МЭ, firewall и брандмауэр
Межсетевой экран (МЭ), firewall и брандмауэр — три разных названия, обозначающих одно и то же. МЭ располагается между внутренней (защищаемой) сетью и Интернетом или любой другой внешней средой. Его основное назначение — фильтрация проходящих пакетов согласно определенному набору правил. Это весьма схоже с работой VPN-агентов, за исключением того, что экран не шифрует данные. Так же как и VPN-агенты, межсетевые экраны должны быть установлены на всех выходах корпоративной сети в Интернет, защищая ее по периметру. В противном случае кто-нибудь может проникнуть через хотя бы и единственный, но незащищенный вход.
Экраны отделяют и сегменты внутри сети, например, компьютеры бухгалтерии от чрезмерно любопытных сотрудников. Существуют и персональные МЭ, незаменимые для обычных пользователей, выходящих в Интернет. В этом случае они просто защищают свой компьютер от возможных посягательств извне.
МЭ классифицируются по уровню сетевой модели, на котором они производят фильтрацию, но есть и комплексные, работающие одновременно на нескольких уровнях.
IDS, NIDS
Системы обнаружения вторжений (IDS, Intrusion Detection System) предназначены для оперативного реагирования на сетевые атаки и их последствия. Наибольшую распространенность имеют IDS сетевого уровня (NIDS, Network IDS — сетевая IDS).
Эти системы анализируют на предмет возможной причастности к сетевым атакам все проходящие пакеты. Их данные сравниваются с сигнатурами атак, хранящимися в базе системы IDS, подобно сигнатурам известных вирусов в антивирусных программах (кстати, базы данных NIDS также должны регулярно обновляться, так как появляются все новые виды агрессии). Совпадение данных одного или нескольких пакетов с какой-либо сигнатурой считается проявлением атаки, о чем система NIDS немедленно сообщает администратору и фиксирует это в журнале. Система обнаружения может попытаться остановить развивающуюся агрессию, если это возможно.
Сканеры безопасности
Как известно, операционные системы и сетевые приложения небезупречны с точки зрения безопасности — в них есть различные «дыры», позволяющие злоумышленнику проникнуть в сеть или получить контроль над компьютером.
Сканеры безопасности предназначены для раннего обнаружения таких уязвимых мест, чтобы устранить каждое из них прежде, чем до него доберется хакер. Программы позволяют в автоматическом режиме просканировать сотню узлов за несколько минут. Результат работы — это отчет об обнаруженных слабостях, чрезвычайно полезный для администраторов в качестве руководства к действию.
Кстати, сканеры безопасности выявляют слабые места как извне, так и изнутри защищаемой сети, что позволяет противостоять действиям и внешних, и внутренних злоумышленников.
DoS и DDoS
DoS (Denial of Service, отказ в обслуживании) и DDoS (Distributed DoS, «распределенный» DoS) — разрушающие сетевые атаки. Цель их — добиться отказа системы обслуживать своих легальных пользователей. Этим они отличаются от абсолютного большинства агрессий, которые проводятся в основном для получения доступа к информации или к управлению каким-либо компьютером.
DoS-атаки направлены на то, чтобы временно «убить» выбранный ресурс Интернета, сделав его работу невозможной.
Они способны наносить огромные убытки тем, чье благополучие напрямую зависит от числа обслуженных клиентов. Примеров тому немало, один из них — вывод из строя на сутки Интернет-магазина eBay в 2000 г. В 2001 г. Yahoo.com, Microsoft.com, Amazon.com, Whitehouse.gov и многие другие ресурсы также подвергались DoS-атакам. Самым популярным вариантом их проведения является «наводнение» сети пакетами различных протоколов, на обработку которых уходят все вычислительные ресурсы системы.
DDoS-атаки основаны на том же принципе, но задействован уже не один компьютер, а множество. Впервые такого рода вторжения были проведены в 1998 г. и поразили своей эффективностью: никакой, даже самый «толстый» канал не выдержит «наводнения», инициированного сотнями ПК. Однако это вовсе не значит, что за компьютерами сидят сотни хакеров и беспрерывно что-то шлют в Сеть.
DDoS-атаки имеют трехуровневую архитектуру:
- Обычно всеми разрушительными действиями управляет один компьютер. С него производится захват еще нескольких, на которые злоумышленник устанавливает программы, называемые "мастерами".
- Используя известные ошибки в ПО, атакующий внедряет программу-демон (например, с помощью почтового червя) на множество компьютеров, непосредственно с которых будет произведена DDoS-атака.
- После того как агрессор дает мастерам команду, содержащую цель и время DDoS-атаки, они переадресовывают это указание демонам. В назначенный час те начинают свое черное дело. Кстати, обычно исключительно сложно найти самого атакующего - он здесь как бы и ни при чем.
Это действительно настолько серьезно, что заставляет задуматься о контрмерах, проводимых на государственном уровне. В США, например, DoS-атаки считаются одним из проявлений кибертерроризма, для борьбы с которым разработана Федеральная программа.
ОБ АВТОРЕ
Сергей Петрович Панасенко — начальник отдела разработки программного обеспечения фирмы «АНКАД», e-mail develop@ancud.ru.