Курсовая: Защита компьютера от атак через интернет - текст курсовой. Скачать бесплатно.
Банк рефератов, курсовых и дипломных работ. Много и бесплатно. # | Правила оформления работ | Добавить в избранное
 
 
   
Меню Меню Меню Меню Меню
   
Napishem.com Napishem.com Napishem.com

Курсовая

Защита компьютера от атак через интернет

Банк рефератов / Компьютерные сети

Рубрики  Рубрики реферат банка

закрыть
Категория: Курсовая работа
Язык курсовой: Русский
Дата добавления:   
 
Скачать
Microsoft Word, 879 kb, скачать бесплатно
Заказать
Узнать стоимость написания уникальной курсовой работы

Узнайте стоимость написания уникальной работы

39 Введение Атака на компьютерную систему - это д ействие , предпринимае мое злоумышленником , кото рое заключается в поиске и использовании той или иной уязвимости . Таким образом , ат ака - это реализация угрозы . Заметим , что та кое толкование атаки (с участием человека , имеющего злой умысел ), исключает присутствующий в определени и угрозы элемент случ айности , но , как показывает опыт , часто быв ает невозможно различить преднамеренные и слу чайные действия , и хорошая система защиты должна адекватно реагировать на любое из них. Далее , исследователи обычно вы деляют три основных вида угроз безопасн ости - это угрозы раскрытия , целостности и отказа в обслуживании . Угроза раскрытия заключается том , что информация с тановится известной тому , кому не следовало бы ее знать . В терминах компьютерной бе зопасности угроза раскрытия имеет место всяки й раз , когда получен доступ к некото рой конфиденциальной информации , хранящейся в вычислительной системе или передаваемой от о дной системы к другой . Иногда вместо слова "раскрытие " используются термины "кража " или "утечка ". Угроза целостности включает в себ я любое ум ышленное изменение (модификацию или даже удал ение ) данных , хранящихся в вычислительной сист еме или передаваемых из одной системы в другую . Обычно считается , что угрозе раскрыт ия подвержены в большей степени государственн ые структуры , а угрозе це л остности - деловые или коммерческие . Угроза отказа в обслуж ивании возникает всякий раз , когда в результате некоторых действий блокир уется доступ к некоторому ресурсу вычислитель ной системы . Реально блокирование может быть постоянным , так чтобы запрашиваем ый р есурс никогда не был получен , или оно может вызвать только задержку запрашиваемого ресурса , достаточно долгую для того , чтобы он стал бесполезным . В таких случаях гово рят , что ресурс исчерпан . Типичными угрозами в среде Интернета являются : · Сбой в работе одной из компонент сети . Сбой из-за ош ибок при проектировании или ошибок оборудован ия или программ может привести к отказу в обслуживании или компрометации безопасности из-за неправильного функционирования одной и з компонент сети . Выход из строя бр а ндмауэра или ложные отказы в авторизации серверами аутентификации являются примерами сбоев , которые оказывают влияние на безопасность . · Сканирование информации . Неавторизованный просмотр критической информаци и злоумышленниками или авторизованными пользо вателями может происходить , с использован ием различных механизмов - электронное письмо с неверным адресатом , распечатка принтера , неп равильно сконфигурированные списки управления до ступом , совместное использование несколькими людь ми одного идентификатора и т.д . · Использование информаци и не по назначению - использование информации для целей , отличных от авторизованных , мо жет привести к отказу в обслуживании , изли шним затратам , потере репутации . Виновниками э того могут быть как внутренние , так и внешние по льзователи . · Неавторизованное удален ие , модификация или раскрытие информации - спец иальное искажение информационных ценностей , котор ое может привести к потере целостности ил и конфиденциальности информации . · Проникновение - атака неавторизованных люде й или систем , кото рая может привести к отказу в обслуживани и или значительным затратам на восстановление после инцидента . · Маскарад - попытки за маскироваться под авторизованного пользователя д ля кражи сервисов или информации , или для инициации финансовы х транзакций , которые приведут к финансовым потерям или пробле мам для организации. 1. Обнаружение атак Исторически так сложилось , что технологии , по которым строятся системы обнаружения атак , принято условно делить на две категории : обнаруж ение аномального поведения (anomaly detection) и обнаружение злоупотреблений (misuse detection). Однако в практической дея тельности применяется другая классификация , учиты вающая принципы практической реализации таких систем : обнаружение атак на у р о вне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик , в то время как вторые — регистрационные журналы операционной системы или приложения . Каждый из классов имеет свои достоинства и недостатки , но об этом чут ь позж е . Необходимо заметить , что лишь некоторые системы обнаружения атак могут быть однознач но отнесены к одному из названных классов . Как правило , они включают в себя возм ожности нескольких категорий . Тем не менее эта классификация отражает ключевые возм о жности , отличающие одну систему о бнаружения атак от другой. В настоящий момент технология обнаружения аномалий не получила широкого распространени я , и ни в одной коммерчески распространяем ой системе она не используется . Связано эт о с тем , что данная технол огия кра сиво выглядит в теории , но очень трудно реализуется на практике . Сейчас , однако , нам етился постепенный возврат к ней (особенно в России ), и можно надеяться , что в с кором времени пользователи смогут увидеть пер вые коммерческие системы обнаружения а т ак , работающие по этой технологии. Другой подход к обнаружению атак — о бнаружение злоупотреблений , которое заключается в описании атаки в виде шаблона (pattern) или сигнатуры (signature) и поиска данного шаблона в к онтролируемом пространстве (сетевом трафи ке или журнале регистрации ). Антивирусные системы являются ярким примером системы обнаружения атак , работающей по этой технологии. Как уже было отмечено выше , существует два класса систем , обнаруживающих атаки н а сетевом и операционном уровне . Принципиальн ое преимущество сетевых (network-based) систем обнару жения атак состоит в том , что они иден тифицируют нападения прежде , чем те достигнут атакуемого узла . Эти системы более просты для развертывания в крупных сетях , потому что не требуют установки на различ н ые платформы , используемые в орга низации . В России наибольшее распространение получили операционные системы MS-DOS, Windows 95, NetWare и Windows NT. Различ ные диалекты UNIX у нас пока не столь шир око распространены , как на Западе . Кроме т ого , системы обн а ружения атак на уровне сети практически не снижают произ водительности сети. Системы обнаружения атак на уровне хо ста создаются для работы под управлением конкретной операционной системы , что накладывает на них определенные ограничения . Например , мне не изв естна ни одна система этого класса , функционирующая под управлением MS-DOS или Windows for Workgroups (а ведь эти операционные сист емы еще достаточно распространены в России ). Используя знание того , как должна «вести» себя операционная система , средства , п остроенные с учетом этого подхода , ино гда могут обнаружить вторжения , пропускаемые сетевыми средствами обнаружения атак . Однако зачастую это достигается дорогой ценой , потом у что постоянная регистрация , необходимая для выполнения подобного рода обнаружени я , существенно снижает производительность защ ищаемого хоста . Такие системы сильно загружаю т процессор и требуют больших объемов дис кового пространства для хранения журналов рег истрации и , в принципе , не применимы для высококритичных систем , работающих в ре ж име реального времени (например , система «Операционный день банка» или система ди спетчерского управления ). Однако , несмотря ни н а что , оба эти подхода могут быть прим енены для защиты вашей организации . Если в ы хотите защитить один или несколько узло в , то с истемы обнаружения атак н а уровне хоста могут стать неплохим выбор ом . Но если вы хотите защитить большую часть сетевых узлов организации , то системы обнаружения атак на уровне сети , вероятно , будут наилучшим выбором , поскольку увеличени е количества узлов в сети никак не скажется на уровне защищенности , достига емом при помощи системы обнаружения атак . Она сможет без дополнительной настройки защищ ать дополнительные узлы , в то время как в случае применения системы , функционирующей на уровне хостов , понадобитс я ее установка и настройка на каждый защищаем ый хост . Идеальным решением стала бы систе ма обнаружения атак , объединяющая в себе о ба эти подхода. КомпьютерПресс 8'1999 Существу ющие сегодня на рынке коммерческие системы обнаружения атак (Intrusion Detection Systems, IDS) используют для распознавания и отражения атак либо сетевой , либо системный подход . В любом случае эти продукты ищут сигнатуры атак , специфические шаблоны , которые обычно указывают на враждебные или подозрительные действи я . В случае поиск а этих шаблонов в сетевом трафике , IDS работа ет на сетевом уровне . Если IDS ищет сигнатуры атак в журналах регистрации операционной системы или приложения , то это системный уровень . Каждый подход имеет свои достоинства и недостатки , но они оба дополняют друг друга . Наиболее эффективной является система обнаружения атак , которая использует в своей работе обе технологии . В данном материале обсуждаются ра зличия в методах обнаружения атак на сете вом и системном уровнях с целью демонстра ции их с лабых и сильных сторон . Также описываются варианты применения каждо го из способов для наиболее эффективного обнаружения атак. 1.1. Обнаружение атак на сетевом уровне Системы обнаруже ния атак сетевого уровня используют в кач естве источника данных для анализ а не обработанные (raw) сетевые пакеты . Как правило , IDS се тевого уровня используют сетевой адаптер , фун кционирующий в режиме "прослушивания " (promiscuous), и ан ализируют трафик в реальном масштабе времени по мере его прохождения через сегмент сети . Модул ь распознавания атак и спользует четыре широко известных метода для распознавания сигнатуры атаки : o Соответствие трафика шаблону (сигнатуре ), выражению или байт коду , характеризующих об атаке или подозрител ьном действии ; o Контроль частоты собы тий или превы шение пороговой величины ; o Корреляция нескольких событий с низким приоритетом ; o Обнаружение статистическ их аномалий . Как только атака обнаружена , модуль реагирования предоставляет широкий набор вариантов уведомле ния , выдачи сигнала тревоги и реализаци и контрмер в ответ на атаку . Эти варианты изменяются от системы к системе , но , как правило , включают в себя : уведом ление администратора через консоль или по электронной почте , завершение соединения с атакующим узлом и /или запись сессии для последующего ан а лиза и сбора д оказательств. 1.2. Обнаружение атак на системном уровне В начале 80-х годов , еще до того , как сети полу чили свое развитие , наиболее распространенная практика обнаружения атак заключалась в прос мотре журналов регистрации на предмет наличия в них событий , свидетельствующих о подозрительной активности . Современные системы об наружения атак системного уровня остаются мощ ным инструментом для понимания уже осуществле нных атак и определения соответствующих метод ов для устранения возможностей их буду щ его применения . Современные IDS системн ого уровня по-прежнему используют журналы рег истрации , но они стали более автоматизированн ыми и включают сложнейшие методы обнаружения , основанные на новейших исследованиях в о бласти математики . Как правило , IDS сист е много уровня контролируют систему , событи я и журналы регистрации событий безопасности (security log или syslog) в сетях , работающих под управле нием Windows NT или Unix. Когда какой-либо из этих фай лов изменяется , IDS сравнивает новые записи с сигнатурами а так , чтобы проверить , есть ли соответствие . Если такое соответствие найдено , то система посылает администратору сигнал тревоги или приводит в действие другие заданные механизмы реагирования. IDS системного уровня постоянно развиваются , постепенно включая в се новые и нов ые методы обнаружения . Один их таких попул ярных методов заключается в проверке контроль ных сумм ключевых системных и исполняемых файлов через регулярные интервалы времени на предмет несанкционированных изменений . Своевре менность реагирования непосредственно свя зана с частотой опроса . Некоторые продукты прослушивают активные порты и уведомляют а дминистратора , когда кто-то пытается получить к ним доступ . Такой тип обнаружения вносит в операционную среду элементарный уровень обнаружения атак на с етевом уровн е. 1.3. Достоинства систем обнаружения атак на сетевом уровне IDS сетевого уро вня имеют много достоинств , которые отсутству ют в системах обнаружения атак на системн ом уровне . В действительности , многие покупате ли используют систему обнаружения атак сетевого уровня из-за ее низкой стоимости и своевременного реагирования . Ниже представлены основные причины , которые делают систему обнаружение атак на сетевом уровне наиболее важным компонентом эффективной реализации по литики безопасности. 1. Низкая стоимость эксплуатации. IDS сетевого уровня необходимо устанавливать в наиболее важных местах сети для контроля трафика , циркулирующего между многочисленных систем . Си стемы сетевого уровня не требуют , чтобы на каждом хосте устанавливалось программное обе сп ечение системы обнаружения атак . Поскол ьку для контроля всей сети число мест , в которых установлены IDS невелико , то стоимос ть их эксплуатации в сети предприятия ниж е , чем стоимость эксплуатации систем обнаруже ния атак на системном уровне . 2. Обнаружен ие атак , которые пропускаются на системн ом уровне. IDS сетевого уровня и зучают заголовки сетевых пакетов на наличие подозрительной или враждебной деятельности . IDS системного уровня не работают с заголовками пакетов , следовательно , они не могут опре делять эти типы атак . Например , многие сетевые атаки типа "отказ в обслуживании " ("denial-of-service") и "фрагментированный пакет " (TearDrop) могут быть идентифицированы только путем анализа заголо вков пакетов , по мере того , как они про ходят через сеть . Этот тип ат а к может быть быстро идентифицирован с пом ощью IDS сетевого уровня , которая просматривает трафик в реальном масштабе времени . IDS сетевого уровня могут исследовать содержание тела данных пакета , отыскивая команды или опреде ленный синтаксис , используемые в к он кретных атаках . Например , когда хакер пытается использовать программу Back Orifice на системах , котор ые пока еще не поражены ею , то этот факт может быть обнаружен путем исследован ия именно содержания тела данных пакета . К ак говорилось выше , системы сист е м ного уровня не работают на сетевом уровне , и поэтому не способны распознавать такие атаки . 3. Для х акера более трудно удалить следы своего п рисутствия . IDS сетевого уровня и спользуют "живой " трафик при обнаружении атак в реальном масштабе времени . Таким образом , хакер не может удалить следы свое го присутствия . Анализируемые данные включают не только информацию о методе атаки , но и информацию , которая может помочь при идентификации злоумышленника и доказательстве в суде . Поскольку многие хакеры хорошо зна к омы с журналами регистрации , они знают , как манипулировать этими файлами д ля скрытия следов своей деятельности , снижая эффективность систем системного уровня , кото рым требуется эта информация для того , что бы обнаружить атаку . 4. Обнаружен ие и реагирование в реальном масштабе времени. IDS сетевого уровня обна руживают подозрительные и враждебные атаки ПО МЕРЕ ТОГО , КАК ОНИ ПРОИСХОДЯТ , и поэто му обеспечивают гораздо более быстрое уведомл ение и реагирование , чем IDS системного уровня . Например , хакер , иницииру ющий атаку сет евого уровня типа "отказ в обслуживании " н а основе протокола TCP, может быть остановлен IDS сетевого уровня , посылающей установленный флаг Reset в заголовке TCP-пакета для завершения сое динения с атакующим узлом , прежде чем атак а вызовет раз р ушения или поврежде ния атакуемого хоста . IDS системного уровня , как правило , не распознают атаки до момента соответствующей записи в журнал и предпр инимают ответные действия уже после того , как была сделана запись . К этому моменту наиболее важные системы и ли ре сурсы уже могут быть скомпрометированы или нарушена работоспособность системы , запускающей IDS системного уровня . Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами . Диапазо н этих реакций изменяется от разрешения проникновения в режиме наблюдения для того , чтобы собрать информацию об атаке и атакующем , до нем едленного завершения атаки . 5. Обнаружен ие неудавшихся атак или подозрительных намере ний. IDS сетевого уровня , установл енная с наружной сторон ы межсетевого экрана (МСЭ ), может обнаруживать атаки , нацеленные на ресурсы за МСЭ , д аже несмотря на то , что МСЭ , возможно , отразит эти попытки . Системы системного уровн я не видят отраженных атак , которые не достигают хоста за МСЭ . Э та по терянная информация может быть наиболее важно й при оценке и совершенствовании политики безопасности . 6. Независим ость от ОС. IDS сетевого уровня не зависят от операционных систем , устано вленных в корпоративной сети . Системы обнаруж ения атак на систем ном уровне требуют конкретных ОС для правильного функционирован ия и генерации необходимых результатов . 1.4. Достоинства систем обнаружения атак системного уровня И хотя систе мы обнаружения атак системного уровня не столь быстры , как их аналоги сетевого ур овня , они предлагают преимущества , которых не имеют последние . К этим достоинствам можно отнести более строгий анализ , прист альное внимание к данным о событии на конкретном хосте и более низкая стоимость внедрения. 1. Подтверждают успех или отказ атаки. По скольку IDS системного уровня используют жур налы регистрации , содержащие данные о события х , которые действительно имели место , то IDS этого класса могут с высокой точностью оп ределять – действительно ли атака была у спешной или нет . В этом отношении IDS си с темного уровня обеспечивают превосхо дное дополнение к системам обнаружения атак сетевого уровня . Такое объединение обеспечив ает раннее предупреждение при помощи сетевого компонента и "успешность " атаки при помощ и системного компонента . 2. Контролир ует дея тельность конкретного узла . IDS системного уровня контролирует де ятельность пользователя , доступ к файлам , изме нения прав доступа к файлам , попытки устан овки новых программ и /или попытки получит ь доступ к привилегированным сервисам . Наприм ер , IDS системног о уровня может контролирова ть всю logon- и logoff-деятельность пользователя , а также действия , выполняемые каждым пользователем при подключении к сети . Для системы с етевого уровня очень трудно обеспечить такой уровень детализации событий . Технология обна р у жения атак на системном уровне может также контролировать деятельность , кот орая обычно ведется только администратором . О перационные системы регистрируют любое событие , при котором добавляются , удаляются или изме няются учетные записи пользователей . IDS сис т емного уровня могут обнаруживать соответ ствующее изменение сразу , как только оно п роисходит . IDS системного уровня могут также про водить аудит изменений политики безопасности , которые влияют на то , как системы осущест вляют отслеживание в своих журналах ре г истрации и т.д . В конечном итоге системы обнаружения атак на системном уровне могут контролировать изменени я в ключевых системных файлах или исполня емых файлах . Попытки перезаписать такие файлы или инсталлировать "троянских коней " могут быть обнаружены и пресечены . Системы сетевого уровня иногда упускают такой тип деятельности. 3. Обнаружение атак , которые упускают системы сетевого уровн я . IDS системного уровня могут обнаруживать атаки , которые не могут быть обнаружены средствами сетевого уровня . Например , атаки , осуществляемые с самого атакуемо го сервера , не могут быть обнаружены систе мами обнаружения атак сетевого уровня . 4. Хорошо подходит для сетей с шифрованием и ком мутацией. Поскольку IDS системного уровня устанавливается на различ ных хостах сети пре дприятия , она может преодолеть некоторые из проблем , возникающие при эксплуатации систем сетевого уровня в сетях с коммутацией и шифрованием . Коммут ация позволяет управлять крупномасштабными сетям и , как несколькими небольшими сетевыми сегмен тами . В резуль тате бывает трудно опред елить наилучшее место для установки IDS сетевого уровня . Иногда могут помочь административные порты (managed ports) и порты отражения (mirror ports, span ports) трафика на коммутаторах , но эти методы не всегд а применимы . Обнаружени е атак на системном уровне обеспечивает более эффективну ю работу в коммутируемых сетях , т.к . позвол яет разместить IDS только на тех узлах , на которых это необходимо. Определенные типы шифрования также предст авляют проблемы для систем обнаружения атак сетево го уровня . В зависимости от того , где осуществляется шифрование (канальное или абонентское ), IDS сетевого уровня может остаться "слепой " к определенным атакам . IDS систе много уровня не имеют этого ограничения . К тому же ОС , и , следовательно , IDS системног о уровня , анализирует расшифрованный входящий трафик. 5. Обнаружение и реагирование почти в реальном масштабе времени . Хотя обнаружение атак на системном уровне не обеспечивает реагир ования в действительно реальном масштабе врем ени , оно , при правильной реал изации , мо жет быть осуществлено почти в реальном ма сштабе . В отличие от устаревших систем , ко торые проверяют статус и содержания журналов регистрации через заранее определенные интер валы , многие современные IDS системного уровня п олучают прерывание от ОС, как толь ко появляется новая запись в журнале реги страции . Эта новая запись может быть обраб отана сразу же , значительно уменьшая время между распознаванием атаки и реагированием на нее . Остается задержка между моментом записи операционной системой события в журнал регистрации и моментом распозна вания ее системой обнаружения атак , но во многих случаях злоумышленник может быть обнаружен и остановлен прежде , чем нанесет какой-либо ущерб . 6. Не тр ебуют дополнительных аппаратных средств. Системы обнаружения атак на системном уровне устанавливаются на существующ ую сетевую инфраструктуру , включая файловые с ервера , Web-сервера и другие используемые ресурс ы . Такая возможность может сделать IDS системног о уровня очень эффективными по стоимости , потому что они не треб у ют еще одного узла в сети , которому необходимо уделять внимание , осуществлять техническое о бслуживание и управлять им . 7. Низкая цена. Несмотря на то , что системы обнаружения атак сетевого уровня о беспечивают анализ трафика всей сети , очень часто они явля ются достаточно дорогими . Стоимость одной системы обнаружения атак может превышать $10000. С другой стороны , системы обнаружения атак на системном уровне сто ят сотни долларов за один агент и мог ут приобретаться покупателем в случае необход имости контролир о вать лишь некоторые узлы предприятия , без контроля сетевых ат ак . 1.5. Необходимость в обеих системах обнаружения атак сетевого и системного уровней Оба решения : IDS и сетевого , и системного уровней имеют с вои достоинства и преимущества , которые эффек тивно дополняют друг друга . Следующее по коление IDS, таким образом , должно включать в себя интегрированные системные и сетевые ком поненты . Комбинирование этих двух технологий значительно улучшит сопротивление сети к атак ам и злоупотреблениям , позволит ужесточи т ь политику безопасности и внести боль шую гибкость в процесс эксплуатации сетевых ресурсов. Рисунок , представленный ниже , иллюстрирует то , как взаимодействуют методы обнаружения атак на системном и сетевом уровнях при создании более эффективной системы сете вой защиты . Одни события обнаруживаются только при помощи сетевых систем . Другие – только с помощью системных . Некоторые требуют применения обоих типов обнаружения атак для надежного обнаружения. Рис .1. В заимодействие метотодов обна ружения атак на системном и сетевом уровн ях 1.6. Список тре бования к системам обнаружения а так след ующего поколения Характеристики для систем обнаружения атак следующего пок оления : 1. Возможности об наружения атак на системном и сетевом уро вне , интегрированные в единую систему . 2. Совместно используемая консоль управления с непротиворечивым инте рфейсом для конфигурации продукта , полити ки управления и отображения отдельных событий , как с системных , так и с сетевых компонентов системы обнаружения атак . 3. Интегрированная база данных событий . 4. Интегрированная система генерации отчетов . 5. Возмо жности осущ ествления корреляции событий . 6. Интегрированная он-лайнов ая помощь для реагирования на инциденты . 7. Унифицированные и не противоречивые процедуры инсталляции . 8. Добавление возможности контроля за собственными событиями . В четве ртом квартал е 1998 года вышла RealSecureT версии 3.0, которая отвечает всем этим требованиям . · Модуль слежени я RealSecure - обнаруживает атаки на сетевом уровне в сетях Ethernet, Fast Ethernet, FDDI и Token Ring. · Агент RealSecure - обнаруживает атаки на серверах и других системн ых устройствах . · Менеджер RealSecure - консоль управления , которая обеспечивает конфигурацию м одулей слежения и агентов RealSecure и объединяет анализ сетевого трафика и системных журнал ов регистрации в реальном масштабе времени . Лукац кий А.В . Системы обнаружения атак //Банковские технологии . 1999. № 2. 2. Атаками весь мир полнится Для защиты от разного рода атак можно применить две стратегии . Первая заключается в приобре тении самых расхваливаемых (хотя не всегда самых л учших ) систем защиты от всех возможных видов атак . Этот способ очень прост , но требует огромных денежных вложе ний . Ни один домашний пользователь или даж е руководитель организации не пойдет на э то . Поэтому обычно используется вторая страте гия , заключающаяс я в предварительном анализе вероятных угроз и последующем выбо ре средств защиты от них. Анализ угроз , или анализ риска , также может осуществляться двумя путями . Сложный , однако более эффективный способ заключается в том , что прежде , чем выбирать наиболее ве роятные угрозы , осуществляется анализ информационный системы , обрабатываемой в ней информации , используемого программно-аппаратного обеспечения и т.д . Это позволит существенно сузить спектр потенциальных атак и тем самым повысить эффективность вложения де н ег в приобретаемые средства защиты . О днако такой анализ требует времени , средств и , что самое главное , высокой квалификации специалистов , проводящих инвентаризацию анализир уемой сети . Немногие компании , не говоря у же о домашних пользователях , могут позвол и ть себе пойти таким путем . Чт о же делать ? Можно сделать выбор средств защиты на основе так называемых стандарт ных угроз , то есть тех , которые распростра нены больше всего . Несмотря на то что некоторые присущие защищаемой системе угрозы могут остаться без в н имания , больш ая часть из них все же попадет в очерченные рамки . Какие же виды угроз и атак являются самыми распространенными ? Ответу на этот вопрос и посвящена данная ст атья . Чтобы приводимые данные были более т очны , я буду использовать статистику , получе н ную из различных источников. Цифры , цифры , цифры… Кто же чаще всего совершает компьютер ные преступления и реализует различные атаки ? Какие угрозы самые распространенные ? Приведу данные , полученные самым авторитетным в э той области источником — Институтом к омп ьютерной безопасности (CSI) и группой компьютерных нападений отделения ФБР в Сан-Франциско . Эти данные были опубликованы в марте 2000 года в ежегодном отчете « 2000 CSI/FBI Computer Crime and Security Survey» . Согла сно этим данным : · 90% респондентов (кр упные корпорации и государственные о рганизации ) зафиксировали различные атаки на свои информационные ресурсы ; · 70% респондентов зафикси ровали серьезные нарушения политики безопасности , например вирусы , атаки типа «отказ в обслуживании» , злоупотребления с о стороны сотрудников и т.д .; · 74% респондентов понесли немалые финансовые потери вследствие этих нарушений . За последни е несколько лет также возрос объем потерь вследствие нарушений политики безопасности . Если в 1997 году сумма потерь равнялась 100 млн . долл ., в 1999-м 124 млн ., то в 2000-м эт а цифра возросла до 266 млн . долл .. Размер потерь от атак типа «отказ в обслуживании » достиг 8,2 млн . долл . К другим интересным данным можно отнести источники атак , типы распространенных атак и размеры потерь от н и х . Другой авторитетный источник — координационн ый центр CERT — также подтверждает эти данн ые . Кроме того , согласно собранным им данн ым , рост числа инцидентов , связанных с без опасностью , совпадает с распространением Internet. Интерес к электронной коммерц ии б удет способствовать усилению этого роста в последующие годы . Отмечена и другая тенденц ия . В 80-е — начале 90-х годов внешние зло умышленники атаковали узлы Internet из любопытства или для демонстрации своей квалификации . Сейч ас атаки чаще всего преслед у ют финансовые или политические цели . Как утвер ждают многие аналитики , число успешных проник новений в информационные системы только в 1999 году возросло вдвое по сравнению с пр едыдущим годом (с 12 до 23%). И в 2000-м , и 2001- м годах эта тенденция сохраняет с я. В данной области существует и российс кая статистика . И хотя она неполная и , по мнению многих специалистов , представляет с обой лишь верхушку айсберга , я все же приведу эти цифры . За 2000 год , согласно данны м МВД , было зарегистрировано 1375 компьютерных п реступлений . По сравнению с 1999 годом эт а цифра выросла более чем в 1,6 раза . Дан ные управления по борьбе с преступлениями в сфере высоких технологий МВД РФ (Упра вление «Р» ) показывают , что больше всего п реступлений — 584 от общего количества — относится к неправомерному доступу к компью терной информации ; 258 случаев — это причинение имущественного ущерба с использованием компьютер ных средств ; 172 преступления связано с создание м и распространением различных вирусов , а вернее , «вредоносных программ для ЭВ М » ; 101 преступление — из серии «незаконное производство или приобретение с целью сбыт а технических средств для незаконного получен ия информации» , 210 — мошенничество с применени ем компьютерных и телекоммуникационных сетей ; 44 — нарушение правил эксплуатац и и ЭВМ и их сетей. КомпьютерПресс 10'2001 3. Как защитить ся от удаленных атак в сети Internet? Особенность сет и Internet на сегодняшний день состоит в том , что 99% процентов информационных ресурсов сети являются общедоступными . Удаленный доступ к этим ресурсам может осуществляться анони мно любым неавторизованным пользователем сети . Примером подобного неавторизованного доступа к общедоступным ресурсам является подключение к WWW- или FTP-серверам , в том случае , если п одобный доступ разрешен . Опре делившись , к каким ресурсам се ти Internet пользователь намерен осуществлять доступ , необходимо ответить на следующий вопрос : а собирается ли пользователь разрешать удаленн ый доступ из сети к своим ресурсам ? Ес ли нет , то тогда имеет смысл использовать в ка ч естве сетевой ОС "чисто клиентскую " ОС (например , Windows '95 или NT Workstation), которая не содержит программ-серверов , обеспечивающих удаленный доступ , а , следовательно , удаленный доступ к данной системе в принципе невозможен , так к ак он просто программ но не предусмотр ен (например , ОС Windows '95 или NT, правда с одним но : под данные системы действительно нет серверов FTP, TELNET, WWW и т . д ., но нельзя забывать про встроенную в них возможность предост авления удаленного доступа к файловой системе , так н а зываемое разделение (share) ресурсов . А вспомнив по меньшей мере странную позици ю фирмы Microsoft по отношению к обеспечению без опасности своих систем , нужно серьезно подума ть , прежде чем остановить выбор на продукт ах данной фирмы . Последний пример : в Inte rnet появилась программа , предоставляющая атаку ющему несанкционированный удаленный доступ к файловой системе ОС Windows NT 4.0!). Выбор клиентской опе рационной системы во многом решает проблемы безопасности для данного пользователя (нельз я получить доступ к ресурсу , котор ого просто нет !). Однако в этом случае ухудшается функциональность системы . Здесь своевр еменно сформулировать , на наш взгляд , основную аксиому безопасности : Аксиома безопасности. Принципы доступности , удо бства , быстродействия и функциональ ности вычислительной системы антагонистичны принципам ее безопасности . Данная аксиома , в принципе , очевидна : чем более доступна , удобна , быстра и многофункциональна ВС , т ем она менее безопасна . Примеров можно при вести массу . Например , служба DNS: удобно , но опасно . Вернемся к выбору пользователем клиентско й сетевой ОС . Это , кстати , один из весь ма здравых шагов , ведущих к сетевой полити ке изоляционизма . Данная сетевая политика без опасности заключается в осуществлении как мож но более полной изоляции своей в ычисл ительной системы от внешнего мира . Также о дним из шагов к обеспечению данной полити ки является , например , использование систем Firewall, позволяющих создать выделенный защищенный сегмен т (например , приватную сеть ), отделенный от глобальной сети . Коне ч но , ничто не мешает довести эту политику сетевого изо ляционизма до абсурда - просто выдернуть сетев ой кабель (полная изоляция от внешнего мир а !). Не забывайте , это тоже "решение " всех проблем с удаленными атаками и сетевой безопасностью (в связи c полным о тсут ствием оных ). Итак , пусть пользователь сети Internet решил использовать для доступа в сеть только кл иентскую сетевую ОС и осуществлять с помо щью нее только неавторизованный доступ . Пробл емы с безопасностью решены ? Ничуть ! Все бы ло бы хорошо , если бы н и было так плохо . Для атаки "Отказ в обслуживании " абсолютно не имеет значения ни вид д оступа , применяемый пользователем , ни тип сете вой ОС (хотя клиентская ОС с точки зре ния защиты от атаки несколько предпочтительне е ). Эта атака , используя фундаментальн ы е пробелы в безопасности протоколов и инфраструктуры сети Internet, поражает сетевую ОС на хосте пользователя с одной единственной целью - нарушить его работоспособность . ля атаки , связанной с навязыванием ложного мар шрута при помощи протокола ICMP, целью которой является отказ в обслуживании , ОС Windows '95 или Windows NT - наиболее лакомая цель . Пользо вателю в таком случае остается надеяться на то , что его скромный хост не предст авляет никакого интереса для атакующего , кото рый может нарушить его работосп о с обность разве что из желания просто напак остить . 3.1. Административны е методы защиты от удаленных атак в с ети Internet Самым правильны м шагом в этом направлении будет приглаше ние специалиста по информационной безопасности , который вместе с вами постарает ся решить весь комплекс задач по обеспечению требуемого необходимого уровня безопасности дл я вашей распределенной ВС . Это довольно сл ожная комплексная задача , для решения которой необходимо определить , что (список контролиру емых объектов и ресурсов РВС ), о т чего (анализ возможных угроз данной РВС ) и как (выработка требований , определение политики безопасности и выработка административн ых и программно-аппаратных мер по обеспечению на практике разработанной политики безопасно сти ) защищать . Пожалуй , наиболее простыми и дешевым и являются именно административные методы защ иты от информационно-разрушающих воздействий . 3.1.1. Как защити ться от анализа сетевого трафика ? Существует атак а , позволяющая кракеру при помощи программног о прослушивания канала передачи соо бщений в сети перехватывать любую информацию , ко торой обмениваются удаленные пользователи , если по каналу передаются только нешифрованные сообщения . Также можно показать , что базовые прикладные протоколы удаленного доступа TELNET и FTP не предусматривают э лементарную кри птозащиту передаваемых по сети даже идентифик аторов (имен ) и аутентификаторов (паролей ) польз ователей . Поэтому администраторам сетей , очевидно , можно порекомендовать не допускать использо вание этих базовых протоколов для предоставле ния удал е нного авт оризованного доступа к ресурсам своих систем и считать анализ сетевого трафика той постоянно присутствующей угрозой , которую невозможно устранить , но можно сдел ать ее осуществление по сути бессмысленным , применяя стойкие криптоалгоритмы защиты IP- потока . 3.1.2. Как защитит ься от ложного ARP-сервера ? В том случа е , если у сетевой ОС отсутствует информаци я о соответствии IP- и Ethernet-адресов хостов внут ри одного сегмента IP-сети , данный протокол позволяет посылать широковещательный ARP-запрос на по иск необходимого Ethernet-адреса , на кото рый атакующий может прислать ложный ответ , и , в дальнейшем , весь трафик на канально м уровне окажется перехваченным атакующим и пройдет через ложный ARP-сервер . Очевидно , ч то для ликвидации данной атаки необходимо у с транить причину , по которой в озможно ее осуществление . Основная причина ус пеха данной удаленной атаки - отсутствие необх одимой информации у ОС каждого хоста о соответствующих IP- и Ethernet-адресах всех остальных хостов внутри данного сегмента сети . Таким образом , самым простым решением б удет создание сетевым администратором статическо й ARP-таблицы в виде файла (в ОС UNIX обычно /etc/ethers), куда необходимо внести соответствую-щую и нформацию об адресах . Данный файл устанавлива ется на каждый хост внутри се г мента , и , следовательно , у сетевой ОС отпадает необходимость в использовании удаленн ого ARP-поиска . 3.1.3. Как защитит ься от ложного DNS-сервера ? Использование в сети Internet службы DNS в ее нынешнем виде мо жет позволить кракеру получить глобальный кон тр оль над соединениями путем навязывания ложного маршрута через хост кракера - лож ный DNS-сервер . Осуществление этой удаленной ата ки , основанной на потенциальных уязвимостях с лужбы DNS, может привести к катастрофическим пос ледствиям для огромного числа поль з ователей Internet и стать причиной массового нарушения информационной безопасности данной г лобальной сети . В следующих двух пунктах п редлагаются возможные административные методы по предотвращению или затруднению данной удален ной атаки для администраторов и по льзователей сети и для администраторов DNS-серве ров . а ) Как адми нистратору сети защититься от ложного DNS-сервер а ? Если отвечать на этот вопрос коротко , то никак . Ни административно , ни программно нельзя защититьс я от атаки на существующую версию слу жбы DNS. Оптимальным с точки зрения безоп асности решением будет вообще отказаться от использования службы DNS в вашем защищенном сегменте ! Конечно , совсем отказаться от испо льзования имен при обращении к хостам для пользователей будет очень не удобно . Поэ т ому можно предложить следующее к омпромиссное решение : использовать имена , но о тказаться от механизма удаленного DNS-поиска . Вы правильно догадались , что это возвращение к схеме , использовавшейся до появления служ бы DNS с выделенными DNS-серверами . Тогда н а каждой машине в сети существовал hosts файл , в к отором находилась информация о соответствующих именах и IP-адресах всех хостов в сети . Очевидно , что на сегодняшний день администр атору можно внести в подобный файл информ ацию о лишь наиболее часто посещаемы х пользователями данного сегмента серверах сет и . Поэтому использование на практике данного решения чрезвычайно затруднено и , видимо , нереально (что , например , делать с броузерами , которые используют URL с именами ?). Для затруднения осуществления данной уд аленной атаки можно предложить администра торам использовать для службы DNS вместо протоко ла UDP, который устанавливается по умолчанию , про токол TCP (хотя из документации далеко не оче видно , как его сменить ). Это существенно за труднит для атакующего переда ч у н а хост ложного DNS-ответа без приема DNS-запрос а . Общий неутешительный вывод таков : в се ти Internet при использовании сущест вующей версии службы DNS не существует приемл емого решения для защиты от ложного DNS-серв ера (и не откажешься , как в случае с AR P, и использовать опасно )! б ) Как админ истратору DNS-сервера защититься от ложного DNS-сер вера ? Если отвечать на этот вопрос коротко , то , опять же , никак . Единственным способом затруднить осущес твление данной удаленной атаки , это использов ать для общения с хостами и с др угими DNS-серверами только протокол TCP, а не UDP. Тем не менее , это только затруднит выполне ние атаки - не забывайте как про возможный перехват DNS-запроса , так и про возможность математического предсказания начального значени я TCP-иденти ф икатора ISN. В заключение можно порекомендовать для всей сети Internet поскорее перейти либо к но вой более защищенной версии службы DNS, либо принять единый стандарт на защищенный протоко л . Сделать этот переход , несмотря на все колоссальные расходы , прост о необходимо , иначе сеть Internet может быть просто поставлена на колени перед всевозрастающими успешными попытками нарушения ее безопасности при помощи данной службы ! 3.1.4. Как защитит ься от навязывания ложного маршрута при и спользовании протокола ICMP? Атака , которая заключалась в передаче на хост ложного ICMP Redirect сообщения о смене исходного маршрута пр иводила как к перехвату атакующим информации , так и к нарушению работоспособности атак уемого хоста . Для того , чтобы защититься о т данной удаленной а таки , необходимо л ибо фильтровать данное сообщение (используя Firewall или фильтрующий маршрутизатор ), не допуская его попадания на конечную систему , либо со ответствующим образом выбирать сетевую ОС , ко торая будет игнорировать это сообщение . Однак о обычно не существует административн ых способов повлиять на сетевую ОС так , чтобы запретить ей изменять маршрут и реагировать на данное сообщение . Единственный способ , например , в случае ОС Linux или FreeBSD заклю чается в том , чтобы изменить исходные текс ты и пер е компилировать ядро ОС . Очевидно , что такой экзотический для многих способ возможен только для свободно расп ространяемых вместе с исходными текстами опер ационных систем . Обычно на практике не сущ ествует иного способа узнать реакцию использу емой у вас ОС на ICMP Redirect сообщение , как послать данное сообщение и посмотреть , каков будет результат . Эксперименты показали , что данное сообщение позволяет изменить маршрутизацию на ОС Linux 1.2.8, Windows '95 и Windows NT 4.0. Следует отме тить , что продукты компани и Microsoft не отличаются особой защищенностью от возможных удаленных атак , присущих IP-сетям . Следовательно , использовать данные ОС в защищенном сегм енте IP-сети представляется нежелательным . Это и будет тем самым административным решением по защите сегме н та сети от данной удаленной атаки . 3.1.5. Как защитит ься от отказа в обслуживании ? Нет и не может быть приемлемых способов защиты от отказа в обслуживании в существующем станд арте IPv4 сети Internet. Это связано с тем , что в данном стандарте невозможен ко нтроль за маршрутом сообщений . Поэтому невозможно обеспечить надежный контроль за сетевыми соед инениями , так как у одного субъекта сетево го взаимодействия существует возможность занять неограниченное число каналов связи с уда ленным объектом и при этом ост а ться анонимным . Из-за этого любой серв ер в сети Internet может быть полностью парализо ван при помощи удаленной атаки . Единственное , что можно предложить для повышения надежности работы системы , подвергаем ой данной атаке , - это использовать как мож но более мощные компьютеры . Чем больше число и частота работы процессоров , чем больше объем оперативной памяти , тем более надежной будет работа сетевой ОС , когда на нее обрушится направленный "шторм " лож ных запросов на создание соединения . Кроме того , необходимо и спользование соотве тствующих вашим вычислительным мощностям операци онных систем с внутренней очередью , способной вместить большое число запросов на подкл ючение . Ведь от того , что вы , например , поставите на суперЭВМ операционную систему Linux или Windows N T , у которых длина очереди для одновременно обрабатываемых запросов около 10, а тайм-аут очистки очереди несколько мин ут , то , несмотря на все вычислительные мощ ности компьютера , ОС будет полностью парализо вана атакующим . 3.1.6. Как защитит ься от подмены од ной из сторон пр и взаимодействии с использованием базовых про токолов семейства TCP/IP Как отмечалось ранее , единственным базовым протоколом семейства TCP/IP, в ко тором изначально предусмотрена функция обеспечен ия безопасности соединения и его абонентов , яв ляется протокол транспортного уровня - протокол TCP. Что касается базовых протоколов прикладного уровня : FTP, TELNET, r-служба , NFS, HTTP, DNS, SMTP, то ни оди н из них не предусматривает дополнительную защиту соединения на своем уровне и ос тавляет решение всех проблем по об еспечению безопасности соединения протоколу боле е низкого транспортного уровня - TCP. Однако , вспом нив о возможных атаках на TCP-соединение , рас смотренных в п . 4.5, где было отмечено , что при нахождении атакующего в одном сегменте с цель ю атаки защититься от подмены одного из абонентов TCP-соединения в принципе невозможно , а в случае нахождени я в разных сегментах из-за возможности мат ематического предсказания идентификатора TCP-соединения ISN также реальна подмена одного из абонент ов , нес л ожно сделать вывод , что при использовании базовых протоколов семейства TCP/IP обеспечить безопасность соединения практически невозможно ! Это происходит из-за того , что , к сожалению , все базовые протоколы сети Internet с точки зрения обеспечения информацио н ной безопасности невероятно устарели . Единстве нно , что можно порекомендовать сетевым админи страторам для защиты только от межсегментных атак на соединения - в качестве базового "защищенного " протокола использовать протокол TCP и сетевые ОС , в которых нача льное значение ид ентификатора TCP-соединения действительно генерируется случайным образом (неплохой псевдослучайный алгоритм генерации используется в последних в ерсиях ОС FreeBSD). 3.2. Программно-аппар атные методы защиты от удаленных атак в сети Internet К программно-апп аратным средствам обеспечения информационной без опасности средств связи в вычислительных сетя х относятся : · аппаратные шифраторы сетевого трафика ; · методика Firewall, реализуемая на базе программно-аппаратных средств ; · защищенные сете в ые криптопротоколы ; · программно-аппаратные ан ализаторы сетевого трафика ; · защищенные сетевые О С . Существует огро мное количество литературы , посвященной этим средствам защиты , предназначенным для использован ия в сети Internet (за последние два года пр актически в каждом номере любого комп ьютерного журнала можно найти статьи на э ту тему ). Далее мы , по возможности кратко , чтобы не повторять всем хорошо известную инфор мацию , опишем данные средства защиты , применяе мые в Internet. При этом мы преследуем сле дующие цели : во-первых , еще раз вернемс я к мифу об "абсолютной защите " , которую якобы обеспечивают системы Firewall, очевидно , благода ря стараниям их продавцов ; во-вторых , сравним существующие версии криптопротоколов , применяемых в Internet, и дадим оцен к у , по су ти , критическому положению в этой области ; и , в-третьи х , ознакомим читателей с возможностью защиты с помощью сетевого монитора безопасности , предназначенного для осуществления динамического контроля за возникающими в защищаемом се гменте IP-сети сит уациями , свидетельствующими об осуществлении на данный сегмент одной из описанных в 4 главе удаленных атак . 3.2.1. Методика Firewall как основное программно-аппаратное средство осу ществления сетевой политики безопасности в вы деленном сегменте IP-сети В о бщем случае методика Firewall реализу ет следующие основные три функции : 1. Многоуровневая фильтрация сет евого трафика . Фильтрация обычно осуществляется на трех уровнях OSI: сетевом (IP); транспортном (TCP, UDP); прикладном (FTP, TELNET, HTTP, SMTP и т . д .). Фильтрация сетевого трафика является основной функцией с истем Firewall и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети , то есть , настроив соответств ую щим образом Firewall, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов ил и к хостам , находящихся в защищаемом сегме нте , так и доступ пользователей из внутрен ней сети к соответствующим ресурсам внешней сети . Можно провести аналогию с администратором локальной ОС , который для о существления политики безопасности в системе назначает необходимым образом соответствующие от ношения между субъектами (пользователями ) и об ъектами системы (файлами , например ), что п озволяет разграничить доступ субъектов си стемы к ее объектам в соответствии с заданными администратором правами доступа . Те же рассуждения применимы к Firewall-фильтрации : в качестве субъектов взаимодействия будут выступ ать IP-адреса хостов пользователей, а в качестве объектов , доступ к которым н еобходимо разграничить , - IP-адреса хостов , используем ые транспортные протоколы и службы предоставл ения удаленного доступа . 2. Proxy-схема с дополнительной и дентификацией и аутентификацией пользователей на Firewall -хосте. Proxy-схема позволяет , во-первых , при доступе к защищенному Firewall сегменту сети осуществить на нем дополнительную идентификаци ю и аутентификацию удаленного пользователя и , во-вторых , является основой для создания приватных сетей с виртуальными IP-адресами . Смысл proxy-схемы состоит в создании соединени я с конечным адресатом через промежуточный proxy-сервер (proxy от англ . полномочный ) на хосте Firewall. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента . 3. Созд ание приватных се тей (Private Virtual Network - PVN) с "виртуальными " IP-адресами (NAT - Network Address Translation). В том случае , если админист ратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети , то ему можн о порекомендовать использовать системы Firewall для создания приватной сети (PVN-сеть ). Хостам в PVN-сети назначаются любые "виртуальные " IP-адреса . Для адресации во внешнюю сеть (через Firewall) необходимо либо испо льзование на хосте Firewall описанных в ы ше proxy-серверов , либо применение специальных сис тем роутинга (маршрутизации ), только через кото рые и возможна внешняя адресация . Это прои сходит из-за того , что используемый во вну тренней PVN-сети виртуальный IP-адрес , очевидно , не пригоден для внешней а д ресации (внешняя адресация - это адресация к абонент ам , находящимся за пределами PVN-сети ). Поэтому proxy-сервер или средство роутинга должно осуще ствлять связь с абонентами из внешней сет и со своего настоящего IP-адреса . Кстати , эта схема удобна в том сл у чае , если вам для создания IP-сети выделили н едостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом , поэтому дл я создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy- с ервера ). Итак , любое устройство , реализующее хотя бы одну из эт их функций Firewall-методики , и является Firewall-устройств ом . Например , ничто не мешает вам использо вать в качестве Firewall-хоста компьютер с обычн ой ОС FreeBSD или Linux, у которой соответс твующ им образом необходимо скомпилировать ядро ОС . Firewall такого типа будет обеспечивать только многоуровневую фильтрацию IP-трафика . Другое дело , предлагаемые на рынке мощные Firewall-комплексы , сделанные на базе ЭВМ или мини-ЭВМ , обычно реализуют все ф ункции Firewall-мето-дики и являются полнофункциональными системами Firewall. На следующем рисунке изображен сегмент сет и , отделенный от внешней сети полнофункционал ьным Firewall-хостом . Рис . 2. Обобщенная схема полнофункционального хоста Firewall. Однако админист раторам IP-сетей , поддавшись на рекламу систем Firewall, не стоит заблуждаться на тот сче т , что Firewall это гарантия абсолютной защиты о т удаленных атак в сети Internet. Firewall - не столько средство обеспечения безопасности , сколько в озможность централизованно осуществлять сетевую политику разграничения удаленного доступа к д оступным р е сурсам вашей сети . Да , в том случае , если , например , к данном у хосту запрещен удаленный TELNET-доступ , то Firewall однозначно предотвратит возможность данного дост упа . Но дело в том , что большинство уда ленных атак имеют совершенно другие цели ( бессмысленн о пытаться получить определе нный вид доступа , если он запрещен системо й Firewall). Какие из рассмотренных удаленных атак может предотвратить Firewall? Анализ сетевого трафика ? Очевидно , нет ! Ложный ARP-сервер ? И да , и нет (для защиты вовсе не обязательно и с пользовать Firewall). Ложный DNS-сервер ? Нет , к сожалению , Firewall вам тут не помощник . Нав язывание ложного маршрута при помощи протокол а ICMP? Да , эту атаку путем фильтрации ICMP-сообще ний Firewall легко отразит (хотя достаточно будет фильтрующего маршр у тизатора , например Cisco). Подмена одного из субъектов TCP-соединения ? Ответ отрицательный ; Firewall тут абсолютно не пр и чем . Нарушение работоспособности хоста путе м создания направленного шторма ложных запрос ов или переполнения очереди запросов ? В эт ом с лучае применение Firewall только ухудш ит все дело . Атакующему для того , чтобы вывести из строя (отрезать от внешнего мира ) все хосты внутри защищенного Firewall-системой сегмента , достаточно атаковать только один Firewall, а не несколько хостов (это легко объясняется тем , что связь внутренних хостов с внешним миром возможна только че рез Firewall). Из всего вышесказанного отнюдь не сле дует , что использование систем Firewall абсолютно бе ссмысленно . Нет , на данный момент этой мет одике (именно как методике !) н ет альтер нативы . Однако надо четко понимать и помни ть ее основное назначение . Нам представляется , что применение методики Firewall для обеспечения сетевой безопасности является необходимым , но отнюдь не достаточным условием , и не нужно считать , что , постав ив Firewall, вы разом решите все проблемы с сетевой безопасностью и из бавитесь от всех возможных удаленных атак из сети Internet. Прогнившую с точки зрения бе зопасности сеть Internet никаким отдельно взятым Firewall' ом не защитишь ! Из всего вышесказанного отнюдь не следует , что использование систем Firewall абсолютно бессмысленно . Нет , на данный момент этой методике (именно как методике !) нет альтер нативы . Однако надо четко понимать и помни ть ее основное назначение . Нам представляется , что применение мето д ики Firewall для обеспечения сетевой безопасности является необ ходимым , но отнюдь не доста точным условием , и не нужно считать , что , поставив Firewall, вы разом решите все проблемы с сетевой безопасностью и избавитесь от всех возможных удаленных ата к из сет и Internet. Прогнившую с точки зр ения безопасности сеть Internet никаким отдельно вз ятым Firewall'ом не защитишь ! 3.2.2. Программные методы защиты , применяемые в сети Internet К программным методам защиты в сети Internet можно отнести прежде всего защищен ные криптопротоколы , с использованием которых появляется возможность надежной защиты соединения . В следующем п ункте пойдет речь о существующих на сегод няшний день в Internet подходах и основных , уже разработанных , криптопротоколах . К иному классу программ ных методо в защиты от удаленных атак относятся суще ствующие на сегодняшний день программы , основ ная цель которых - анализ сетевого трафика на предмет наличия одного из известных ак тивных удаленных воздействий . а ) SKIP-технология и криптопротоколы SSL, S-H TTP как основное ср едство защиты соединения и передаваемых данны х в сети Internet Одна из осн овных причин успеха удаленных атак на рас пределенные ВС кроется в использовании сетевы х протоколов обмена , которые не могут наде жно идентифицировать удаленные объе кты , з ащитить соединение и передаваемые по нему данные . Поэтому совершенно естественно , что в процессе функционирования Internet были созданы р азличные защищенные сетевые протоколы , использующ ие криптографию как с закрытым , так и с открытым ключом . Класси ч еская кр иптография с симметричными криптоалгоритмами пре дполагает наличие у передающей и принимающей стороны симметричных (одинаковых ) ключей для шифрования и дешифрирования сообщений . Эти ключи предполагается распределить заранее межд у конечным числом аб о нентов , что в криптографии называется стандартной пробле мой статического распределения ключей . Очевидно , что применение классической криптографии с симметричными ключами возможно лишь на огр аниченном множестве объектов . В сети Internet для всех ее пользов а телей решить п роблему статического распределения ключей , очевид но , не представляется возможным . Однако одним из первых защищенных протоколов обмена в Internet был протокол Kerberos, основанный именно на с татическом распределении ключей для конечного числа абонентов . Таким же путем , используя классическую симметричную криптографию , вынуждены идти наши спецслужбы , разрабатывающие свои защищенные криптопротоколы для сети Internet. Это объясняется тем , что почему-то до сих пор нет гостированного криптоалгоритм а с открытым ключом . Везде в мире подобные стандарты шифрования давно при няты и сертифицированы , а мы , видимо , опять идем другим путем ! Итак , понятно , что для того , чтобы дать возможность защититься всему множеству п ользователей сети Internet, а не огранич енному его подмножеству , необходимо использовать динам ически вырабатываемые в процессе создания вир туального соединения ключи при использовании криптографии с открытым ключом . Далее мы р ассмотрим основные на сегодняшний день подход ы и протоколы , обеспечив а ющие защи ту соединения . SKIP (Secure Key Internet Protocol)-технол огией называется стандарт инкапсуляции IP-пакетов , позволяющий в существующем стандарте IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных . Это дост игается сл едующим образом : SKIP-пакет предста вляет собой обычный IP-пакет , поле данных ко торого представляет из себя SKIP-заголовок опред еленного спецификацией формата и криптограмму (зашифрованные данные ). Такая структура SKIP-пакета позволяет беспрепятственно нап р авлят ь его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете ). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обыч ный TCP- или UD P -пакет , который и перед ает соответствующему обычному модулю (TCP или UDP) я дра операционной системы . В принципе , ничто не мешает разработчику формировать по данн ой схеме свой оригинальный заголовок , отличны й от SKIP-заголовка . S-HTTP (Secure HTTP) - это р азработанный компанией Enterprise Integration Technologies (EIT) специально для Web защищенный HTTP-протокол . Протокол S-HTTP позволяет обеспечить надежную криптозащиту только HTTP-докум ентов Web-севера и функционирует на прикладном уровне модели OSI. Эта особенность п ротокола S-HTTP делает его абсолютно специализированны м средством защиты соединения , и , как след ствие , невозможное его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др .). Кроме того , ни один из существующ их н а сегодняшний день основных Web-броузеров (ни Netscape Navigator 3.0, ни Microsoft Explorer 3.0) не поддерживают данный протокол . SSL (Secure Socket Layer) - разработ ка компании Netscape - универсальный протокол защиты соединения , функционирующий на сеансо вом уровне OSI. Этот протокол , использующий криптографию с открытым ключом , на сегодняшний день , по нашему мнению , является единственным уни версальным средством , позволяющим динамически защ итить любое соединение с использованием любог о прикладного протоко л а (DNS, FTP, TELNET, SMTP и т . д .). Это связано с тем , что SSL, в отли чие от S-HTTP, функционирует на промежуточном сеанс овом уровне OSI (между транспортным - TCP, UDP, - и приклад ным - FTP, TELNET и т . д .). При этом процесс создан ия виртуального SSL-соед и нения происходи т по схеме Диффи и Хеллмана (п . 6.2), котор ая позволяет выработать криптостойкий сеансовый ключ , используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообще ний . Протокол SSL сегодня уже практически оформи лся в кач е стве официального станд арта защиты для HTTP-соединений , то есть для защиты Web-серверов . Его поддерживают , естествен но , Netscape Navigator 3.0 и , как ни странно , Microsoft Explorer 3.0 (вспомним ту ожесточенную войну броузеров между компан иями Netscape и M icrosoft). Конечно , для установл ения SSL-соединения с Web-сервером еще необходимо и наличие Web-сервера , поддерживающего SSL. Такие версии Web-серверов уже существуют (SSL-Apachе , напри мер ). В заключении разговора о протоколе SSL нельзя не отметить следую щ ий факт : законами США до недавнего времени был запрещен экспорт криптосистем с длиной клю ча более 40 бит (недавно он был увеличен до 56 бит ). Поэтому в существующих версиях броузеров используются именно 40-битные ключи . Криптоаналитиками путем эксперимент о в было выяснено , что в имеющейся версии протокола SSL шифрование с использованием 40-битног о ключа не является надежной защитой для передаваемых по сети сообщений , так как путем простого перебора (2 40 комбинаций ) этот ключ подбир ается за время от 1,5 (на с уперЭВМ Silicon Graphics) до 7 суток (в процессе вычислений использо валось 120 рабочих станций и несколько мини ЭВМ ). Итак , очевидно , что повсеместное применение этих защищенных протоколов обмена , особенно SSL (конечно , с д линой ключа более 40 бит ), поста вит надеж ный барьер на пути всевозможных удаленных атак и серьезно усложнит жизнь кракеров всего мира . Однако весь трагизм сегодняшней ситуации с обеспечением б езопасности в Internet состоит в том , что пока ни один из существующих криптопротоколов (а их уж е немало ) не оформился в качестве единого стандарта защиты соединения , который поддерживался бы всеми производителями сетевых ОС ! Протокол SSL, из имеющихся на сегодня , подходит на эту р оль наилучшим образом . Если бы его поддерж ивали все сетевые ОС , то не потребов алось бы создание специальных прикладных SSL-сов местимых серверов (DNS, FTP, TELNET, WWW и др .). Если не дог овориться о принятии единого стандарта на защищенный протокол сеансового уровня , то т огда потребуется принятие многих стандартов н а защиту к аждой отдельной прикладно й службы . Например , уже разработан эксперимент альный , никем не поддерживаемый протокол Secure DNS. Т акже существуют экспериментальные SSL-совместимые Secure FTP- и TELNET-серверы . Но все это без принятия единого поддерживаемого вс е ми прои зводителями стандарта на защищенный протокол не имеет абсолютно никакого смысла . А на сегодняшний день производители сетевых ОС не могут договориться о единой позиции на эту тему и , тем самым , перекладывают решение этих проблем непосредственно на п о льзователей Internet и предлагают им ре шать свои п роблемы с информационной безопасностью так , к ак тем заблагорассудится ! б ) Сетевой м онитор безопасности IP Alert-1 Практические и теоретические изыскания авторов , по направле нию , связанному с исследованием безопасности распределенных ВС , в том числе и сети Internet (два полярных направления исследования : нар ушение и обеспечение информационной безопасности ), навели на следующую мысль : в сети Internet, как и в других сетях (например , Novell NetWare, Windows N T ), ощущается серьезная нехватка прог раммного средства защиты , осуществляющего комплексный контроль (мониторинг ) на канальном уровне за всем потоком передаваемой по сети информации с целью обнаружения всех типов удаленных воздействий , описанных в 4 главе . И сследован ие рынка программного обеспечения сетевых сре дств защиты для Internet выявило тот факт , что подобных комплексных средств обнаружения удале нных воздействий по нашим сведениям не су ществует , а те , что имеются , предназначены для обнаружения воздейст в ий одного конкретного типа (например , ICMP Redirect или ARP). Поэтому и была начата разработка средства контроля сегмента IP-сети , предназначенного для использо вания в сети Internet и получившее следующее наз вание : сетевой монитор безопасности IP Alert-1 . Основная за дача этого средства , программно анализирующего сетевой трафик в канале передачи , состоит не в отражении осуществляемых по каналу связи удаленных атак , а в их обнаружени и , протоколировании (ведении файла аудита с протоколированием в удобной для п оследующего визуального анализа форме всех со бытий , связанных с удаленными атаками на д анный сегмент сети ) и незамедлительным сигнал изировании администратору безопасности в случае обнаружения удаленной атаки . Основной задачей сетевого монитора безопасности IP Alert-1 является осущес твление контроля за безопасностью соответствующ его сегмента сети Internet. Сетевой монитор безопасности IP Alert-1 обладает следующими фу нкциональными возможностями и позволяет , путем сетевого анализа , обнаружить следующие удале нные атаки на контролируемый им сегме нт сети Internet. Функциональные возможности сете вого монитора безопасности IP Alert-1 1. Контроль за соответствием IP- и Ethernet-адресов в пакетах , передаваемых хостами , находящимися внутри конт ролируемого сегмента сети . На хосте IP Alert-1 администратор безопасности со здает статическую ARP-таблицу , куда заносит свед ения о соответствующих IP- и Ethernet-адресах хостов , находящихся внутри контролируемого сегмента се ти . Данная функция позволяет обнаружить несан кциони рованное изменение IP-адреса или его подмену (IP Spoofing). 2. Контроль за корректным использованием механизма удаленн ого ARP-поиска. Эта функция позволяет , используя статичес кую ARP-таблицу , определить удаленную атаку "Ложн ый ARP-сервер ". 3. Контроль з а корректным использованием механизма удаленного DNS-поиска. Эта функция позволяет определить все возможные виды удаленных атак на службу DNS. 4. Контроль на наличие ICMP Redirect сообщения. Данная функция оповещает об обнаружении ICMP Redirect сообщени я и соответствующей удаленно й атаки . 5. Контроль за корректностью попыток удаленного подключени я путем анализа передаваемых запросов. Эта функция позволяет обнаружить , во-первы х , попытку исследования закона изменения нача льного значения идентификатора TC P-соединения - ISN, во-вторых , удаленную атаку "отказ в обслужи вании ", осуществляемую путем переполнения очереди запросов на подключение , и , в-третьих , напр авленный "шторм " ложных запросов на подключени е (как TCP, так и UDP), приводящий также к отк азу в о б служивании . Таким образом , сетевой монитор безопаснос ти IP Alert-1 позволяе т обнаружить , оповестить и запротоколировать все виды удаленных атак , описанных в 4 глав е ! При этом данная программа никоим образо м не является конкурентом системам Firewall. IP Al ert-1 , используя описанные и систематизированные в 4 главе особенности удаленных атак на сеть Internet, служит необходимым дополнением - кстати , несравнимо б олее дешевым , - к системам Firewall. Без монитора б езопасности большинство попыток осуществления уд аленных атак на ваш сегмент сети останется скрыто от ваших глаз . Ни один из известных авторам файрволов не занимает ся подобным интеллектуальным анализом проходящих по сети сообщений на предмет выявления различного рода удаленных атак , ограничиваясь , в луч ш ем случае , ведением жур нала , в который заносятся сведения о попыт ках подбора паролей для TELNET и FTP, о сканирован ии портов и о сканировании сети с исп ользованием знаменитой программы удаленного поис ка известных уязвимостей сетевых ОС - SATAN. Поэтом у , е с ли администратор IP-сети не желает оставаться безучастным и довольствовать ся ролью простого статиста при удаленных атаках на его сеть , то ему желательно использовать сетевой монитор безопасности IP Alert-1 . Кстати , напомн им , что Цутому Шимомура смог запрот око лировать атаку Кевина Митника , во многом , видимо , благодаря программе tcpdump - простейшему анализа тору IP-трафика . Рис . 3. Сетевой монитор безопасности IP Alert-1. 4. Рынок систем безопасности 4.1. Основные тенденции рынка : статисти ка и прогнозы Как известно , тот , кто владеет информацией , владеет миром . Однако сегодня все убедительнее звучит и другое , не менее актуальное утверждение : тот , кто владеет информацией , постоянно о пасается ее потерять или утратить над ней контроль . По оценкам многих аналитиков , в 2001 году характер взломов существенно изменился : если раньше хакер действовал в основном один на о дин с объектом атаки (то есть по сути аполитично ), то в настоящее время можно говорить о групповых действиях хакеров , что в быстро изменяющейся обстан овке современного мира стало знаковым явление м . Атака — это уже не просто способ самовыражения и не «пока з ательное выступление» , а инструмент нанесения удара по цели . Исследования показывают , что Компью терная Сеть (КС ) почти везде весьма уязвим а , поэтому активизация данного вида деятельно сти несет в себе прямую опасность , особенн о в момент напряженности в отн о шениях между различными политическими гру ппами и государствами . Эксперты отмечают , что большинство крупных ресурсов сети до сих пор уязвимы. На основании исследований общих тенденций информационной безопасности в IT-секторе можно сделать вывод , что компани и достаточн о инертно меняют свою информационную политику в области информационной безопасности , что их стратегическое видение постоянно запаздывае т в охвате перспективы , а их практику обращения с персональными данными и уровень защищенности инфраструктур с трудом можно назвать удовлетворительными . В качеств е аргументов , говорящих в пользу этого утв ерждения , можно привести впечатляющие цифры . Т ак , большинство компаний неадекватно соотносят свою деятельность с существующими угрозами : например , только одна ко м пания из 10 удаляет /меняет пароли после увольнения работника , хотя 80% компаний имеют соответствующие регламенты . Результаты исследований свидетельств уют о слабой приверженности организаций к аудиту по вопросам информационной безопасности (35%), о минимал ь ных усилиях по с тимулированию легального расследования инцидентов (17%), о недостаточном понимании источников угрозы (79% до сих пор считают , что опасность ис ходит извне , хотя статистика доказывает обрат ное ). Исследования показали , что 60% топ-менеджеров р ассматривает информационную безопасност ь корпораций как проблему технологий (a technology problem) и только (40%) — как стратегическую проблему для бизнеса корпорации (a strategic business issue). Однако , несмотря на вышеперечисленные фак ты , в настоящее в ремя налицо явный рост внимания общества к проблемам информа ционной безопасности , к тому спектру отношени й , которые обычно называют Electronic Security. Подтверждением тому является следующее . По мнению специали стов аналитической компании IDC, спрос на си с темы Интернет-безопасности в ближайш ие годы будет стремительно расти , что прев ратит данный сектор рынка в один из с амых прибыльных . Согласно расчетам IDC, среднегодовой рост на рынке систем Интернет-безопасности в ближайшие пять лет составит 23%, и к 2005 году рынок достигнет объема в 14 млрд . долл . Как считают специалисты IDC, основн ой потенциал лежит в секторе программных продуктов , предназначенных для безопасной аутенти фикации , авторизации и администрирования , — в так называемом секторе продуктов группы 3А (Администрирование , Авторизация , А утентификация ). По мнению IDC, программное обеспечение информационной безопасности 3А состоит из реализаций функций администрирования , авторизации и аутентификации , используемых для администр ирования безопасности на от д ельных компьютерных системах или в корпоративных рамках , и включает в себя процессы определ ения , создания , изменения , удаления и аудита пользователей . По оценкам того же источника , ежегодный прирост в этом секторе состави т 28%, и к 2005 году он займет 67% рын ка. Известно , что одним из факторов , сдерж ивающих развитие электронной коммерции , является проблема безопасности . Согласно исследованию Конфедерации британской промышленности (CBI), компании больше верят в безопасность В 2В -операц ий . Более половины пред приятий , опрошенных CBI, заявили , что они доверяют В 2В-коммерции , в то время как о В 2С-операциях та к высказалось только 32%. Хотя мошенничество с банковскими картами и составляет около 4% от числа серьезных инцидентов , аналитики CBI отмеч ают , что боязнь м о шенничества по-п режнему сдерживает развитие электронного бизнеса , в особенности В 2С-сектора. Среди других важных тенденций рынка с ледует отметить то , что компании пока еще не готовы защитить себя и представить безопасный сервис , поскольку у них не х ватает квалифицированного персонала (70,5%) и они стратегически не в состоянии просчитать , насколько выгодным будет внедрение новых прак тик безопасности (45,9%). Такие далеко не обнадежив ающие результаты были выявлены в ходе исс ледования по Японии , которая ни в к оей мере не является технологически о тсталой страной . Специалисты утверждают , что в сфере сетевой безопасности ощущается острая нехватка персонала , способного эффективно ре шать соответствующие задачи. Один из последних опросов в прошедшем году зафиксировал растущую озабоченность американцев в связи с проблемами конфиденц иальнности и сетевой безопасности . И хотя основной акцент был сделан на оценке безо пасности корпоративных и правительственных сетей , в общем контексте ответов прослеживается тревога по отно ш ению ко всему , что окружает людей в этом неопределенном мире : что 71% респондентов заявили , что они озабочены проблемой безопасности в КС , а 78% обеспокоены возможностью кражи или иного несанкционированного использования их персональной информации в КС. Бе зопасность беспроводных операций пр одолжает беспокоить и компании , и пользовател ей . Те и другие опасаются , что хакеры с могут перехватывать информацию «на лету» . Кро ме того , потенциальной проблемой представляется потеря пользователями мобильных устройств , с одержащих конфиденциальную информацию. 4.2. Структу ра рынка безопасности То , что в 60-е годы называлось компьютерной безопасностью , а в 70-е — безопасностью данных , сейча с более точно именуется информационной безопа сностью . Информационная безопасность включает меры по защите процессов создания данных , их ввода , обработки и вывода . Главная це ль состоит в том , чтобы защитить и гар антировать точность и целостность информации , минимизировать разрушения , которые могут иметь место , если информация будет мод и фицирована или разрушена . Информационная безопасность требует учета всех событий , когд а информация создается , модифицируется , когда к ней обеспечивается доступ и когда она распространяется. Информационная безопасность гарантирует дост ижение следующих целей : · конфиденциальность критической информаци и ; · целостность информации и связанных с ней процессов (создания , ввода , обработки и вывода ); · доступность информации в случае необходимости ; · учет всех процессов , связанных с информацией . В общем пла не ры нок безопасности информационных сист ем можно условно разделить на два идеолог ически не связанных направления . Первое направление ставит своей целью информационную защиту сетей , то есть защиту информации , которая циркулирует внутри инфор мационных сетей . В настоящее время это наиболее востребованно , а потому хорошо раз вито . Сюда входят различные антивирусы , межсет евые фильтры (firewall), криптографические средства , защит ные протоколы , цифровые подписи и т.п . Наиб олее надежным средством на сегодняшний день я в ляется шифрование с открытым ключом . Второе направление , стремительно развивающеес я в последнее время , связано с непосредств енной защитой объектов сети . Это направление представляют в основном механические устройс тва , предотвращающие доступ к аппаратной ч асти , то есть к серверам , персональным компьютерам и т.д . Основная задача указан ных устройств состоит в том , чтобы с п омощью различных крепежей , замков , защитных ко жухов и пр . не дать нарушителю возможности вскрыть компьютер . В арсенале имеются так же прог р аммные средства , которые п озволяют находить похищенные компьютеры после того , как они хоть раз были подключены к телефонной сети или к Интернету . Эт и программы состоят из двух частей : клиент а и центра обработки информации . После тог о как клиент установлен на компьют ер , он периодически (каждые 15 минут ) связывается с центром и передает доступную информаци ю о текущем статусе компьютера (IP-адрес , ном ер телефона , к которому подключен в данный момент компьютер , и т.д .). Клиент инсталлиру ется таким образом , что б ы быть защищенным от форматирования винчестера , и не быть видным с помощью обычных средств операционной системы (process viewers). Еще один вариант реализации второго направления заключается в том , что компьютеры с помощью дополнительно й проводки и специа л ьных датчиков , которые крепятся к задней панели компьют ера , объединяются в сеть , отличную от сети передачи данных , и подключаются к аппарат ному устройству , способному регистрировать несанк ционированный доступ и включать сигнализацию . Вероятнее всего , в не далеком будущ ем мы будем свидетелями интеграции этих д вух направлений , что является естественным ша гом на пути к повышению уровня защиты информации . И в результате такой интеграции сможет появиться некая универсальная система безопасности , а у администрат о ра безопасности будет единое рабочее место , с которого он сможет контролировать порядок обработки данных и целостность объектов . Установка такой системы не потребует дополнит ельной прокладки кабелей , а ее работа ника к не скажется на производительности сет и передачи данных. 4.3. Лидеры на рынке систем безопасности Корпорация Symantec Корпорация Symantec, один из мировых лидеров в создании систем безопасности д ля работы в Интернете , является ведущим по ставщиком на рынке систем безопасности . Прина дл ежащее корпорации Symantec торговая марка Norton об ъединяет линию используемых для обеспечения и нформационной безопасности продуктов , занимающих ведущие позиции в мире как по числу п родаж в розничной торговле , так и по к оличеству отраслевых наград . Штаб-к в ар тира Symantec расположена в г.Купертино , шт . Калифорни я . Корпорация имеет представительства в 37 стран ах . В отчете Gartner Dataquest эта компания названа мировым лиде ром в области поставок программных средств для обеспечения информационной безопасности. Данная оценка основывается на объеме доходов от продажи новых лицензий в 2000 г оду . Отчет Gartner Dataquest показывает , что рост , продемонс трированный корпорацией Symantec, опережает рост рынка средств безопасности — рост доходов корпо рации Symantec сост а вил 40% за год . «В р езультате слияния с компанией Axent, которое произ ошло в декабре 2000 года , корпорация Symantec переместил ась с 4-го на 1-е место в списке , зав ладев при этом 14,7% рынка средств безопасности» , — отмечается в отчете . Программные сред ств а безопасности Symantec, согласно классифик ации Gartner Dataquest, включают : антивирусное программное обес печение , программы шифрования , средства обнаружени я попыток несанкционированного проникновения и другие средства информационной защиты — м ежсетевые эк р аны , программы фильтраци и Web-ресурсов , приложения для управления доступ ом к внешним сетям . Корпорация Symantec предлагает средства антивирусной защиты , межсетевые экраны , виртуальные частные сети , средства выявления слабых мест системы безопасности и поп ы ток несанкционированного проникновения , программы фильтрации информационных ресурсов Интернета и электронной почты , технологии у даленного управления , а также услуги по об еспечению информационной безопасности. Компания Network Associates, Inc. Эта ком пания , так же как и Symantec, уверенно доминирует на рынке систем безопасности , контролируя около 60% мирового рынка антивирусов . По данны м Network Associates, Inc. (NAI) она имеет более 60 млн . пользователей по всему миру . NAI предлагает одно из на иболее укомплектованных в функциональном и потребительском плане семейство программ , которые защищают , управляют и контролируют корпоративные сети . Функциональные возможности и широта решений , предлагаемые Network Associates, дополняются возможностями , приобрете н ными у Pretty Good Privacy (PGP) и Magic Solutions, а также мощнейшими средствами ан тивирусных средств Dr.Solomon ’ s, первая версия которо й была выпущена в начале 1997 года фирмой Dr.Solomon ’ s Software. По информации McAfee (подразделения Network Associate s , Inc.), программный продукт McAfee GroupShield Exchange уже т ретий год подряд получает награду Best Buy от Secure Computing Magazine, выигрывая в сравнительном тесте антивирус ов для MS Exchange. В сравнительном обзоре антивирусов для Microsoft Exchange 20 01 McAfee GroupShield получил наивысшие оценки , обойдя продукты других антивирусных произво дителей , таких как Symantec, «Лаборатория Касперского» , Trend Micro, F-Secure, Panda, Computer Associates и др. Корпорация Computer Associates International, In c. Отчет IDC определил Computer Associates International, Inc. (CA) ка к лидирующего поставщика программного обеспечени я в области аутентификации , авторизации и администрирования (3А ), которому принадлежит 15,5% миров ого рынка . В 2001 году отчет IDC под н азв анием «Прогноз и анализ международного рынка программного обеспечения безопасности работы в Интернет на 2001-2005 годы» выделил СА в качестве мирового лидирующего поставщика прогр аммного обеспечения защиты данных при работе в Интернете второй год подря д . СА предлагает решения 3 А средствами семейства продуктов eTrust (eTrust PKI, eTrust SSO, eTrust CA-ACF2, eTrust CA-Top Secret, eTrust Admin, eTrust Access Control и eTrust Intrusion Detection). «СА явл яется очевидным мировым лидером в разработке решений п о информационной безопасности и по технологической эффективности , и по общему объему на рынке» , — отметил в ице-президент СА по решениям eTrust, Barry Keyes. — Преимуще ства нашей новой бизнес-модели лицензирования , всесторонний технический сервис и прозрач н ое интегрированное решение управлени я электронным бизнесом позволил и нам сде лать не имеющее себе равных по ценности предложение менеджерам по информационной безоп асности предприятий и сервис-провайдеров» . Семейст во продуктов eTrust позволяет команде упра в ления защищать , администрировать доступ и гарантировать управление и безопасность комп лексной автоматизированной системы . Решение eTrust сов местимо с действующими стандартами защиты дан ных , гарантирует возможность взаимодействия с существующими механизмам и внутренней бе зопасности и с такими же механизмами парт неров по сетевому взаимодействию. В заключение хотелось бы еще раз отметить , что проблема информационной безопасност и с каждым годом становится все более актуальной . И рынок , откликаясь на массовый спр ос наверняка будет предлагать , а впрочем , уже предлагает , надежные и вполн е достойные решения по обеспечению безопаснос ти . И главное сейчас — остановить любыми средствами наступление информационного хаоса , который провоцируется любителями заглянуть чер ез п лечо или порыться в чужих электронных портфелях . А для этого каждый должен выбрать для себя надежное средство информационной защиты , которое обеспечит ему надлежащую информационную безопасность. КомпьютерПресс 3'2002 Заключение Исходно сеть создавалась как незащищенная открытая система , предназначенная для информационного общения все возрастающего числа пользователей . При этом подключение новых пользователей должно было быть максимально простым , а доступ к информации — наиболее уд обным . Все это явно противоречит принципам создания защищенной системы , безопасность котор ой должна быть описана на всех стадиях ее создания и эксплуатации , а пользователи — наделены четкими полномочиями . Создатели сети не стремили сь к этому , да и требования защиты настолько бы усложнили проект , что сделали бы его создание едва ли возможным . Вывод : Internet создавался как незащищенная сист ема , не предназначенная для хранения и обр аботки конфиденциальной информации . Более того , защи щенный Internet не смог бы стать той системой , которой он сейчас является и не превратился бы в информационный образ мировой культуры , ее прошлого и настоящего . В этом самостоятельная ценность Сети и , возможно , ее небезопасность есть плата з а такое высоко е назначение . Следствие : Имеется множество пользователей , заинтересованных в том , чтобы Internet стал систе мой с категорированной информацией и полномоч иями пользователями , подчиненными установленной п олитике безопасности . Однако наиболее яркие творения ч е ловеческого разума через некоторое время начи нают жить самостоятельной жизнью , развиваясь и выходя за первоначальные замыслы создателей . Поэтому слабая защищенность сети с течен ием времени стала все больше беспокоить е е пользователей . На наш взгляд , в Се ти не д олжна находиться информация , раскрытия которой приведет к серьезным последствиям . Наоборот , в Сети необходимо размещать информацию , рас пространение которой желательно ее владельцу . При этом всегда необходимо учитывать тот факт , что в любой момент э т а информация может быть перехвачена , искажена или может стать недоступной . Следовательно , речь должна идти не о защищенности Internet, а об обеспечении разумной достаточности информ ационной безопасности Сети . Конечно , это не отменяет не обходимости ознаком ления пользователя с б огатым и все время возрастающим арсеналом программных и аппаратных средств обеспечения информационной безопасности сети . Тем не ме нее отметим , что они не в состоянии пр евратить Internet в защищенную среду , что означило бы изменение е е природы . Будет ли Internet защищенным ? Развитие средств безопасности Internet может войти в противоречие с ее назначением и исказит саму идею Сети . Более правомерна постановка вопроса о создании специализированной безопасной мировой инфосферы , предназнач енной для управления мировым производством , транспортом , геополитикой . Видимо , прогресс приведет к необходимости создания такой единой системы . Такая среда общения будет обладать архитектурой безопасн ости и гарантировать целостность и конфиденци альность и н формации . Очевидно , что создатели этой системы должны обеспечить соб людение политических и экономических интересов мировых субъектов , т . к . многопольное владен ие этой системой означает контроль над ми ром . Ясно , что по добной средой не может быть Internet в сег одняшнем виде . Главное , на наш взгляд , — нужно воздержаться от стремления приблизить сегодняшний Internet к такой среде управления мир ом . Internet по-своему хорош в том виде , в как ом он есть . В чем перспектива защиты информационных систем в эпоху инте грации среды обработки информации ? По нашему мнению , выход из сложившегося положения состоит в четк ом разграничении информации , представляющей жизне нный интерес для субъектов — пользователей — и создания специализированных систем ее обработки . Такие систе м ы должны иметь возможность интегрирования в мировую сеть при обеспечении их односторонней ин формационной изоляции .
1Архитектура и строительство
2Астрономия, авиация, космонавтика
 
3Безопасность жизнедеятельности
4Биология
 
5Военная кафедра, гражданская оборона
 
6География, экономическая география
7Геология и геодезия
8Государственное регулирование и налоги
 
9Естествознание
 
10Журналистика
 
11Законодательство и право
12Адвокатура
13Административное право
14Арбитражное процессуальное право
15Банковское право
16Государство и право
17Гражданское право и процесс
18Жилищное право
19Законодательство зарубежных стран
20Земельное право
21Конституционное право
22Конституционное право зарубежных стран
23Международное право
24Муниципальное право
25Налоговое право
26Римское право
27Семейное право
28Таможенное право
29Трудовое право
30Уголовное право и процесс
31Финансовое право
32Хозяйственное право
33Экологическое право
34Юриспруденция
 
35Иностранные языки
36Информатика, информационные технологии
37Базы данных
38Компьютерные сети
39Программирование
40Искусство и культура
41Краеведение
42Культурология
43Музыка
44История
45Биографии
46Историческая личность
47Литература
 
48Маркетинг и реклама
49Математика
50Медицина и здоровье
51Менеджмент
52Антикризисное управление
53Делопроизводство и документооборот
54Логистика
 
55Педагогика
56Политология
57Правоохранительные органы
58Криминалистика и криминология
59Прочее
60Психология
61Юридическая психология
 
62Радиоэлектроника
63Религия
 
64Сельское хозяйство и землепользование
65Социология
66Страхование
 
67Технологии
68Материаловедение
69Машиностроение
70Металлургия
71Транспорт
72Туризм
 
73Физика
74Физкультура и спорт
75Философия
 
76Химия
 
77Экология, охрана природы
78Экономика и финансы
79Анализ хозяйственной деятельности
80Банковское дело и кредитование
81Биржевое дело
82Бухгалтерский учет и аудит
83История экономических учений
84Международные отношения
85Предпринимательство, бизнес, микроэкономика
86Финансы
87Ценные бумаги и фондовый рынок
88Экономика предприятия
89Экономико-математическое моделирование
90Экономическая теория

 Анекдоты - это почти как рефераты, только короткие и смешные Следующий
Супружество, как ипотека - долг отдаётся до старости или дефолта.
Anekdot.ru

Узнайте стоимость курсовой, диплома, реферата на заказ.

Обратите внимание, курсовая по компьютерным сетям "Защита компьютера от атак через интернет", также как и все другие рефераты, курсовые, дипломные и другие работы вы можете скачать бесплатно.

Смотрите также:


Банк рефератов - РефератБанк.ру
© РефератБанк, 2002 - 2016
Рейтинг@Mail.ru