Special'naya
publikaciya NIST 800-10
Dzhon Vek i Liza
Karnahan "Soderzhanie seti vashej
organizacii v bezopasnosti pri
rabote s Internetom( Vvedenie v
mezhsetevye ekrany(brandmauery))"
|tot dokument soderzhit
obzor problem, svyazannyh s
bezopasnost'yu v Internete. On takzhe
kratko opisyvaet vse komponenty
brandmauera i osnovnye prichiny,
privodyashchie k neobhodimosti
ispol'zovat' brandmauery.
Opisyvaetsya neskol'ko tipov
politik setevogo dostupa i
tehnicheskaya realizaciya etih
politik. V konce dokument soderzhit
bibliografiyu po dannoj teme.
Cel'yu etogo dokumenta
yavlyaetsya pomoshch' pol'zovatelyam
ponyat' prirodu problem, svyazannyh s
bezopasnost'yu v Internete, i to,
kakie tipy brandmauerov mogut
reshit' eti problemy. Pol'zovateli
mogut ispol'zovat' etot dokument
kak rukovodstvo pri proektirovanii
ili priobretenii brandmauera.
Predislovie
Internet - eto
ob®edinenie v masshtabe vsej
planety gruppy setej, kotoroe
ispol'zuet edinyj protokol dlya
peredachi dannyh. Bol'shoe chislo
organizacij sejchas prisoedinyayutsya
k Internetu dlya togo, chtoby
vospol'zovat'sya preimushchestvami i
resursami Interneta. Biznesmeny i
gosudarstvennye organizacii
ispol'zuyut Internet v samyh
razlichnyh celyah - vklyuchaya obmen
elektronnoj pochtoj,
rasprostranenie informacii sredi
zainteresovannyh lic i provedenie
issledovanij. Mnogie organizacii
segodnya prisoedinyayut sushchestvuyushchie
lokal'nye seti k Internetu , chtoby
rabochie stancii etih LVS mogli
poluchit' pryamoj dostup k servisam
Interneta.
Prisoedinenie k
Internetu mozhet dat' ogromnye
preimushchestva, hotya pri etom nuzhno
ser'ezno uchest' voprosy, svyazannye
s bezopasnost'yu soedineniya.
Sushchestvuyut dostatochno ser'eznye
riski bezopasnosti, svyazannye s
Internetom, kotorye zachastuyu
yavlyayutsya neochevidnymi dlya
pol'zovatelej-novichkov. V
chastnosti, v mire nablyudaetsya
deyatel'nost' zloumyshlennikov, pri
etom imeetsya mnogo uyazvimyh mest,
kotorye mogut ee oblegchit'.
Dejstviya zloumyshlennikov trudno
predskazat' i poroj ee byvaet
trudno obnaruzhit' i prekratit'.
Mnogie organizacii uzhe poteryali
mnogo vremeni i ponesli
znachitel'nye finansovye poteri
iz-za deyatel'nosti
zloumyshlennikov; nekotorym
organizaciyam byl nanesen uron ih
reputacii, kogda stalo izvestno o
proniknoveniyah v ih seti.
|ta publikaciya budet
rassmatrivat' voprosy, svyazannye s
bezopasnost'yu, kotorye nuzhno
uchest' kak organizaciyam,
sobirayushchimsya prisoedinit'sya k
Internetu , tak i organizaciyam, uzhe
prisoedinennym k Internetu. V
chastnosti, eto dokument podrobno
rassmatrivaet brandmauery dlya
Interneta, kak odin iz mehanizmov i
metodov, ispol'zuemyh dlya zashchity
vnutrennih setej ot ugroz,
svyazannyh s Internetom. |tot
dokument rekomenduet organizaciyam
ispol'zovat' tehnologiyu
brandmauerov i drugie, svyazannye s
nimi, sredstva, dlya fil'tracii
soedinenij i upravleniya dostupom v
seti.
Cel'
Cel' etogo dokumenta -
ob®yasnit', kak rabotayut
brandmauery, i kakie shagi
neobhodimy dlya ih realizacii.
Pol'zovateli mogut ispol'zovat'
eto dokument kak pomoshch' pri
proektirovanii ili priobretenii
brandmauera.
Dlya kogo
napisana eta kniga
V-osnovnom, eta
publikaciya dlya tehnicheskih
administratorov, to est' dlya teh,
kto mozhet otvechat' za realizaciyu
ili podderzhanie soedinenij s
Internetom. Ona takzhe budet polezna
i dlya drugogo rukovodyashchego sostava,
kto hochet uznat' bol'she o
bezopasnosti soedineniya s
Internetom.
Predpolagaetsya znanie
nekotoryh osnov v oblastyah
komp'yuternoj bezopasnosti i setej
peredachi dannyh. Tem ne menee, etot
dokument yavlyaetsya vvedeniem; bolee
detal'naya informaciya o
behopasnosti v Internete i
brandmauerah mozhet byt' najdena v
literature, ukazannoj v
bibliografii.
Struktura
dokumenta
|tot dokument nachinaetsya
s obzora Interneta i ego osnovnyh
servisov. Detal'no opisyvayutsya
problemy bezopasnosti, svyazannye s
Internetom, svyazannye s razlichnymi
servisami TCP/IP, a takzhe drugie
faktory, kotorye privodyat k
nebezopasnosti raboty v Internete.
Glava 2 opisyvaet brandmauery, ih
preimushchestva i nedostatki, i posle
etogo, razlichnye komponenty
brandmauera, vklyuchaya sredstva
usilennoj autentifikacii i
politiku setevogo dostupa. Glava 3
opisyvaet razlichnye konfiguracii
brandmauerov, kotorye
illyustriruyut, kak komponenty
brandmauera soedinyayutsya drug s
drugom, i mogut byt' ispol'zovany
dlya realizacii razlichnyh politik.
Glava 4 rassmatrivaet voprosy
nadzora, administrativnye voprosy
i drugie dejstviya, kotorye dolzhny
predprinyat' organizacii dlya zashchity
svoih sistem, prisoedinennyh k
Internetu. Prilozhenie A soderzhit
spisok literatury i drugih
istochnikov infomacii o
brandmauerah i bezopasnosti v
Internete. Prilozhenie V soderzhit
nabor chasto zadavaemyh voprosov o
brandmauerah, kotoryj dostupen v
rezhime online.
Terminologiya
Internetovskie
brandmauery chasto nazyvayutsya v
literature bezopasnymi
Internetovskimi shlyuzami. |tot
dokument ispol'zuet termin
brandmauer dlya oboznacheniya
bezopasnogo Internetovskogo shlyuza.
Brandmauer, soglasno
dannomu dokumentu, vklyuchaet ryad
elementov, takih kak politika,
vnesenie izmenenij v strukturu
seti, a takzhe tehnicheskie sredstva
i organizacionnye mery. |tot
dokument budet ispol'zovat' termin
sistema brandmauera dlya
oboznacheniya hostov ili
marshrutizatorov, realizuyushchih
brandmauer.
Set', zashchishchaemaya
brandmauerom, nazyvaetsya zashchishchennoj
podset'yu ili zashchishchennoj LVS.
Nekotorye lyudi ne mogut
ponyat', sleduet li rassmatrivat'
protokoly TCP/IP kak protokoly ili kak
servisy. Mozhno, naprimer,
dokazyvat', chto TELNET yavlyaetsya
protokolom, servisom ili komandoj.
Tam, gde eto nuzhno, v dokumente
ispol'zuetsya termin protokol, v
ostal'nyh sluchayah ispol'zuetsya
termin servis.
V etom dokumente prikladnymi shlyuzami nazyvayutsya ryad sistem brandmauerov v protivopolozhnost' hostam-bastionam.
Naskol'ko eto vozmozhno,
etot dokument izbegaet
ispol'zovaniya takih terminov, kak
haker i kraker, i ispol'zuet vmesto
etogo menee tendecioznye terminy
zloumyshlennik i atakuyushchij.
Predystoriya
Internet stal zhiznenno neobhodimoj i postoyanno rastushchej set'yu, kotoraya izmenila obraz zhiznedeyatel'nosti mnogih lyudej i organizacij. Tem ne menee, iz-za Interneta vozniklo mnogo ser'eznyh problem s bezopasnost'yu. Mnogie organizacii byli atakovany ili zondirovany zloumyshlennikami( Zloumyshlenniki chasto proveryayut seti organizacij na vozmozhnost' proniknoveniya v nih putem metodicheskogo skanirovaniya sistem v nih na nalichie uyazvimyh mest. Zloumyshlenniki chasto ispol'zuyut sredstva avtomaticheskogo zondirovaniya, to est' programmy, kotorye skaniruyut vse hosty, prisoedinennye k seti organizacii. |ta deyatel'nost' nazyvaetsya inogda zondirovanie seti organizacii ) chto privelo k bol'shim poteryam vo vremeni i ushcherbu reputacii. V nekotoryh sluchayah, organizacii vynuzhdeny byli vremenno otsoedinit'sya ot Interneta, i potratit' znachitel'nye sredstva dlya resheniya voznikshih problem s konfiguraciej hostov i seti. Seti organizacij, kotorye neosvedomleny ili ignoriruyut eti problemy, podvergayut sebya bol'shomu risku byt' atakovannymi setevymi zloumyshlennikami. Dazhe te organizacii, v kotoryh bezopasnosti udelyaetsya vnimanie, mogut podvergat'sya risku iz-za poyavleniya novyh uyazvimyh mest v setevom programmnom obespechenii ili uporstva nekotoryh zloumyshlennikov.
Dannoe polozhenie del
slozhilos' po ryadu prichin. Odnoj iz
osnovnyh prichin mozhet byt' to, chto
pri razrabotke Internet trebovaniya
bezopasnosti ne uchityvalis', tak
kak glanym trebovaniem pri
realizacii Interneta bylo
trebovanie udobstva pri obmene
informaciej pri provedenii nauchnyh
issledovanij. Tem ne menee,
fenomenal'nyj uspeh Interneta v
sochetanii s poyavleniem bol'shogo
chisla kategorij pol'zovatelej ,
vklyuchaya pol'zovatelej , u kotoryh
otsutstvuet ponyatie etiki,
usugubilo sushchestvuyushchie nedostatki
v obespechenii bezopasnosti do
takoj stepeni, chto seti, otkrytye
dlya dostupa so storony Interneta,
stali podvergat'sya risku
proniknovenij v nih i naneseniya im
razrushenij. Drugimi prichinami
yavlyayutsya sleduyushie:
Reshenie
K schast'yu, sushchestvuyut prostye i nadezhnye resheniya, kotorye mogut byt' ispol'zovany dlya uluchsheniya bezopasnosti seti organizacii. Sistema brandmauera yavlyaetsya odnim iz sposobov, kotoryj dokazal svoyu vysokuyu effektivnost' pri povyshenii obshchej bezopasnosti seti. Sistema brandmauera - eto nabor sistem i marshrutizatorov, dobavlennyh v set' v mestah ee soedineniya s Internetom i politiki dostupa, opredelyayushchej pravila ih raboty. Brandmauer zastavlyaet vse setevye soedineniya prohodit' cherez shlyuz, gde oni mogut byt' proanalizirovany i oceneny s tochki zreniya bezopasnosti, i predostavlyaet drugie sredstva, takie kak mery usilennoj autentifikacii vmesto parolej. Krome togo, brandmauer mozhet ogranichit' dostup k tem ili inym sistemam ili dostup k Internetu ot nih, blokirovat' opredelennye servsiy TCP/IP, ili obespechit' drugie mery bezopasnosti. Horosho skonfigurirovannaya sistema brandmauera mozhet vypolnyat' rol' press-sluzhby organizacii i pomoch' sformirovat' u pol'zovatelej Interneta horoshee vpechatlenie ob organizacii.
Samoj prostoj politikoj
setevogo dostupa, kotoraya mozhet
byt' realizovana s pomoshch'yu
brandmauera, yavlyaetsya
predostavlenie dostupa ot
vnutrennih k vneshnim sistemam i
zapret, polnyj ili chastichnyj,
dostupa ot vneshnih k vnutrennim
sistemam. No ispol'zovanie
brandmauera ne dolzhno pozvolyat'
administratoram zabyt' o
neobhodimosti obespecheniya
bezopasnosti otdel'nyh sistem.
Sushchestvuet bol'shoe chislo sredstv
dlya sistemnyh administratorov,
pozvolyayushchih povysit' bezopasnost'
sistem i obespechit' uluchshyennye
vozmozhnosti po protokolirovaniyu.
Takie sredstva mogut proveryat'
paroli, zhurnaly s informaciej o
soedineniyah, obnaruzhivat'
izmeneniya sistemnyh fajlov ili
obespechivat' drugie mery
bezopasnosti, kotorye pomogut
administratoram obnaruzhit'
deyatel'nost' zloumyshlennikov i
proniknoveniya v ih sistemy.
Rekomendacii
avtorov
My rekomenduem
organizaciyam pered prisoedineniem
k Internetu razrabotat' politiku,
kotoraya by yasno ukazyvala, kakie
servisy Interneta budut
ispol'zovat'sya, i kak oni budut
ispol'zovat'sya. |ta politika
dolzhna byt' prostoj, chetkoj i
ponyatnoj, so vstroennymi
mehanizmami po ee izmeneniyu.
Organizacii dolzhny rassmotret'
vozmozhnost' ispol'zovaniya sistem
brandmauerov kak chast' plana po
realizacii etoj politiki. (Obrazec
takoj politiki priveden v
prilozhenii). Takzhe rekomenduetsya
ispol'zovat' mery usilennoj
autentifikacii: smartkarty ili
drugie mehanizmy odnorazovyh
parolej kak sostavnuyu chast'
brandmauerov pri autentifikacii
soedinenij s sistemami seti.
Hotya prisoedinenie k Internetu predostavlyaet ogromnye vygody v vide dostupa k kolossal'nomu ob®emu informacii, ono ne obyazatel'no yavlyaetsya horoshim resheniem dlya organizacij s nizkim urovnem bezopasnosti. Internet stradaet ot ser'eznyh problem s bezopasnost'yu, kotorye, esli ih ignorirovat', mogut privesti k uzhasnym posledstviyam dlya nepodgotovlennyh setej. Oshibki pri proektirovanii servisov TCP/IP, slozhnost' konfigurirovaniya hostov, uyazvimye mesta, poyavivshiesya v hode napisaniya programm, i ryad drugih prichin v sovokupnosti delayut nepodgotovlennye seti otkrytymi dlya deyatel'nosti zloumyshlennikov i uyazvimymi k svyazannymi s etim problemam.
Sleduyushchie punkty kratko
opisyvayut Internet, TCP/IP, a zatem
rasskazyvayut o nekotoryh problemah
bezopasnosti v Internete i
prichinah, delayushchih dostatochno
ser'eznymi.
1.1 Internet
Internet - eto vsemirnaya
set' setej, kotoraya ispol'zuet dlya
vzaimodejstviya stek protokolov
TCP/IP. Vnachale Internet byl sozdan
dlya uluchsheniya vzaimodejstviya mezhdu
nauchnymi organizaciyami,
vypolnyavshimi raboty v interesah
pravitel'stva SSHA. V techenie 80-h
godov k Internetu podklyuchilis'
obrazovatel'nye uchrezhdeniya,
gosudarstvennye organizacii,
razlichnye amerikanskie i
inostrannye firmy. V 90-e gody
Internet perezhivaet fenomenal'nyj
rost, prichem uvelichenie chisla
soedinenij prevyshaet vse tempy,
imevshie mesto ranee. Teper' k
Internetu prisoedineny mnogie
milliony pol'zovatelej, prichem
tol'ko polovina iz nih
kommercheskie pol'zovateli[Cerf93].
Sejchas Internet ispol'zuetsya kak
osnova dlya Nacional'noj
Informacionnoj Infrastruktury(NII)
SSHA.
Sushchestvuet ryad servisov,
svyazannyh s TCP/IP i Internetom.
Naibolee rasprostranennym
servisom yavlyaetsya elektronnaya
pochta, realizovannaya na baze
protokola SMTP(Prostoj Protokol
Peredachi Pisem). Takzhe shiroko
ispol'zuyutsya TELNET(emulyaciya
udalennogo terminala) i FTP(protokol
peredachi fajlov). Pomimo nih
sushchestvuet ryad servisov i
protokolov dlya udalennoj pechati,
predostavleniya udalennogo dostupa
k fajlam i diskam, raboty s
raspredelennymi bazami dannyh i
organizacii drugih informacionnyh
servisov. Dalee privoditsya kratkij
spisok naibolee rasprostranennyh
servisov:
Hotya servisy TCP/IP mogut v
ravnoj stepeni ispol'zovat'sya kak
v lokal'nyh setyah, tak i v
global'nyh setyah, v lokal'nyh
setyah, kak pravilo, primenyaetsya
sovmestnoe ispol'zovanie fajlov i
printerov, a elektronnaya pochta i
udalennyj terminal'nyj dostup - v
oboih sluchayah. S kazhdym godom
vozrastaet populyarnost' gopher i www .
Oba etih servisa privodyat k
vozniknoveniyu problem dlya
razrabotchikov brandmauerov i budut
rassmotreny v sleduyushchih glavah.
Na mnogih sistemah, podklyuchennyh k Internetu, rabotaet odna iz versij OS Unix. Vpervye TCP/IP byl realizovan v nachale 80-h godov v versii Unix, napisannoj v universitete v Kalifornii v Berkli, izvestnoj kak BSD(Berkeley Software Distribution). Mnogie sovremennye versii Unix pozaimstvovali teksty setevyh programm iz etoj versii, poetomu Unix obespechivaet bolee ili menee standartnyj nabor servisov TCP/IP. |to privelo k tomu, chto mnogo razlichnyh versij Unixa imeyut odni i te zhe uyazvimye mesta, pravda, eto takzhe privelo k celesoobraznosti shirokogo primeneniya strategij brandmauerov, takih kak fil'traciya IP. Sleduet otmetit', chto ishodnye teksty BSD UNIX mozhno legko poluchit' v ryade Internetovskih serverov, poetomu kak horoshie, tak i plohie lyudi mogut izuchit' teksty programm i najti v nih potencial'nye uyazvimye mesta i ispol'zovat' ih dlya proniknoveniya.
Hotya Unix i yavlyaetsya
naibolee rasprostranennoj OS v
Internete, k nemu prisoedineno
mnogo razlichnyh tipov komp'yuterov
s drugimi OS, vklyuchaya sistemy s DEC VMS,
NeXT, MVS i OS personal'nyh
komp'yuterov, takie kak DOS, Microsoft Windows,
Windows'95, Windows NT i Apple. Hotya
personal'nye komp'yutery
obespechivayut tol'ko klientskuyu
chast' servisov, to est', ispol'zuya
TELNET, mozhno podklyuchit'sya s
personal'nogo komp'yutera, no ne k
personal'nomu komp'yuteru, vse
vozrastayushchaya moshchnost' P|VM
nachinaet takzhe obespechivat'
predostavlenie teh zhe servisov,
kotorye sejchas predostavlyayutsya
bol'shimi komp'yuterami, tol'ko
gorazdo deshevle. Versii Unix dlya P|VM,
vklyuchaya Linux, FreeBSD i BSDi, a takzhe drugie
OS, takie kak Microsoft Windows NT, mogut
sejchas obespechit' te zhe samye
servisy i prilozheniya, kotorye ranee
byli tol'ko na bol'shih sistemah.
Sledstviem etogo yavlyaetsya to, chto
sejchas polnyj nabor servisov TCP/IP
ispol'zuetsya nebyvalym
kolichestvom lyudej. Hotya eto i
horosho v tom smysle, chto setevye
servisy stali obshchedostupny,
otricatel'nye posledstviya
zaklyuchayutsya v vozniknovenii
ogromnyh vozmozhnostej dlya
soversheniya prestuplenij u
zloumyshlennikov( a takzhe u
negramotnyh pol'zovatelej, kotorye
v nekotoryh sluchayah mogut
rassmatrivat'sya kak vid
zloumyshlennikov) .
|tot razdel soderzhit kratkoe opisanie TCP/IP v ob®eme, dostatochnom dlya posleduyushchego obsuzhdeniya problem bezopasnosti, svyazannyh s Internetom. [Com91a],[Com91b],[Hunt92] i [Bel89] soderzhat gorazdo bolee podrobnoe opisanie; chitateli, kotorye hotyat poluchit' bolee glubokoe predstavlenie, dolzhny obratit'sya k etim istochnikam.
Otchasti populyarnost' steka protokolov TCP/IP ob®yasnyaetsya vozmozhnost'yu ego realizacii na baze bol'shogo chisla raznoobraznyh kanalov i protokolov kanal'nogo urovnya, takih kak T1 i H.25, Ethernet i linii RS-232. Bol'shinstvo organizacij ispol'zuet v svoih LVS Ethernet dlya ob®edineniya hostov i klientskih sistem, a zatem prisoedinyaet eti seti s pomoshch'yu T1 k regional'noj seti.( naprimer, regional'noj magistral'noj seti TCP/IP), kotoraya soedinyaet v svoyu ochered' s setyami drugih organizacij i drugimi magistral'nymi kanalami. Kak pravilo, organizacii imeyut odno soedinenie s Internetom, no bol'shie organizacii mogut imet' dva i bolee soedinenij. Skorosti modemov uvelichivayutsya po mere poyavleniya novyh kommunikacionnyh standartov, poetomu versii TCP/IP, kotorye rabotayut v srede kommutiruemyh telefonnyh kanalov, stanovyatsya vse bolee populyarnymi. Mnogie organizacii i prosto otdel'nye lyudi ispol'zuyut PPP (Point-to-Point Protocol) i SLIP(Serial Line IP) dlya podklyucheniya svoih setej i rabochih stancij k drugim setyam, ispol'zuya telefonnye kanaly.
Esli govorit' strogo, to TCP/IP - eto stek protokolov, vklyuchayushchij TCP, IP, UDP( User Datagram Protocol), ICMP( Internet Control Message Protocol), i ryad drugih protokolov. Stek protokolov TCP/IP ne sootvetstvuet modeli vzaimodejstviya otkrytyh sistem( VOS), i ego struktura pokazana na risunke 1.1
Uroven' IP poluchaet pakety, dostavlemye nizhnimi urovnyami, naprimer drajverom interfejsa s LVS, i peredaet ih lezhashchim vyshe urovnyam TCP ili UDP. I naoborot, IP peredaet pakety, poluchennye ot urovnej TCP i UDP k nizhelezhashchim urovnyam.
Pakety IP yavlyayutsya dejtagramami s negarantirovannoj dostavkoj, potomu chto IP nichego ne delaet dlya obespecheniya garantii dostavki paketov IP po poryadku i bez oshibok. Pakety IP soderzhat adres hosta, s kotorogo byl poslan paket, nazyvaemyj adresom otpravitelya, i adres hosta, kotoryj dolzhen poluchit' paket, nazyvaemyj adresom poluchatelya.
Vysokourovnevye servisy
TCP i UDP pri prieme paketa
predpolagayut, chto adres
otpravitelya, ukazannyj v pakete,
yavlyaetsya istinnym. Drugimi slovami,
adres IP yavlyaetsya osnovoj dlya
autentifikacii vo mnogih servisah;
servisy predpolagayut, chto paket byl
poslan ot sushchestvuyushchego hosta, i
imenno ot togo hosta, chej adres
ukazan v pakete. IP imeet opciyu,
nazyvaemuyu opciya marshrutizacii
istochnika, kotoraya mozhet byt'
ispol'zovana dlya dlya ukazaniya
tochnogo pryamogo i obratnogo puti
mezhdu otpravitelem i poluchatelem.
|tot put' mozhet zadejstvovat' dlya
peredachi paketa marshrutizatory ili
hosty, obychno ne ispol'zuyushchiesya dlya
peredachi paketov k dannomu
hostu-poluchatelyu. Dlya nekotoryh
servisov TCP i UDP paket IP c takoj
opciej kazhetsya prishedshim ot
poslednej sistemy v ukazannom puti,
a ne ot svoego istinnogo
otpravitelya. |ta opciya poyavilas' v
protokole dlya ego testirovaniya, no
[Bel89] otmechaet, chto marshrutizaciya
istochnika mozhet ispol'zovat'sya dlya
obmana sistem s cel'yu ustanovleniya
soedineniya s nimi teh hostov,
kotorym zapreshcheno s nimi
soedinyat'sya. Poetomu, to, chto ryad
servisov doveryayut ukazannomu
IP-adresu otpravitelya i polagayutsya
na nego pri autentifikacii, ochen'
opasno i mozhet privesti k
proniknoveniyu v sistemu.
Esli IP-pakety soderzhat inkapsulirovannye pakety TCP, programmy IP peredadut ih vverh urovnyu TCP. TCP posledovatel'no numeruet vse pakety i vypolnyaet ispravlenie oshibok, i realizuet takim obrazom virtual'nye soedineniya mezhdu hostami. Pakety TCP soderzhat posledovatel'nye nomera i podtverzhdeniya o prieme paketov, poetomu pakety, prinyatye ne v poryadke peredachi, mogut byt' pereuporyadocheny , a isporchennye pakety povtorno poslany.
TCP peredaet poluchennuyu
informaciyu prilozheniyam verhnego
urovnya, naprimer klientu ili
serveru TELNETa. Prilozheniya, v svoyu
ochered', peredayut informaciyu
obratno urovnyu TCP, kotoryj peredaet
ee nizhe urovnyu IP, posle chego ona
popadaet k drajveram ustrojstv, v
fizicheskuyu sredu i po nej
peredaetsya do hosta-poluchatelya.
Servisy s ustanovleniem
soedineniya, takie kak TELNET, FTP, rlogin, X
Windows i SMTP trebuyut nadezhnosti i
poetomu ispol'zuyut TCP. DNS ispol'zuet
TCP tol'ko v ryade sluchaev( dlya
peredachi i priema baz dannyh
domennyh imen), a dlya peredachi
informacii ob otdel'nyh hostah
ispol'zuet UDP .
Kak pokazano na risunke 1.1, UDP vzaimodejstvuet s prikladnymi programmami na tom zhe urovne, chto i TCP. Tem ne menee, on ne vypolnyaet funkcii ispravleniya oshibok ili povtornoj peredachi poteryannyh paketov. Poetomu UDP ne ispol'zuetsya v servisah s ustanovleniem soedineniya, kotorym trebuetsya sozdanie virtual'nogo kanala. On primenyaetsya v servisah tipa zapros-otvet, takih kak NFS, gde chislo soobshchenij v hode vzaimodejstviya gorazdo men'she, chem v TELNET i FTP. V chislo servisov, ispol'zuyushchih UDP, vhodyat servisy na baze RPC, takie kak NIS i NFS, NTP( protokol setevogo vremeni) i DNS(takzhe DNS ispol'zuet TCP).
Pakety UDP gorazdo proshche
poddelat', chem pakety TCP, tak kak net
etapa ustanovleniya soedineniya(
rukopozhatiya).[Ches94]. Poetomu s
ispol'zovaniem servisov na baze UDP
sopryazhen bol'shij risk.
ICMP(Protokol mezhsetevyh upravlyayushchih soobshchenij) nahoditsya na tom zhe urovne, chto i IP; ego naznachenie - peredavat' informaciyu, trebuemuyu dlya upravleniya traffikom IP. V-osnovnom, on ispol'zuetsya dlya predostavleniya informacii o putyah k hostam-poluchatelyam. Soobshcheniya ICMP redirect informiruyut hosty o sushchestvovanii bole korotkih marshrutov k drugim sistemam, a soobshcheniya ICMP unreachable ukazyvaet na nalichie problem s nahozhdeniem puti k poluchatelyu paketa. Krome togo, ICMP mozhet pomoch' korrektno zavershit' soedinenie TCP, esli put' stal nedostupen. PING yavlyaetsya shiroko rasprostranennym servisom na baze ICMP.
[Bel89] rassmatrivaet dve
problemy s ICMP: starye versii Unix
mogut razorvat' vse soedineniya
mezhdu hostami, dazhe esli tol'ko
odno iz nih stolknulos' s
problemami. Krome togo, soobshcheniya o
perenapravlenii puti ICMP mogut byt'
ispol'zovany dlya obmana
marshrutizatorov i hostov s cel'yu
zastavit' ih poverit' v to, chto host
zloumyshlennika yavlyaetsya
marshrutizatorom i pakety luchshe
otpravlyat' cherez nego. |to, v svoyu
ochered', mozhet privesti k tomu, chto
atakuyushchij poluchit dostup k
sistemam, kotorym ne razresheno
imet' soedineniya s mashinoj
atakuyushchego ili ego set'yu.
Servisy TCP i UDP ispol'zuyutsya s pomoshch'yu shemy klient-server. Naprimer, process servera TELNET vnachale nahoditsya v sostoyanii ozhidaniya zaprosa ustanovleniya soedineniya. V kakoj-nibud' moment vremeni pol'zovatel' zapuskaet process klienta TELNET, kotoryj iniciiruet soedinenie s serverom TELNET. Klient posylaet dannye serveru, tot chitaet ih, i posylaet obratno klientu otvet. Klient chitaet otvet i soobshchaet o nem pol'zovatelyu. Poetomu, soedinenie yavlyaetsya dvunapravlennym i mozhet byt' ispol'zovano kak dlya chteniya, tak i dlya zapisi.
Kak mnogo odnovremennyh soedinenij TELNET mozhet byt' ustanovleno mezhdu sistemami? Soedinenie TCP ili UDP unikal'nym obrazom identificiruetsya s pomoshch'yu chetyreh polej, prisutstvuyushchih v kazhdom soedinenii:
Port - eto programmnoe ponyatie, kotoroe ispol'zuetsya klientom ili serverom dlya posylki ili priema soobshchenij; port identificiruetsya 16-bitvym chislom. Servernye processy obychno associiruyutsya s fiksirovannym chislom, naprimer chislom 25 dlya SMTP ili 6000 dlya X Windows; nomer porta yavlyaetsya izvestnym, tak kak on trebuetsya, pomimo IP-adresa poluchatelya, pri ustanovlenii soedineniya s konkretnym hostom i servisom. Klientskie processy, s drugoj storony, zaprashivayut nomer porta u operacionnoj sistemy v nachale raboty; i nomer porta yavlyaetsya sluchajnym, hotya v nekotoryh sluchayah on yavlyaetsya sleduyushchim v spiske svobodnyh nomerov portov.
Dlya illyustracii togo, kak ispol'zuyutsya porty dlya posylki i priema soobshchenij, rassmotrim protokol TELNET. Server TELNET slushaet prihodyashchie soobshcheniya na portu 23, i sam posylaet soobshcheniya na port 23. Klient TELNET, na toj zhe ili drugoj sisteme, snachala zaprashivaet neispol'zuemyj nomer porta u OS, a zatem ispol'zuet ego pri posylke i prieme soobshchenij. On dolzhen ukazyvat' eto nomer porta, naprimer 3097, v paketah, prednaznachennyh dlya servera TELNET, chtoby etot server pri otvete na soobshchenie klienta mog pomestit' eto nomer v posylaemye im TCP-pakety. Host klienta po priemu soobshcheniya dolzhen posmotret' nomer porta v soobshchenii i reshit', kakoj iz klientov TELNET dolzhen prinyat' eto soobshchenie. |tot process pokazan na risunke 1.2
Risunok 1.2
Vzaimodejstvie pri TELNET
Sushchestvuet dostatochno rasprostranennoe pravilo, soglasno kotoromu tol'uo privilegirovannye processy servera, to est' te processy, kotorye rabotayut s privilegiyami superpol'zovatelya UNIX, mogut ispol'zovat' porty s nomerami men'she, chem 1024( tak nazyvaemye privilegirovannye porty). Servera v-osnovnom ispol'zuyut porty s nomerami men'she, chem 1024, a klienty kak pravilo dolzhny zaprashivat' neprivilegirovannye porty u OS. Hotya eto pravilo i ne yavlyaetsya obyazatel'nym dlya ispolneniya i ne trebuetsya specifikaciej protokolov TCP/IP, sistemy na osnove BSD soblyudayut ego.
V rezul'tate vsego etogo brandmauery mogut blokirovat' ili fil'trovat' dostup k sluzhbam na osnove proverki nomerov portov v TCP- i UDP-paketah i posleduyushchego propuskaniya cherez sebya ili udaleniya paketa na osnove politiki, ukazyvayushchej dostup k kakim sluzhbam razreshen ili zapreshchen. (bolee detal'no eto opisano v glave 2).
Ne vse servery i klienty
TCP i UDP ispol'zuyut porty takim
prostym sposobom, kak TELNET, no v
celom, procedura, opisannaya zdes',
polezna v kontekste brandmauera.
Naprimer, mnogie OS personal'nyh
komp'yuterov ne ispol'zuyut ponyatiya
superpol'zovatelya UNIX, no vse-taki
ispol'zuyut porty opisannym vyshe
sposobom( hotya net standarta,
trebuyushchego eto).
Kak bylo ustanovleno ranee, Internet stradaet ot ser'eznyh problem s bezopasnost'yu. Organizacii, kotorye ignoriruyut eti problemy, podvergayut sebya znachitel'nomu risku togo, chto oni budut atakovany zloumyshlennikami, i chto oni mogut stat' startovoj ploshchadkoj pri atakah na drugie seti. Dazhe te organizacii, kotorye zabotyatsya o bezopasnosti, imeyut te zhe samye problemy iz-za poyavleniya novyh uyazvimyh mest v setevom programmnom obespechenii(PO) i otsutstviya mer zashchity ot nekotoryh zloumyshlennikov.
Nekotorye iz problem
bezopasnosti v Internete -
rezul'tat nalichiya uyazvimyh mest
iz-za oshibok pri proektirovanii v
sluzhbah( i v protokolah, ih
realizuyushchih) , v to vremya kak drugie
- rezul'tat oshibok pri
konfigurirovanii hosta ili sredstv
upravleniya dostupom, kotorye ili
ploho ustanovleny ili nastol'ko
slozhny, chto s trudom poddayutsya
administrirovaniyu. Krome togo: rol'
i vazhnost' administrirovaniya
sistemy chasto upuskaetsya pri
opisanii dolzhnostnyh obyazannostej
sotrudnikov, chto pri privodit k
tomu, chto bol'shinstvo
administratorov v luchshem sluchae
nanimayutsya na nepolnyj rabochij
den' i ploho podgotovleny. |to
usugublyaetsya bystrym rostom
Interneta i haraktera
ispol'zovaniya Interneta;
gosudarstvennye i kommercheskie
organizacii teper' zavisyat ot
Interneta( inogda dazhe bol'she: chem
oni dumayut) pri vzaimodejstvii s
drugimi organizaciyami i
issledovaniyah i poetomu ponesut
bol'shie poteri pri atakah na ih
hosty. Sleduyushchie glavy opisyvayut
problemy v Internete i prichiny,
privodyashchie k ih vozniknoveniyu.
V dokazatel'stvo togo, chto opisannye vyshe ugrozy real'ny, tri gruppy incidentov imeli mesto v techenie neskol'kih mesyacev drug posle druga. Snachala, nachalos' shirokoe obsuzhdenie obnaruzhennyh uyazvimyh mest v programme UNIX sendmail( eto transportnaya pochtovaya programma na bol'shinstve hostov s Unix. |to ochen' bol'shaya i slozhnaya programma, i v nej uzhe neskol'ko raz byli najdeny uyazvimye mesta, kotorye pozvolyayut zloumyshlenniku poluchit' dostup v sistemy, v kotoryh zapushchena sendmail). Organizaciyam, kotorye ne imeli ispravlennyh versij programmy, prishlos' srochno ispravlyat' eti oshibki v svoih programmah sendmail do togo, kak zloumyshlenniki ispol'zuyut eti uyazvimye mesta dlya ataki na ih seti. Tem ne menee, iz-za slozhnosti programmy sendmail i setevogo PO v celom tri posleduyushchie versii sendmail takzhe soderzhali ryad uyazvimyh mest[CIAC94a]. Programma sendmail shiroko ispol'zovalas', poetomu organizaciyam bez brandmauerov, dlya togo chtoby ogranichit' dostup k etoj programme, prishlos' bystro regirovat' na voznikavshie problemy i obnaruzhivaemye uyazvimye mesta.
Vo-vtoryh, obnaruzhilos', chto populyarnaya versiya svobodno rasprostranyaemogo FTP-servera soderzhala troyanskogo konya, pozvolyavshego poluchit' privilegirovannyj dostup k serveru. Organizaciyam, ispol'zovavshim etot FTP-server, ne obyazatel'no zarazhennuyu versiyu, takzhe prishlos' bystro reagirovat' na etu situaciyu[CIAC94c]. Mnogie organizacii polagayutsya na horoshee kachestvo svobodnogo PO, dostupnogo v Internete, osobenno na PO v oblasti bezopasnosti s dopolnitel'nymi vozmozhnostyami po protokolirovaniyu, upravleniyu dostupom i proverke celostnosti, kotoroe ne vhodit v sostav OS, postavlyaemoj ee proizvoditelem. Hotya eto PO chasto ochen' vysokogo kachestva, organizacii mogut okazat'sya v tyazhelom polozhenii, esli v PO budut najdeny uyazvimye mesta ili s nim vozniknut drugie problemy, i dolzhny budut polagat'sya tol'ko na ego avtorov.( Spravedlivosti radi, stoit otmetit', chto dazhe PO, sdelannoe proizvoditelem OS, mozhet stradat' ot takih zhe problem i ego ispravlenie mozhet okazat'sya bolee prodolzhitel'nym).
Tret'ya problema imela samye ser'eznye posledstviya: [CERT94] i [CIAC94b] soobshchili, chto zloumyshlenniki pronikli v tysyachi sistem vo vsem Internete, vklyuchaya shlyuzy mezhdu bol'shimi setyami i ustanovili analizatory paketov dlya perehvata v setevom traffike imen pol'zovatelej i staticheskih parolej, vvodimyh pol'zovatelyami dlya podklyucheniya k setevym sistemam. Zloumyshlenniki takzhe ispol'zovali drugie izvestnye tehnologii dlya proniknoveniya v sistemy, a takzhe perehvachennye imi paroli. Odnim iz vyvodov, kotorye mozhno poetomu sdelat' yavlyaetsya to, chto staticheskie ili povtorno ispol'zuemye paroli ne dolzhny ispol'zovat'sya dlya upravleniya dostupom. Fakticheski, pol'zovatel', podklyuchayushchijsya k setevoj sisteme cherez Internet, mozhet neumyshlenno podvergnut' etu sistemu risku byt' atakovannoj zloumyshlennikami, kotorye mogli perehvatit' setevoj traffik, idushchij k etoj udalennoj sisteme.
Sleduyushchie razdely bolee
detal'no opisyvayut problemy s
bezopasnost'yu v Internete. [Garf92],
[Cur92],[ Bel89], [Ches94] i [Farm93] yavlyayutsya
knigami, gde vy najdete bolee
detal'nuyu informaciyu.
Gruppy ulazhivaniya incidentov schitayut, chto bol'shinstvo incidentov proizoshlo iz-za ispol'zovaniya slabyh, staticheskih parolej. Paroli v Internete mogut byt' "vzlomany" ryadom sposobov, no dvumya samymi rasprostranennymi yavlyayutsya vzlom zashifrovannoj formy parolya i nablyudenie za kanalami peredachi dannyh s cel'yu perehvata paketov s parolyami. OS Unix obychno hranit paroli v zashifrovannoj forme v fajle, kotoryj mozhet byt' prochitan lyubym pol'zovatelem. |tot fajl parolej mozhet byt' poluchen prostym kopirovaniem ego ili odnim iz drugih sposobov, ispol'zuemyh zloumyshlennikami. Kak tol'ko fajl poluchen, zloumyshlennik mozhet zapustit' legko-dostupnye programmy vzloma parolej dlya etogo fajla. Esli paroli slabye, to est' me'she, chem 8 simvolov, yavlyayutsya slovami, i t.d., to oni mogut byt' vzlomany i ispol'zovany dlya polucheniya dostupa k sisteme.
Drunaya problema s autentifikaciej voznikaet iz-za togo, chto nekotorye sluzhby TCP i UDP mogut autentificirovat' tol'ko otdel'nyj host, no ne pol'zovatelya. Naprimer, server NFS(UDP) ne mozhet dat' dostup otdel'nomu pol'zovatelyu na hoste, on mozhet dat' ego vsemu hostu. Administrator servera mozhet doveryat' otdel'nomu pol'zovatelyu na hoste i dat' emu dostup, no administrator ne mozhet zapretit' dostup drugih pol'zovatelej na etom hoste i poetomu avtomaticheski dolzhen predostavit' ego vsem pol'zovatelyam ili ne davat' ego voobshche.
Sleduet otmetit', chto kogda pol'zovatel' ustanovil seansa s udalennym hostom, ispol'zuya TELNET ili FTP, to parol' pol'zovatelya peredaetsya po Internetu v nezashifrovannom vide. Poetomu drugim sposobom proniknoveniya v sistemy yavlyaetsya nablyudenie za soedineniem s cel'yu perehvata IP-paketov, soderzhashchih imya i parol', i posleduyushchee ispol'zovanie ih dlya normal'nogo vhoda v sistemu. Esli perehvachennyj parol' yavlyaetsya parolem administratora, to zadacha polucheniya privilegirovannogo dostupa stanovitsya gorazdo legche. Kak uzhe ranee otmechalos', sotni i dazhe tysyachi sistem v Internete byli skomprometirovany v rezul'tate perehvata imen i parolej.
|lektronnaya pochta, a takzhe soderzhimoe seansov TELNET i FTP, mozhet perehvatyvat'sya i ispol'zovat'sya dlya polucheniya informacii ob organizacii i ee vzaimodejstvii s drugimi organizaciyami v hode povsednevnoj deyatel'nosti. Bol'shinstvo pol'zovatelej ne shifruyut pochtu, tak kak mnogie polagayut, chto elektronnaya pochta bezopasna i s ee pomoshch'yu mozhno peredavat' kriticheskuyu informaciyu.
Sistema X Windows,
stanovyashchayasya vse bolee populyarnoj,
takzhe uyazvima perehvatu dannyh. X
pozvolyaet otkryvat' neskol'ko okon
na rabochej stancii dlya raboty s
graficheskimi i mul'timedijnymi
prilozheniyami( naprimer,
WWW-brauzerom Netscape). Zloumyshlenniki
mogut inogda otkryvat' okna na
drugih sistemah i perehvatyvat'
tekst, nabiraemyj na klaviature,
kotoryj mozhet soderzhat' paroli i
kriticheskuyu informaciyu.
Kak uzhe otmechalos' v chasti 1.2.1, predpolagaetsya, chto IP-adres hosta pravil'nyj, i sluzhby TCP i UDP poetomu mogut doveryat' emu. Problema zaklyuchaetsya v tom, chto isol'zuya marshrutizaciyu IP-istochnika , host atakuyushchego mozhet zamaskirovat'sya pod doverennogo hosta ili klienta. Korotko govorya, marshrutizaciya IP-istochnika - eto opciya, s pomoshch'yu kotoroj mozhno yavno ukazat' marshrut k naznacheniyu i put', po kotoromu paket budet vozvrashchat'sya k otpravitelyu. |to put' mozhet vklyuchat' ispol'zovanie drugih marshrutizatorov ili hostov, kotorye v obychnyh usloviyah ne ispol'zuyutsya pri peredache paketov k naznacheniyu. Rassmotrim sleduyushchij primer togo, kak eto mozhet byt' ispol'zovano dlya maskirovki sistemy atakuyushchego pod doverennyj klient kakogo-to servera: