Курсовая: Защита компьютера от атак через интернет - текст курсовой. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Курсовая

Защита компьютера от атак через интернет

Банк рефератов / Компьютерные сети

Рубрики  Рубрики реферат банка

закрыть
Категория: Курсовая работа
Язык курсовой: Русский
Дата добавления:   
 
Скачать
Microsoft Word, 879 kb, скачать бесплатно
Обойти Антиплагиат
Повысьте уникальность файла до 80-100% здесь.
Промокод referatbank - cкидка 20%!
Заказать
Узнать стоимость написания уникальной курсовой работы

Узнайте стоимость написания уникальной работы

39 Введение Атака на компьютерную систему - это д ействие , предпринимае мое злоумышленником , кото рое заключается в поиске и использовании той или иной уязвимости . Таким образом , ат ака - это реализация угрозы . Заметим , что та кое толкование атаки (с участием человека , имеющего злой умысел ), исключает присутствующий в определени и угрозы элемент случ айности , но , как показывает опыт , часто быв ает невозможно различить преднамеренные и слу чайные действия , и хорошая система защиты должна адекватно реагировать на любое из них. Далее , исследователи обычно вы деляют три основных вида угроз безопасн ости - это угрозы раскрытия , целостности и отказа в обслуживании . Угроза раскрытия заключается том , что информация с тановится известной тому , кому не следовало бы ее знать . В терминах компьютерной бе зопасности угроза раскрытия имеет место всяки й раз , когда получен доступ к некото рой конфиденциальной информации , хранящейся в вычислительной системе или передаваемой от о дной системы к другой . Иногда вместо слова "раскрытие " используются термины "кража " или "утечка ". Угроза целостности включает в себ я любое ум ышленное изменение (модификацию или даже удал ение ) данных , хранящихся в вычислительной сист еме или передаваемых из одной системы в другую . Обычно считается , что угрозе раскрыт ия подвержены в большей степени государственн ые структуры , а угрозе це л остности - деловые или коммерческие . Угроза отказа в обслуж ивании возникает всякий раз , когда в результате некоторых действий блокир уется доступ к некоторому ресурсу вычислитель ной системы . Реально блокирование может быть постоянным , так чтобы запрашиваем ый р есурс никогда не был получен , или оно может вызвать только задержку запрашиваемого ресурса , достаточно долгую для того , чтобы он стал бесполезным . В таких случаях гово рят , что ресурс исчерпан . Типичными угрозами в среде Интернета являются : · Сбой в работе одной из компонент сети . Сбой из-за ош ибок при проектировании или ошибок оборудован ия или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной и з компонент сети . Выход из строя бр а ндмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев , которые оказывают влияние на безопасность . · Сканирование информации . Неавторизованный просмотр критической информаци и злоумышленниками или авторизованными пользо вателями может происходить , с использован ием различных механизмов - электронное письмо с неверным адресатом , распечатка принтера , неп равильно сконфигурированные списки управления до ступом , совместное использование несколькими людь ми одного идентификатора и т.д . · Использование информаци и не по назначению - использование информации для целей , отличных от авторизованных , мо жет привести к отказу в обслуживании , изли шним затратам , потере репутации . Виновниками э того могут быть как внутренние , так и внешние по льзователи . · Неавторизованное удален ие , модификация или раскрытие информации - спец иальное искажение информационных ценностей , котор ое может привести к потере целостности ил и конфиденциальности информации . · Проникновение - атака неавторизованных люде й или систем , кото рая может привести к отказу в обслуживани и или значительным затратам на восстановление после инцидента . · Маскарад - попытки за маскироваться под авторизованного пользователя д ля кражи сервисов или информации , или для инициации финансовы х транзакций , которые приведут к финансовым потерям или пробле мам для организации. 1. Обнаружение атак Исторически так сложилось , что технологии , по которым строятся системы обнаружения атак , принято условно делить на две категории : обнаруж ение аномального поведения (anomaly detection) и обнаружение злоупотреблений (misuse detection). Однако в практической дея тельности применяется другая классификация , учиты вающая принципы практической реализации таких систем : обнаружение атак на у р о вне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик , в то время как вторые — регистрационные журналы операционной системы или приложения . Каждый из классов имеет свои достоинства и недостатки , но об этом чут ь позж е . Необходимо заметить , что лишь некоторые системы обнаружения атак могут быть однознач но отнесены к одному из названных классов . Как правило , они включают в себя возм ожности нескольких категорий . Тем не менее эта классификация отражает ключевые возм о жности , отличающие одну систему о бнаружения атак от другой. В настоящий момент технология обнаружения аномалий не получила широкого распространени я , и ни в одной коммерчески распространяем ой системе она не используется . Связано эт о с тем , что данная технол огия кра сиво выглядит в теории , но очень трудно реализуется на практике . Сейчас , однако , нам етился постепенный возврат к ней (особенно в России ), и можно надеяться , что в с кором времени пользователи смогут увидеть пер вые коммерческие системы обнаружения а т ак , работающие по этой технологии. Другой подход к обнаружению атак — о бнаружение злоупотреблений , которое заключается в описании атаки в виде шаблона (pattern) или сигнатуры (signature) и поиска данного шаблона в к онтролируемом пространстве (сетевом трафи ке или журнале регистрации ). Антивирусные системы являются ярким примером системы обнаружения атак , работающей по этой технологии. Как уже было отмечено выше , существует два класса систем , обнаруживающих атаки н а сетевом и операционном уровне . Принципиальн ое преимущество сетевых (network-based) систем обнару жения атак состоит в том , что они иден тифицируют нападения прежде , чем те достигнут атакуемого узла . Эти системы более просты для развертывания в крупных сетях , потому что не требуют установки на различ н ые платформы , используемые в орга низации . В России наибольшее распространение получили операционные системы MS-DOS, Windows 95, NetWare и Windows NT. Различ ные диалекты UNIX у нас пока не столь шир око распространены , как на Западе . Кроме т ого , системы обн а ружения атак на уровне сети практически не снижают произ водительности сети. Системы обнаружения атак на уровне хо ста создаются для работы под управлением конкретной операционной системы , что накладывает на них определенные ограничения . Например , мне не изв естна ни одна система этого класса , функционирующая под управлением MS-DOS или Windows for Workgroups (а ведь эти операционные сист емы еще достаточно распространены в России ). Используя знание того , как должна «вести» себя операционная система , средства , п остроенные с учетом этого подхода , ино гда могут обнаружить вторжения , пропускаемые сетевыми средствами обнаружения атак . Однако зачастую это достигается дорогой ценой , потом у что постоянная регистрация , необходимая для выполнения подобного рода обнаружени я , существенно снижает производительность защ ищаемого хоста . Такие системы сильно загружаю т процессор и требуют больших объемов дис кового пространства для хранения журналов рег истрации и , в принципе , не применимы для высококритичных систем , работающих в ре ж име реального времени (например , система «Операционный день банка» или система ди спетчерского управления ). Однако , несмотря ни н а что , оба эти подхода могут быть прим енены для защиты вашей организации . Если в ы хотите защитить один или несколько узло в , то с истемы обнаружения атак н а уровне хоста могут стать неплохим выбор ом . Но если вы хотите защитить большую часть сетевых узлов организации , то системы обнаружения атак на уровне сети , вероятно , будут наилучшим выбором , поскольку увеличени е количества узлов в сети никак не скажется на уровне защищенности , достига емом при помощи системы обнаружения атак . Она сможет без дополнительной настройки защищ ать дополнительные узлы , в то время как в случае применения системы , функционирующей на уровне хостов , понадобитс я ее установка и настройка на каждый защищаем ый хост . Идеальным решением стала бы систе ма обнаружения атак , объединяющая в себе о ба эти подхода. КомпьютерПресс 8'1999 Существу ющие сегодня на рынке коммерческие системы обнаружения атак (Intrusion Detection Systems, IDS) используют для распознавания и отражения атак либо сетевой , либо системный подход . В любом случае эти продукты ищут сигнатуры атак , специфические шаблоны , которые обычно указывают на враждебные или подозрительные действи я . В случае поиск а этих шаблонов в сетевом трафике , IDS работа ет на сетевом уровне . Если IDS ищет сигнатуры атак в журналах регистрации операционной системы или приложения , то это системный уровень . Каждый подход имеет свои достоинства и недостатки , но они оба дополняют друг друга . Наиболее эффективной является система обнаружения атак , которая использует в своей работе обе технологии . В данном материале обсуждаются ра зличия в методах обнаружения атак на сете вом и системном уровнях с целью демонстра ции их с лабых и сильных сторон . Также описываются варианты применения каждо го из способов для наиболее эффективного обнаружения атак. 1.1. Обнаружение атак на сетевом уровне Системы обнаруже ния атак сетевого уровня используют в кач естве источника данных для анализ а не обработанные (raw) сетевые пакеты . Как правило , IDS се тевого уровня используют сетевой адаптер , фун кционирующий в режиме "прослушивания " (promiscuous), и ан ализируют трафик в реальном масштабе времени по мере его прохождения через сегмент сети . Модул ь распознавания атак и спользует четыре широко известных метода для распознавания сигнатуры атаки : o Соответствие трафика шаблону (сигнатуре ), выражению или байт коду , характеризующих об атаке или подозрител ьном действии ; o Контроль частоты собы тий или превы шение пороговой величины ; o Корреляция нескольких событий с низким приоритетом ; o Обнаружение статистическ их аномалий . Как только атака обнаружена , модуль реагирования предоставляет широкий набор вариантов уведомле ния , выдачи сигнала тревоги и реализаци и контрмер в ответ на атаку . Эти варианты изменяются от системы к системе , но , как правило , включают в себя : уведом ление администратора через консоль или по электронной почте , завершение соединения с атакующим узлом и /или запись сессии для последующего ан а лиза и сбора д оказательств. 1.2. Обнаружение атак на системном уровне В начале 80-х годов , еще до того , как сети полу чили свое развитие , наиболее распространенная практика обнаружения атак заключалась в прос мотре журналов регистрации на предмет наличия в них событий , свидетельствующих о подозрительной активности . Современные системы об наружения атак системного уровня остаются мощ ным инструментом для понимания уже осуществле нных атак и определения соответствующих метод ов для устранения возможностей их буду щ его применения . Современные IDS системн ого уровня по-прежнему используют журналы рег истрации , но они стали более автоматизированн ыми и включают сложнейшие методы обнаружения , основанные на новейших исследованиях в о бласти математики . Как правило , IDS сист е много уровня контролируют систему , событи я и журналы регистрации событий безопасности (security log или syslog) в сетях , работающих под управле нием Windows NT или Unix. Когда какой-либо из этих фай лов изменяется , IDS сравнивает новые записи с сигнатурами а так , чтобы проверить , есть ли соответствие . Если такое соответствие найдено , то система посылает администратору сигнал тревоги или приводит в действие другие заданные механизмы реагирования. IDS системного уровня постоянно развиваются , постепенно включая в се новые и нов ые методы обнаружения . Один их таких попул ярных методов заключается в проверке контроль ных сумм ключевых системных и исполняемых файлов через регулярные интервалы времени на предмет несанкционированных изменений . Своевре менность реагирования непосредственно свя зана с частотой опроса . Некоторые продукты прослушивают активные порты и уведомляют а дминистратора , когда кто-то пытается получить к ним доступ . Такой тип обнаружения вносит в операционную среду элементарный уровень обнаружения атак на с етевом уровн е. 1.3. Достоинства систем обнаружения атак на сетевом уровне IDS сетевого уро вня имеют много достоинств , которые отсутству ют в системах обнаружения атак на системн ом уровне . В действительности , многие покупате ли используют систему обнаружения атак сетевого уровня из-за ее низкой стоимости и своевременного реагирования . Ниже представлены основные причины , которые делают систему обнаружение атак на сетевом уровне наиболее важным компонентом эффективной реализации по литики безопасности. 1. Низкая стоимость эксплуатации. IDS сетевого уровня необходимо устанавливать в наиболее важных местах сети для контроля трафика , циркулирующего между многочисленных систем . Си стемы сетевого уровня не требуют , чтобы на каждом хосте устанавливалось программное обе сп ечение системы обнаружения атак . Поскол ьку для контроля всей сети число мест , в которых установлены IDS невелико , то стоимос ть их эксплуатации в сети предприятия ниж е , чем стоимость эксплуатации систем обнаруже ния атак на системном уровне . 2. Обнаружен ие атак , которые пропускаются на системн ом уровне. IDS сетевого уровня и зучают заголовки сетевых пакетов на наличие подозрительной или враждебной деятельности . IDS системного уровня не работают с заголовками пакетов , следовательно , они не могут опре делять эти типы атак . Например , многие сетевые атаки типа "отказ в обслуживании " ("denial-of-service") и "фрагментированный пакет " (TearDrop) могут быть идентифицированы только путем анализа заголо вков пакетов , по мере того , как они про ходят через сеть . Этот тип ат а к может быть быстро идентифицирован с пом ощью IDS сетевого уровня , которая просматривает трафик в реальном масштабе времени . IDS сетевого уровня могут исследовать содержание тела данных пакета , отыскивая команды или опреде ленный синтаксис , используемые в к он кретных атаках . Например , когда хакер пытается использовать программу Back Orifice на системах , котор ые пока еще не поражены ею , то этот факт может быть обнаружен путем исследован ия именно содержания тела данных пакета . К ак говорилось выше , системы сист е м ного уровня не работают на сетевом уровне , и поэтому не способны распознавать такие атаки . 3. Для х акера более трудно удалить следы своего п рисутствия . IDS сетевого уровня и спользуют "живой " трафик при обнаружении атак в реальном масштабе времени . Таким образом , хакер не может удалить следы свое го присутствия . Анализируемые данные включают не только информацию о методе атаки , но и информацию , которая может помочь при идентификации злоумышленника и доказательстве в суде . Поскольку многие хакеры хорошо зна к омы с журналами регистрации , они знают , как манипулировать этими файлами д ля скрытия следов своей деятельности , снижая эффективность систем системного уровня , кото рым требуется эта информация для того , что бы обнаружить атаку . 4. Обнаружен ие и реагирование в реальном масштабе времени. IDS сетевого уровня обна руживают подозрительные и враждебные атаки ПО МЕРЕ ТОГО , КАК ОНИ ПРОИСХОДЯТ , и поэто му обеспечивают гораздо более быстрое уведомл ение и реагирование , чем IDS системного уровня . Например , хакер , иницииру ющий атаку сет евого уровня типа "отказ в обслуживании " н а основе протокола TCP, может быть остановлен IDS сетевого уровня , посылающей установленный флаг Reset в заголовке TCP-пакета для завершения сое динения с атакующим узлом , прежде чем атак а вызовет раз р ушения или поврежде ния атакуемого хоста . IDS системного уровня , как правило , не распознают атаки до момента соответствующей записи в журнал и предпр инимают ответные действия уже после того , как была сделана запись . К этому моменту наиболее важные системы и ли ре сурсы уже могут быть скомпрометированы или нарушена работоспособность системы , запускающей IDS системного уровня . Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами . Диапазо н этих реакций изменяется от разрешения проникновения в режиме наблюдения для того , чтобы собрать информацию об атаке и атакующем , до нем едленного завершения атаки . 5. Обнаружен ие неудавшихся атак или подозрительных намере ний. IDS сетевого уровня , установл енная с наружной сторон ы межсетевого экрана (МСЭ ), может обнаруживать атаки , нацеленные на ресурсы за МСЭ , д аже несмотря на то , что МСЭ , возможно , отразит эти попытки . Системы системного уровн я не видят отраженных атак , которые не достигают хоста за МСЭ . Э та по терянная информация может быть наиболее важно й при оценке и совершенствовании политики безопасности . 6. Независим ость от ОС. IDS сетевого уровня не зависят от операционных систем , устано вленных в корпоративной сети . Системы обнаруж ения атак на систем ном уровне требуют конкретных ОС для правильного функционирован ия и генерации необходимых результатов . 1.4. Достоинства систем обнаружения атак системного уровня И хотя систе мы обнаружения атак системного уровня не столь быстры , как их аналоги сетевого ур овня , они предлагают преимущества , которых не имеют последние . К этим достоинствам можно отнести более строгий анализ , прист альное внимание к данным о событии на конкретном хосте и более низкая стоимость внедрения. 1. Подтверждают успех или отказ атаки. По скольку IDS системного уровня используют жур налы регистрации , содержащие данные о события х , которые действительно имели место , то IDS этого класса могут с высокой точностью оп ределять – действительно ли атака была у спешной или нет . В этом отношении IDS си с темного уровня обеспечивают превосхо дное дополнение к системам обнаружения атак сетевого уровня . Такое объединение обеспечив ает раннее предупреждение при помощи сетевого компонента и "успешность " атаки при помощ и системного компонента . 2. Контролир ует дея тельность конкретного узла . IDS системного уровня контролирует де ятельность пользователя , доступ к файлам , изме нения прав доступа к файлам , попытки устан овки новых программ и /или попытки получит ь доступ к привилегированным сервисам . Наприм ер , IDS системног о уровня может контролирова ть всю logon- и logoff-деятельность пользователя , а также действия , выполняемые каждым пользователем при подключении к сети . Для системы с етевого уровня очень трудно обеспечить такой уровень детализации событий . Технология обна р у жения атак на системном уровне может также контролировать деятельность , кот орая обычно ведется только администратором . О перационные системы регистрируют любое событие , при котором добавляются , удаляются или изме няются учетные записи пользователей . IDS сис т емного уровня могут обнаруживать соответ ствующее изменение сразу , как только оно п роисходит . IDS системного уровня могут также про водить аудит изменений политики безопасности , которые влияют на то , как системы осущест вляют отслеживание в своих журналах ре г истрации и т.д . В конечном итоге системы обнаружения атак на системном уровне могут контролировать изменени я в ключевых системных файлах или исполня емых файлах . Попытки перезаписать такие файлы или инсталлировать "троянских коней " могут быть обнаружены и пресечены . Системы сетевого уровня иногда упускают такой тип деятельности. 3. Обнаружение атак , которые упускают системы сетевого уровн я . IDS системного уровня могут обнаруживать атаки , которые не могут быть обнаружены средствами сетевого уровня . Например , атаки , осуществляемые с самого атакуемо го сервера , не могут быть обнаружены систе мами обнаружения атак сетевого уровня . 4. Хорошо подходит для сетей с шифрованием и ком мутацией. Поскольку IDS системного уровня устанавливается на различ ных хостах сети пре дприятия , она может преодолеть некоторые из проблем , возникающие при эксплуатации систем сетевого уровня в сетях с коммутацией и шифрованием . Коммут ация позволяет управлять крупномасштабными сетям и , как несколькими небольшими сетевыми сегмен тами . В резуль тате бывает трудно опред елить наилучшее место для установки IDS сетевого уровня . Иногда могут помочь административные порты (managed ports) и порты отражения (mirror ports, span ports) трафика на коммутаторах , но эти методы не всегд а применимы . Обнаружени е атак на системном уровне обеспечивает более эффективну ю работу в коммутируемых сетях , т.к . позвол яет разместить IDS только на тех узлах , на которых это необходимо. Определенные типы шифрования также предст авляют проблемы для систем обнаружения атак сетево го уровня . В зависимости от того , где осуществляется шифрование (канальное или абонентское ), IDS сетевого уровня может остаться "слепой " к определенным атакам . IDS систе много уровня не имеют этого ограничения . К тому же ОС , и , следовательно , IDS системног о уровня , анализирует расшифрованный входящий трафик. 5. Обнаружение и реагирование почти в реальном масштабе времени . Хотя обнаружение атак на системном уровне не обеспечивает реагир ования в действительно реальном масштабе врем ени , оно , при правильной реал изации , мо жет быть осуществлено почти в реальном ма сштабе . В отличие от устаревших систем , ко торые проверяют статус и содержания журналов регистрации через заранее определенные интер валы , многие современные IDS системного уровня п олучают прерывание от ОС, как толь ко появляется новая запись в журнале реги страции . Эта новая запись может быть обраб отана сразу же , значительно уменьшая время между распознаванием атаки и реагированием на нее . Остается задержка между моментом записи операционной системой события в журнал регистрации и моментом распозна вания ее системой обнаружения атак , но во многих случаях злоумышленник может быть обнаружен и остановлен прежде , чем нанесет какой-либо ущерб . 6. Не тр ебуют дополнительных аппаратных средств. Системы обнаружения атак на системном уровне устанавливаются на существующ ую сетевую инфраструктуру , включая файловые с ервера , Web-сервера и другие используемые ресурс ы . Такая возможность может сделать IDS системног о уровня очень эффективными по стоимости , потому что они не треб у ют еще одного узла в сети , которому необходимо уделять внимание , осуществлять техническое о бслуживание и управлять им . 7. Низкая цена. Несмотря на то , что системы обнаружения атак сетевого уровня о беспечивают анализ трафика всей сети , очень часто они явля ются достаточно дорогими . Стоимость одной системы обнаружения атак может превышать $10000. С другой стороны , системы обнаружения атак на системном уровне сто ят сотни долларов за один агент и мог ут приобретаться покупателем в случае необход имости контролир о вать лишь некоторые узлы предприятия , без контроля сетевых ат ак . 1.5. Необходимость в обеих системах обнаружения атак сетевого и системного уровней Оба решения : IDS и сетевого , и системного уровней имеют с вои достоинства и преимущества , которые эффек тивно дополняют друг друга . Следующее по коление IDS, таким образом , должно включать в себя интегрированные системные и сетевые ком поненты . Комбинирование этих двух технологий значительно улучшит сопротивление сети к атак ам и злоупотреблениям , позволит ужесточи т ь политику безопасности и внести боль шую гибкость в процесс эксплуатации сетевых ресурсов. Рисунок , представленный ниже , иллюстрирует то , как взаимодействуют методы обнаружения атак на системном и сетевом уровнях при создании более эффективной системы сете вой защиты . Одни события обнаруживаются только при помощи сетевых систем . Другие – только с помощью системных . Некоторые требуют применения обоих типов обнаружения атак для надежного обнаружения. Рис .1. В заимодействие метотодов обна ружения атак на системном и сетевом уровн ях 1.6. Список тре бования к системам обнаружения а так след ующего поколения Характеристики для систем обнаружения атак следующего пок оления : 1. Возможности об наружения атак на системном и сетевом уро вне , интегрированные в единую систему . 2. Совместно используемая консоль управления с непротиворечивым инте рфейсом для конфигурации продукта , полити ки управления и отображения отдельных событий , как с системных , так и с сетевых компонентов системы обнаружения атак . 3. Интегрированная база данных событий . 4. Интегрированная система генерации отчетов . 5. Возмо жности осущ ествления корреляции событий . 6. Интегрированная он-лайнов ая помощь для реагирования на инциденты . 7. Унифицированные и не противоречивые процедуры инсталляции . 8. Добавление возможности контроля за собственными событиями . В четве ртом квартал е 1998 года вышла RealSecureT версии 3.0, которая отвечает всем этим требованиям . · Модуль слежени я RealSecure - обнаруживает атаки на сетевом уровне в сетях Ethernet, Fast Ethernet, FDDI и Token Ring. · Агент RealSecure - обнаруживает атаки на серверах и других системн ых устройствах . · Менеджер RealSecure - консоль управления , которая обеспечивает конфигурацию м одулей слежения и агентов RealSecure и объединяет анализ сетевого трафика и системных журнал ов регистрации в реальном масштабе времени . Лукац кий А.В . Системы обнаружения атак //Банковские технологии . 1999. № 2. 2. Атаками весь мир полнится Для защиты от разного рода атак можно применить две стратегии . Первая заключается в приобре тении самых расхваливаемых (хотя не всегда самых л учших ) систем защиты от всех возможных видов атак . Этот способ очень прост , но требует огромных денежных вложе ний . Ни один домашний пользователь или даж е руководитель организации не пойдет на э то . Поэтому обычно используется вторая страте гия , заключающаяс я в предварительном анализе вероятных угроз и последующем выбо ре средств защиты от них. Анализ угроз , или анализ риска , также может осуществляться двумя путями . Сложный , однако более эффективный способ заключается в том , что прежде , чем выбирать наиболее ве роятные угрозы , осуществляется анализ информационный системы , обрабатываемой в ней информации , используемого программно-аппаратного обеспечения и т.д . Это позволит существенно сузить спектр потенциальных атак и тем самым повысить эффективность вложения де н ег в приобретаемые средства защиты . О днако такой анализ требует времени , средств и , что самое главное , высокой квалификации специалистов , проводящих инвентаризацию анализир уемой сети . Немногие компании , не говоря у же о домашних пользователях , могут позвол и ть себе пойти таким путем . Чт о же делать ? Можно сделать выбор средств защиты на основе так называемых стандарт ных угроз , то есть тех , которые распростра нены больше всего . Несмотря на то что некоторые присущие защищаемой системе угрозы могут остаться без в н имания , больш ая часть из них все же попадет в очерченные рамки . Какие же виды угроз и атак являются самыми распространенными ? Ответу на этот вопрос и посвящена данная ст атья . Чтобы приводимые данные были более т очны , я буду использовать статистику , получе н ную из различных источников. Цифры , цифры , цифры… Кто же чаще всего совершает компьютер ные преступления и реализует различные атаки ? Какие угрозы самые распространенные ? Приведу данные , полученные самым авторитетным в э той области источником — Институтом к омп ьютерной безопасности (CSI) и группой компьютерных нападений отделения ФБР в Сан-Франциско . Эти данные были опубликованы в марте 2000 года в ежегодном отчете « 2000 CSI/FBI Computer Crime and Security Survey» . Согла сно этим данным : · 90% респондентов (кр упные корпорации и государственные о рганизации ) зафиксировали различные атаки на свои информационные ресурсы ; · 70% респондентов зафикси ровали серьезные нарушения политики безопасности , например вирусы , атаки типа «отказ в обслуживании» , злоупотребления с о стороны сотрудников и т.д .; · 74% респондентов понесли немалые финансовые потери вследствие этих нарушений . За последни е несколько лет также возрос объем потерь вследствие нарушений политики безопасности . Если в 1997 году сумма потерь равнялась 100 млн . долл ., в 1999-м 124 млн ., то в 2000-м эт а цифра возросла до 266 млн . долл .. Размер потерь от атак типа «отказ в обслуживании » достиг 8,2 млн . долл . К другим интересным данным можно отнести источники атак , типы распространенных атак и размеры потерь от н и х . Другой авторитетный источник — координационн ый центр CERT — также подтверждает эти данн ые . Кроме того , согласно собранным им данн ым , рост числа инцидентов , связанных с без опасностью , совпадает с распространением Internet. Интерес к электронной коммерц ии б удет способствовать усилению этого роста в последующие годы . Отмечена и другая тенденц ия . В 80-е — начале 90-х годов внешние зло умышленники атаковали узлы Internet из любопытства или для демонстрации своей квалификации . Сейч ас атаки чаще всего преслед у ют финансовые или политические цели . Как утвер ждают многие аналитики , число успешных проник новений в информационные системы только в 1999 году возросло вдвое по сравнению с пр едыдущим годом (с 12 до 23%). И в 2000-м , и 2001- м годах эта тенденция сохраняет с я. В данной области существует и российс кая статистика . И хотя она неполная и , по мнению многих специалистов , представляет с обой лишь верхушку айсберга , я все же приведу эти цифры . За 2000 год , согласно данны м МВД , было зарегистрировано 1375 компьютерных п реступлений . По сравнению с 1999 годом эт а цифра выросла более чем в 1,6 раза . Дан ные управления по борьбе с преступлениями в сфере высоких технологий МВД РФ (Упра вление «Р» ) показывают , что больше всего п реступлений — 584 от общего количества — относится к неправомерному доступу к компью терной информации ; 258 случаев — это причинение имущественного ущерба с использованием компьютер ных средств ; 172 преступления связано с создание м и распространением различных вирусов , а вернее , «вредоносных программ для ЭВ М » ; 101 преступление — из серии «незаконное производство или приобретение с целью сбыт а технических средств для незаконного получен ия информации» , 210 — мошенничество с применени ем компьютерных и телекоммуникационных сетей ; 44 — нарушение правил эксплуатац и и ЭВМ и их сетей. КомпьютерПресс 10'2001 3. Как защитить ся от удаленных атак в сети Internet? Особенность сет и Internet на сегодняшний день состоит в том , что 99% процентов информационных ресурсов сети являются общедоступными . Удаленный доступ к этим ресурсам может осуществляться анони мно любым неавторизованным пользователем сети . Примером подобного неавторизованного доступа к общедоступным ресурсам является подключение к WWW- или FTP-серверам , в том случае , если п одобный доступ разрешен . Опре делившись , к каким ресурсам се ти Internet пользователь намерен осуществлять доступ , необходимо ответить на следующий вопрос : а собирается ли пользователь разрешать удаленн ый доступ из сети к своим ресурсам ? Ес ли нет , то тогда имеет смысл использовать в ка ч естве сетевой ОС "чисто клиентскую " ОС (например , Windows '95 или NT Workstation), которая не содержит программ-серверов , обеспечивающих удаленный доступ , а , следовательно , удаленный доступ к данной системе в принципе невозможен , так к ак он просто программ но не предусмотр ен (например , ОС Windows '95 или NT, правда с одним но : под данные системы действительно нет серверов FTP, TELNET, WWW и т . д ., но нельзя забывать про встроенную в них возможность предост авления удаленного доступа к файловой системе , так н а зываемое разделение (share) ресурсов . А вспомнив по меньшей мере странную позици ю фирмы Microsoft по отношению к обеспечению без опасности своих систем , нужно серьезно подума ть , прежде чем остановить выбор на продукт ах данной фирмы . Последний пример : в Inte rnet появилась программа , предоставляющая атаку ющему несанкционированный удаленный доступ к файловой системе ОС Windows NT 4.0!). Выбор клиентской опе рационной системы во многом решает проблемы безопасности для данного пользователя (нельз я получить доступ к ресурсу , котор ого просто нет !). Однако в этом случае ухудшается функциональность системы . Здесь своевр еменно сформулировать , на наш взгляд , основную аксиому безопасности : Аксиома безопасности. Принципы доступности , удо бства , быстродействия и функциональ ности вычислительной системы антагонистичны принципам ее безопасности . Данная аксиома , в принципе , очевидна : чем более доступна , удобна , быстра и многофункциональна ВС , т ем она менее безопасна . Примеров можно при вести массу . Например , служба DNS: удобно , но опасно . Вернемся к выбору пользователем клиентско й сетевой ОС . Это , кстати , один из весь ма здравых шагов , ведущих к сетевой полити ке изоляционизма . Данная сетевая политика без опасности заключается в осуществлении как мож но более полной изоляции своей в ычисл ительной системы от внешнего мира . Также о дним из шагов к обеспечению данной полити ки является , например , использование систем Firewall, позволяющих создать выделенный защищенный сегмен т (например , приватную сеть ), отделенный от глобальной сети . Коне ч но , ничто не мешает довести эту политику сетевого изо ляционизма до абсурда - просто выдернуть сетев ой кабель (полная изоляция от внешнего мир а !). Не забывайте , это тоже "решение " всех проблем с удаленными атаками и сетевой безопасностью (в связи c полным о тсут ствием оных ). Итак , пусть пользователь сети Internet решил использовать для доступа в сеть только кл иентскую сетевую ОС и осуществлять с помо щью нее только неавторизованный доступ . Пробл емы с безопасностью решены ? Ничуть ! Все бы ло бы хорошо , если бы н и было так плохо . Для атаки "Отказ в обслуживании " абсолютно не имеет значения ни вид д оступа , применяемый пользователем , ни тип сете вой ОС (хотя клиентская ОС с точки зре ния защиты от атаки несколько предпочтительне е ). Эта атака , используя фундаментальн ы е пробелы в безопасности протоколов и инфраструктуры сети Internet, поражает сетевую ОС на хосте пользователя с одной единственной целью - нарушить его работоспособность . ля атаки , связанной с навязыванием ложного мар шрута при помощи протокола ICMP, целью которой является отказ в обслуживании , ОС Windows '95 или Windows NT - наиболее лакомая цель . Пользо вателю в таком случае остается надеяться на то , что его скромный хост не предст авляет никакого интереса для атакующего , кото рый может нарушить его работосп о с обность разве что из желания просто напак остить . 3.1. Административны е методы защиты от удаленных атак в с ети Internet Самым правильны м шагом в этом направлении будет приглаше ние специалиста по информационной безопасности , который вместе с вами постарает ся решить весь комплекс задач по обеспечению требуемого необходимого уровня безопасности дл я вашей распределенной ВС . Это довольно сл ожная комплексная задача , для решения которой необходимо определить , что (список контролиру емых объектов и ресурсов РВС ), о т чего (анализ возможных угроз данной РВС ) и как (выработка требований , определение политики безопасности и выработка административн ых и программно-аппаратных мер по обеспечению на практике разработанной политики безопасно сти ) защищать . Пожалуй , наиболее простыми и дешевым и являются именно административные методы защ иты от информационно-разрушающих воздействий . 3.1.1. Как защити ться от анализа сетевого трафика ? Существует атак а , позволяющая кракеру при помощи программног о прослушивания канала передачи соо бщений в сети перехватывать любую информацию , ко торой обмениваются удаленные пользователи , если по каналу передаются только нешифрованные сообщения . Также можно показать , что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают э лементарную кри птозащиту передаваемых по сети даже идентифик аторов (имен ) и аутентификаторов (паролей ) польз ователей . Поэтому администраторам сетей , очевидно , можно порекомендовать не допускать использо вание этих базовых протоколов для предоставле ния удал е нного авт оризованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой , которую невозможно устранить , но можно сдел ать ее осуществление по сути бессмысленным , применяя стойкие криптоалгоритмы защиты IP- потока . 3.1.2. Как защитит ься от ложного ARP-сервера ? В том случа е , если у сетевой ОС отсутствует информаци я о соответствии IP- и Ethernet-адресов хостов внут ри одного сегмента IP-сети , данный протокол позволяет посылать широковещательный ARP-запрос на по иск необходимого Ethernet-адреса , на кото рый атакующий может прислать ложный ответ , и , в дальнейшем , весь трафик на канально м уровне окажется перехваченным атакующим и пройдет через ложный ARP-сервер . Очевидно , ч то для ликвидации данной атаки необходимо у с транить причину , по которой в озможно ее осуществление . Основная причина ус пеха данной удаленной атаки - отсутствие необх одимой информации у ОС каждого хоста о соответствующих IP- и Ethernet-адресах всех остальных хостов внутри данного сегмента сети . Таким образом , самым простым решением б удет создание сетевым администратором статическо й ARP-таблицы в виде файла (в ОС UNIX обычно /etc/ethers), куда необходимо внести соответствую-щую и нформацию об адресах . Данный файл устанавлива ется на каждый хост внутри се г мента , и , следовательно , у сетевой ОС отпадает необходимость в использовании удаленн ого ARP-поиска . 3.1.3. Как защитит ься от ложного DNS-сервера ? Использование в сети Internet службы DNS в ее нынешнем виде мо жет позволить кракеру получить глобальный кон тр оль над соединениями путем навязывания ложного маршрута через хост кракера - лож ный DNS-сервер . Осуществление этой удаленной ата ки , основанной на потенциальных уязвимостях с лужбы DNS, может привести к катастрофическим пос ледствиям для огромного числа поль з ователей Internet и стать причиной массового нарушения информационной безопасности данной г лобальной сети . В следующих двух пунктах п редлагаются возможные административные методы по предотвращению или затруднению данной удален ной атаки для администраторов и по льзователей сети и для администраторов DNS-серве ров . а ) Как адми нистратору сети защититься от ложного DNS-сервер а ? Если отвечать на этот вопрос коротко , то никак . Ни административно , ни программно нельзя защититьс я от атаки на существующую версию слу жбы DNS. Оптимальным с точки зрения безоп асности решением будет вообще отказаться от использования службы DNS в вашем защищенном сегменте ! Конечно , совсем отказаться от испо льзования имен при обращении к хостам для пользователей будет очень не удобно . Поэ т ому можно предложить следующее к омпромиссное решение : использовать имена , но о тказаться от механизма удаленного DNS-поиска . Вы правильно догадались , что это возвращение к схеме , использовавшейся до появления служ бы DNS с выделенными DNS-серверами . Тогда н а каждой машине в сети существовал hosts файл , в к отором находилась информация о соответствующих именах и IP-адресах всех хостов в сети . Очевидно , что на сегодняшний день администр атору можно внести в подобный файл информ ацию о лишь наиболее часто посещаемы х пользователями данного сегмента серверах сет и . Поэтому использование на практике данного решения чрезвычайно затруднено и , видимо , нереально (что , например , делать с броузерами , которые используют URL с именами ?). Для затруднения осуществления данной уд аленной атаки можно предложить администра торам использовать для службы DNS вместо протоко ла UDP, который устанавливается по умолчанию , про токол TCP (хотя из документации далеко не оче видно , как его сменить ). Это существенно за труднит для атакующего переда ч у н а хост ложного DNS-ответа без приема DNS-запрос а . Общий неутешительный вывод таков : в се ти Internet при использовании сущест вующей версии службы DNS не существует приемл емого решения для защиты от ложного DNS-серв ера (и не откажешься , как в случае с AR P, и использовать опасно )! б ) Как админ истратору DNS-сервера защититься от ложного DNS-сер вера ? Если отвечать на этот вопрос коротко , то , опять же , никак . Единственным способом затруднить осущес твление данной удаленной атаки , это использов ать для общения с хостами и с др угими DNS-серверами только протокол TCP, а не UDP. Тем не менее , это только затруднит выполне ние атаки - не забывайте как про возможный перехват DNS-запроса , так и про возможность математического предсказания начального значени я TCP-иденти ф икатора ISN. В заключение можно порекомендовать для всей сети Internet поскорее перейти либо к но вой более защищенной версии службы DNS, либо принять единый стандарт на защищенный протоко л . Сделать этот переход , несмотря на все колоссальные расходы , прост о необходимо , иначе сеть Internet может быть просто поставлена на колени перед всевозрастающими успешными попытками нарушения ее безопасности при помощи данной службы ! 3.1.4. Как защитит ься от навязывания ложного маршрута при и спользовании протокола ICMP? Атака , которая заключалась в передаче на хост ложного ICMP Redirect сообщения о смене исходного маршрута пр иводила как к перехвату атакующим информации , так и к нарушению работоспособности атак уемого хоста . Для того , чтобы защититься о т данной удаленной а таки , необходимо л ибо фильтровать данное сообщение (используя Firewall или фильтрующий маршрутизатор ), не допуская его попадания на конечную систему , либо со ответствующим образом выбирать сетевую ОС , ко торая будет игнорировать это сообщение . Однак о обычно не существует административн ых способов повлиять на сетевую ОС так , чтобы запретить ей изменять маршрут и реагировать на данное сообщение . Единственный способ , например , в случае ОС Linux или FreeBSD заклю чается в том , чтобы изменить исходные текс ты и пер е компилировать ядро ОС . Очевидно , что такой экзотический для многих способ возможен только для свободно расп ространяемых вместе с исходными текстами опер ационных систем . Обычно на практике не сущ ествует иного способа узнать реакцию использу емой у вас ОС на ICMP Redirect сообщение , как послать данное сообщение и посмотреть , каков будет результат . Эксперименты показали , что данное сообщение позволяет изменить маршрутизацию на ОС Linux 1.2.8, Windows '95 и Windows NT 4.0. Следует отме тить , что продукты компани и Microsoft не отличаются особой защищенностью от возможных удаленных атак , присущих IP-сетям . Следовательно , использовать данные ОС в защищенном сегм енте IP-сети представляется нежелательным . Это и будет тем самым административным решением по защите сегме н та сети от данной удаленной атаки . 3.1.5. Как защитит ься от отказа в обслуживании ? Нет и не может быть приемлемых способов защиты от отказа в обслуживании в существующем станд арте IPv4 сети Internet. Это связано с тем , что в данном стандарте невозможен ко нтроль за маршрутом сообщений . Поэтому невозможно обеспечить надежный контроль за сетевыми соед инениями , так как у одного субъекта сетево го взаимодействия существует возможность занять неограниченное число каналов связи с уда ленным объектом и при этом ост а ться анонимным . Из-за этого любой серв ер в сети Internet может быть полностью парализо ван при помощи удаленной атаки . Единственное , что можно предложить для повышения надежности работы системы , подвергаем ой данной атаке , - это использовать как мож но более мощные компьютеры . Чем больше число и частота работы процессоров , чем больше объем оперативной памяти , тем более надежной будет работа сетевой ОС , когда на нее обрушится направленный "шторм " лож ных запросов на создание соединения . Кроме того , необходимо и спользование соотве тствующих вашим вычислительным мощностям операци онных систем с внутренней очередью , способной вместить большое число запросов на подкл ючение . Ведь от того , что вы , например , поставите на суперЭВМ операционную систему Linux или Windows N T , у которых длина очереди для одновременно обрабатываемых запросов около 10, а тайм-аут очистки очереди несколько мин ут , то , несмотря на все вычислительные мощ ности компьютера , ОС будет полностью парализо вана атакующим . 3.1.6. Как защитит ься от подмены од ной из сторон пр и взаимодействии с использованием базовых про токолов семейства TCP/IP Как отмечалось ранее , единственным базовым протоколом семейства TCP/IP, в ко тором изначально предусмотрена функция обеспечен ия безопасности соединения и его абонентов , яв ляется протокол транспортного уровня - протокол TCP. Что касается базовых протоколов прикладного уровня : FTP, TELNET, r-служба , NFS, HTTP, DNS, SMTP, то ни оди н из них не предусматривает дополнительную защиту соединения на своем уровне и ос тавляет решение всех проблем по об еспечению безопасности соединения протоколу боле е низкого транспортного уровня - TCP. Однако , вспом нив о возможных атаках на TCP-соединение , рас смотренных в п . 4.5, где было отмечено , что при нахождении атакующего в одном сегменте с цель ю атаки защититься от подмены одного из абонентов TCP-соединения в принципе невозможно , а в случае нахождени я в разных сегментах из-за возможности мат ематического предсказания идентификатора TCP-соединения ISN также реальна подмена одного из абонент ов , нес л ожно сделать вывод , что при использовании базовых протоколов семейства TCP/IP обеспечить безопасность соединения практически невозможно ! Это происходит из-за того , что , к сожалению , все базовые протоколы сети Internet с точки зрения обеспечения информацио н ной безопасности невероятно устарели . Единстве нно , что можно порекомендовать сетевым админи страторам для защиты только от межсегментных атак на соединения - в качестве базового "защищенного " протокола использовать протокол TCP и сетевые ОС , в которых нача льное значение ид ентификатора TCP-соединения действительно генерируется случайным образом (неплохой псевдослучайный алгоритм генерации используется в последних в ерсиях ОС FreeBSD). 3.2. Программно-аппар атные методы защиты от удаленных атак в сети Internet К программно-апп аратным средствам обеспечения информационной без опасности средств связи в вычислительных сетя х относятся : · аппаратные шифраторы сетевого трафика ; · методика Firewall, реализуемая на базе программно-аппаратных средств ; · защищенные сете в ые криптопротоколы ; · программно-аппаратные ан ализаторы сетевого трафика ; · защищенные сетевые О С . Существует огро мное количество литературы , посвященной этим средствам защиты , предназначенным для использован ия в сети Internet (за последние два года пр актически в каждом номере любого комп ьютерного журнала можно найти статьи на э ту тему ). Далее мы , по возможности кратко , чтобы не повторять всем хорошо известную инфор мацию , опишем данные средства защиты , применяе мые в Internet. При этом мы преследуем сле дующие цели : во-первых , еще раз вернемс я к мифу об "абсолютной защите " , которую якобы обеспечивают системы Firewall, очевидно , благода ря стараниям их продавцов ; во-вторых , сравним существующие версии криптопротоколов , применяемых в Internet, и дадим оцен к у , по су ти , критическому положению в этой области ; и , в-третьи х , ознакомим читателей с возможностью защиты с помощью сетевого монитора безопасности , предназначенного для осуществления динамического контроля за возникающими в защищаемом се гменте IP-сети сит уациями , свидетельствующими об осуществлении на данный сегмент одной из описанных в 4 главе удаленных атак . 3.2.1. Методика Firewall как основное программно-аппаратное средство осу ществления сетевой политики безопасности в вы деленном сегменте IP-сети В о бщем случае методика Firewall реализу ет следующие основные три функции : 1. Многоуровневая фильтрация сет евого трафика . Фильтрация обычно осуществляется на трех уровнях OSI: сетевом (IP); транспортном (TCP, UDP); прикладном (FTP, TELNET, HTTP, SMTP и т . д .). Фильтрация сетевого трафика является основной функцией с истем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети , то есть , настроив соответств ую щим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов ил и к хостам , находящихся в защищаемом сегме нте , так и доступ пользователей из внутрен ней сети к соответствующим ресурсам внешней сети . Можно провести аналогию с администратором локальной ОС , который для о существления политики безопасности в системе назначает необходимым образом соответствующие от ношения между субъектами (пользователями ) и об ъектами системы (файлами , например ), что п озволяет разграничить доступ субъектов си стемы к ее объектам в соответствии с заданными администратором правами доступа . Те же рассуждения применимы к Firewall-фильтрации : в качестве субъектов взаимодействия будут выступ ать IP-адреса хостов пользователей, а в качестве объектов , доступ к которым н еобходимо разграничить , - IP-адреса хостов , используем ые транспортные протоколы и службы предоставл ения удаленного доступа . 2. Proxy-схема с дополнительной и дентификацией и аутентификацией пользователей на Firewall -хосте. Proxy-схема позволяет , во-первых , при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификаци ю и аутентификацию удаленного пользователя и , во-вторых , является основой для создания приватных сетей с виртуальными IP-адресами . Смысл proxy-схемы состоит в создании соединени я с конечным адресатом через промежуточный proxy-сервер (proxy от англ . полномочный ) на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента . 3. Созд ание приватных се тей (Private Virtual Network - PVN) с "виртуальными " IP-адресами (NAT - Network Address Translation). В том случае , если админист ратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети , то ему можн о порекомендовать использовать системы Firewall для создания приватной сети (PVN-сеть ). Хостам в PVN-сети назначаются любые "виртуальные " IP-адреса . Для адресации во внешнюю сеть (через Firewall) необходимо либо испо льзование на хосте Firewall описанных в ы ше proxy-серверов , либо применение специальных сис тем роутинга (маршрутизации ), только через кото рые и возможна внешняя адресация . Это прои сходит из-за того , что используемый во вну тренней PVN-сети виртуальный IP-адрес , очевидно , не пригоден для внешней а д ресации (внешняя адресация - это адресация к абонент ам , находящимся за пределами PVN-сети ). Поэтому proxy-сервер или средство роутинга должно осуще ствлять связь с абонентами из внешней сет и со своего настоящего IP-адреса . Кстати , эта схема удобна в том сл у чае , если вам для создания IP-сети выделили н едостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом , поэтому дл я создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy- с ервера ). Итак , любое устройство , реализующее хотя бы одну из эт их функций Firewall-методики , и является Firewall-устройств ом . Например , ничто не мешает вам использо вать в качестве Firewall-хоста компьютер с обычн ой ОС FreeBSD или Linux, у которой соответс твующ им образом необходимо скомпилировать ядро ОС . Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-трафика . Другое дело , предлагаемые на рынке мощные Firewall-комплексы , сделанные на базе ЭВМ или мини-ЭВМ , обычно реализуют все ф ункции Firewall-мето-дики и являются полнофункциональными системами Firewall. На следующем рисунке изображен сегмент сет и , отделенный от внешней сети полнофункционал ьным Firewall-хостом . Рис . 2. Обобщенная схема полнофункционального хоста Firewall. Однако админист раторам IP-сетей , поддавшись на рекламу систем Firewall, не стоит заблуждаться на тот сче т , что Firewall это гарантия абсолютной защиты о т удаленных атак в сети Internet. Firewall - не столько средство обеспечения безопасности , сколько в озможность централизованно осуществлять сетевую политику разграничения удаленного доступа к д оступным р е сурсам вашей сети . Да , в том случае , если , например , к данном у хосту запрещен удаленный TELNET-доступ , то Firewall однозначно предотвратит возможность данного дост упа . Но дело в том , что большинство уда ленных атак имеют совершенно другие цели ( бессмысленн о пытаться получить определе нный вид доступа , если он запрещен системо й Firewall). Какие из рассмотренных удаленных атак может предотвратить Firewall? Анализ сетевого трафика ? Очевидно , нет ! Ложный ARP-сервер ? И да , и нет (для защиты вовсе не обязательно и с пользовать Firewall). Ложный DNS-сервер ? Нет , к сожалению , Firewall вам тут не помощник . Нав язывание ложного маршрута при помощи протокол а ICMP? Да , эту атаку путем фильтрации ICMP-сообще ний Firewall легко отразит (хотя достаточно будет фильтрующего маршр у тизатора , например Cisco). Подмена одного из субъектов TCP-соединения ? Ответ отрицательный ; Firewall тут абсолютно не пр и чем . Нарушение работоспособности хоста путе м создания направленного шторма ложных запрос ов или переполнения очереди запросов ? В эт ом с лучае применение Firewall только ухудш ит все дело . Атакующему для того , чтобы вывести из строя (отрезать от внешнего мира ) все хосты внутри защищенного Firewall-системой сегмента , достаточно атаковать только один Firewall, а не несколько хостов (это легко объясняется тем , что связь внутренних хостов с внешним миром возможна только че рез Firewall). Из всего вышесказанного отнюдь не сле дует , что использование систем Firewall абсолютно бе ссмысленно . Нет , на данный момент этой мет одике (именно как методике !) н ет альтер нативы . Однако надо четко понимать и помни ть ее основное назначение . Нам представляется , что применение методики Firewall для обеспечения сетевой безопасности является необходимым , но отнюдь не достаточным условием , и не нужно считать , что , постав ив Firewall, вы разом решите все проблемы с сетевой безопасностью и из бавитесь от всех возможных удаленных атак из сети Internet. Прогнившую с точки зрения бе зопасности сеть Internet никаким отдельно взятым Firewall' ом не защитишь ! Из всего вышесказанного отнюдь не следует , что использование систем Firewall абсолютно бессмысленно . Нет , на данный момент этой методике (именно как методике !) нет альтер нативы . Однако надо четко понимать и помни ть ее основное назначение . Нам представляется , что применение мето д ики Firewall для обеспечения сетевой безопасности является необ ходимым , но отнюдь не доста точным условием , и не нужно считать , что , поставив Firewall, вы разом решите все проблемы с сетевой безопасностью и избавитесь от всех возможных удаленных ата к из сет и Internet. Прогнившую с точки зр ения безопасности сеть Internet никаким отдельно вз ятым Firewall'ом не защитишь ! 3.2.2. Программные методы защиты , применяемые в сети Internet К программным методам защиты в сети Internet можно отнести прежде всего защищен ные криптопротоколы , с использованием которых появляется возможность надежной защиты соединения . В следующем п ункте пойдет речь о существующих на сегод няшний день в Internet подходах и основных , уже разработанных , криптопротоколах . К иному классу программ ных методо в защиты от удаленных атак относятся суще ствующие на сегодняшний день программы , основ ная цель которых - анализ сетевого трафика на предмет наличия одного из известных ак тивных удаленных воздействий . а ) SKIP-технология и криптопротоколы SSL, S-H TTP как основное ср едство защиты соединения и передаваемых данны х в сети Internet Одна из осн овных причин успеха удаленных атак на рас пределенные ВС кроется в использовании сетевы х протоколов обмена , которые не могут наде жно идентифицировать удаленные объе кты , з ащитить соединение и передаваемые по нему данные . Поэтому совершенно естественно , что в процессе функционирования Internet были созданы р азличные защищенные сетевые протоколы , использующ ие криптографию как с закрытым , так и с открытым ключом . Класси ч еская кр иптография с симметричными криптоалгоритмами пре дполагает наличие у передающей и принимающей стороны симметричных (одинаковых ) ключей для шифрования и дешифрирования сообщений . Эти ключи предполагается распределить заранее межд у конечным числом аб о нентов , что в криптографии называется стандартной пробле мой статического распределения ключей . Очевидно , что применение классической криптографии с симметричными ключами возможно лишь на огр аниченном множестве объектов . В сети Internet для всех ее пользов а телей решить п роблему статического распределения ключей , очевид но , не представляется возможным . Однако одним из первых защищенных протоколов обмена в Internet был протокол Kerberos, основанный именно на с татическом распределении ключей для конечного числа абонентов . Таким же путем , используя классическую симметричную криптографию , вынуждены идти наши спецслужбы , разрабатывающие свои защищенные криптопротоколы для сети Internet. Это объясняется тем , что почему-то до сих пор нет гостированного криптоалгоритм а с открытым ключом . Везде в мире подобные стандарты шифрования давно при няты и сертифицированы , а мы , видимо , опять идем другим путем ! Итак , понятно , что для того , чтобы дать возможность защититься всему множеству п ользователей сети Internet, а не огранич енному его подмножеству , необходимо использовать динам ически вырабатываемые в процессе создания вир туального соединения ключи при использовании криптографии с открытым ключом . Далее мы р ассмотрим основные на сегодняшний день подход ы и протоколы , обеспечив а ющие защи ту соединения . SKIP (Secure Key Internet Protocol)-технол огией называется стандарт инкапсуляции IP-пакетов , позволяющий в существующем стандарте IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных . Это дост игается сл едующим образом : SKIP-пакет предста вляет собой обычный IP-пакет , поле данных ко торого представляет из себя SKIP-заголовок опред еленного спецификацией формата и криптограмму (зашифрованные данные ). Такая структура SKIP-пакета позволяет беспрепятственно нап р авлят ь его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете ). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обыч ный TCP- или UD P -пакет , который и перед ает соответствующему обычному модулю (TCP или UDP) я дра операционной системы . В принципе , ничто не мешает разработчику формировать по данн ой схеме свой оригинальный заголовок , отличны й от SKIP-заголовка . S-HTTP (Secure HTTP) - это р азработанный компанией Enterprise Integration Technologies (EIT) специально для Web защищенный HTTP-протокол . Протокол S-HTTP позволяет обеспечить надежную криптозащиту только HTTP-докум ентов Web-севера и функционирует на прикладном уровне модели OSI. Эта особенность п ротокола S-HTTP делает его абсолютно специализированны м средством защиты соединения , и , как след ствие , невозможное его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др .). Кроме того , ни один из существующ их н а сегодняшний день основных Web-броузеров (ни Netscape Navigator 3.0, ни Microsoft Explorer 3.0) не поддерживают данный протокол . SSL (Secure Socket Layer) - разработ ка компании Netscape - универсальный протокол защиты соединения , функционирующий на сеансо вом уровне OSI. Этот протокол , использующий криптографию с открытым ключом , на сегодняшний день , по нашему мнению , является единственным уни версальным средством , позволяющим динамически защ итить любое соединение с использованием любог о прикладного протоко л а (DNS, FTP, TELNET, SMTP и т . д .). Это связано с тем , что SSL, в отли чие от S-HTTP, функционирует на промежуточном сеанс овом уровне OSI (между транспортным - TCP, UDP, - и приклад ным - FTP, TELNET и т . д .). При этом процесс создан ия виртуального SSL-соед и нения происходи т по схеме Диффи и Хеллмана (п . 6.2), котор ая позволяет выработать криптостойкий сеансовый ключ , используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообще ний . Протокол SSL сегодня уже практически оформи лся в кач е стве официального станд арта защиты для HTTP-соединений , то есть для защиты Web-серверов . Его поддерживают , естествен но , Netscape Navigator 3.0 и , как ни странно , Microsoft Explorer 3.0 (вспомним ту ожесточенную войну броузеров между компан иями Netscape и M icrosoft). Конечно , для установл ения SSL-соединения с Web-сервером еще необходимо и наличие Web-сервера , поддерживающего SSL. Такие версии Web-серверов уже существуют (SSL-Apachе , напри мер ). В заключении разговора о протоколе SSL нельзя не отметить следую щ ий факт : законами США до недавнего времени был запрещен экспорт криптосистем с длиной клю ча более 40 бит (недавно он был увеличен до 56 бит ). Поэтому в существующих версиях броузеров используются именно 40-битные ключи . Криптоаналитиками путем эксперимент о в было выяснено , что в имеющейся версии протокола SSL шифрование с использованием 40-битног о ключа не является надежной защитой для передаваемых по сети сообщений , так как путем простого перебора (2 40 комбинаций ) этот ключ подбир ается за время от 1,5 (на с уперЭВМ Silicon Graphics) до 7 суток (в процессе вычислений использо валось 120 рабочих станций и несколько мини ЭВМ ). Итак , очевидно , что повсеместное применение этих защищенных протоколов обмена , особенно SSL (конечно , с д линой ключа более 40 бит ), поста вит надеж ный барьер на пути всевозможных удаленных атак и серьезно усложнит жизнь кракеров всего мира . Однако весь трагизм сегодняшней ситуации с обеспечением б езопасности в Internet состоит в том , что пока ни один из существующих криптопротоколов (а их уж е немало ) не оформился в качестве единого стандарта защиты соединения , который поддерживался бы всеми производителями сетевых ОС ! Протокол SSL, из имеющихся на сегодня , подходит на эту р оль наилучшим образом . Если бы его поддерж ивали все сетевые ОС , то не потребов алось бы создание специальных прикладных SSL-сов местимых серверов (DNS, FTP, TELNET, WWW и др .). Если не дог овориться о принятии единого стандарта на защищенный протокол сеансового уровня , то т огда потребуется принятие многих стандартов н а защиту к аждой отдельной прикладно й службы . Например , уже разработан эксперимент альный , никем не поддерживаемый протокол Secure DNS. Т акже существуют экспериментальные SSL-совместимые Secure FTP- и TELNET-серверы . Но все это без принятия единого поддерживаемого вс е ми прои зводителями стандарта на защищенный протокол не имеет абсолютно никакого смысла . А на сегодняшний день производители сетевых ОС не могут договориться о единой позиции на эту тему и , тем самым , перекладывают решение этих проблем непосредственно на п о льзователей Internet и предлагают им ре шать свои п роблемы с информационной безопасностью так , к ак тем заблагорассудится ! б ) Сетевой м онитор безопасности IP Alert-1 Практические и теоретические изыскания авторов , по направле нию , связанному с исследованием безопасности распределенных ВС , в том числе и сети Internet (два полярных направления исследования : нар ушение и обеспечение информационной безопасности ), навели на следующую мысль : в сети Internet, как и в других сетях (например , Novell NetWare, Windows N T ), ощущается серьезная нехватка прог раммного средства защиты , осуществляющего комплексный контроль (мониторинг ) на канальном уровне за всем потоком передаваемой по сети информации с целью обнаружения всех типов удаленных воздействий , описанных в 4 главе . И сследован ие рынка программного обеспечения сетевых сре дств защиты для Internet выявило тот факт , что подобных комплексных средств обнаружения удале нных воздействий по нашим сведениям не су ществует , а те , что имеются , предназначены для обнаружения воздейст в ий одного конкретного типа (например , ICMP Redirect или ARP). Поэтому и была начата разработка средства контроля сегмента IP-сети , предназначенного для использо вания в сети Internet и получившее следующее наз вание : сетевой монитор безопасности IP Alert-1 . Основная за дача этого средства , программно анализирующего сетевой трафик в канале передачи , состоит не в отражении осуществляемых по каналу связи удаленных атак , а в их обнаружени и , протоколировании (ведении файла аудита с протоколированием в удобной для п оследующего визуального анализа форме всех со бытий , связанных с удаленными атаками на д анный сегмент сети ) и незамедлительным сигнал изировании администратору безопасности в случае обнаружения удаленной атаки . Основной задачей сетевого монитора безопасности IP Alert-1 является осущес твление контроля за безопасностью соответствующ его сегмента сети Internet. Сетевой монитор безопасности IP Alert-1 обладает следующими фу нкциональными возможностями и позволяет , путем сетевого анализа , обнаружить следующие удале нные атаки на контролируемый им сегме нт сети Internet. Функциональные возможности сете вого монитора безопасности IP Alert-1 1. Контроль за соответствием IP- и Ethernet-адресов в пакетах , передаваемых хостами , находящимися внутри конт ролируемого сегмента сети . На хосте IP Alert-1 администратор безопасности со здает статическую ARP-таблицу , куда заносит свед ения о соответствующих IP- и Ethernet-адресах хостов , находящихся внутри контролируемого сегмента се ти . Данная функция позволяет обнаружить несан кциони рованное изменение IP-адреса или его подмену (IP Spoofing). 2. Контроль за корректным использованием механизма удаленн ого ARP-поиска. Эта функция позволяет , используя статичес кую ARP-таблицу , определить удаленную атаку "Ложн ый ARP-сервер ". 3. Контроль з а корректным использованием механизма удаленного DNS-поиска. Эта функция позволяет определить все возможные виды удаленных атак на службу DNS. 4. Контроль на наличие ICMP Redirect сообщения. Данная функция оповещает об обнаружении ICMP Redirect сообщени я и соответствующей удаленно й атаки . 5. Контроль за корректностью попыток удаленного подключени я путем анализа передаваемых запросов. Эта функция позволяет обнаружить , во-первы х , попытку исследования закона изменения нача льного значения идентификатора TC P-соединения - ISN, во-вторых , удаленную атаку "отказ в обслужи вании ", осуществляемую путем переполнения очереди запросов на подключение , и , в-третьих , напр авленный "шторм " ложных запросов на подключени е (как TCP, так и UDP), приводящий также к отк азу в о б служивании . Таким образом , сетевой монитор безопаснос ти IP Alert-1 позволяе т обнаружить , оповестить и запротоколировать все виды удаленных атак , описанных в 4 глав е ! При этом данная программа никоим образо м не является конкурентом системам Firewall. IP Al ert-1 , используя описанные и систематизированные в 4 главе особенности удаленных атак на сеть Internet, служит необходимым дополнением - кстати , несравнимо б олее дешевым , - к системам Firewall. Без монитора б езопасности большинство попыток осуществления уд аленных атак на ваш сегмент сети останется скрыто от ваших глаз . Ни один из известных авторам файрволов не занимает ся подобным интеллектуальным анализом проходящих по сети сообщений на предмет выявления различного рода удаленных атак , ограничиваясь , в луч ш ем случае , ведением жур нала , в который заносятся сведения о попыт ках подбора паролей для TELNET и FTP, о сканирован ии портов и о сканировании сети с исп ользованием знаменитой программы удаленного поис ка известных уязвимостей сетевых ОС - SATAN. Поэтом у , е с ли администратор IP-сети не желает оставаться безучастным и довольствовать ся ролью простого статиста при удаленных атаках на его сеть , то ему желательно использовать сетевой монитор безопасности IP Alert-1 . Кстати , напомн им , что Цутому Шимомура смог запрот око лировать атаку Кевина Митника , во многом , видимо , благодаря программе tcpdump - простейшему анализа тору IP-трафика . Рис . 3. Сетевой монитор безопасности IP Alert-1. 4. Рынок систем безопасности 4.1. Основные тенденции рынка : статисти ка и прогнозы Как известно , тот , кто владеет информацией , владеет миром . Однако сегодня все убедительнее звучит и другое , не менее актуальное утверждение : тот , кто владеет информацией , постоянно о пасается ее потерять или утратить над ней контроль . По оценкам многих аналитиков , в 2001 году характер взломов существенно изменился : если раньше хакер действовал в основном один на о дин с объектом атаки (то есть по сути аполитично ), то в настоящее время можно говорить о групповых действиях хакеров , что в быстро изменяющейся обстан овке современного мира стало знаковым явление м . Атака — это уже не просто способ самовыражения и не «пока з ательное выступление» , а инструмент нанесения удара по цели . Исследования показывают , что Компью терная Сеть (КС ) почти везде весьма уязвим а , поэтому активизация данного вида деятельно сти несет в себе прямую опасность , особенн о в момент напряженности в отн о шениях между различными политическими гру ппами и государствами . Эксперты отмечают , что большинство крупных ресурсов сети до сих пор уязвимы. На основании исследований общих тенденций информационной безопасности в IT-секторе можно сделать вывод , что компани и достаточн о инертно меняют свою информационную политику в области информационной безопасности , что их стратегическое видение постоянно запаздывае т в охвате перспективы , а их практику обращения с персональными данными и уровень защищенности инфраструктур с трудом можно назвать удовлетворительными . В качеств е аргументов , говорящих в пользу этого утв ерждения , можно привести впечатляющие цифры . Т ак , большинство компаний неадекватно соотносят свою деятельность с существующими угрозами : например , только одна ко м пания из 10 удаляет /меняет пароли после увольнения работника , хотя 80% компаний имеют соответствующие регламенты . Результаты исследований свидетельств уют о слабой приверженности организаций к аудиту по вопросам информационной безопасности (35%), о минимал ь ных усилиях по с тимулированию легального расследования инцидентов (17%), о недостаточном понимании источников угрозы (79% до сих пор считают , что опасность ис ходит извне , хотя статистика доказывает обрат ное ). Исследования показали , что 60% топ-менеджеров р ассматривает информационную безопасност ь корпораций как проблему технологий (a technology problem) и только (40%) — как стратегическую проблему для бизнеса корпорации (a strategic business issue). Однако , несмотря на вышеперечисленные фак ты , в настоящее в ремя налицо явный рост внимания общества к проблемам информа ционной безопасности , к тому спектру отношени й , которые обычно называют Electronic Security. Подтверждением тому является следующее . По мнению специали стов аналитической компании IDC, спрос на си с темы Интернет-безопасности в ближайш ие годы будет стремительно расти , что прев ратит данный сектор рынка в один из с амых прибыльных . Согласно расчетам IDC, среднегодовой рост на рынке систем Интернет-безопасности в ближайшие пять лет составит 23%, и к 2005 году рынок достигнет объема в 14 млрд . долл . Как считают специалисты IDC, основн ой потенциал лежит в секторе программных продуктов , предназначенных для безопасной аутенти фикации , авторизации и администрирования , — в так называемом секторе продуктов группы 3А (Администрирование , Авторизация , А утентификация ). По мнению IDC, программное обеспечение информационной безопасности 3А состоит из реализаций функций администрирования , авторизации и аутентификации , используемых для администр ирования безопасности на от д ельных компьютерных системах или в корпоративных рамках , и включает в себя процессы определ ения , создания , изменения , удаления и аудита пользователей . По оценкам того же источника , ежегодный прирост в этом секторе состави т 28%, и к 2005 году он займет 67% рын ка. Известно , что одним из факторов , сдерж ивающих развитие электронной коммерции , является проблема безопасности . Согласно исследованию Конфедерации британской промышленности (CBI), компании больше верят в безопасность В 2В -операц ий . Более половины пред приятий , опрошенных CBI, заявили , что они доверяют В 2В-коммерции , в то время как о В 2С-операциях та к высказалось только 32%. Хотя мошенничество с банковскими картами и составляет около 4% от числа серьезных инцидентов , аналитики CBI отмеч ают , что боязнь м о шенничества по-п режнему сдерживает развитие электронного бизнеса , в особенности В 2С-сектора. Среди других важных тенденций рынка с ледует отметить то , что компании пока еще не готовы защитить себя и представить безопасный сервис , поскольку у них не х ватает квалифицированного персонала (70,5%) и они стратегически не в состоянии просчитать , насколько выгодным будет внедрение новых прак тик безопасности (45,9%). Такие далеко не обнадежив ающие результаты были выявлены в ходе исс ледования по Японии , которая ни в к оей мере не является технологически о тсталой страной . Специалисты утверждают , что в сфере сетевой безопасности ощущается острая нехватка персонала , способного эффективно ре шать соответствующие задачи. Один из последних опросов в прошедшем году зафиксировал растущую озабоченность американцев в связи с проблемами конфиденц иальнности и сетевой безопасности . И хотя основной акцент был сделан на оценке безо пасности корпоративных и правительственных сетей , в общем контексте ответов прослеживается тревога по отно ш ению ко всему , что окружает людей в этом неопределенном мире : что 71% респондентов заявили , что они озабочены проблемой безопасности в КС , а 78% обеспокоены возможностью кражи или иного несанкционированного использования их персональной информации в КС. Бе зопасность беспроводных операций пр одолжает беспокоить и компании , и пользовател ей . Те и другие опасаются , что хакеры с могут перехватывать информацию «на лету» . Кро ме того , потенциальной проблемой представляется потеря пользователями мобильных устройств , с одержащих конфиденциальную информацию. 4.2. Структу ра рынка безопасности То , что в 60-е годы называлось компьютерной безопасностью , а в 70-е — безопасностью данных , сейча с более точно именуется информационной безопа сностью . Информационная безопасность включает меры по защите процессов создания данных , их ввода , обработки и вывода . Главная це ль состоит в том , чтобы защитить и гар антировать точность и целостность информации , минимизировать разрушения , которые могут иметь место , если информация будет мод и фицирована или разрушена . Информационная безопасность требует учета всех событий , когд а информация создается , модифицируется , когда к ней обеспечивается доступ и когда она распространяется. Информационная безопасность гарантирует дост ижение следующих целей : · конфиденциальность критической информаци и ; · целостность информации и связанных с ней процессов (создания , ввода , обработки и вывода ); · доступность информации в случае необходимости ; · учет всех процессов , связанных с информацией . В общем пла не ры нок безопасности информационных сист ем можно условно разделить на два идеолог ически не связанных направления . Первое направление ставит своей целью информационную защиту сетей , то есть защиту информации , которая циркулирует внутри инфор мационных сетей . В настоящее время это наиболее востребованно , а потому хорошо раз вито . Сюда входят различные антивирусы , межсет евые фильтры (firewall), криптографические средства , защит ные протоколы , цифровые подписи и т.п . Наиб олее надежным средством на сегодняшний день я в ляется шифрование с открытым ключом . Второе направление , стремительно развивающеес я в последнее время , связано с непосредств енной защитой объектов сети . Это направление представляют в основном механические устройс тва , предотвращающие доступ к аппаратной ч асти , то есть к серверам , персональным компьютерам и т.д . Основная задача указан ных устройств состоит в том , чтобы с п омощью различных крепежей , замков , защитных ко жухов и пр . не дать нарушителю возможности вскрыть компьютер . В арсенале имеются так же прог р аммные средства , которые п озволяют находить похищенные компьютеры после того , как они хоть раз были подключены к телефонной сети или к Интернету . Эт и программы состоят из двух частей : клиент а и центра обработки информации . После тог о как клиент установлен на компьют ер , он периодически (каждые 15 минут ) связывается с центром и передает доступную информаци ю о текущем статусе компьютера (IP-адрес , ном ер телефона , к которому подключен в данный момент компьютер , и т.д .). Клиент инсталлиру ется таким образом , что б ы быть защищенным от форматирования винчестера , и не быть видным с помощью обычных средств операционной системы (process viewers). Еще один вариант реализации второго направления заключается в том , что компьютеры с помощью дополнительно й проводки и специа л ьных датчиков , которые крепятся к задней панели компьют ера , объединяются в сеть , отличную от сети передачи данных , и подключаются к аппарат ному устройству , способному регистрировать несанк ционированный доступ и включать сигнализацию . Вероятнее всего , в не далеком будущ ем мы будем свидетелями интеграции этих д вух направлений , что является естественным ша гом на пути к повышению уровня защиты информации . И в результате такой интеграции сможет появиться некая универсальная система безопасности , а у администрат о ра безопасности будет единое рабочее место , с которого он сможет контролировать порядок обработки данных и целостность объектов . Установка такой системы не потребует дополнит ельной прокладки кабелей , а ее работа ника к не скажется на производительности сет и передачи данных. 4.3. Лидеры на рынке систем безопасности Корпорация Symantec Корпорация Symantec, один из мировых лидеров в создании систем безопасности д ля работы в Интернете , является ведущим по ставщиком на рынке систем безопасности . Прина дл ежащее корпорации Symantec торговая марка Norton об ъединяет линию используемых для обеспечения и нформационной безопасности продуктов , занимающих ведущие позиции в мире как по числу п родаж в розничной торговле , так и по к оличеству отраслевых наград . Штаб-к в ар тира Symantec расположена в г.Купертино , шт . Калифорни я . Корпорация имеет представительства в 37 стран ах . В отчете Gartner Dataquest эта компания названа мировым лиде ром в области поставок программных средств для обеспечения информационной безопасности. Данная оценка основывается на объеме доходов от продажи новых лицензий в 2000 г оду . Отчет Gartner Dataquest показывает , что рост , продемонс трированный корпорацией Symantec, опережает рост рынка средств безопасности — рост доходов корпо рации Symantec сост а вил 40% за год . «В р езультате слияния с компанией Axent, которое произ ошло в декабре 2000 года , корпорация Symantec переместил ась с 4-го на 1-е место в списке , зав ладев при этом 14,7% рынка средств безопасности» , — отмечается в отчете . Программные сред ств а безопасности Symantec, согласно классифик ации Gartner Dataquest, включают : антивирусное программное обес печение , программы шифрования , средства обнаружени я попыток несанкционированного проникновения и другие средства информационной защиты — м ежсетевые эк р аны , программы фильтраци и Web-ресурсов , приложения для управления доступ ом к внешним сетям . Корпорация Symantec предлагает средства антивирусной защиты , межсетевые экраны , виртуальные частные сети , средства выявления слабых мест системы безопасности и поп ы ток несанкционированного проникновения , программы фильтрации информационных ресурсов Интернета и электронной почты , технологии у даленного управления , а также услуги по об еспечению информационной безопасности. Компания Network Associates, Inc. Эта ком пания , так же как и Symantec, уверенно доминирует на рынке систем безопасности , контролируя около 60% мирового рынка антивирусов . По данны м Network Associates, Inc. (NAI) она имеет более 60 млн . пользователей по всему миру . NAI предлагает одно из на иболее укомплектованных в функциональном и потребительском плане семейство программ , которые защищают , управляют и контролируют корпоративные сети . Функциональные возможности и широта решений , предлагаемые Network Associates, дополняются возможностями , приобрете н ными у Pretty Good Privacy (PGP) и Magic Solutions, а также мощнейшими средствами ан тивирусных средств Dr.Solomon ’ s, первая версия которо й была выпущена в начале 1997 года фирмой Dr.Solomon ’ s Software. По информации McAfee (подразделения Network Associate s , Inc.), программный продукт McAfee GroupShield Exchange уже т ретий год подряд получает награду Best Buy от Secure Computing Magazine, выигрывая в сравнительном тесте антивирус ов для MS Exchange. В сравнительном обзоре антивирусов для Microsoft Exchange 20 01 McAfee GroupShield получил наивысшие оценки , обойдя продукты других антивирусных произво дителей , таких как Symantec, «Лаборатория Касперского» , Trend Micro, F-Secure, Panda, Computer Associates и др. Корпорация Computer Associates International, In c. Отчет IDC определил Computer Associates International, Inc. (CA) ка к лидирующего поставщика программного обеспечени я в области аутентификации , авторизации и администрирования (3А ), которому принадлежит 15,5% миров ого рынка . В 2001 году отчет IDC под н азв анием «Прогноз и анализ международного рынка программного обеспечения безопасности работы в Интернет на 2001-2005 годы» выделил СА в качестве мирового лидирующего поставщика прогр аммного обеспечения защиты данных при работе в Интернете второй год подря д . СА предлагает решения 3 А средствами семейства продуктов eTrust (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control и eTrust Intrusion Detection). «СА явл яется очевидным мировым лидером в разработке решений п о информационной безопасности и по технологической эффективности , и по общему объему на рынке» , — отметил в ице-президент СА по решениям eTrust, Barry Keyes. — Преимуще ства нашей новой бизнес-модели лицензирования , всесторонний технический сервис и прозрач н ое интегрированное решение управлени я электронным бизнесом позволил и нам сде лать не имеющее себе равных по ценности предложение менеджерам по информационной безоп асности предприятий и сервис-провайдеров» . Семейст во продуктов eTrust позволяет команде упра в ления защищать , администрировать доступ и гарантировать управление и безопасность комп лексной автоматизированной системы . Решение eTrust сов местимо с действующими стандартами защиты дан ных , гарантирует возможность взаимодействия с существующими механизмам и внутренней бе зопасности и с такими же механизмами парт неров по сетевому взаимодействию. В заключение хотелось бы еще раз отметить , что проблема информационной безопасност и с каждым годом становится все более актуальной . И рынок , откликаясь на массовый спр ос наверняка будет предлагать , а впрочем , уже предлагает , надежные и вполн е достойные решения по обеспечению безопаснос ти . И главное сейчас — остановить любыми средствами наступление информационного хаоса , который провоцируется любителями заглянуть чер ез п лечо или порыться в чужих электронных портфелях . А для этого каждый должен выбрать для себя надежное средство информационной защиты , которое обеспечит ему надлежащую информационную безопасность. КомпьютерПресс 3'2002 Заключение Исходно сеть создавалась как незащищенная открытая система , предназначенная для информационного общения все возрастающего числа пользователей . При этом подключение новых пользователей должно было быть максимально простым , а доступ к информации — наиболее уд обным . Все это явно противоречит принципам создания защищенной системы , безопасность котор ой должна быть описана на всех стадиях ее создания и эксплуатации , а пользователи — наделены четкими полномочиями . Создатели сети не стремили сь к этому , да и требования защиты настолько бы усложнили проект , что сделали бы его создание едва ли возможным . Вывод : Internet создавался как незащищенная сист ема , не предназначенная для хранения и обр аботки конфиденциальной информации . Более того , защи щенный Internet не смог бы стать той системой , которой он сейчас является и не превратился бы в информационный образ мировой культуры , ее прошлого и настоящего . В этом самостоятельная ценность Сети и , возможно , ее небезопасность есть плата з а такое высоко е назначение . Следствие : Имеется множество пользователей , заинтересованных в том , чтобы Internet стал систе мой с категорированной информацией и полномоч иями пользователями , подчиненными установленной п олитике безопасности . Однако наиболее яркие творения ч е ловеческого разума через некоторое время начи нают жить самостоятельной жизнью , развиваясь и выходя за первоначальные замыслы создателей . Поэтому слабая защищенность сети с течен ием времени стала все больше беспокоить е е пользователей . На наш взгляд , в Се ти не д олжна находиться информация , раскрытия которой приведет к серьезным последствиям . Наоборот , в Сети необходимо размещать информацию , рас пространение которой желательно ее владельцу . При этом всегда необходимо учитывать тот факт , что в любой момент э т а информация может быть перехвачена , искажена или может стать недоступной . Следовательно , речь должна идти не о защищенности Internet, а об обеспечении разумной достаточности информ ационной безопасности Сети . Конечно , это не отменяет не обходимости ознаком ления пользователя с б огатым и все время возрастающим арсеналом программных и аппаратных средств обеспечения информационной безопасности сети . Тем не ме нее отметим , что они не в состоянии пр евратить Internet в защищенную среду , что означило бы изменение е е природы . Будет ли Internet защищенным ? Развитие средств безопасности Internet может войти в противоречие с ее назначением и исказит саму идею Сети . Более правомерна постановка вопроса о создании специализированной безопасной мировой инфосферы , предназнач енной для управления мировым производством , транспортом , геополитикой . Видимо , прогресс приведет к необходимости создания такой единой системы . Такая среда общения будет обладать архитектурой безопасн ости и гарантировать целостность и конфиденци альность и н формации . Очевидно , что создатели этой системы должны обеспечить соб людение политических и экономических интересов мировых субъектов , т . к . многопольное владен ие этой системой означает контроль над ми ром . Ясно , что по добной средой не может быть Internet в сег одняшнем виде . Главное , на наш взгляд , — нужно воздержаться от стремления приблизить сегодняшний Internet к такой среде управления мир ом . Internet по-своему хорош в том виде , в как ом он есть . В чем перспектива защиты информационных систем в эпоху инте грации среды обработки информации ? По нашему мнению , выход из сложившегося положения состоит в четк ом разграничении информации , представляющей жизне нный интерес для субъектов — пользователей — и создания специализированных систем ее обработки . Такие систе м ы должны иметь возможность интегрирования в мировую сеть при обеспечении их односторонней ин формационной изоляции .
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
Вернувшийся из командировки муж отодрал жену от Интернета.
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.

Обратите внимание, курсовая по компьютерным сетям "Защита компьютера от атак через интернет", также как и все другие рефераты, курсовые, дипломные и другие работы вы можете скачать бесплатно.

Смотрите также:


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2017
Рейтинг@Mail.ru