План
Огляд внутрішнього устрою TCP / IP
Проблеми, пов'язані з безпекою
Наскільки уразливі мережі організаці в Інтернеті?
Хоча приєднання до Інтернету надає величезні вигоди у вигляді доступу до колосального обсягу інформації, воно не обов'язково є гарним рішенням для організацій з низьким рівнем безпеки. Інтернет страждає від серйозних проблем з безпекою, які, якщо їх ігнорувати, можуть призвести до жахливих наслідків для непідготовлених мереж. Помилки при проектуванні сервісів TCP / IP, складність конфігурації хостів, вразливі місця, які у ході написання програм, і ряд інших причин в сукупності роблять непідготовлені мережі відкритими для діяльності зловмисників і вразливими до пов'язаними з цим проблем.
Наступні пункти коротко описують Інтернет, TCP / IP, а потім розповідають про деякі проблеми безпеки в Інтернеті і причини, що роблять досить серйозними.
ІнтернетІнтернет - це всесвітня мережа мереж, яка використовує для взаємодії стек протоколів TCP / IP. Спочатку Інтернет був створений для поліпшення взаємодії між науковими організаціями, які виконували роботи в інтересах уряду США. Протягом 80-х років до Інтернету підключилися освітні установи, державні організації, різні американські та іноземні фірми. У 90-х років Інтернет переживає феноменальне зростання, причому збільшення числа з'єднань перевищує всі темпи, що мали місце раніше. Тепер до Інтернету приєднані багато мільйонів користувачів, причому тільки половина з них комерційні користувачі [Cerf93]. Зараз Інтернет використовується як основа для Національної Інформаційної Інфраструктури (NII) США.
1.1.1 Типові сервісиІснує ряд сервісів, пов'язаних з TCP / IP та Інтернетом. Найбільш поширеним сервісом є електронна пошта, реалізована на базі протоколу SMTP (Простий Протокол Передачі Листів). Також широко використовуються TELNET (емуляція віддаленого терміналу) і FTP (протокол передачі файлів). Крім них існує ряд сервісів і протоколів для віддаленої друку, надання віддаленого доступу до файлів і дисків, роботи з розподіленими базами даних і організації інших інформаційних сервісів. Далі наводиться короткий список найбільш поширених сервісів:
SMTP - Простий протокол передачі пошти, використовується для прийому та передачі електронної пошти TELNET - використовується для підключення до віддалених систем, приєднаним до мережі, застосовує базові можливості по емуляції терміналу FTP - Протокол передачі файлів, використовується для прийому або передачі файлів між системами в мережі DNS - Служба мережевих імен, використовується TELNET, FTP і іншими сервісами для трансляції імен хостів в IP адреси. інформаційні сервіси, такі як gopher - засіб пошуку та перегляду інформації за допомогою системи меню, яке може забезпечити дружній інтерфейс до інших інформаційних сервісів WAIS - глобальний інформаційний сервіс, використовується для індексування та пошуку в базах даних файлів WWW / http - Всесвітня Павутина, об'єднання FTP, gopher, WAIS та інших інформаційних сервісів, що використовує протокол передачі гіпертексту (http), і програми Netscape, Microsoft Internet Explorer і Mosaic в якості клієнтських програм . сервіси на основі RPC - сервіси на основі віддаленого виклику процедур, такі як NFS - Мережева файлова система, дозволяє системам спільно використовувати директорії і диски, при цьому віддалена директорія або диск здаються що знаходяться на локальній машині NIS - Мережеві Інформаційні Послуги, дозволяють декільком системам спільно використовувати бази даних, наприклад файл паролів, для централізованого управління ними Система X Windows - графічна віконна Середа і набір прикладних бібліотек, що використовуються на робочих станціях rlogin, rsh і інші r-сервіси - реалізують концепцію довіряють один одному хостів, дозволяють виконувати команди на інших комп'ютерах, не вводячи парольХоча сервіси TCP / IP можуть рівною мірою використовуватися як у локальних мережах, так і в глобальних мережах, в локальних мережах, як правило, застосовується спільне використання файлів і принтерів, а електронна пошта і віддалений термінальний доступ - в обох випадках. З кожним роком зростає популярність gopher і www. Обидва цих сервісу призводять до виникнення проблем для розробників брандмауерів і будуть розглянуті в наступних розділах.
1.1.2 Хости в ІнтернетіНа багатьох системах, підключених до Інтернету, працює одна з версій ОС Unix. Вперше TCP / IP був реалізований на початку 80-х років у версії Unix, написаної в університеті в Каліфорнії в Берклі, відомої як BSD (Berkeley Software Distribution). Багато сучасні версії Unix запозичили тексти мережевих програм з цієї версії, тому Unix забезпечує більш-менш стандартний набір сервісів TCP / IP. Це призвело до того, що багато різних версій Unixа мають одні й ті ж вразливі місця, правда, це також призвело до доцільності широкого застосування стратегій брандмауерів, таких як фільтрація IP. Слід зазначити, що вихідні тексти BSD UNIX можна легко отримати в ряді інтернетівських серверів, тому як хороші, так і погані люди можуть вивчити тексти програм і знайти в них потенційні вразливі місця та використовувати їх для проникнення.
Хоча Unix і є найбільш поширеною ОС в Інтернеті, до нього приєднано багато різних типів комп'ютерів з іншими ОС, включаючи системи з DEC VMS, NeXT, MVS і ОС персональних комп'ютерів, такі як DOS, Microsoft Windows, Windows'95, Windows NT і Apple . Хоча персональні комп'ютери забезпечують лише клієнтську частину сервісів, тобто, використовуючи TELNET, можна підключитися з персонального комп'ютера, але не до персонального комп'ютера, все зростаюча потужність ПЕОМ починає також забезпечувати надання тих же сервісів, які зараз надаються великими комп'ютерами, тільки набагато дешевше. Версії Unix для ПЕОМ, включаючи Linux, FreeBSD і BSDi, а також інші ОС, такі як Microsoft Windows NT, можуть зараз забезпечити ті ж самі сервіси і додатки, які раніше були тільки на великих системах. Наслідком цього є те, що зараз повний набір сервісів TCP / IP використовується небувалою кількістю людей. Хоча це і добре в тому сенсі, що мережеві сервіси стали загальнодоступними, негативні наслідки полягають у виникненні величезних можливостей для скоєння злочинів у зловмисників (а також у неписьменних користувачів, які в деяких випадках можуть розглядатися як вид зловмисників).
Огляд внутрішнього устрою TCP / IPЦей розділ містить короткий опис TCP / IP в обсязі, достатньому для подальшого обговорення проблем безпеки, пов'язаних з Інтернетом. [Com91a], [Com91b], [Hunt92] і [Bel89] містять набагато більш докладний опис; читачі, які хочуть отримати глибше уявлення, повинні звернутися до цих джерел.
Почасти популярність стека протоколів TCP / IP пояснюється можливістю його реалізації на базі великої кількості різноманітних каналів і протоколів канального рівня, таких як T1 і Х.25, Ethernet і лінії RS-232. Більшість організацій використовує у своїх ЛВС Ethernet для об'єднання хостів і клієнтських систем, а потім приєднує ці мережі за допомогою T1 до регіональної мережі. (Наприклад, регіональної магістральної мережі TCP / IP), яка поєднує в свою чергу з мережами інших організацій та іншими магістральними каналами. Як правило, організації мають одне з'єднання з Інтернетом, але великі організації можуть мати два і більше сполук. Швидкості модемів збільшуються в міру появи нових комунікаційних стандартів, тому версії TCP / IP, які працюють в середовищі комутованих телефонних каналів, стають все більш популярними. Багато організацій і просто окремі люди використовують PPP (Point-to-Point Protocol) і SLIP (Serial Line IP) для підключення своїх мереж і робочих станцій до інших мереж, використовуючи телефонні канали.
Якщо говорити строго, то TCP / IP - це стек протоколів, що включає TCP, IP, UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol), і ряд інших протоколів. Стек протоколів TCP / IP не відповідає моделі взаємодії відкритих систем (ВОС), і його структура показана на малюнку 1.1
Рівень IP отримує пакети, доставлемие нижніми рівнями, наприклад драйвером інтерфейсу з ЛОМ, і передає їх лежачим вище рівням TCP або UDP. І навпаки, IP передає пакети, отримані від рівнів TCP і UDP до нижчого рівнів.
Пакети IP є дейтаграмамі з негарантованої доставкою, тому що IP нічого не робить для забезпечення гарантії доставки пакетів IP по порядку і без помилок. Пакети IP містять адресу хоста, з якого був посланий пакет, званий адресою відправника, і адреса хоста, який повинен отримати пакет, званий адресою одержувача.
Високорівневі сервіси TCP і UDP при прийомі пакету припускають, що адреса відправника, зазначений у пакеті, є істинним. Іншими словами, адреса IP є основою для аутентифікації в багатьох сервісах; сервіси припускають, що пакет був посланий від існуючого хоста, і саме від того хоста, чия адреса вказана в пакеті. IP має опцію, звану опція маршрутизації джерела, яка може бути використана для для вказівки точного прямого і зворотного шляху між відправником та одержувачем. Цей шлях може задіяти для передачі пакета маршрутизатори або хости, звичайно не використовуються для передачі пакетів до даного хосту-одержувачу. Для деяких сервісів TCP і UDP пакет IP c такою опцією здається прийшли від останньої системи в зазначеному шляху, а не від свого справжнього відправника. Ця опція з'явилася в протоколі для його тестування, але [Bel89] зазначає, що маршрутизація джерела може використовуватися для обману систем з метою встановлення з'єднання з ними тих хостів, яким заборонено з ними з'єднуватися. Тому, те, що ряд сервісів довіряють вказаною IP-адресою відправника і покладаються на нього при аутентифікації, дуже небезпечно і може привести до проникнення в систему.
1.2.2 TCPЯкщо IP-пакети містять інкапсульовані пакети TCP, програми IP передадуть їх вгору рівню TCP. TCP послідовно нумерує всі пакети і виконує виправлення помилок, і реалізує таким чином віртуальні з'єднання між хостами. Пакети TCP містять послідовні номери і підтвердження про прийом пакетів, тому пакети, прийняті не на порядок передачі, можуть бути Переупорядочить, а зіпсовані пакети повторно послані.
TCP передає отриману інформацію додаткам верхнього рівня, наприклад клієнту або сервера TELNETа. Додатки, у свою чергу, передають інформацію назад рівню TCP, який передає її нижче рівня IP, після чого вона потрапляє до драйверів пристроїв, у фізичну середу і по ній передається до хоста-одержувача. Сервіси з встановленням з'єднання, такі як TELNET, FTP, rlogin, X Windows і SMTP вимагають надійності і тому використовують TCP. DNS використовує TCP тільки у ряді випадків (для передачі і прийому баз даних доменних імен), а для передачі інформації про окремі хостах використовує UDP.
1.2.3 UDPЯк показано на малюнку 1.1, UDP взаємодіє з прикладними програмами на тому ж рівні, що і TCP. Тим не менш, він не виконує функції виправлення помилок або повторної передачі втрачених пакетів. Тому UDP не використовується в сервісах з встановленням з'єднання, яким потрібно створення віртуального каналу. Він застосовується в сервісах типу запит-відповідь, таких як NFS, де число повідомлень під час взаємодії набагато менше, ніж у TELNET і FTP. У число сервісів, що використовують UDP, входять сервіси на базі RPC, такі як NIS і NFS, NTP (протокол мережевого часу) і DNS (також DNS використовує TCP).
Пакети UDP набагато простіше підробити, ніж пакети TCP, так як немає етапу встановлення з'єднання (рукостискання). [Ches94]. Тому з використанням сервісів на базі UDP пов'язаний більший ризик.
1.2.4 ICMPICMP (Протокол міжмережевих керуючих повідомлень) знаходиться на тому ж рівні, що і IP; його призначення - передавати інформацію, необхідну для управління трафіком IP. По-основному, він використовується для надання інформації про шляхи до хостів-одержувачам. Повідомлення ICMP redirect інформують хости про існування більш коротких маршрутів до інших систем, а повідомлення ICMP unreachable вказує на наявність проблем з перебуванням шляху до одержувача пакета. Крім того, ICMP може допомогти коректно завершити з'єднання TCP, якщо шлях став недоступний. PING є широко поширеним сервісом на базі ICMP.
[Bel89] розглядає дві проблеми з ICMP: старі версії Unix можуть розірвати всі з'єднання між хостами, навіть якщо тільки одне з них зіткнулося з проблемами. Крім того, повідомлення про перенаправлення шляху ICMP можуть бути використані для обману маршрутизаторів і хостів з метою змусити їх повірити в те, що хост зловмисника є маршрутизатором і пакети краще відправляти через нього. Це, у свою чергу, може призвести до того, що атакуючий отримає доступ до систем, яким не дозволено мати з'єднання з машиною атакуючого або його мережею.
1.2.5 Структура портів TCP і UDPСервіси TCP і UDP використовуються за допомогою схеми клієнт-сервер. Наприклад, процес сервера TELNET спочатку знаходиться в стані очікування запиту на з'єднання. У якій-небудь момент часу користувач запускає процес клієнта TELNET, який ініціює з'єднання з сервером TELNET. Клієнт посилає дані серверу, той читає їх, і посилає назад клієнтові відповідь. Клієнт читає відповідь і повідомляє про нього користувачеві. Тому, з'єднання є двонаправленим і може бути використано як для читання, так і для запису.
Як багато одночасних з'єднань TELNET може бути встановлено між системами? З'єднання TCP або UDP унікальним чином ідентифікується за допомогою чотирьох полів, присутніх у кожному з'єднанні:
IP-адресу джерела - адресу системи, яка послала пакет IP-адресу одержувача - адреса системи, яка приймає пакет порт відправника - порт з'єднання в системі-відправника порт одержувача - порт з'єднання в системі-одержувачаПорт - це програмне поняття, яке використовується клієнтом або сервером для здійснення та отримання повідомлень; порт ідентифікується 16-битви числом. Серверні процеси зазвичай асоціюються з фіксованим числом, наприклад числом 25 для SMTP або 6000 для X Windows; номер порту є відомим, так як він потрібно, крім IP-адреси одержувача, при встановленні з'єднання з конкретним хостом і сервісом. Клієнтські процеси, з іншого боку, запитують номер порту у операційної системи на початку роботи; і номер порту є випадковим, хоча в деяких випадках він є наступним у списку вільних номерів портів.
Для ілюстрації того, як використовуються порти для здійснення та прийому повідомлень, розглянемо протокол TELNET. Сервер TELNET слухає приходять повідомлення на порту 23, і сам посилає повідомлення на порт 23. Клієнт TELNET, на тій же чи іншій системі, спочатку запитує невикористовуваний номер порту в ОС, а потім використовує його при посилці і прийомі повідомлень. Він повинен вказувати це номер порту, наприклад 3097, у пакетах, призначених для сервера TELNET, щоб цей сервер при відповіді на повідомлення клієнта міг помістити це номер в посилаються їм TCP-пакети. Хост клієнта з прийому повідомлення повинен подивитися номер порту в повідомленні і вирішити, який з клієнтів TELNET повинен прийняти це повідомлення. Цей процес показаний на малюнку 1.2
Малюнок 1.2 Взаємодія при TELNET
Існує досить поширене правило, згідно з яким тольуо привілейовані процеси сервера, тобто ті процеси, які працюють з привілеями суперкористувача UNIX, можуть використовувати порти з номерами менше, ніж 1024 (так звані привілейовані порти). Сервера в-основному використовують порти з номерами менше, ніж 1024, а клієнти як правило повинні запитувати непривілейованих порти в ОС. Хоча це правило і не є обов'язковим для виконання і не потрібно специфікацією протоколів TCP / IP, системи на основі BSD дотримуються його.
У результаті всього цього брандмауери можуть блокувати або фільтрувати доступ до служб на основі перевірки номерів портів в TCP-і UDP-пакетах і подальшого пропускання через себе або видалення пакета на основі політики, що вказує доступ до яких службам дозволений або заборонений. (Більш детально це описано в розділі 2).
Не всі сервери та клієнти TCP і UDP використовують порти таким простим способом, як TELNET, але в цілому, процедура, описана тут, корисна в контексті брандмауера. Наприклад, багато ОС персональних комп'ютерів не використовують поняття суперкористувача UNIX, але все-таки використовують порти описаним вище способом (хоча немає стандарту, що вимагає це).
Проблеми, пов'язані з безпекоюЯк було встановлено раніше, Інтернет страждає від серйозних проблем з безпекою. Організації, які ігнорують ці проблеми, піддають себе значному ризику того, що вони будуть атаковані зловмисниками, і що вони можуть стати стартовим майданчиком при атаках на інші мережі. Навіть ті організації, які піклуються про безпеку, мають ті ж самі проблеми через появу нових уразливих місць в мережевому програмному забезпеченні (ПО) і відсутності заходів захисту від деяких зловмисників.
Деякі з проблем безпеки в Інтернеті - результат наявності вразливих місць через помилки при проектуванні в службах (і в протоколах, їх реалізують), в той час як інші - результат помилок при конфігуруванні хоста або засобів управління доступом, які або погано встановлені або настільки складні, що практично не піддаються адміністрування. Крім того: роль і важливість адміністрування системи часто упускається при описі посадових обов'язків співробітників, що при призводить до того, що більшість адміністраторів у кращому випадку наймаються на неповний робочий день і погано підготовлені. Це посилюється швидким зростанням Інтернету і характеру використання Інтернету; державні та комерційні організації тепер залежать від Інтернету (іноді навіть більше: що вони думають) при взаємодії з іншими організаціями та дослідженнях і тому понесуть великі втрати при атаках на їх хости. Наступні глави описують проблеми в Інтернеті і причини, що призводять до їх виникнення.
1.3.1 Інциденти з безпекою в ІнтернетіНа доказ того, що описані вище загрози реальні, три групи інцидентів мали місце протягом кількох місяців один після одного. Спочатку, розпочалося широке обговорення виявлених вразливих місць у програмі UNIX sendmail (це транспортна поштова програма на більшості хостів з Unix. Це дуже велика і складна програма, і в ній вже кілька разів були знайдені вразливі місця, які дозволяють зловмисникові отримати доступ до системи, в яких запущена sendmail). Організаціям, які не мали виправлених версій програми, довелося терміново виправляти ці помилки в своїх програмах sendmail до того, як зловмисники використовують ці вразливі місця для атаки на їх мережі. Тим не менш, через складність програми sendmail і мережевого ПЗ в цілому три наступні версії sendmail також містили ряд уразливих місць [CIAC94a]. Програма sendmail широко використовувалася, тому організаціям без брандмауерів, для того щоб обмежити доступ до цієї програми, довелося швидко регіровать на виникали проблеми і виявляються вразливі місця.
По-друге, виявилося, що популярна версія вільно розповсюджуваного FTP-сервера містила троянського коня, що дозволяв отримати привілейований доступ до сервера. Організаціям, що використав цей FTP-сервер, не обов'язково заражену версію, також довелося швидко реагувати на цю ситуацію [CIAC94c]. Багато організацій покладаються на гарну якість вільного ПЗ, доступного в Інтернеті, особливо на ПЗ в області безпеки з додатковими можливостями по протоколювання, управління доступом і перевірки цілісності, яке не входить до складу ОС, що постачається її виробником. Хоча це ПО часто дуже високої якості, організації можуть виявитися у важкому становищі, якщо в ПО будуть знайдені вразливі місця або з ним виникнуть інші проблеми, і повинні будуть покладатися тільки на його авторів. (Справедливості заради, варто відзначити, що навіть ПЗ, зроблене виробником ОС, може страждати від таких самих проблем і його виправлення може виявитися більш тривалим).
Третя проблема мала найсерйозніші наслідки: [CERT94] і [CIAC94b] повідомили, що зловмисники проникли в тисячі систем у всьому Інтернеті, включаючи шлюзи між великими мережами і встановили аналізатори пакетів для перехоплення в мережевому трафіку імен користувачів і статичних паролів, що вводяться користувачами для підключення до мережевих систем. Зловмисники також використовували інші відомі технології для проникнення в системи, а також перехоплені ними паролі. Одним з висновків, які можна тому зробити є те, що статичні або повторно використовувані паролі не повинні використовуватися для управління доступом. Фактично, користувач, що підключається до мережевої системи через Інтернет, може ненавмисно піддати цю систему ризику бути атакованої зловмисниками, які могли перехопити мережевий трафік, що йде до цієї віддаленої системи.
Наступні розділи більш детально описують проблеми з безпекою в Інтернеті. [Garf92], [Cur92], [Bel89], [Ches94] і [Farm93] є книгами, де ви знайдете більш детальну інформацію.
1.3.2 Слабка аутентифікаціяГрупи залагодження інцидентів вважають, що більшість інцидентів сталося через використання слабких, статичних паролів. Паролі в Інтернеті можуть бути "зламані" рядом способів, але двома найпоширенішими є злом зашифрованою форми пароля і спостереження за каналами передачі даних з метою перехоплення пакетів з паролями. ОС Unix звичайно зберігає паролі в зашифрованій формі у файлі, який може бути прочитаний будь-яким користувачем. Цей файл паролів може бути отриманий простим копіюванням його або одним з інших способів, що використовуються зловмисниками. Як тільки файл отриманий, зловмисник може запустити легко-доступні програми злому паролів для цього файлу. Якщо паролі слабкі, тобто меьше, ніж 8 символів, є словами, і т.д., то вони можуть бути зламані та використані для отримання доступу до системи.
Друними проблема з аутентифікацією виникає через те, що деякі служби TCP і UDP можуть автентифікувати тільки окремий хост, але не користувача. Наприклад, сервер NFS (UDP) не може дати доступ окремому користувачеві на хості, він може дати його всьому хосту. Адміністратор сервера може довіряти окремому користувачеві на хості і дати йому доступ, але адміністратор не може заборонити доступ інших користувачів на цьому хості і тому автоматично повинен надати його всім користувачам або не давати його взагалі.
1.3.3 Легкість спостереження за даними, що передаютьсяСлід зазначити, що коли користувач встановив сеансу з вилученим хостом, використовуючи TELNET або FTP, то пароль користувача передається по Інтернету в незашифрованому вигляді. Тому іншим способом проникнення в системи є спостереження за з'єднанням з метою перехоплення IP-пакетів, що містять ім'я і пароль, і подальше використання їх для нормального входу в систему. Якщо перехоплений пароль є паролем адміністратора, то завдання отримання привілейованого доступу стає набагато легше. Як раніше зазначалося, сотні і навіть тисячі систем в Інтернеті були скомпрометовані в результаті перехоплення імен і паролів.
Електронна пошта, а також вміст сеансів TELNET і FTP, може перехоплюватися і використовуватися для отримання інформації про організацію та її взаємодії з іншими організаціями в ході повсякденної діяльності. Більшість користувачів не шифрують пошту, так як багато хто вважає, що електронна пошта безпечна і з її допомогою можна передавати критичну інформацію.
Система X Windows, що стає все більш популярною, також вразлива перехоплення даних. X дозволяє відкривати декілька вікон на робочій станції для роботи з графічними і мультимедійними додатками (наприклад, WWW-браузером Netscape). Зловмисники можуть іноді відкривати вікна на інших системах і перехоплювати текст, набраний на клавіатурі, який може містити паролі і критичну інформацію.
1.3.4 Легкість маскування під іншихЯк вже зазначалося в частині 1.2.1, передбачається, що IP-адреса хоста правильний, і служби TCP і UDP тому можуть довіряти йому. Проблема полягає в тому, що використовуючи маршрутизацію IP-джерела, хост атакуючого може замаскуватися під довіреної хоста або клієнта. Коротко кажучи, маршрутизація IP-джерела - це опція, за допомогою якої можна явно вказати маршрут до призначення та шлях, за яким пакет буде повертатися до відправника. Це шлях може включати використання інших маршрутизаторів або хостів, які в звичайних умовах не використовуються при передачі пакетів до призначення. Розглянемо наступний приклад того, як це може бути використано для маскування системи атакуючого під довірений клієнт якогось сервера:
Атакуючий змінює IP-адресу свого хоста на той, який має довірений клієнт. Атакуючий створює маршрут для маршрутизації джерела до цього сервера, в якому явно вказує шлях, по якому повинні передаватися IP-пакети до сервера і від сервера до хосту атакуючого, і використовує адресу довіреної клієнта як останній проміжний адресу в дорозі до сервера. Атакуючий посилає клієнтський запит до сервера, використовуючи опцію маршрутизації джерела. Сервер приймає клієнтський запит, як якщо б він прийшов від довіреної клієнта, і повертає відповідь довіреній клієнту. Довірений клієнт, використовуючи опцію маршрутизації джерела, переправляє пакет до хосту атакуючого.Багато хости Unix беруть пакети з маршрутизацією джерела і будуть передавати їх по шляху, вказаному в пакеті. Багато маршрутизатори також беруть пакети з маршрутизацією джерела, в той час як деякі маршрутизатори можуть бути сконфігуровані таким чином, що будуть блокувати такі пакети.
Ще більш простим способом маскування під клієнта є очікування того моменту часу, коли клієнтська система буде виключена, і подальша маскування під неї. У багатьох організаціях співробітники використовують персональні ЕОМ з мережевою математикою TCP / IP для підключення до хостів з Unixом і іспользуюют машини з Unix як сервери ЛВС. ПЕОМ часто використовують NFS для отримання доступу до директорій і файлів на сервері (NFS використовує тільки IP-адреси для аутентифікації клієнтів). Атакуючий може налаштувати після закінчення роботи свій ПЕОМ таким чином, що він буде мати те ж саме ім'я та IP-адресу, що й інша машина, а потім ініціювати з'єднання з Unixовскім хостом, як якщо б він був довіреною клієнтом. Це дуже просто зробити і саме так чинять атакуючі-співробітники організації.
Електронну пошту в Інтернеті особливо легко підробити, і їй взагалі не можна довіряти, якщо в неї не застосовуються розширення, такі як електронний підпис листа [NIST94a]. Наприклад, давайте розглянемо взаємодію між хостами Інтернету при обміні поштою. Взаємодія відбувається за допомогою простого протоколу, що використовує текстові команди. Зловмисник може легко ввести ці команди вручну, використовуючи TELNET для встановлення сеансу з портом SMTP (простий протокол передачі пошти). Приймаючий хост довіряє тому, що заявляє про себе хост-відправник, тому можна легко вказати помилковий джерело листи, ввівши адресу електронної пошти як адресу відправника, котоире буде відрізнятися від істинного адреси. У результаті, будь-який користувач, який не має ніяких привілеїв, може фальсифікувати електронний лист.
В інших сервісах, таких як DNS, також можна замаскуватися під іншу машину, але зробити це трохи складніше, ніж для електронної пошти. Для цих сервісів до цих пір існують загрози, і їх треба враховувати того, хто збирається користуватися ними.
1.3.5 Недоліки служб ЛВС і взаємна довіра хостів один до одногоХости важко підтримувати в безпечному стані і це займає багато часу. Для спрощення управління хостами і більшого використання переваг ЛВС, деякі організації використовують такі сервіси, як NIS (Network Information Service) і NFS (Network File system). Ці сервіси можуть сильно зменшити час на конфігурування хостів, дозволяючи управляти поруч баз даних, таких як файли паролів, за допомогою віддаленого доступу до них і забезпечуючи можливість спільного використання файлів і даних. На жаль, ці сервіси небезпечні за своєю природою і можуть використовуватися для отримання доступу грамотними зловмисниками. Якщо скомпрометований центральний сервер, то інші системи, що довіряють центральній системі, також можуть бути легко скомпрометовані.
Деякі сервіси, такі як rlogin, дозволяють хостам "довіряти" один одному для зручності роботи користувачів і полегшення спільного використання систем і пристроїв. Якщо в систему було вчинено проникнення або її обдурили з допомогою маскараду, і цій системі інші системи, то для зловмисника не складе труднощів отримати доступ до інших систем. Наприклад, користувач, зареєстрований на декількох машинах, може позбутися від необхідності вводити пароль, сконфігурував себе на цих машинах так, що вони будуть довіряти підключенню з основної системи користувача. Коли користувач використовує rlogin для підключення до хосту, то машина, до якої підключаються, не буде питати пароль, а підключення буде просто дозволено. Хоча це і не так уже й погано, оскільки пароль користувача не передається і не зможе бути перехоплений, це має той недолік, що якщо зловмисник проникне на основну машину під ім'ям користувача, то зловмисник легко зможе скористатися rlogin для проникнення в рахунку користувача на інших системах . З цієї причини використання взаємної довіри хостів один до одного не рекомендується [Bel89] [Ches94].
1.3.6 Складність конфігурації і заходів захистуСистеми управління доступом в хостах часто складні в налаштуванні і важко перевірити, чи правильно вони працюють. У результаті неправильно сконфігуровані заходи захисту можуть призвести до проникнення зловмисників. Кілька великих виробників Unix все ще продають свої системи з системою управління доступом, сконфігурованої так, що користувачам надано максимальний (тобто найменш безпечний) доступ, який може призвести до несанкціонованого доступу, якщо не буде проведена переконфігурація.
Ряд інцидентів з безпекою стався в Інтернеті почасти через те, що зловмисники виявили вразливі місця (пізніше їх виявили користувачі, групи комп'ютерної безпеки і самі виробники). Оскільки велика частина сучасних варіантів Unix запозичила свій мережевий код з версії BSD, і так як вихідний код цієї версії широко доступний, зловмисники змогли вивчити його на предмет помилок і умов, при яких їх можна використовувати для отримання доступу до систем. Почасти помилки існують через складність програм і неможливості перевірити їх у всіх середовищах, в яких вони повинні працювати. Іноді помилки легко виявляються і виправляються, але буває і так, що треба, як мінімум, переписати все застосування, що є останнім засобом (програма sendmail тому приклад).
1.3.7 Безпека на рівні хостів не масштабується.Безпека на рівні хостів погано шкалирующие: у міру того, як зростає число хостів у мережі, можливості по забезпеченню гарантій безпеки на високому рівні для кожного хоста зменшуються. Враховуючи те, що адміністрування навіть однієї системи для підтримки безпеки в ній може виявитися складним, управління великою кількістю таких систем може легко призвести до помилок і упущень. Важливо також пам'ятати, що найчастіше важливість роботи системних адміністраторів не розуміється і ця робота виконується де-не-як. У результаті деякі системи можуть виявитися менш безпечними, ніж інші, і саме ці системи стануть слабкою ланкою, що в кінцевому рахунку призведе до появи уразливого місця в системі безпеки.
Якщо буде виявлено уразливість в мережевому ПЗ, мережі, яка не захищена брандмауером, потрібно терміново виправити помилку на всіх системах, де вона виявлена. Як вже говорилося в пункті 1.3.2, деякі вразливі місця дозволяють отримати легкий доступ з правами суперкористувача Unix. Організація, яка має багато Unix-хостів, буде особливо вразлива до атак зловмисників в такій ситуації. Закладення вразливих місць на багатьох системах за короткий проміжок часу просто неможливо, і якщо використовуються різні версії ОС, може виявитися взагалі неможливим. Такі мережі будуть просто-таки напрошуватися на атаки зловмисників.
Наскільки уразливі мережі організаці в Інтернеті?Як вже зазначалося у попередніх розділах, ряд служб TCP і UDP погано забезпечують безпеку в сучасному середовищі в Інтернеті. При мільйонах користувачів, підключених до Інтернету, і при тому, що уряди і промисловість залежать від Інтернету, недоліки в цих службах, а також легкодоступність вихідного коду і засобів для автоматизації проникнення в системи можуть зробити мережі уразливими до проникненням в них. Тим не менше, справжній ризик при використанні Інтернету важко оцінити, і непросто сказати, наскільки вразливою є мережа до атак зловмисників. Такої статистики не ведеться.
Координаційна Центр з груп розслідування пригод з комп'ютерною безпекою (CERT / CC) веде деяку статистику про кількість інцидентів, які вони розслідували після його створення в 1988 році. Числа в цій статистиці збільшуються стрибкоподібно кожен рік, але слід пам'ятати, що і число машин в Інтернеті також зростає. У деяких випадках CERT вважає дещо проникнень одного і того жн типу одним подією, тому одна подія може складатися з декількох сотень проникнень в ряд систем. Важко сказати, наскільки пропорційні число інцидентів і число проникнень. Ця проблема також ускладнюється тим, що чим більше людей знають про існування груп з розслідування інцидентів, тим більша ймовірність того, що вони повідомлять про подію, тому насправді незрозуміло, чи то відбувається все більше пригод, чи то повідомляється про все більше їх відсотку .
NIST вважає, що Інтернет, хоча і є дуже корисною і важливою мережею, в той же самий час дуже вразливий до атак. Мережі, які з'єднані з Інтернетом, піддаються деякому ризику того, що їх системи будуть атаковані або піддані деякого впливу з боку зловмисників, і що ризик цього значний. Наступні фактори можуть вплинути на рівень ризику:
число систем в мережі будь служби використовуються в мережі яким чином мережа з'єднана з Інтернетом профіль мережі, або наскільки відомо про її існування наскільки готова організація до залагодження інцидентів з комп'ютерною безпекоюЧим більше систем в мережі, тим важче контролювати їхню безпеку. Аналогічно, якщо мережа з'єднана з Інтернетом в декількох місцях, то вона буде більш уразлива ніж мережа з одним шлюзом. У той же самий час, то, наскільки готова до атаки організація, або те, наскільки вона залежить від Інтернету, може збільшити або зменшити ризик. Мережа, що має привабливий для зловмисників профіль, може піддатися більшій кількості атак з метою отримання інформації, що зберігається в ній. Хоча, варто сказати, що "мовчазні" мало відвідувані мережі також привабливі для зловмисників, тому що їм легше буде приховати свою активність.
NIST заявляє, що мережі, які використовують рекомендовані процедури і заходи захисту для підвищення комп'ютерної безпеки, будуть піддаватися значно меншому ризику атак. Брандмауери в поєднанні з одноразовими паролями, які стійкі до їх перехоплення, можуть збільшити загальний рівень безпеки мережі і зробити використання Інтернету досить безпечним. Наступні глави містять більш детальний опис брандмауерів і того, як вони можуть використані для захисту від багатьох загроз і вразливих місць, описаних у цьому розділі.
Чому саме брандмауери?Оснвоной причиною використання брандмауерів є той факт, що без брандмауера системи підмережі наражаються на небезпеку використання вразливих місць служб, таких NFS та NIS, або сканування і атак з боку хостів в Інтернеті. У середовищі без брандмауера мережева безпека цілком залежить від безпеки хостів і всі хости повинні в цьому випадку взаємодіяти для досягнення однаково високого рівня безпеки. Чим більше підмережа, тим важче підтримувати всі хости на одному рівні безпеки. Помилки та упущення в безпеці стали поширеними, проникнення відбуваються не в результаті хитромудрих атак, а з-за простих помилок в конфігурації і вгадуєш паролів.
Підхід з використанням брандмауера має численні переваги для мереж і допомагає підвищити безпеку хостів. Наступні розділи коротко описують переваги використання брандмауера.
2.2.1 Захист від уразливих місць в службахБрандмауер може значно підвищити мережеву безпеку і зменшити ризики для хостів в підмережі шляхом фільтрації небезпечних за своєю природою служб. У результаті підмережа буде піддаватися набагато меншому числу небезпек, тому що тільки через брандмауер зможуть пройти лише безпечні протоколи.
Наприклад, брандмауер може заборонити, щоб такі уразливі служби, як NFS, не використовувалися за межами цієї підмережі. Це дозволяє захиститися від використання цих служб сторонніми атакуючими, але продовжувати використовувати їх усередині мережі, не піддаючись особливої небезпеки. Тому можна буде спокійно використовувати такі зручні служби, як NFS і NIS, спеціально розроблені для зменшення витрат на адміністрування в локальній мережі.
Брандмауери також можуть забезпечити захист від атак з використанням маршрутизації, таких як маршрутизація джерела і спроб змінити маршрути передачі даних за допомогою команд перенаправлення ICMP. Брандмауер може заблокувати всі пакети з маршрутизацією джерела і перенаправлення ICMP, а потім інформувати адміністраторів про інциденти.
2.2.2 Керований доступ до систем мережіБрандмауер також надає можливості по управлінню доступом до хостів мережі. Наприклад, деякі хости можуть бути зроблені досяжними із зовнішніх мереж, у той час як доступ до інших систем ззовні буде заборонений. Мережа може заборонити доступ до своїх хостам ззовні, за винятком особливих випадків, таких як поштові сервери або інформаційні сервера.
Ці властивості брандмауерів потрібні при політиці управління доступом, побудованої за принципом: не надавати доступ до хостів або службам, до яких доступ не потрібно. Іншими словами, навіщо давати доступ до хостів і службам, які можуть використовуватися атакуючими, коли насправді він не потрібен чи не потрібен? Якщо, наприклад, користувачеві не потрібно, щоб хтось у мережі міг отримати доступ до його робочої станції, то брандмауер якраз і може реалізувати цей вид політики.
2.2.3 Концентрована безпекаБрандмауер може насправді виявитися недорогим для організації з-за того, що більшість або всі зміни в програмах і додаткові програми з безпеки будуть встановлені на системі брандмауера, а не розподілені по великому числу хостів. Зокрема, системи одноразових паролів і інші додаткові програми посиленою аутентифікації можуть бути встановлені тільки на брандмауері, а не на кожній системі, якої потрібно звертатися до Інтернету.
Інші підходи до мережевої безпеки, такі як Kerberos [NIST94c] вимагають модифікації програм на кожній системі в мережі. Тому, хоча Kerberos і інші технології також повинні розглядатися з-за їх переваг і можуть виявитися найбільш підходящими, ніж брандмауери в певних ситуаціях, все-таки брандмауери простіше в реалізації, оскільки спеціальні програми потрібні лише на брандмауері.
2.2.4 Підвищена конфіденційністьКонфіденційність дуже важлива для деяких організацій, так як те, що зазвичай вважається невинною інформацією, може насправді містити корисні підказки для атакуючого. Використовуючи брандмауер, деякі мережі можуть заблокувати такі служби, як finger і доменну службу імен. finger дає інформацію про користувачів, таку як час останнього сеансу, читалася чи пошта, та інші дані. Але finger може дати атакуючому інформацію про те, як часто використовується система, чи працюють зараз в цій системі користувачі, і чи може бути система атакована, не залучаючи при цьому уваги.
Брандмауери також можуть бути використані для блокування інформації DNS про системах мережі, тому імена та IP-адреси хостів у мережі не стануть відомі хостам в Інтернеті. Деякі організації вже переконалися в тому, що блокуючи цю інформацію, вони приховують ту інформацію, яка була б корисна для атакуючого.
2.2.5 Протоколювання і статистика використання мережі та спроб проникненняЯкщо все доступ до Інтернету і з Інтернету здійснюється через брандмауер, то брандмауер може протоколювати доступ і надати статистику про використання мережі. При правильно налагодженій системі сигналів про підозрілі події (alarm), брандмауер може дати детальну інформацію про те, чи були брандмауер або мережу атаковані або зондувати.
Важливо збирати статистику використання мережі та докази зондування з ряду причин. Перш за все потрібно знати напевно, що брандмауер стійкий до зондування і атакам, і визначити, чи адекватні заходи захисту брандмауера. Крім того, статистика використання мережі важлива в якості вихідних даних при проведенні досліджень для формулювання вимог до мережного обладнання та програмами та аналізі ризику.
2.2.6 Втілення в життя політикиІ нарешті, найважливіше - брандмауер надає засоби реалізації і втілення в життя політики мережевого доступу. Фактично, брандмауер забезпечує управління доступом для користувачів і служб. Тому, політика мережевого доступу може бути реалізована за допомогою брандмауера, в той час як без нього, така політика залежить цілком від доброї волі користувачів. Організація може залежати від своїх користувачів, але не повинна залежати від доброї волі всіх користувачів Інтернету.
Список літератури
[Avol94] Frederick Avolio and Marcus Ranum. A Network Perimeter With Secure Internet Access. In Internet Society Symposium on Network and Distributed System Security, pages 109-119. Internet Society, February 2-4 1994.
[Bel89] Steven M. Bellovin. Security Problems in the TCP / IP Protocol Suite. Computer Communications Review, 9 (2) :32-48, April 1989.
[Cerf93] Vinton Cerf. A National Information Infrastructure. Connexions, June 1993.
[CERT94] Computer Emergency Response Team / Coordination Center. CA-94: 01, Ongoing Network Monitoring Attacks. Available from FIRST.ORG, pub/alerts/cert9401.txt, February 1994.
[Chap92] D. Brent Chapman. Network (In) Security Through IP Packet Filtering. In USENIX Security Symposium III Proceedings, pages 63-76. USENIX Association, September 14-16 1992.
[Ches94] William R. Cheswick and Steven M. Bellovin. Firewalls and Internet Security. Addison-Wesley, Reading, MA, 1994.
[CIAC94a] Computer Incident Advisory Capability. Number e-07, unix sendmail vulnerabilities update. Available from FIRST.ORG, file pub/alerts/e-07.txt, January 1994.
[CIAC94b] Computer Incident Advisory Capability. Number e-09, network monitoring attacks. Available from FIRST.ORG, pub/alerts/e-09.txt, February 1994.
[CIAC94c] Computer Incident Advisory Capability. Number e-14, wuarchive ftpd trojan horse. Available from FIRST.ORG, pub/alerts/e-14.txt, February 1994.
[Com91a] Douglas E. Comer. Internetworking with TCP / IP: Principles, Protocols, and Architecture. Prentice-Hall, Englewood Cliffs, NJ, 1991.
[Com91b] Douglas E. Comer and David L. Stevens. Internetworking with TCP / IP: Design, Implementation, and Internals. Prentice-Hall, Englewood Cliffs, NJ, 1991.
[Cur92] David Curry. UNIX System Security: A Guide for Users and System Administrators. Addison-Wesley, Reading, MA, 1992.
[Farm93] Dan Farmer and Wietse Venema. Improving the security ofyour site by breaking into it. Available from FTP.WIN.TUE.NL, file / pub/security/admin-guide-to-cracking.101.Z, 1993.
[Ford94] Warwick Ford. Computer Communications Security. Prentice-Hall, Englewood Cliffs, NJ, 1994.
[Garf92] Simpson Garfinkel and Gene Spafford. Practical UNIX Security. O'Reilly and Associates, Inc., Sebastopol, CA, 1992.
[Haf91] Katie Hafner and John Markoff. Cyberpunk: Outlaws and Hackers on the Computer Frontier. Simon and Schuster, New York, 1991.
[Hunt92] Craig Hunt. TCP / IP Network Administration. O'Reilly and Associates, Inc., Sebastopol, CA, 1992.