8. Защита информации в компьютерных сетях
8.1. Основные угрозы и причины уязвимости сети internet
Интенсивное развитие INTERNET и INTRANET технологий, привлечение их для создания новых технологий хранения, поиска и обработки информации влечет за собой необходимость построения эффективных систем защиты информации в корпоративных сетях.
В настоящее время глобальные сети часто используются для передачи информации, содержащей сведения различного уровня конфиденциальности, например, для связи между головным и удаленными офисами организации, для доступа к WEB сайтам организации и т.д. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть INTERNET, предоставляют различные услуги через данную сеть (организация электронных магазинов, системы дистанционного образования и т.д.).
Такой подход дает, несомненно, множество преимуществ, связанных с большими потенциальными возможностями коллективной работы в INTRANET и INTERNET, более эффективному интегрированию различных информационных технологий, связанных с хранением, поиском и обработкой информации.
Однако развитие глобальных сетей привело к многократному увеличению количества пользователей и атак на ПК, подключенных к сети INTERNET и внутренним сетям INTRANET организаций. Ежегодные потери, обусловленные недостаточным уровнем защищенности таких ПК, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении ИБ данной сети и подключенных к ней ПК.
Изначальная разработка сети INTERNET, как открытой сети, создает большие возможности для злоумышленника по воздействию на локальные и корпоративные сети организаций, имеющих выход в INTERNET. Через INTERNET злоумышленник может вторгнуться во внутреннюю сеть предприятия и получить НСД к конфиденциальной информации, получить пароли доступа к серверам, а подчас и их содержимое.
Наиболее распространенные угрозы ИБ в INTERNET и INTRANET представлены ниже [2]:
- Несанкционированный (неавторизованный) доступ внешних пользователей к какому-либо виду сервисного обслуживания, предоставляемого легальным пользователям.
- Несанкционированный доступ к информации и базам данных организаций без идентификации и аутентификации внешнего пользователя в сети.
- Внедрение в системы и сети организаций разрушающих программных воздействий – вирусов, программных закладок, троянских коней и т.д., используя различные уязвимости удаленных систем (например, внедрение вирусов через электронную почту, используя уязвимости IIS (Internet Information Servis– набора серверов для нескольких служб ).
- Нарушение целостности ПО систем и сетей организаций с целью модификации выполняемых ими функций.
- Нарушение конфиденциальности информационного обмена, осуществляемого по каналам связи абонентов систем и сетей организаций, с помощью их «прослушивания»; данный вид угроз для компьютерных сетей получил более конкретное название – сниффинг (sniffing), а программы, реализующие эту угрозу, называют снифферами.
- Нарушение работоспособности программных компонентов удаленных систем с целью дезорганизации их работы – атаки вида отказа в обслуживании (DoS – Denied of Service); защита от данного вида атак очень актуальна в настоящее время для компаний, предоставляющих различные услуги посредством INTERNET.
- Получение прав доступа к удаленной системе, использующей нестойкие алгоритмы аутентификации пользователя.
- Доступ к информации о топологии сетей и используемых в них механизмах защиты, что облегчает злоумышленникам проникновение в сети.
Основные угрозы и причины уязвимости сети INTERNET
Интенсивное развитие INTERNET и INTRANET технологий, привлечение их для создания новых технологий хранения, поиска и обработки информации влечет за собой необходимость построения эффективных систем защиты информации в корпоративных сетях.
В настоящее время глобальные сети часто используются для передачи информации, содержащей сведения различного уровня конфиденциальности, например, для связи между головным и удаленными офисами организации, для доступа к WEB сайтам организации и т.д. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть INTERNET, предоставляют различные услуги через данную сеть (организация электронных магазинов, системы дистанционного образования и т.д.).
Такой подход дает, несомненно, множество преимуществ, связанных с большими потенциальными возможностями коллективной работы в INTRANET и INTERNET, более эффективному интегрированию различных информационных технологий, связанных с хранением, поиском и обработкой информации.
Однако развитие глобальных сетей привело к многократному увеличению количества пользователей и атак на ПК, подключенных к сети INTERNET и внутренним сетям INTRANET организаций. Ежегодные потери, обусловленные недостаточным уровнем защищенности таких ПК, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении ИБ данной сети и подключенных к ней ПК.
Изначальная разработка сети INTERNET, как открытой сети, создает большие возможности для злоумышленника по воздействию на локальные и корпоративные сети организаций, имеющих выход в INTERNET. Через INTERNET злоумышленник может вторгнуться во внутреннюю сеть предприятия и получить НСД к конфиденциальной информации, получить пароли доступа к серверам, а подчас и их содержимое.
Наиболее распространенные угрозы ИБ в INTERNET и INTRANET представлены ниже [2]:
1. Несанкционированный (неавторизованный) доступ внешних пользователей к какому-либо виду сервисного обслуживания, предоставляемого легальным пользователям.
2. Несанкционированный доступ к информации и базам данных организаций без идентификации и аутентификации внешнего пользователя в сети.
3. Внедрение в системы и сети организаций разрушающих программных воздействий – вирусов, программных закладок, троянских коней и т.д., используя различные уязвимости удаленных систем (например, внедрение вирусов через электронную почту, используя уязвимости IIS (Internet Information Servis– набора серверов для нескольких служб).
4. Нарушение целостности ПО систем и сетей организаций с целью модификации выполняемых ими функций.
5. Нарушение конфиденциальности информационного обмена, осуществляемого по каналам связи абонентов систем и сетей организаций, с помощью их «прослушивания»; данный вид угроз для компьютерных сетей получил более конкретное название – сниффинг (sniffing), а программы, реализующие эту угрозу, называют снифферами.
6. Нарушение работоспособности программных компонентов удаленных систем с целью дезорганизации их работы – атаки вида отказа в обслуживании (DoS – Denied of Service); защита от данного вида атак очень актуальна в настоящее время для компаний, предоставляющих различные услуги посредством INTERNET.
7. Получение прав доступа к удаленной системе, использующей нестойкие алгоритмы аутентификации пользователя.
8. Доступ к информации о топологии сетей и используемых в них механизмах защиты, что облегчает злоумышленникам проникновение в сети.
Достаточно часто информацию такого рода злоумышленник может получить путем удаленного сканирования системы.
Результаты воздействия угроз могут выражаться в появлении сбоев в работе информационных систем организаций, искажении либо разрушении циркулирующей или хранящейся в них информации, нарушении защитных механизмов систем, что позволяет осуществить злоумышленнику НСД к информации, контролировать работу информационных систем.
Основными причинами уязвимости сети INTERNET являются следующие [25]:
| Проектирование сети INTERNET как открытой и децентрализованной сети с изначальным отсутствием политики безопасности. |
| Уязвимости служб протокола TCP/IP. |
| Большая протяженность каналов связи. |
| Множество уязвимостей программного и аппаратного обеспечения, работающего на ПК, подключенных к INTERNET (уязвимости ОС, WEB-серверов, почтовых клиентов и пр.); каталоги известных уязвимостей пополняются буквально каждую неделю (наиболее полный каталог известных уязвимостей доступен на сервере http://icat.nist.gov). |
| Кажущаяся анонимность при работе в INTERNET, возможность скрытия о себе информации злоумышленником, использования анонимных proxy -серверов, ремэйлеров для электронной почты и пр. |
| Доступность информации о средствах и протоколах защиты, используемых в INTERNET. |
| Работа в INTERNET обслуживается большим числом сервисов, информационных служб и сетевых протоколов, знание тонкостей и правильности конфигурирования которых одному человеку в лице администратора не всегда реально. |
| Сложность конфигурирования средств защиты. |
| Человеческий фактор. |
Все эти факторы требуют разработки, внедрения и использования средств защиты локальных сетей организации, отдельных компьютеров локальных сетей, имеющих выход в INTERNET, либо непосредственно подключенных к нему.
9.1.6. ПРИЧИНЫ УЯЗВИМОСТИ СЕТИ
Выделим причины уязвимости самой сети Интернета, что позволит понять уязвимость сетей и отдельных компьютеров, имеющих доступ к ней. Если рассматривать эти причины концептуально, не поясняя детально каждую из них в виду их тривиальности, то получим следующее:
1) дизайн Интернета как открытой и децентрализованной сети c изначальным отсутствием политики безопасности. При разработке принципов функционирования Интернета основные усилия были направлены на достижение удобства обмена информацией, и многие сети спроектированы без механизмов контроля доступа со стороны Интернета;
2) уязвимость основных служб. Базовым протоколом Интернета является набор протоколов ТСР/IР, сервисные программы которого не гарантируют безопасности;
3) большая протяженность линий связи;
4) работа в Интернете, основанная на модели клиент/сервер, не лишенной определенных слабостей и конкретных лазеек в продуктах различных производителей. Данная модель объединяет разнообразное программное и аппаратное обеспечение, которое может иметь «дыры» для проникновения злоумышленников или согласовываться в рамках одной сети, с точки зрения обеспечения информационной безопасности, не лучшим образом;
5) еще недостаточно организаций, занимающихся подготовкой профессионалов по защите в Интернете. Хотя есть специальные фирмы, с исследованиями и рекомендациями которых можно прямо в Интернете ознакомиться, что делают, к сожалению, еще немногие;
6) внедрение различными компаниями собственного дизайна при создании Wеb-страниц (который может не соответствовать требованиям обеспечения определенного класса безопасности для Wеb-узла компании и скрывающейся далее за ним сети) и распространение рекламной информации о своей продукции (реклама – хотя и наилучший двигатель торговли, но не гарантия приобретения самого защищенного продукта);
7) «утечка» технологий высокого уровня из секретных источников при вскрытии представленных в сети Wеb-узлов и сетей организаций, занимающихся разработкой этих технологий, и доступность информации о средствах защиты;
1) незашифрованность большей части передаваемой через Интернет информации, что дает возможность наблюдения за каналами передачи данных.
Электронная почта, пароли и передаваемые файлы могут быть легко перехвачены злоумышленником при помощи доступных программ;
2) так как работа в Интернете обслуживается большим числом сервисов, информационных служб и сетевых протоколов, знание правильности и тонкостей использования всех или хотя бы большинства сервисов, служб и протоколов одному человеку в лице администратора сети не реально;
3) сложность конфигурирования средств защиты. Средства управления доступом зачастую сложны в настройке и контроле за ними, что влечет за собой неправильную конфигурацию таковых средств и приводит к несанкционированному доступу;
4) человеческий фактор в лице: а) каждого отдельного пользователя, сидящего за компьютером и, возможно, не отличающегося высокими моральными принципами в смысле защиты интересов своей фирмы-работодателя и готового за соответствующую плату либо найти секретную информацию или предоставить доступ в сеть этой организации злоумышленникам, которые сами найдут в ней то, что их более всего интересует; б) пользователей-любителей, которые считают, что средства защиты им вообще не нужны, или неправильно сконфигурируют эти средства; в) строго не определенного круга пользователей;
5) Кажущаяся анонимность при работе в Интернете. Есть возможность обойти средства обнаружения отправителя той или иной информации или посетителя того или иного Wеb-узла с помощью использования виртуальных IР-адресов и промежуточных пересыльщиков – ремэйлеров – электронной почты. Специалисты компании InternetSecueitySystems считают, что в любой сети, основанной на протоколе ТСР/IР, существует около 135 потенциальных каналов для НСД.