Построение корпоративной сети

Примерно так выглядит типовой сценарий  атаки:

Стадия 1: внешняя разведка. Нарушители собирают как можно больше информации об атакуемой системе, ничем себя не выдавая. Они могут делать это, собирая доступную информацию, или маскируясь под обычного пользователя. На этой стадии вы действительно не сможете обнаружить их. Нарушитель будет высматривать "кто есть кто", чтобы собрать как можно больше информации о вашей сети, которая зарегистрирована вместе с вашим доменным именем (таким как, например, microsoft.com). Нарушитель, возможно, пройдется по вашим DNS-таблицам (используя 'nslookup', 'dig' или другие утилиты, используемые для работы с DNS), чтобы найти имена ваших машин. Нарушитель будет разыскивать другую информацию для открытого использования, такую как ваши публичные Web- и FTP- сервера с анонимным входом. Нарушитель может просматривать новые статьи или пресс-релизы о вашей компании и т.д.

Стадия 2: внутренняя разведка. Нарушитель использует более сильные методы для получения информации, но по-прежнему не делает ничего вредного. Он может пройти через все ваши Web-страницы и посмотреть CGI-скрипты, которые очень часто подвергаются хакерским атакам. Он может запустить утилиту 'ping' для того, чтобы посмотреть какие компьютеры активны в сети. Он может провести сканирование UDP/TCP-портов на намеченных для атаки компьютерах для того, чтобы определить доступные сервисы. Он может запустить утилиты типа 'rpcinfo', 'showmount', 'snmpwalk' и т.д. для того, чтобы определить, какие службы являются доступным. В данный момент нарушитель ведет "нормальную" деятельность в сети и нет ничего, что могло быть классифицировано как нарушение. В этот момент NIDS могут сказать вам, что "кто-то дергает за ручки дверей", но пока еще никто не ломится в закрытую дверь.

Стадия 3: exploit. Нарушитель пересекает границу и начинает использовать возможные уязвимости на выделенных компьютерах. Нарушитель может попытаться скомпрометировать CGI скрипт, посылая команды shell в полях входных данных. Нарушитель может попытаться использовать хорошо известные уязвимости "переполнения буфера", посылая большое количество данных. Нарушитель может начать проверку учетных записей с легко подбираемыми (или пустыми) паролями. Хакер может пройти через несколько стадий атаки. Например, если хакер смог получить доступ к учетной записи обычного пользователя, то затем он будет пытаться совершать дальнейшие подвиги для того, чтобы получить доступ к учетной записи супервизора root/admin.

Стадия 4: скрытие следов. На этой стадии хакер успешно проник в вашу сеть. Теперь цель хакера заключается в том, чтобы скрыть свидетельства атак путем исправления журналов регистрации. Они могут инсталлировать специальные утилиты, дающие им удаленный доступ, возможность замены существующих сервисов своими собственными "троянскими конями", или возможность создавать свои собственные учетные записи и т.д. Системы контроля целостности (SIV) могут часто обнаруживать нарушителя именно на этом этапе, отслеживая измененные системные файлы. Далее хакер будет использовать систему в качестве опорной площадки для проникновения в другие системы или компьютеры, поскольку большинство сетей имеет незначительное число средств для защиты от внутренних атак.

Стадия 5: прибыль. Нарушитель использует преимущества своего статуса для кражи конфиденциальных данных, злоупотребления с системными ресурсами (т.е. организует атаки в другие сайты с вашего сервера) или стирает Web-страницы.

Другой сценарий начинается по-другому. Скорее это атака на конкретный сервер, и нарушитель может просто просканировать случайный адрес в сети Internet, пытаясь найти конкретную дыру. Например, нарушитель может попытаться просканировать всю сеть Интернет в поисках машин, которые имеют дыру SendMail DEBUG. Они просто атакуют те компьютеры, которые находят. Они не нацеливаются непосредственно на Вас, и они в действительности просто даже не хотят знать, кем вы являетесь. (При заданном перечне хорошо известных уязвимостей и перечне IP-адресов, есть хороший шанс, что есть несколько машин, которые имеют хотя бы одну из этих уязвимостей).

В принципе все атаки можно разделить на 3 типа:

Разведка. Эти атаки включают ping sweeps, передачу DNS-зоны, разведку с помощью e-mail, сканирование TCP или UDP-портов и, возможно, анализ общественно доступных серверов с целью нахождения cgi-дыр.

Exploit. Нарушители будут  использовать преимущества скрытых возможностей или ошибок для получения несанкционированного доступа к системе.

Атаки типа "отказ в обслуживании" (Denial of Service, DoS) Когда нарушитель пытается разрушить сервис (или компьютер), перегрузить сеть, перегрузить центральный процессор или переполнить диск. Нарушитель не пытается получить информации, а просто действует как вандал, стараясь вывести вашу машину и строя.

Отдельно стоит рассмотреть атаки на web-браузер. По-видимому, Web-браузеры компаний Microsoft и Netscape имеют уязвимости (хотя, конечно, в самых свежих версиях, насколько нам известно в данный момент, пока еще они не найдены. Что не отрицает их наличия). К таким атакам можно отнести URL-, HTTP-, HTML-, фрейм-, JavaScript-, Java- и ActiveX-атаки.

URL-поля могут стать  причиной переполнения буфера, в  процессе обработки в заголовке HTTP или выполнении в некоторой  форме. Также старые версии Internet Explorer содержали ошибку, позволяющую  выполнять файлы с расширением .LNK или .URL.

HTTP-заголовки могут использоваться для реализации атак путем передачи информации полям, которые не предназначены для приема этой информации.

HTML-теги часто могут  быть использованы для атаки (например, MIME-переполнение в теге < EMBED> Netscape Communicator).

JavaScript делает возможной функцию "загрузка файла". В теории это действие безопасно, т.к. требует заполнения пользователем полей "имя файла" и нажатия кнопки submit. Однако, JavaScript может автоматизировать эту деятельность и, как следствие, хакер может выложить Web-страницу с указанным скриптом на свой сайт, и как только осуществляется переход пользователя на эту страницу, происходит загрузка указанных в скрипте файлов.

Фреймы могут также использоваться как часть атаки при помощи JavaScript или Java (например, хакер может создать фрейм размером 1х1 пиксел с враждебным кодом внутри).

Java имеет неплохую модель  защиты, однако в ней иногда  обнаруживаются ошибки. По умолчанию Java-апплеты не имеют доступа  к ресурсам локального компьютера, но иногда необходимо, чтобы эта  функция была разрешена. Этим и пользуются злоумышленники, обходя защитные механизмы модели безопасности Java.

ActiveX является более опасным, чем Java, так как считается доверенным  кодом и имеет полный доступ  к ресурсам локального компьютера. Вы можете неосторожно загрузить вирус, который был случайно или намеренно внедрен в код третьего разработчика.

SMTP (SendMail)-атаки

SendMail является чрезвычайно  сложной и широко используемой  программой, и как следствие, она  является наиболее частым источником  найденных уязвимостей. В прежние времена (времена червя Мориса), хакеры обычно использовали уязвимости в команде DEBUG или скрытой WIZ-характеристике для взлома протокола SMTP. В настоящее время они часто пытаются использовать переполнение буфера. SMTP также может быть использован в атаках с целью разведки, например, использование команды VRFY для определения имен пользователей на удаленной системе.

IMAP-атаки. Пользователи  запрашивают e-mail от серверов через IMAP-протокол (в противовес SMTP-передачам e-mail между серверами). Хакеры нашли большое количество ошибок в нескольких популярных IMAP-серверах.

IP spoofing.

 Есть диапазон атак, которые используют возможность  подмены (или 'spoof') вашего IP-адреса. Тогда  как исходный адрес посылается  вместе с каждым IP-пакетом, на самом деле он не используется для маршрутизации. Это означает то, что вы можете притвориться, что вы являетесь соседом, когда посылаете пакеты к серверу. Однако все ответы будут возвращаться вашему соседу. Несмотря на то, что вы не увидите каких-либо данных таким способом, вы по-прежнему можете воспользоваться преимуществами этой атаки. Например, реализация атак типа "отказ в обслуживании" с указанием фальшивого адреса.

IP spoofing часто используется  как часть различных атак:

SMURF. Исходный адрес при широковещательной передаче подделан таким образом, чтобы большое число машин ответила обратно жертве с данным исходным адресом, тем самым выводя ее из строя большим числом ответных пакетов ("отказ в обслуживании").

TCP sequence number prediction. При TCP-соединении выбирается порядковый номер последовательности, позволяющий восстанавливать пакеты в правильном порядке. Старые реализации стека TCP/IP выбирали предсказуемые порядковые номера, позволяя злоумышленникам создать TCP-соединение от имени поддельного IP-адреса, что потенциально позволяет обойти систему защиты.

DNS poisoning через предсказание  последовательности. DNS-сервера используют  рекурсивные запросы доменных  имен. Таким образом, DNS-сервер, отвечающий  на запрос пользователя, сам становится  клиентом для следующего в цепочке DNS-сервера. Порядковые номера, используемые при этом, легко предсказываются. Злоумышленник может послать запрос к DNS-серверу и его ответ подделывается таким образом, чтобы выглядеть ответом от следующего сервера из цепочки. Этот подделанный ответ может использоваться для введения в заблуждения пользователей.

Для борьбы с этими и другими видами атак возможно использование следующих мер защиты: межсетевые экраны, антивирусы, политика безопасности.

Межсетевой экран или сетевой экран — комплекс аппаратно-программных или программных средств, осуществляющий контроль и фильтрацию проходящих через него пакетов на различных уровнях модели OSI в соответствии с заданными правилами.различают:

• традиционный сетевой (или межсетевой) экран — программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.
• персональный сетевой экран — программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Перед проектом не стоит выбора между тем или другим типом, межсетевого экрана. Обязательно надо продумать и организовать оба этих решения, для получения должного уровня безопасности сети.

Так как сеть реализована на основе VPN технологии с использованием общедоступных каналов связи, наличие общего межсетевого экрана на шлюзе просто необходимо – это затруднит злоумышленникам процесс решения задачи проникновения в сеть.

Наличие сетевых экранов на пользовательских компьютерах защитит их от атак и распространения вредоносного программного обеспечения, уже проникшего на ресурсы сети. В качестве примера можно привести проблему распространения «червей» по компьютерам, не защищенным сетевым экраном.

Другой не менее важный пункт помогающий предотвратить влияние негативных факторов на сеть – это наличие и соблюдение политики безопасности. Политика безопасности подразумевает участие всех пользователей системы в вопросах безопасности системы. Обычно она включает в себя ряд правил, касающихся сотрудников организации, сторонних лиц, имеющих доступ к ресурсам организации, лиц отвечающих за авторизованный доступ к ресурсам организации (пример: сотрудники охранной фирмы). Данные правила хорошо описаны в стандарте ISO 17799.

Антивирусное программное обеспечение позволит обнаружить вредоносное или потенциально опасное программное обеспечение, которое по каким-либо причинам уже находится на носителях информации компьютера.

Эти меры позволят защитить от большинства перечисленных выше атак. Однако всегда стоит помнить одну истину: администратору необходимо защитить систему от всех возможных уязвимостей для достижения должного уровня безопасности. Злоумышленнику, для проникновения в систему зачастую хватит и одной.

Резюме: существуют множество способов злоумышленникам нанести вред информационной системе предприятия. С каждым днем проявляются все новые уязвимости в используемых программных или аппаратных ресурсах. Для защиты системы используются инструменты: межсетевой экран, антивирусное программное обеспечение, политика безопасности. Для достижения должного уровня безопасности все эти инструменты должны быть должным образом настроены и использованы.

Глава 7. Выбор и настройка защитного программного обеспечения.

Для начала рассмотрим существующие на данный момент варианты защитного программного обеспечения. Начнем с сетевых экранов.

Самое первое, самое стандартное и, как следствие, самое уязвимое решение – брандмауэр Windows (примечание: любые решения обычно имеют ряд уязвимостей, в стандартных же использование стандартных решений, подразумевает наличие в них часто встречающихся уязвимостей – именно на них в первую очередь ориентируются злоумышленники). Брандмауэр предоставляет возможность: запретить входящие подключения без исключений, создать ряд исключений (для приложений, ip адресов, групп пользователей в домене). Преимущество у брандмауэра Windows одно, но неоспоримое - поставляется в составе Windows XP Professional SP3 бесплатно.

Рассмотрим следующие решения

• Outpost Firewall Pro: полнофункциональный межсетевой экран, имеет режимы «работает», «выключен» и «обучение». С первыми двумя все понятно, 3й позволяет создавать правила «обучать» программу в процессе эксплуатации. Позволяет подключаемые модули, в том числе разработанные независимыми программистами.
• eTrust EZ Armor Security Suite. eTrust EZ Firewall настроенный по умолчанию обеспечивает автоматическое управление программой (меньше запросов по поводу разрешения доступа в интернет). Поддерживает VPN. Пакетная версия включат в себя антивирусную защиту и межсетевой экран.
• Kerio Personal Firewall: программа отслеживает исходящий трафик. Предназначена для установки на отдельном компьютере, используемом в качестве интернет шлюза. Скрывает ip внутренней сети, другими словами поддерживает трансляцию сетевых адресов (NAT-network address translation), или представляет собой proxy-сервер.
• Kerio WinRoute Firewall: предназначена для установки на отдельном компьютере, используемом в качестве интернет шлюза, обеспечивает безопасность подключения к VPN. Предоставляет функционал Kerio Personal Firewall.
• Sygate personal firewall pro: поддерживает режим невидимости. В остальном - экран как экран.
• Symantec Endpoint Protection содержит антивирус, защиту от шпионского ПО, межсетевой экран, систему предотвращения вторжений и средства управления устройствами.
• Tiny Personal Firewall занимает минимум дискового пространства. Предоставляет возможность предотвратить изменение сомнительными программами ключей реестра.