Недоліки у сфері захищеності служб і протоколів Internet

Ряд служб Internet дуже ефективно використовуються для обробки інформації в КС, зокрема, і в системах ДПС. Однак для них слід зазначити певні «природжені слабкості», що створює проблеми з інформаційної безпеки. Спочатку розглянемо основні причини уразливості Internet.

Як відомо, до служб Internet відносяться:

· простий протокол передачі електронної пошти SMTP (Simple Mail Transfer Protocol);

· програма електронної пошти Sendmail;

· служба мережевих імен DNS;

· служба емуляції видаленого терміналу Telnet;

· всесвітня павутина WWW;

· протокол передачі файлів FTP;

· графічна віконна система X Windows і ін.

Простий протокол передачі електронної пошти SMTP дозволяє здійснювати поштову транспортну службу Internet. Одна з проблем безпеки, пов'язана з цим протоколом, полягає у тому, що користувач не може перевірити адресу відправника в заголовку електронного листу. В результаті хакер здатний направити у внутрішню мережу велику кількість поштових повідомлень, що приведе до перевантаження і блокування роботи поштового серверу.

Популярна в Internet програма електронної пошти Sendmail використовує для роботи деяку мережеву інформацію – IP-адресу відправника. Перехоплюючи повідомлення, що відправляються за допомогою Sendmail, хакер може застосувати цю інформацію для нападів, наприклад для спуфінга (підміни адрес).

Протокол передачі файлів FTP забезпечує передачу текстових і двійкових файлів, тому його часто використовують в Internet для організації сумісного доступу до інформації. Його звичайно розглядають як один з методів роботи з видаленими мережами. На FTP-серверах зберігаються документи, програми, графіки і інші види інформації. До даних цих файлів на FTP-серверах не можна звернутися напряму. Це можна зробити, тільки переписавши їх цілком з FTP-серверу на локальний сервер. Деякі FTP-сервери обмежують доступ користувачів до своїх архівів даних за допомогою пароля, інші ж надають вільний доступ (так званий анонімний FTP-сервер).

Служба мережевих імен DNS є розподіленою базою даних, яка перетворює імена користувачів і хостів в IP-адреси, що вказуються в заголовках пакетів, і навпаки. DNS також зберігає інформацію про структуру мережі компанії, наприклад, про кількість комп'ютерів з IP-адресами в кожному домені.

Одна з проблем DNS полягає у тому, що цю базу даних дуже важко «приховати» від неавторизованих користувачів. В результаті DNS часто використовується хакерами як джерело інформації про імена довірених хостів.

Служба емуляції видаленого терміналу Telnet використовується для підключення до видалених систем, приєднаних до мережі; вона застосовує базові можливості емуляції терміналу. При використовуванні цього сервісу Internet користувачі повинні реєструватися на сервері Telnet, вводячи свої ім'я і пароль. Після автентифікації користувача його робоча станція функціонує в режимі терміналу, підключеного до зовнішнього хосту. З цього терміналу користувач може вводити команди, які забезпечують йому доступ до файлів і запуск програм. Підключившись до серверу Telnet, хакер може конфігурувати його програму так, щоб вона записувала імена і паролі користувачів.

Всесвітня павутина WWW – це система, заснована на мережевих додатках, які дозволяють користувачам проглядати вміст різних серверів в Internet або інтрамережах. Найкорисніша властивість WWW – використовування гіпертекстових документів, в які вбудовані посилання на інші документи і Web-вузли, що дає відвідувачам сайтів можливість легко переходити від одного вузла до іншого. Проте ця ж властивість є і найслабкішим місцем системи WWW, оскільки посилання на Web-вузли, що зберігаються в гіпертекстових документах, містять інформацію про те, як здійснюється доступ до відповідних вузлів. Використовуючи цю інформацію, хакери можуть зруйнувати Web-вузол або дістати доступ до конфіденційної інформації, що зберігається в ньому.

Серед основних причини уразливості мережі Internet можна відзначити наступні:

· мережа Internet розроблялася як відкрита і децентралізована мережа з початковою відсутністю ПБ. При цьому основні зусилля були направлені на досягнення зручності обміну інформацією в Internet. Крім того, багато мереж спроектовано без механізмів контролю доступу з боку Internet;

· для Internet характерні велика протяжність ліній зв'язку і уразливість основних служб. Сервісні програми базового набору протоколів TCP/IP мережі Internet не гарантують безпеки;

· модель «клієнт-сервер», на якій заснована робота в Internet, не позбавлена певних слабкостей і лазівок в продуктах окремих виробників. Дана модель об'єднує різноманітне програмне і апаратне забезпечення, в якому можуть бути “діри” для проникнення зловмисників;

· при створенні Web-сторінок ряд компаній використовує власний дизайн, який може не відповідати вимогам забезпечення певного класу безпеки для Web-вузла компанії і пов'язаної з ним локальної або корпоративної мережі;

· інформація про існуючі і використовувані засоби захисту доступна користувачам. Крім того, можливий витік технологій безпеки високого рівня з секретних джерел при розкритті представлених в мережі Web-вузлів і мереж організацій, що займаються розробкою цих технологій;

· існує можливість спостереження за каналами передачі даних, оскільки значна частина інформації передається через Internet у відкритій незахищеній формі. Зокрема, електронна пошта, паролі і вкладені в листи файли можуть бути легко перехоплені зловмисником за допомогою доступних програм;

· засоби управління доступом часто складно конфігурувати, настроювати і контролювати. Це приводить до неправильної конфігурації засобів захисту і, як наслідок, до несанкціонованого доступу;

· істотну роль виконує і людський чинник. Окремі користувачі, не визначені високими моральними принципами, можуть за відповідну платню надати зловмисникам доступ в мережу своєї фірми. Є користувачі-дилетанти, які, не володіючи необхідними знаннями, вважають, що засоби захисту їм взагалі не потрібні, або неправильно конфігурують ці засоби;

· для обслуговування роботи в Internet використовується велике число сервісів, інформаційних служб і мережевих протоколів. Знання правильності і тонкості використовування хоча б більшості цих сервісів, служб і протоколів одній людині в особі адміністратора мережі практично недоступно;

· фахівці із захисту інформації в Internet готуються поки в недостатньому об'ємі; часто в ролі адміністраторів мережі працюють люди, що не мають глибокої професійної підготовки;

· для роботи в Internet характерна лише уявна анонімність. Існує потенційна можливість обійти засоби виявлення відправника тієї або іншої інформації або відвідувача того або іншого Web-вузла за допомогою використовування віртуальних IP-адрес і проміжних вузлів електронної пошти,

Виникає природне питання: скільки потенційно вразливих місць в принципі може бути у мереж, підключених до Internet? Фахівці компанії Internet Security Systems вважають, що в будь-якій мережі, заснованій на протоколі TCP/IP, існує близько 135 потенційних каналів для НСД.

Перші засоби захисту даних, які передаються, з'явилися практично відразу після того, як уразливість IP-мереж дала про себе знати з практики. Характерними прикладами розробок в цій області можуть служити PGP/Web-of-Trust для шифрування повідомлень електронної пошти, SSL для захисту Web-трафіку, SSH (Secure SHell) для захисту сеансів Telnet і процедур передачі файлів.

Загальним недоліком подібних широко поширених рішень є їх «прихильність» до певного типу додатків, а значить, нездатність задовольнити тим різноманітним вимогам до систем мережевого захисту, які пред'являють крупні корпорації або Internet-провайдери.

Найрадикальніший спосіб подолати вказане обмеження зводиться до того, щоб будувати систему захисту не для окремих класів додатків (хай і дуже популярних), а для мережі в цілому. Стосовно IP-мереж це означає, що системи захисту повинні діяти на мережевому рівнімоделі OSI.

Перевага такого вибору полягає в тому очевидному факті, що в IP-мережах саме даний рівень відрізняється найбільшою гомогенністю: незалежно від вищерозміщених протоколів, фізичного середовища передачі і технології канального рівня транспортування даних по мережі не може бути здійснено в обхід протоколу IP. Тому реалізація захисту мережі на третьому рівні автоматично гарантує як мінімум такий же ступінь захисту всіх мережевих додатків. При цьому не потрібна яка-небудь модифікація останніх. Для користувачів процедури захисту виявляться такими ж прозорими, як і сам протокол IP.

Контрольні запитання

1. Які підходи існують щодо вирішення проблеми забезпечення безпеки інформації в корпоративних мережах?

2. В чому полягає фрагментарний підхід щодо забезпечення безпеки в корпоративних мережах?

3. В чому полягає комплексний підхід щодо забезпечення безпеки в корпоративних мережах?

4. Наведіть основні служби Internet/

5. Які основні причини уразливості мережі Internet?