетях. Самым полезным свойством WWW является использование гипертекстовых документов, в которые встроены ссылки на другие документы и Web-узлы, что дает пользователям возможность легко переходить от одного узла к друго­му. Однако это же свойство является и наиболее слабым местом системы WWW, поскольку ссылки на Web-узлы, хранящиеся в гипертекстовых документах, содержат информацию о том, как осуществляется доступ к соответствующим узлам. Используя эту информацию, хакеры могут разрушить Web-узел или получить доступ к хранящейся в нем конфиденциальной информации.

К уязвимым службам и протоколам Internet относятся также протокол копирования UUCP, протокол маршрутизации RIP, графическая оконная система Х Windows и др.

Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран является набором компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безопасности. В частности, не­обходимо решить, будет ли ограничен доступ пользователей к оп­ределенным службам Internet на базе протоколов TCP/IP и если будет, то до какой степени.

Политика сетевой безопасности каждой организации должна включать две составляющие:

· политику доступа к сетевым сервисам;

· политику реализации межсетевых экранов.

В соответствии с политикой доступа к сетевым сервисам определяется список сервисов Internet, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, например, на использование протоколов SLIP (Serial Line Internet Protocol) и РРР (Point-to-Point Protocol). Ограничение методов доступа необходимо для того, чтобы пользователи не могли обращаться к "запрещенным" сервисам Internet обходны­ми путями. Например, если для ограничения доступа в Internet се­тевой администратор устанавливает специальный шлюз, который не дает возможности пользователям работать в системе WWW, они могли бы установить РРР-соединения с Web-серверами по коммутируемой линии.

Политика доступа к сетевым сервисам обычно основыва­ется на одном из следующих принципов:

1) запретить доступ из Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в Internet;

2) разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только отдельных "авторизированных" систем, например почтовых серверов.

В соответствии с политикой реализации межсетевых экра­нов определяются правила доступа к ресурсам внутренней сети. Прежде всего, необходимо установить, насколько "доверительной" или "подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

1) запрещать все, что не разрешено в явной форме;

2) разрешать все, что не запрещено в явной форме.

Реализация межсетевого экрана на основе первого прин­ципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно дорого. При реализации второго принципа внутренняя сеть оказывается менее защищен­ной от нападений хакеров, однако, пользоваться ей будет удобнее и потребуется меньше затрат.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рацио­нальности выбора и использования основных компонентов межсе­тевого экрана.

Функциональные требования к межсетевым экранам включают:

· требования к фильтрации на сетевом уровне;

· требования к фильтрации на прикладном уровне;

· требования по настройке правил фильтрации и администрированию;

· требования к средствам сетевой аутентификации;

· требования по внедрению журналов и учету.

Основные компоненты межсетевых экранов

Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

· фильтрующие маршрутизаторы;

· шлюзы сетевого уровня;

· шлюзы прикладного уровня.

Эти категории можно рассматривать как базовые компо­ненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличаю­щие межсетевые экраны друг от друга.

Фильтрующие маршрутизаторы

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигури­рованные таким образом, чтобы фильтровать входящее и исходя­щие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов .

Фильтрующие маршрутизаторы обычно может фильтровать IP-пакет на основе группы следующих полей заголовка пакета:

· IP- адрес отправителя (адрес системы, которая послала пакет);

· IP-адрес получателя (адрес системы которая принимает пакет);

· Порт отправителя (порт соединения в системе отправителя );

· Порт получателя (порт соединения в системе получателя );

Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16 – битовым числом.

В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP/UDP – порт отправителя, однако многие производители маршрутизаторов начали обеспечивать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем исполь­зуют эту информацию как дополнительный критерий фильтрации.

Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Например, можно блокировать соеди­нения, идущие от конкретных адресов тех хост-компьютеров и се­тей. которые считаются враждебными или ненадежными.

Добавление фильтрации по портам TCP и UDP к фильтра­ции по IP-адресам обеспечивает большую гибкость. Известно, что такие серверы, как демон TELNET, обычно связаны с конкретными портами (например, порт 23 протокола TELNET). Если межсетевой экран может блокировать соединения TCP или UDP с определен­ными портами или от них, то можно реализовать политику безо­пасности, при которой некоторые виды соединений устанавлива­ются только с конкретными хост-компьютерами.

Например, внутренняя сеть может блокировать все вход­ные соединения со всеми хост-компьютерами за исключением не­скольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и TELNET или FTP -для другой). При фильтрации по портам TCP и UDP эта по­литика может быть реализована фильтрующим маршрутизатором или хост-компьютером с возможностью фильтрации пакетов.

В качестве примера работы фильтрующего маршрутизато­ра рассмотрю реализацию политики безопасности, допускающей определенные соединения с внутренней сетью с адресом 123.4.*.* Соединения TELNET разрешаются только с одним хост-компьютером с адресом 123.4.5.6, который может быть приклад­ным TELNET-шлюзом, а SMTP-соединения - только с двумя хост-компьютерами с адресами 123.4.5.7 и 123.4.5.8, которые могут быть двумя шлюзами электронной почты. Обмен по NNTP (Network News Transfer Protocol) разрешается только от сервера новостей с адресом 129.6.48.254 и только с NNTP-сервером сети с адресом 123.4.5.9, а протокол NTP (сетевого времени)-для всех хост-компьютеров. Все другие серверы и пакеты блокируются. рации