Специальная
публикация NIST 800-10
Джон Вэк и Лиза
Карнахан "Содержание сети вашей
организации в безопасности при
работе с Интернетом( Введение в
межсетевые экраны(брандмауэры))"
Этот документ содержит
обзор проблем, связанных с
безопасностью в Интернете. Он также
кратко описывает все компоненты
брандмауэра и основные причины,
приводящие к необходимости
использовать брандмауэры.
Описывается несколько типов
политик сетевого доступа и
техническая реализация этих
политик. В конце документ содержит
библиографию по данной теме.
Целью этого документа
является помощь пользователям
понять природу проблем, связанных с
безопасностью в Интернете, и то,
какие типы брандмауэров могут
решить эти проблемы. Пользователи
могут использовать этот документ
как руководство при проектировании
или приобретении брандмауэра.
Предисловие
Интернет - это
объединение в масштабе всей
планеты группы сетей, которое
использует единый протокол для
передачи данных. Большое число
организаций сейчас присоединяются
к Интернету для того, чтобы
воспользоваться преимуществами и
ресурсами Интернета. Бизнесмены и
государственные организации
используют Интернет в самых
различных целях - включая обмен
электронной почтой,
распространение информации среди
заинтересованных лиц и проведение
исследований. Многие организации
сегодня присоединяют существующие
локальные сети к Интернету , чтобы
рабочие станции этих ЛВС могли
получить прямой доступ к сервисам
Интернета.
Присоединение к
Интернету может дать огромные
преимущества, хотя при этом нужно
серьезно учесть вопросы, связанные
с безопасностью соединения.
Существуют достаточно серьезные
риски безопасности, связанные с
Интернетом, которые зачастую
являются неочевидными для
пользователей-новичков. В
частности, в мире наблюдается
деятельность злоумышленников, при
этом имеется много уязвимых мест,
которые могут ее облегчить.
Действия злоумышленников трудно
предсказать и порой ее бывает
трудно обнаружить и прекратить.
Многие организации уже потеряли
много времени и понесли
значительные финансовые потери
из-за деятельности
злоумышленников; некоторым
организациям был нанесен урон их
репутации, когда стало известно о
проникновениях в их сети.
Эта публикация будет
рассматривать вопросы, связанные с
безопасностью, которые нужно
учесть как организациям,
собирающимся присоединиться к
Интернету , так и организациям, уже
присоединенным к Интернету. В
частности, это документ подробно
рассматривает брандмауэры для
Интернета, как один из механизмов и
методов, используемых для защиты
внутренних сетей от угроз,
связанных с Интернетом. Этот
документ рекомендует организациям
использовать технологию
брандмауэров и другие, связанные с
ними, средства, для фильтрации
соединений и управления доступом в
сети.
Цель
Цель этого документа -
объяснить, как работают
брандмауэры, и какие шаги
необходимы для их реализации.
Пользователи могут использовать
это документ как помощь при
проектировании или приобретении
брандмауэра.
Для кого
написана эта книга
В-основном, эта
публикация для технических
администраторов, то есть для тех,
кто может отвечать за реализацию
или поддержание соединений с
Интернетом. Она также будет полезна
и для другого руководящего состава,
кто хочет узнать больше о
безопасности соединения с
Интернетом.
Предполагается знание
некоторых основ в областях
компьютерной безопасности и сетей
передачи данных. Тем не менее, этот
документ является введением; более
детальная информация о
бехопасности в Интернете и
брандмауэрах может быть найдена в
литературе, указанной в
библиографии.
Структура
документа
Этот документ начинается
с обзора Интернета и его основных
сервисов. Детально описываются
проблемы безопасности, связанные с
Интернетом, связанные с различными
сервисами TCP/IP, а также другие
факторы, которые приводят к
небезопасности работы в Интернете.
Глава 2 описывает брандмауэры, их
преимущества и недостатки, и после
этого, различные компоненты
брандмауэра, включая средства
усиленной аутентификации и
политику сетевого доступа. Глава 3
описывает различные конфигурации
брандмауэров, которые
иллюстрируют, как компоненты
брандмауэра соединяются друг с
другом, и могут быть использованы
для реализации различных политик.
Глава 4 рассматривает вопросы
надзора, административные вопросы
и другие действия, которые должны
предпринять организации для защиты
своих систем, присоединенных к
Интернету. Приложение А содержит
список литературы и других
источников инфомации о
брандмауэрах и безопасности в
Интернете. Приложение В содержит
набор часто задаваемых вопросов о
брандмауэрах, который доступен в
режиме online.
Терминология
Интернетовские
брандмауэры часто называются в
литературе безопасными
Интернетовскими шлюзами. Этот
документ использует термин
брандмауэр для обозначения
безопасного Интернетовского шлюза.
Брандмауэр, согласно
данному документу, включает ряд
элементов, таких как политика,
внесение изменений в структуру
сети, а также технические средства
и организационные меры. Этот
документ будет использовать термин
система брандмауэра для
обозначения хостов или
маршрутизаторов, реализующих
брандмауэр.
Сеть, защищаемая
брандмауэром, называется защищенной
подсетью или защищенной ЛВС.
Некоторые люди не могут
понять, следует ли рассматривать
протоколы TCP/IP как протоколы или как
сервисы. Можно, например,
доказывать, что TELNET является
протоколом, сервисом или командой.
Там, где это нужно, в документе
используется термин протокол, в
остальных случаях используется
термин сервис.
В этом документе прикладными шлюзами называются ряд систем брандмауэров в противоположность хостам-бастионам.
Насколько это возможно,
этот документ избегает
использования таких терминов, как
хакер и кракер, и использует вместо
этого менее тендециозные термины
злоумышленник и атакующий.
Предыстория
Интернет стал жизненно необходимой и постоянно растущей сетью, которая изменила образ жизнедеятельности многих людей и организаций. Тем не менее, из-за Интернета возникло много серьезных проблем с безопасностью. Многие организации были атакованы или зондированы злоумышленниками( Злоумышленники часто проверяют сети организаций на возможность проникновения в них путем методического сканирования систем в них на наличие уязвимых мест. Злоумышленники часто используют средства автоматического зондирования, то есть программы, которые сканируют все хосты, присоединенные к сети организации. Эта деятельность называется иногда зондирование сети организации ) что привело к большим потерям во времени и ущербу репутации. В некоторых случаях, организации вынуждены были временно отсоединиться от Интернета, и потратить значительные средства для решения возникших проблем с конфигурацией хостов и сети. Сети организаций, которые неосведомлены или игнорируют эти проблемы, подвергают себя большому риску быть атакованными сетевыми злоумышленниками. Даже те организации, в которых безопасности уделяется внимание, могут подвергаться риску из-за появления новых уязвимых мест в сетевом программном обеспечении или упорства некоторых злоумышленников.
Данное положение дел
сложилось по ряду причин. Одной из
основных причин может быть то, что
при разработке Интернет требования
безопасности не учитывались, так
как гланым требованием при
реализации Интернета было
требование удобства при обмене
информацией при проведении научных
исследований. Тем не менее,
феноменальный успех Интернета в
сочетании с появлением большого
числа категорий пользователей ,
включая пользователей , у которых
отсутствует понятие этики,
усугубило существующие недостатки
в обеспечении безопасности до
такой степени, что сети, открытые
для доступа со стороны Интернета,
стали подвергаться риску
проникновений в них и нанесения им
разрушений. Другими причинами
являются следуюшие:
Решение
К счастью, существуют простые и надежные решения, которые могут быть использованы для улучшения безопасности сети организации. Система брандмауэра является одним из способов, который доказал свою высокую эффективность при повышении общей безопасности сети. Система брандмауэра - это набор систем и маршрутизаторов, добавленных в сеть в местах ее соединения с Интернетом и политики доступа, определяющей правила их работы. Брандмауэр заставляет все сетевые соединения проходить через шлюз, где они могут быть проанализированы и оценены с точки зрения безопасности, и предоставляет другие средства, такие как меры усиленной аутентификации вместо паролей. Кроме того, брандмауэр может ограничить доступ к тем или иным системам или доступ к Интернету от них, блокировать определенные сервсиы TCP/IP, или обеспечить другие меры безопасности. Хорошо сконфигурированная система брандмауэра может выполнять роль пресс-службы организации и помочь сформировать у пользователей Интернета хорошее впечатление об организации.
Самой простой политикой
сетевого доступа, которая может
быть реализована с помощью
брандмауэра, является
предоставление доступа от
внутренних к внешним системам и
запрет, полный или частичный,
доступа от внешних к внутренним
системам. Но использование
брандмауэра не должно позволять
администраторам забыть о
необходимости обеспечения
безопасности отдельных систем.
Существует большое число средств
для системных администраторов,
позволяющих повысить безопасность
систем и обеспечить улучшыенные
возможности по протоколированию.
Такие средства могут проверять
пароли, журналы с информацией о
соединениях, обнаруживать
изменения системных файлов или
обеспечивать другие меры
безопасности, которые помогут
администраторам обнаружить
деятельность злоумышленников и
проникновения в их системы.
Рекомендации
авторов
Мы рекомендуем
организациям перед присоединением
к Интернету разработать политику,
которая бы ясно указывала, какие
сервисы Интернета будут
использоваться, и как они будут
использоваться. Эта политика
должна быть простой, четкой и
понятной, со встроенными
механизмами по ее изменению.
Организации должны рассмотреть
возможность использования систем
брандмауэров как часть плана по
реализации этой политики. (Образец
такой политики приведен в
приложении). Также рекомендуется
использовать меры усиленной
аутентификации: смарткарты или
другие механизмы одноразовых
паролей как составную часть
брандмауэров при аутентификации
соединений с системами сети.
Хотя присоединение к Интернету предоставляет огромные выгоды в виде доступа к колоссальному объему информации, оно не обязательно является хорошим решением для организаций с низким уровнем безопасности. Интернет страдает от серьезных проблем с безопасностью, которые, если их игнорировать, могут привести к ужасным последствиям для неподготовленных сетей. Ошибки при проектировании сервисов TCP/IP, сложность конфигурирования хостов, уязвимые места, появившиеся в ходе написания программ, и ряд других причин в совокупности делают неподготовленные сети открытыми для деятельности злоумышленников и уязвимыми к связанными с этим проблемам.
Следующие пункты кратко
описывают Интернет, TCP/IP, а затем
рассказывают о некоторых проблемах
безопасности в Интернете и
причинах, делающих достаточно
серьезными.
1.1 Интернет
Интернет - это всемирная
сеть сетей, которая использует для
взаимодействия стек протоколов
TCP/IP. Вначале Интернет был создан
для улучшения взаимодействия между
научными организациями,
выполнявшими работы в интересах
правительства США. В течение 80-х
годов к Интернету подключились
образовательные учреждения,
государственные организации,
различные американские и
иностранные фирмы. В 90-е годы
Интернет переживает феноменальный
рост, причем увеличение числа
соединений превышает все темпы,
имевшие место ранее. Теперь к
Интернету присоединены многие
миллионы пользователей, причем
только половина из них
коммерческие пользователи[Cerf93].
Сейчас Интернет используется как
основа для Национальной
Информационной Инфраструктуры(NII)
США.
Существует ряд сервисов,
связанных с TCP/IP и Интернетом.
Наиболее распространенным
сервисом является электронная
почта, реализованная на базе
протокола SMTP(Простой Протокол
Передачи Писем). Также широко
используются TELNET(эмуляция
удаленного терминала) и FTP(протокол
передачи файлов). Помимо них
существует ряд сервисов и
протоколов для удаленной печати,
предоставления удаленного доступа
к файлам и дискам, работы с
распределенными базами данных и
организации других информационных
сервисов. Далее приводится краткий
список наиболее распространенных
сервисов:
Хотя сервисы TCP/IP могут в
равной степени использоваться как
в локальных сетях, так и в
глобальных сетях, в локальных
сетях, как правило, применяется
совместное использование файлов и
принтеров, а электронная почта и
удаленный терминальный доступ - в
обоих случаях. С каждым годом
возрастает популярность gopher и www .
Оба этих сервиса приводят к
возникновению проблем для
разработчиков брандмауэров и будут
рассмотрены в следующих главах.
На многих системах, подключенных к Интернету, работает одна из версий ОС Unix. Впервые TCP/IP был реализован в начале 80-х годов в версии Unix, написанной в университете в Калифорнии в Беркли, известной как BSD(Berkeley Software Distribution). Многие современные версии Unix позаимствовали тексты сетевых программ из этой версии, поэтому Unix обеспечивает более или менее стандартный набор сервисов TCP/IP. Это привело к тому, что много различных версий Unixа имеют одни и те же уязвимые места, правда, это также привело к целесообразности широкого применения стратегий брандмауэров, таких как фильтрация IP. Следует отметить, что исходные тексты BSD UNIX можно легко получить в ряде Интернетовских серверов, поэтому как хорошие, так и плохие люди могут изучить тексты программ и найти в них потенциальные уязвимые места и использовать их для проникновения.
Хотя Unix и является
наиболее распространенной ОС в
Интернете, к нему присоединено
много различных типов компьютеров
с другими ОС, включая системы с DEC VMS,
NeXT, MVS и ОС персональных
компьютеров, такие как DOS, Microsoft Windows,
Windows'95, Windows NT и Apple. Хотя
персональные компьютеры
обеспечивают только клиентскую
часть сервисов, то есть, используя
TELNET, можно подключиться с
персонального компьютера, но не к
персональному компьютеру, все
возрастающая мощность ПЭВМ
начинает также обеспечивать
предоставление тех же сервисов,
которые сейчас предоставляются
большими компьютерами, только
гораздо дешевле. Версии Unix для ПЭВМ,
включая Linux, FreeBSD и BSDi, а также другие
ОС, такие как Microsoft Windows NT, могут
сейчас обеспечить те же самые
сервисы и приложения, которые ранее
были только на больших системах.
Следствием этого является то, что
сейчас полный набор сервисов TCP/IP
используется небывалым
количеством людей. Хотя это и
хорошо в том смысле, что сетевые
сервисы стали общедоступны,
отрицательные последствия
заключаются в возникновении
огромных возможностей для
совершения преступлений у
злоумышленников( а также у
неграмотных пользователей, которые
в некоторых случаях могут
рассматриваться как вид
злоумышленников) .
Этот раздел содержит краткое описание TCP/IP в объеме, достаточном для последующего обсуждения проблем безопасности, связанных с Интернетом. [Com91a],[Com91b],[Hunt92] и [Bel89] содержат гораздо более подробное описание; читатели, которые хотят получить более глубокое представление, должны обратиться к этим источникам.
Отчасти популярность стека протоколов TCP/IP объясняется возможностью его реализации на базе большого числа разнообразных каналов и протоколов канального уровня, таких как T1 и Х.25, Ethernet и линии RS-232. Большинство организаций использует в своих ЛВС Ethernet для объединения хостов и клиентских систем, а затем присоединяет эти сети с помощью T1 к региональной сети.( например, региональной магистральной сети TCP/IP), которая соединяет в свою очередь с сетями других организаций и другими магистральными каналами. Как правило, организации имеют одно соединение с Интернетом, но большие организации могут иметь два и более соединений. Скорости модемов увеличиваются по мере появления новых коммуникационных стандартов, поэтому версии TCP/IP, которые работают в среде коммутируемых телефонных каналов, становятся все более популярными. Многие организации и просто отдельные люди используют PPP (Point-to-Point Protocol) и SLIP(Serial Line IP) для подключения своих сетей и рабочих станций к другим сетям, используя телефонные каналы.
Если говорить строго, то TCP/IP - это стек протоколов, включающий TCP, IP, UDP( User Datagram Protocol), ICMP( Internet Control Message Protocol), и ряд других протоколов. Стек протоколов TCP/IP не соответствует модели взаимодействия открытых систем( ВОС), и его структура показана на рисунке 1.1
Уровень IP получает пакеты, доставлемые нижними уровнями, например драйвером интерфейса с ЛВС, и передает их лежащим выше уровням TCP или UDP. И наоборот, IP передает пакеты, полученные от уровней TCP и UDP к нижележащим уровням.
Пакеты IP являются дейтаграмами с негарантированной доставкой, потому что IP ничего не делает для обеспечения гарантии доставки пакетов IP по порядку и без ошибок. Пакеты IP содержат адрес хоста, с которого был послан пакет, называемый адресом отправителя, и адрес хоста, который должен получить пакет, называемый адресом получателя.
Высокоуровневые сервисы
TCP и UDP при приеме пакета
предполагают, что адрес
отправителя, указанный в пакете,
является истинным. Другими словами,
адрес IP является основой для
аутентификации во многих сервисах;
сервисы предполагают, что пакет был
послан от существующего хоста, и
именно от того хоста, чей адрес
указан в пакете. IP имеет опцию,
называемую опция маршрутизации
источника, которая может быть
использована для для указания
точного прямого и обратного пути
между отправителем и получателем.
Этот путь может задействовать для
передачи пакета маршрутизаторы или
хосты, обычно не использующиеся для
передачи пакетов к данному
хосту-получателю. Для некоторых
сервисов TCP и UDP пакет IP c такой
опцией кажется пришедшим от
последней системы в указанном пути,
а не от своего истинного
отправителя. Эта опция появилась в
протоколе для его тестирования, но
[Bel89] отмечает, что маршрутизация
источника может использоваться для
обмана систем с целью установления
соединения с ними тех хостов,
которым запрещено с ними
соединяться. Поэтому, то, что ряд
сервисов доверяют указанному
IP-адресу отправителя и полагаются
на него при аутентификации, очень
опасно и может привести к
проникновению в систему.
Если IP-пакеты содержат инкапсулированные пакеты TCP, программы IP передадут их вверх уровню TCP. TCP последовательно нумерует все пакеты и выполняет исправление ошибок, и реализует таким образом виртуальные соединения между хостами. Пакеты TCP содержат последовательные номера и подтверждения о приеме пакетов, поэтому пакеты, принятые не в порядке передачи, могут быть переупорядочены , а испорченные пакеты повторно посланы.
TCP передает полученную
информацию приложениям верхнего
уровня, например клиенту или
серверу TELNETа. Приложения, в свою
очередь, передают информацию
обратно уровню TCP, который передает
ее ниже уровню IP, после чего она
попадает к драйверам устройств, в
физическую среду и по ней
передается до хоста-получателя.
Сервисы с установлением
соединения, такие как TELNET, FTP, rlogin, X
Windows и SMTP требуют надежности и
поэтому используют TCP. DNS использует
TCP только в ряде случаев( для
передачи и приема баз данных
доменных имен), а для передачи
информации об отдельных хостах
использует UDP .
Как показано на рисунке 1.1, UDP взаимодействует с прикладными программами на том же уровне, что и TCP. Тем не менее, он не выполняет функции исправления ошибок или повторной передачи потерянных пакетов. Поэтому UDP не используется в сервисах с установлением соединения, которым требуется создание виртуального канала. Он применяется в сервисах типа запрос-ответ, таких как NFS, где число сообщений в ходе взаимодействия гораздо меньше, чем в TELNET и FTP. В число сервисов, использующих UDP, входят сервисы на базе RPC, такие как NIS и NFS, NTP( протокол сетевого времени) и DNS(также DNS использует TCP).
Пакеты UDP гораздо проще
подделать, чем пакеты TCP, так как нет
этапа установления соединения(
рукопожатия).[Ches94]. Поэтому с
использованием сервисов на базе UDP
сопряжен больший риск.
ICMP(Протокол межсетевых управляющих сообщений) находится на том же уровне, что и IP; его назначение - передавать информацию, требуемую для управления траффиком IP. В-основном, он используется для предоставления информации о путях к хостам-получателям. Сообщения ICMP redirect информируют хосты о существовании боле коротких маршрутов к другим системам, а сообщения ICMP unreachable указывает на наличие проблем с нахождением пути к получателю пакета. Кроме того, ICMP может помочь корректно завершить соединение TCP, если путь стал недоступен. PING является широко распространенным сервисом на базе ICMP.
[Bel89] рассматривает две
проблемы с ICMP: старые версии Unix
могут разорвать все соединения
между хостами, даже если только
одно из них столкнулось с
проблемами. Кроме того, сообщения о
перенаправлении пути ICMP могут быть
использованы для обмана
маршрутизаторов и хостов с целью
заставить их поверить в то, что хост
злоумышленника является
маршрутизатором и пакеты лучше
отправлять через него. Это, в свою
очередь, может привести к тому, что
атакующий получит доступ к
системам, которым не разрешено
иметь соединения с машиной
атакующего или его сетью.
Сервисы TCP и UDP используются с помощью схемы клиент-сервер. Например, процесс сервера TELNET вначале находится в состоянии ожидания запроса установления соединения. В какой-нибудь момент времени пользователь запускает процесс клиента TELNET, который инициирует соединение с сервером TELNET. Клиент посылает данные серверу, тот читает их, и посылает обратно клиенту ответ. Клиент читает ответ и сообщает о нем пользователю. Поэтому, соединение является двунаправленным и может быть использовано как для чтения, так и для записи.
Как много одновременных соединений TELNET может быть установлено между системами? Соединение TCP или UDP уникальным образом идентифицируется с помощью четырех полей, присутствующих в каждом соединении:
Порт - это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16-битвым числом. Серверные процессы обычно ассоциируются с фиксированным числом, например числом 25 для SMTP или 6000 для X Windows; номер порта является известным, так как он требуется, помимо IP-адреса получателя, при установлении соединения с конкретным хостом и сервисом. Клиентские процессы, с другой стороны, запрашивают номер порта у операционной системы в начале работы; и номер порта является случайным, хотя в некоторых случаях он является следующим в списке свободных номеров портов.
Для иллюстрации того, как используются порты для посылки и приема сообщений, рассмотрим протокол TELNET. Сервер TELNET слушает приходящие сообщения на порту 23, и сам посылает сообщения на порт 23. Клиент TELNET, на той же или другой системе, сначала запрашивает неиспользуемый номер порта у ОС, а затем использует его при посылке и приеме сообщений. Он должен указывать это номер порта, например 3097, в пакетах, предназначенных для сервера TELNET, чтобы этот сервер при ответе на сообщение клиента мог поместить это номер в посылаемые им TCP-пакеты. Хост клиента по приему сообщения должен посмотреть номер порта в сообщении и решить, какой из клиентов TELNET должен принять это сообщение. Этот процесс показан на рисунке 1.2
Рисунок 1.2
Взаимодействие при TELNET
Существует достаточно распространенное правило, согласно которому тольуо привилегированные процессы сервера, то есть те процессы, которые работают с привилегиями суперпользователя UNIX, могут использовать порты с номерами меньше, чем 1024( так называемые привилегированные порты). Сервера в-основном используют порты с номерами меньше, чем 1024, а клиенты как правило должны запрашивать непривилегированные порты у ОС. Хотя это правило и не является обязательным для исполнения и не требуется спецификацией протоколов TCP/IP, системы на основе BSD соблюдают его.
В результате всего этого брандмауэры могут блокировать или фильтровать доступ к службам на основе проверки номеров портов в TCP- и UDP-пакетах и последующего пропускания через себя или удаления пакета на основе политики, указывающей доступ к каким службам разрешен или запрещен. (более детально это описано в главе 2).
Не все серверы и клиенты
TCP и UDP используют порты таким
простым способом, как TELNET, но в
целом, процедура, описанная здесь,
полезна в контексте брандмауэра.
Например, многие ОС персональных
компьютеров не используют понятия
суперпользователя UNIX, но все-таки
используют порты описанным выше
способом( хотя нет стандарта,
требующего это).
Как было установлено ранее, Интернет страдает от серьезных проблем с безопасностью. Организации, которые игнорируют эти проблемы, подвергают себя значительному риску того, что они будут атакованы злоумышленниками, и что они могут стать стартовой площадкой при атаках на другие сети. Даже те организации, которые заботятся о безопасности, имеют те же самые проблемы из-за появления новых уязвимых мест в сетевом программном обеспечении(ПО) и отсутствия мер защиты от некоторых злоумышленников.
Некоторые из проблем
безопасности в Интернете -
результат наличия уязвимых мест
из-за ошибок при проектировании в
службах( и в протоколах, их
реализующих) , в то время как другие
- результат ошибок при
конфигурировании хоста или средств
управления доступом, которые или
плохо установлены или настолько
сложны, что с трудом поддаются
администрированию. Кроме того: роль
и важность администрирования
системы часто упускается при
описании должностных обязанностей
сотрудников, что при приводит к
тому, что большинство
администраторов в лучшем случае
нанимаются на неполный рабочий
день и плохо подготовлены. Это
усугубляется быстрым ростом
Интернета и характера
использования Интернета;
государственные и коммерческие
организации теперь зависят от
Интернета( иногда даже больше: чем
они думают) при взаимодействии с
другими организациями и
исследованиях и поэтому понесут
большие потери при атаках на их
хосты. Следующие главы описывают
проблемы в Интернете и причины,
приводящие к их возникновению.
В доказательство того, что описанные выше угрозы реальны, три группы инцидентов имели место в течение нескольких месяцев друг после друга. Сначала, началось широкое обсуждение обнаруженных уязвимых мест в программе UNIX sendmail( это транспортная почтовая программа на большинстве хостов с Unix. Это очень большая и сложная программа, и в ней уже несколько раз были найдены уязвимые места, которые позволяют злоумышленнику получить доступ в системы, в которых запущена sendmail). Организациям, которые не имели исправленных версий программы, пришлось срочно исправлять эти ошибки в своих программах sendmail до того, как злоумышленники используют эти уязвимые места для атаки на их сети. Тем не менее, из-за сложности программы sendmail и сетевого ПО в целом три последующие версии sendmail также содержали ряд уязвимых мест[CIAC94a]. Программа sendmail широко использовалась, поэтому организациям без брандмауэров, для того чтобы ограничить доступ к этой программе, пришлось быстро регировать на возникавшие проблемы и обнаруживаемые уязвимые места.
Во-вторых, обнаружилось, что популярная версия свободно распространяемого FTP-сервера содержала троянского коня, позволявшего получить привилегированный доступ к серверу. Организациям, использовавшим этот FTP-сервер, не обязательно зараженную версию, также пришлось быстро реагировать на эту ситуацию[CIAC94c]. Многие организации полагаются на хорошее качество свободного ПО, доступного в Интернете, особенно на ПО в области безопасности с дополнительными возможностями по протоколированию, управлению доступом и проверке целостности, которое не входит в состав ОС, поставляемой ее производителем. Хотя это ПО часто очень высокого качества, организации могут оказаться в тяжелом положении, если в ПО будут найдены уязвимые места или с ним возникнут другие проблемы, и должны будут полагаться только на его авторов.( Справедливости ради, стоит отметить, что даже ПО, сделанное производителем ОС, может страдать от таких же проблем и его исправление может оказаться более продолжительным).
Третья проблема имела самые серьезные последствия: [CERT94] и [CIAC94b] сообщили, что злоумышленники проникли в тысячи систем во всем Интернете, включая шлюзы между большими сетями и установили анализаторы пакетов для перехвата в сетевом траффике имен пользователей и статических паролей, вводимых пользователями для подключения к сетевым системам. Злоумышленники также использовали другие известные технологии для проникновения в системы, а также перехваченные ими пароли. Одним из выводов, которые можно поэтому сделать является то, что статические или повторно используемые пароли не должны использоваться для управления доступом. Фактически, пользователь, подключающийся к сетевой системе через Интернет, может неумышленно подвергнуть эту систему риску быть атакованной злоумышленниками, которые могли перехватить сетевой траффик, идущий к этой удаленной системе.
Следующие разделы более
детально описывают проблемы с
безопасностью в Интернете. [Garf92],
[Cur92],[ Bel89], [Ches94] и [Farm93] являются
книгами, где вы найдете более
детальную информацию.
Группы улаживания инцидентов считают, что большинство инцидентов произошло из-за использования слабых, статических паролей. Пароли в Интернете могут быть "взломаны" рядом способов, но двумя самыми распространенными являются взлом зашифрованной формы пароля и наблюдение за каналами передачи данных с целью перехвата пакетов с паролями. ОС Unix обычно хранит пароли в зашифрованной форме в файле, который может быть прочитан любым пользователем. Этот файл паролей может быть получен простым копированием его или одним из других способов, используемых злоумышленниками. Как только файл получен, злоумышленник может запустить легко-доступные программы взлома паролей для этого файла. Если пароли слабые, то есть меьше, чем 8 символов, являются словами, и т.д., то они могут быть взломаны и использованы для получения доступа к системе.
Друная проблема с аутентификацией возникает из-за того, что некоторые службы TCP и UDP могут аутентифицировать только отдельный хост, но не пользователя. Например, сервер NFS(UDP) не может дать доступ отдельному пользователю на хосте, он может дать его всему хосту. Администратор сервера может доверять отдельному пользователю на хосте и дать ему доступ, но администратор не может запретить доступ других пользователей на этом хосте и поэтому автоматически должен предоставить его всем пользователям или не давать его вообще.
Следует отметить, что когда пользователь установил сеанса с удаленным хостом, используя TELNET или FTP, то пароль пользователя передается по Интернету в незашифрованном виде. Поэтому другим способом проникновения в системы является наблюдение за соединением с целью перехвата IP-пакетов, содержащих имя и пароль, и последующее использование их для нормального входа в систему. Если перехваченный пароль является паролем администратора, то задача получения привилегированного доступа становится гораздо легче. Как уже ранее отмечалось, сотни и даже тысячи систем в Интернете были скомпрометированы в результате перехвата имен и паролей.
Электронная почта, а также содержимое сеансов TELNET и FTP, может перехватываться и использоваться для получения информации об организации и ее взаимодействии с другими организациями в ходе повседневной деятельности. Большинство пользователей не шифруют почту, так как многие полагают, что электронная почта безопасна и с ее помощью можно передавать критическую информацию.
Система X Windows,
становящаяся все более популярной,
также уязвима перехвату данных. X
позволяет открывать несколько окон
на рабочей станции для работы с
графическими и мультимедийными
приложениями( например,
WWW-браузером Netscape). Злоумышленники
могут иногда открывать окна на
других системах и перехватывать
текст, набираемый на клавиатуре,
который может содержать пароли и
критическую информацию.
Как уже отмечалось в части 1.2.1, предполагается, что IP-адрес хоста правильный, и службы TCP и UDP поэтому могут доверять ему. Проблема заключается в том, что исользуя маршрутизацию IP-источника , хост атакующего может замаскироваться под доверенного хоста или клиента. Коротко говоря, маршрутизация IP-источника - это опция, с помощью которой можно явно указать маршрут к назначению и путь, по которому пакет будет возвращаться к отправителю. Это путь может включать использование других маршрутизаторов или хостов, которые в обычных условиях не используются при передаче пакетов к назначению. Рассмотрим следующий пример того, как это может быть использовано для маскировки системы атакующего под доверенный клиент какого-то сервера: