Недоліки у сфері захищеності служб і протоколів Internet
Ряд служб Internet дуже ефективно використовуються для обробки інформації в КС, зокрема, і в системах ДПС. Однак для них слід зазначити певні «природжені слабкості», що створює проблеми з інформаційної безпеки. Спочатку розглянемо основні причини уразливості Internet.
Як відомо, до служб Internet відносяться:
· простий протокол передачі електронної пошти SMTP (Simple Mail Transfer Protocol);
· програма електронної пошти Sendmail;
· служба мережевих імен DNS;
· служба емуляції видаленого терміналу Telnet;
· всесвітня павутина WWW;
· протокол передачі файлів FTP;
· графічна віконна система X Windows і ін.
Простий протокол передачі електронної пошти SMTP дозволяє здійснювати поштову транспортну службу Internet. Одна з проблем безпеки, пов'язана з цим протоколом, полягає у тому, що користувач не може перевірити адресу відправника в заголовку електронного листу. В результаті хакер здатний направити у внутрішню мережу велику кількість поштових повідомлень, що приведе до перевантаження і блокування роботи поштового серверу.
Популярна в Internet програма електронної пошти Sendmail використовує для роботи деяку мережеву інформацію – IP-адресу відправника. Перехоплюючи повідомлення, що відправляються за допомогою Sendmail, хакер може застосувати цю інформацію для нападів, наприклад для спуфінга (підміни адрес).
Протокол передачі файлів FTP забезпечує передачу текстових і двійкових файлів, тому його часто використовують в Internet для організації сумісного доступу до інформації. Його звичайно розглядають як один з методів роботи з видаленими мережами. На FTP-серверах зберігаються документи, програми, графіки і інші види інформації. До даних цих файлів на FTP-серверах не можна звернутися напряму. Це можна зробити, тільки переписавши їх цілком з FTP-серверу на локальний сервер. Деякі FTP-сервери обмежують доступ користувачів до своїх архівів даних за допомогою пароля, інші ж надають вільний доступ (так званий анонімний FTP-сервер).
Служба мережевих імен DNS є розподіленою базою даних, яка перетворює імена користувачів і хостів в IP-адреси, що вказуються в заголовках пакетів, і навпаки. DNS також зберігає інформацію про структуру мережі компанії, наприклад, про кількість комп'ютерів з IP-адресами в кожному домені.
Одна з проблем DNS полягає у тому, що цю базу даних дуже важко «приховати» від неавторизованих користувачів. В результаті DNS часто використовується хакерами як джерело інформації про імена довірених хостів.
Служба емуляції видаленого терміналу Telnet використовується для підключення до видалених систем, приєднаних до мережі; вона застосовує базові можливості емуляції терміналу. При використовуванні цього сервісу Internet користувачі повинні реєструватися на сервері Telnet, вводячи свої ім'я і пароль. Після автентифікації користувача його робоча станція функціонує в режимі терміналу, підключеного до зовнішнього хосту. З цього терміналу користувач може вводити команди, які забезпечують йому доступ до файлів і запуск програм. Підключившись до серверу Telnet, хакер може конфігурувати його програму так, щоб вона записувала імена і паролі користувачів.
Всесвітня павутина WWW – це система, заснована на мережевих додатках, які дозволяють користувачам проглядати вміст різних серверів в Internet або інтрамережах. Найкорисніша властивість WWW – використовування гіпертекстових документів, в які вбудовані посилання на інші документи і Web-вузли, що дає відвідувачам сайтів можливість легко переходити від одного вузла до іншого. Проте ця ж властивість є і найслабкішим місцем системи WWW, оскільки посилання на Web-вузли, що зберігаються в гіпертекстових документах, містять інформацію про те, як здійснюється доступ до відповідних вузлів. Використовуючи цю інформацію, хакери можуть зруйнувати Web-вузол або дістати доступ до конфіденційної інформації, що зберігається в ньому.
Серед основних причини уразливості мережі Internet можна відзначити наступні:
· мережа Internet розроблялася як відкрита і децентралізована мережа з початковою відсутністю ПБ. При цьому основні зусилля були направлені на досягнення зручності обміну інформацією в Internet. Крім того, багато мереж спроектовано без механізмів контролю доступу з боку Internet;
· для Internet характерні велика протяжність ліній зв'язку і уразливість основних служб. Сервісні програми базового набору протоколів TCP/IP мережі Internet не гарантують безпеки;
· модель «клієнт-сервер», на якій заснована робота в Internet, не позбавлена певних слабкостей і лазівок в продуктах окремих виробників. Дана модель об'єднує різноманітне програмне і апаратне забезпечення, в якому можуть бути “діри” для проникнення зловмисників;
· при створенні Web-сторінок ряд компаній використовує власний дизайн, який може не відповідати вимогам забезпечення певного класу безпеки для Web-вузла компанії і пов'язаної з ним локальної або корпоративної мережі;
· інформація про існуючі і використовувані засоби захисту доступна користувачам. Крім того, можливий витік технологій безпеки високого рівня з секретних джерел при розкритті представлених в мережі Web-вузлів і мереж організацій, що займаються розробкою цих технологій;
· існує можливість спостереження за каналами передачі даних, оскільки значна частина інформації передається через Internet у відкритій незахищеній формі. Зокрема, електронна пошта, паролі і вкладені в листи файли можуть бути легко перехоплені зловмисником за допомогою доступних програм;
· засоби управління доступом часто складно конфігурувати, настроювати і контролювати. Це приводить до неправильної конфігурації засобів захисту і, як наслідок, до несанкціонованого доступу;
· істотну роль виконує і людський чинник. Окремі користувачі, не визначені високими моральними принципами, можуть за відповідну платню надати зловмисникам доступ в мережу своєї фірми. Є користувачі-дилетанти, які, не володіючи необхідними знаннями, вважають, що засоби захисту їм взагалі не потрібні, або неправильно конфігурують ці засоби;
· для обслуговування роботи в Internet використовується велике число сервісів, інформаційних служб і мережевих протоколів. Знання правильності і тонкості використовування хоча б більшості цих сервісів, служб і протоколів одній людині в особі адміністратора мережі практично недоступно;
· фахівці із захисту інформації в Internet готуються поки в недостатньому об'ємі; часто в ролі адміністраторів мережі працюють люди, що не мають глибокої професійної підготовки;
· для роботи в Internet характерна лише уявна анонімність. Існує потенційна можливість обійти засоби виявлення відправника тієї або іншої інформації або відвідувача того або іншого Web-вузла за допомогою використовування віртуальних IP-адрес і проміжних вузлів електронної пошти,
Виникає природне питання: скільки потенційно вразливих місць в принципі може бути у мереж, підключених до Internet? Фахівці компанії Internet Security Systems вважають, що в будь-якій мережі, заснованій на протоколі TCP/IP, існує близько 135 потенційних каналів для НСД.
Перші засоби захисту даних, які передаються, з'явилися практично відразу після того, як уразливість IP-мереж дала про себе знати з практики. Характерними прикладами розробок в цій області можуть служити PGP/Web-of-Trust для шифрування повідомлень електронної пошти, SSL для захисту Web-трафіку, SSH (Secure SHell) для захисту сеансів Telnet і процедур передачі файлів.
Загальним недоліком подібних широко поширених рішень є їх «прихильність» до певного типу додатків, а значить, нездатність задовольнити тим різноманітним вимогам до систем мережевого захисту, які пред'являють крупні корпорації або Internet-провайдери.
Найрадикальніший спосіб подолати вказане обмеження зводиться до того, щоб будувати систему захисту не для окремих класів додатків (хай і дуже популярних), а для мережі в цілому. Стосовно IP-мереж це означає, що системи захисту повинні діяти на мережевому рівнімоделі OSI.
Перевага такого вибору полягає в тому очевидному факті, що в IP-мережах саме даний рівень відрізняється найбільшою гомогенністю: незалежно від вищерозміщених протоколів, фізичного середовища передачі і технології канального рівня транспортування даних по мережі не може бути здійснено в обхід протоколу IP. Тому реалізація захисту мережі на третьому рівні автоматично гарантує як мінімум такий же ступінь захисту всіх мережевих додатків. При цьому не потрібна яка-небудь модифікація останніх. Для користувачів процедури захисту виявляться такими ж прозорими, як і сам протокол IP.
Контрольні запитання
1. Які підходи існують щодо вирішення проблеми забезпечення безпеки інформації в корпоративних мережах?
2. В чому полягає фрагментарний підхід щодо забезпечення безпеки в корпоративних мережах?
3. В чому полягає комплексний підхід щодо забезпечення безпеки в корпоративних мережах?
4. Наведіть основні служби Internet/
5. Які основні причини уразливості мережі Internet?
Дата добавления: 2015-12-22; просмотров: 757;