Перед руководителями информационных служб предприятий стоит нелегкая задача планирования ИТ-инфраструктуры, отвечающей длинному списку требований и выполняющей множество функций.

Перед руководителями информационных служб предприятий стоит нелегкая задача планирования ИТ-инфраструктуры, отвечающей длинному списку требований и выполняющей множество функций. Одно из важнейших условий ее существования — безопасность

Организация защиты позволяет надежно и эффективно использовать те знания, которыми обладает компания, хотя при этом ограничивается гибкость системы. Чтобы прийти к компромиссу между функциональностью и надежностью, необходимо знать факторы, влияющие на эффективность систем безопасности. Это позволит не только создать рациональную защиту информационной структуры, но и сэкономить ресурсы за счет оптимального использования оборудования и отказа от избыточных средств безопасности.

21-летний компьютерный вундеркинд обвинен во взломе систем eBay, E-Trade Group, Lycos, Exodus, Juniper Networks и Cygnus Support Solutions.

Румынский хакер взломал IRC-сеть Undernet, сумев установить контроль практически над всей системой, одной из самых больших и популярных в Internet конференций, объединяющей миллионы пользователей по всему миру.

Датские власти арестовали 17-летнего парня, подозреваемого в попытке взлома. Хакер получил доступ более чем к 50 «зомбированным» серверам и готовился осуществить масштабный штурм одной из систем общегосударственного значения.

Атака на сервер Creditcards.com позволила хакерам получить доступ к 55 тыс. кредитных карт и потребовать за неразглашение этой информации 100 тыс. долл. Когда попытка вымогательства не удалась, преступники разместили номера карт в Internet. Компании пришлось чинить свой сайт, а ее клиентам — срочно проверять свои счета.

В Вашингтонском медицинском центре тысячи записей о кардиологических больных, которые содержали имена и личные данные, стали общедоступными. Официальные лица центра отвергали любое сотрудничество с преступниками, но затем им пришлось удовлетворить требования хакеров.

Достаточно? И это лишь малая часть из огромного числа подобных новостей, свидетельствующих о том, что речь идет не о локальной опасности, а о настоящей войне, развязанной хакерами.

Наивно было бы полагать, что Рунет эти страсти не волнуют. Так, в прошлом году была сломлена защита сайтов провайдера «Релком», МГТС, портала HackZone.Ru и даже подразделения ГУВД Москвы, которое само борется с преступлениями, совершаемыми путем несанкционированного доступа в компьютерные сети и базы данных... Можно очень долго продолжать список «пострадавших».

Россию в этом смысле можно сравнить с плодородной почвой, на которой растут и сорняки, и культурные растения. Если не полоть сорняки, урожая не будет вовсе. А предпосылок к росту «сорняков» достаточно: интеллектуальный (читай — хакерский) потенциал страны никем не оспаривается; контроль над деятельностью в Сети практически отсутствует, в свободной продаже легко найти диски с «боевыми» хакерскими программами. Встречаются среди них и такие, которые откровенно предлагают запустить вирус на компьютер соседа либо получить доступ к чужим ресурсам. Кроме того, в Internet немало сайтов (к примеру, secureroot.com), где хакеры обмениваются опытом и пользуются дополнительными «услугами» наподобие сокрытия имени пользователя при работе в Сети.

Будущее — это разминированное настоящее

Массовые атаки по своему техническому исполнению и изощренности далеко ушли от первых попыток рассылки писем с прикрепленными исполняемыми файлами, содержащими вирусы. Сейчас пользователю достаточно открыть письмо, чтобы подвергнуть свой компьютер смертельной опасности. Например, один из очень опасных вирусов, Kakworm, активизируется при открытии сообщения. Более того, жертвой хакеров можно стать, даже совсем не используя почту. Например, черви Bymer и Trinity Version 3 сканируют подключенные к глобальным сетям серверы определенных типов в поиске «трещин» и, находя их, вживляются в них. Для защиты недостаточно просто установить антивирусную программу. Следует проводить продуманную и обоснованную политику безопасности, которая позволит не только постоянно анализировать потоки данных, но и выявлять потенциальные угрозы, «узкие» места системы безопасности.

Обычно хакерская атака развивается по стандартному сценарию. На первом этапе изучается потенциальная жертва, собирается максимум информации о ней. Затем на основании полученных данных последовательно проводятся нападения на предполагаемые уязвимые места. В случае успеха хакер проникает внутрь корпоративной сети и сразу же пытается скрыть следы своего присутствия, для чего он постарается изменить или удалить журналы, в которых ведется учет действий пользователей. Таким образом, хакер может получить практически полный контроль над всеми ресурсами сети, оставшись незамеченным.

Естественно, в реальной жизни встречаются и нестандартные сценарии взломов. Как правило, изменения в последовательности действий обуславливаются специфичностью системы безопасности, выступающей в роли жертвы. Кроме того, хакер может ставить перед собой различные цели, следовательно, будет использовать разные методы взлома. Сгруппировав действия хакеров по способу вмешательства, можно выделить пять основных категорий атак.

Инициирование отказа в обслуживании (denial of service) — единовременная атака посредством передачи некорректных запросов или больших объемов информации с целью нарушения работы атакуемой системы.

Подмена служебной информации пакетов (spoofing) — способ проникновения «вглубь» системы, основанный на подмене IP-адресов передаваемых по сети пакетов с целью получения доступа к конфиденциальной информации, закрытой для внешних пользователей. Одной из разновидностей этой категории является подмена DNS; такая атака позволяет управлять трафиком определенного узла за счет перехвата запросов DNS-сервера. Результатом такого рода вмешательства может стать полная изоляция узла.

Сканирование — способ взлома, основанный на поиске определенных «трещин» в системе с целью проникновения в нее и последующего вживления тела вируса.

Перехват пакетов (sniffing) — несанкционированный перехват потока данных с целью дешифрования и получения конфиденциальной информации (паролей, ключей и т. п.). Опасность скрыта в том, что хакер может вести себя пассивно и никак не выдавать своего присутствия, пока не получит достаточного количества данных, позволяющих беспрепятственно проникнуть в систему.

Рассылка вирусов — самый простой способ, основанный на добавлении вирусов-«троянцев» к электронным письмам или другим данным (например, в программы, свободно распространяемые через Internet).

На данный момент самый популярный способ взлома — атака DDoS (distributed denial of service). Против нее могут устоять только профессионально выполненные, «интеллектуальные» системы защиты, включающие и аппаратную, и программную составляющие, обладающие возможностью эвристического анализа событий. Принцип этой атаки состоит в том, что при перегрузке системы большим объемом входных данных обработка поступающей информации нарушается, и хакерам удается на продолжительное время остановить работу определенной службы или даже всей системы. Основной особенностью DDoS-атаки является использование большого числа удаленных друг от друга ресурсов, действия которых координируются с главного компьютера. Для этого, естественно, перед нападением необходимо внедрить в удаленные системы агента DDoS, то есть «зомбировать» их.

По оценкам некоторых западных специалистов, в Internet есть огромное количество персональных компьютеров, десятки тысяч серверов, зараженных специальными программами. Другими словами, многие узлы в Сети похожи на бомбы замедленного действия, управляемые и подчиняющиеся чужой воле. Зомбированные компьютеры полноценно функционируют и ничем не выдают присутствия агента, но только до тех пор, пока не поступит команда о начале атаки.

Простейшая схема сети DDoS изображена на схеме. Главный компьютер дает управляющую команду компьютерам-«зомби», которые, в свою очередь, формируют большое количество запросов на атакуемый сервер, создавая огромный трафик. Существуют и более сложные схемы организации сетей DDoS, позволяющие объединить и управлять десятками тысяч зараженных компьютеров, обеспечив при этом надежную защиту для инициатора атаки.

Хакер никогда не будет атаковать со своего сетевого адреса и использовать трудоемкие алгоритмы нападения, так как в этом случае труднее осуществить незаметное проникновение, а затем скрыть следы или направить преследователей (если таковые появятся) по ложному пути.

DDoS-атаки — один из многочисленных способов вмешательства в работу информационных систем. Профессиональные хакеры обычно не ограничиваются одним методом, а используют их хитроумные комбинации. Описать все схемы атак затруднительно: во-первых, их очень много, а во-вторых, их список постоянно пополняется. Поэтому целесообразно рассмотреть основные принципы защиты от внешних воздействий, угрожающих информационным системам.

Так что же можно сделать в такой ситуации? Как «полоть сорняки» и попытаться «сохранить урожай»? Как представляется, есть несколько способов защиты, основанных в большей степени не на применении ультрасовременных технологий, а на формализованном подходе к построению системы безопасности.

Бездействие — смерть

Как известно, наиболее уязвимым звеном в цепи мер по обеспечению безопасности является человек. Опираясь на недочеты в работе системных администраторов, хакеры проникают вглубь систем и устанавливают там свое господство. Но есть и много других возможностей, связанных с изъянами в работе приложений, операционных систем и оборудования. Зачастую конфигурация системы безопасности настолько сложна, что многие параметры сохраняют значения, установленные по умолчанию, что существенно облегчает работу хакеров. Поэтому построение системы безопасности — это комплекс решений, направленных на усовершенствование существующей инфраструктуры и включающих в себя как технические, так и организационные меры.

Формирование политики безопасности — один из важнейших факторов, влияющих на ее эффективность. Для того чтобы полностью охватить внутреннюю ИТ-инфраструктуру и обеспечить работу всех ее служб, разработку политики безопасности должен осуществить ИТ-отдел, опираясь на директивы высшего руководства организации. Без использования административного ресурса любые технические меры могут оказаться бессильными. Так, если сам пользователь не заботится о сохранности своего пароля, даже самая современная система безопасности будет сломлена.

Политика безопасности должна затрагивать все аспекты безопасности, начиная с определения угроз и объектов защиты и заканчивая созданием оптимального решения и контролем над ним. Политика безопасности организации обязательно должна быть описана в правилах, контроль над выполнением которых должен осуществлять ИТ-отдел. Кроме того, необходимо разработать документы, регламентирующие работу специалистов при возникновении внештатных ситуаций. По каждому из направлений необходимо назначить ответственных лиц, причем в зависимости от размера организации функции контроля и управления комплексом безопасности могут либо выполняться специальной группой, либо возлагаться на системного администратора. По отношению к информации, имеющей для организации наивысшую ценность и потому требующей повышенного внимания к своей безопасности, необходимо разработать план профилактических мероприятий, позволяющих заранее выявить недочеты в системе защиты и предупредить попытки использования этой информации в корыстных целях.

Следует помнить, что надежность всей системы безопасности равна надежности самого слабого ее звена. Рекомендации стандартных руководств по реализации схем защиты не гарантируют полную сохранность информации. Очень часто в таких документах описывается усредненная ситуация, рассчитанная на самые различные случаи. С технической точки зрения типовые решения могут защитить лишь частично, оставляя пробелы и трещины в системе безопасности, которыми с удовольствием пользуются хакеры.

И все-таки существуют несколько основных принципов, которые позволят обеспечить эффективную защиту информационной системы от воздействий извне, а также дадут возможность быстро и квалифицированно управлять политикой безопасности.

Разграничение доступа

Приступая к проектированию системы безопасности, необходимо сразу решить, какие компоненты информационной инфраструктуры наиболее важны и какими особенностями данная инфраструктура обладает. В зависимости от этого для каждого узла системы необходимо составить перечень ресурсов, к которым разрешен доступ. Так, в корпоративной сети пользователь из Internet может свободно просматривать Web-сайт, однако доступ к документам бухгалтерии ему запрещен.

Рис. 1. Схема атаки-Distributed denial of Service.

В больших корпоративных сетях общедоступные службы (HTTP, FTP, DNS и пр.) могут выделяться в отдельный сегмент, ограниченный межсетевым экраном. Это усложнит работу хакеров и позволит избежать серьезных последствий в случае атаки.

Применение межсетевых экранов позволит защитить внутреннюю сеть от случайных внешних воздействий, таких как сканирование. Задача межсетевых экранов заключается в четком распределении и анализе входящего/исходящего трафика. Ограничение внутренних подсетей подобными «барьерами» увеличивает эффективность системы безопасности, противодействуя всем нежелательным и несанкционированным действиям как внутри сети, так и извне. Межсетевые экраны обладают функциями ограничения входящего трафика, что является защитой от DDoS-атак.

Защита передаваемых данных

Пароли и иная носящая конфиденциальный характер информация может быть перехвачена или подменена. Чтобы предотвратить это, используется несколько способов защиты сетевых каналов. Для взаимодействия удаленных узлов или сетей может применяться туннелирование, предполагающее, что при передаче через общедоступные сети весь трафик шифруется граничными устройствами (маршрутизаторами); это обеспечивает необходимое быстродействие, хотя до граничных устройств пакеты данных передаются незащищенными.

Использование протокола IPSec позволяет обеспечить защиту информации как при передаче между удаленными, так и локальными ресурсами, решая сразу несколько проблем безопасности:

  • идентификация узлов (определение подлинности отправителей данных);
  • контроль целостности данных (предотвращение искажения информации по пути следования);
  • шифрование трафика (предупреждение просмотра конфиденциальной информации, передаваемой по сети).

Аутентификация пользователей исключает несанкционированное подключение к сети, посредничество в передаче пакетов и т. п.

В функции протокола AH (Authentication Header) входит добавление в каждый передаваемый пакет уникального заголовка, который позволяет достоверно определить информацию об отправителе и проверить целостность данных. Шифрование трафика обеспечивает конфиденциальность информации, передаваемой между узлами сети. Для шифрования пакетов в стандарте IPSec предусмотрен специальный протокол ESP (Encapsulated Security Payload), который по умолчанию использует алгоритм шифрования DES (наряду с этим могут использоваться и другие алгоритмы).

DES (Data Encryption Standard) представляет собой симметричный (с секретным ключом) алгоритм шифрования данных на основе 56-разрядного ключа. И отправитель, и получатель изначально владеют секретным ключом и информацией о типе шифрования, с помощью которых производятся операции кодирования/декодирования. Метод 3DES отличается большей криптографической стойкостью, поскольку каждый блок данных проходит трехкратное преобразование по методу DES с тремя различными ключами. Проблема использования симметричных криптографических алгоритмов заключается в сложностях распространения ключей между участниками взаимодействия. По этим причинам наряду с ними используются асимметричные методы, позволяющие создавать управляемую структуру распределения ключей.

Асимметричный метод основан на том, что при кодировании и декодировании пакета данных используются два разных взаимосвязанных ключа. Это затрудняет перехват и последующую расшифровку информации. Отправитель зашифровывает свое послание открытым ключом, который открыт для всех пользователей. Затем получатель при помощи своего личного (секретного) ключа расшифровывает сообщение, причем остальные этого сделать не смогут, так как другие ключи для этой цели не подойдут.

В организациях, где повышены требования безопасности (например, в финансовой сфере), использование открытых ключей требует дополнительной их защиты. Без определения тех пользователей, которым передаются ключи, система становится уязвима. Упорядоченное использование цифровых сертификатов полностью решает эту проблему, предоставляя к тому же ряд других преимуществ.

Цифровой сертификат — электронный документ, в котором указывается открытый ключ, а также информация о его владельце. Для подтверждения подлинности владельца такой сертификат пересылается к специальному серверу сертификатов (Certification Authority — CA), который, в свою очередь, производит проверку и ставит электронную подпись. Только после аутентификации обоих пользователей, участвующих в обмене данных, между ними устанавливается безопасное соединение. Каждый цифровой сертификат имеет ограниченный срок действия и должен регулярно продлеваться или отзываться. Так как в каждом случае и отправитель, и получатель проверяются и достоверно аутентифицируются, использование цифровых сертификатов исключает возможность потери сообщений и появления анонимных писем.

Контроль над распространением и использованием ключей и сертификатов можно осуществлять вручную. Такое решение подходит только для локальных сетей с очень ограниченным числом узлов. Для больших корпоративных сетей аутентификация пользователей и распределение ключей должны выполняться автоматически. Все это приводит к необходимости построения внутренней инфраструктуры, выполняющей функции администрирования потоков цифровых сертификатов. Для этих целей может быть создана инфраструктура открытых ключей (PKI — public key infrastructure).

Основу PKI составляет сервер сертификатов CA, среди функций которого:

  • распределение и учет сертификатов и ключей;
  • выдача подтверждений подлинности пользователей и других центров сертификации;
  • регистрация пользователей (центров сертификации) и создание новых сертификатов;
  • ведение базы данных выданных и отозванных сертификатов.

Выделяют несколько различных моделей построения PKI:

  • иерархическая: центр сертификации, являющийся высшим звеном в инфраструктуре, управляет работой центров регистрации; последние, в свою очередь, обеспечивают взаимодействие с конечными пользователями;
  • взаимного подчинения: независимые центры сертификации объединяются в сеть, обеспечивая взаимную авторизацию;
  • смешанная, совмещающая в себе признаки двух предыдущих моделей.

Контроль безопасной среды

Даже если все приведенные рекомендации выполнены, система все равно требует постоянного аудита и совершенствования. Для этих целей предназначены специальные инструменты, выявляющие узкие звенья системы безопасности. Функции контроля безопасной среды можно разделить на предупреждение вторжений и противодействие обнаруженным атакам.

Предупреждение вторжений может быть направлено на изучение статистических данных сети (аномалии трафика, частота ошибок авторизации и т. п.), а также на анализ надежности средств защиты. Периодичность осуществления профилактических мер зависит от важности и ценности используемой информации.

Системы обнаружения вторжений (intrusion detection system — IDS) позволяют распознавать и классифицировать нарушения в работе системы безопасности, а также противостоять угрозе и даже устранять ее. Действие подобных систем основано на выявлении так называемых сигнатур атак. Сигнатуры представляют собой определенные последовательности действий (кода), свойственные атакам, несанкционированным вторжениям в сеть или нарушениям ее работы. Поиск сигнатур атак проводится на двух уровнях:

  • сетевой уровень: анализ трафика, заголовков пакетов, а также передаваемых по сети данных, выявление аномалий и корреляций событий;
  • системный уровень: анализ регистрационных журналов, системных и исполняемых файлов.

Системы обнаружения атак на сетевом уровне позволяют «прослушивать» трафик, проходящий через данный сегмент сети. Это сильно затрудняет незаметное проникновение хакера в сеть и препятствует сокрытию следов. Помимо этого анализ пакетов в реальном времени позволяет быстро информировать системных администраторов о происшествии.

Системы обнаружения атак на системном уровне регистрируют действия, которые нельзя определить на сетевом уровне (например, несанкционированное изменение прав пользователя). Применение этого метода оказывается наиболее эффективно, если в сети используется шифрование данных или необходимо обеспечить защиту определенного узла, скажем, файлового сервера или Web-сервера.

Применение систем обнаружения вторжений на обоих уровнях позволяет обеспечить мгновенную реакцию на несанкционированные действия, уменьшая риск потери или кражи конфиденциальной информации. Подобные инструменты не только защищают информационные ресурсы от внешних воздействий, но и предотвращают нарушения со стороны сотрудников самой организации.

Будьте бдительны

Выработка рекомендаций, проектирование систем защиты и продумывание всей политики безопасности — дело важное и нужное, хотя достаточно сложное и трудоемкое. Конфигурация всех элементов системы безопасности должна производиться профессиональными специалистами, иначе рано или поздно все прорехи проявятся. В лучшем случае их обнаружит системный администратор, в худшем — хакеры. Только кропотливое исследование всех потребностей и особенностей существующей информационной инфраструктуры позволит создать сбалансированную систему безопасности, которая обеспечит защиту всей сети, акцентируя свое внимание на особо важных участках.

Павел Рудаков — менеджер по маркетингу компании «Открытые технологии».Ему можно написать по электронной почте: pavel@ot.ru


Продумывание всей политики безопасности — дело важное и нужное, хотя достаточно сложное и трудоемкое. Конфигурация всех элементов системы безопасности должна производиться профессиональными специалистами, иначе рано или поздно все прорехи проявятся. Только кропотливое исследование всех особенностей информационной инфраструктуры позволит создать сбалансированную систему безопасности