Безопасность в интернете

 

Но всегда должна оставаться частичка разума . Нужно понимать , и собственно говоря , это понятно , что абсолютной защиты не существует . С развитием средств защиты , развиваются и средства ёё преодоления , и не всегда передовые разработки в сфере защиты поспевают за гонкой наступательных средств .

 

Необходимо соблюдать  баланс интересов , и только тогда  , когда защита сможет сочетать с себе мобильность , низкую затратность , не в ущерб безопасности и функциональности , такая защита будет функционировать .

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

4-ая глава. Уровень опасности.

 

Существует несколько  путей свести на нет либо подвергнуть  риску cетевую  защиту. И хотя они все плохи, о некоторых можно с уверенностью говорить как о самых неприятных. Как говорят у нас в России - ,, Из двух зол выбирают меньшее ‘’ , англичане же говорят - ,, Из двух зол вообще выбирать не приходиться ‘’ . Это было небольшое лирическое отступление , вернемся же к проблеме сетевых рисков .

 

Исходя из того, что основной  целью установки  большинства брандмауэров является блокирование доступа, очевидно, что  обнаружение   кем-либо лазейки, позволяющей  проникнуть в систему, ведет к  полному краху всей защиты данной системы. Если же несанкционированному пользователю удалось проникнуть в брандмауэр и переконфигурировать его, ситуация может принять еще более угрожающий характер.

 

В целях разграничения  терминологии примем, что в первом случае мы имеем дело со взломом брандмауэрной защиты, а во втором — с полным ее крахом. Степень ущерба, который может повлечь за собой разрушение брандмауэрной защиты - фатальна. Наиболее полные сведения о надежности такой защиты может дать только информация о предпринятой попытке взлома, собранная этим брандмауэром. Самое плохое происходит с системой защиты именно тогда, когда при полном разрушении брандмауэра не остается ни малейших следов, указывающих на то, как это происходило. В лучшем же случае ,, сетевой щит ‘’ сам выявляет попытку взлома и вежливо информирует об этом администратора. Попытка при этом обречена на провал.

 

Один из способов определить результат попытки взлома брандмауэрной защиты — проверить состояние вещей в так называемых зонах риска. Если сеть подсоединена к Internet без брандмауэра, объектом нападения станет вся сеть. Такая ситуация сама по себе не предполагает, что сеть становится уязвимой для каждой попытки взлома. Однако если она подсоединяется к общей небезопасной сети, администратору придется обеспечивать безопасность каждого узла отдельно.  В случае образования бреши в брандмауэре зона риска расширяется и охватывает всю защищенную сеть.

 

Хакер , получивший доступ к входу в файрвол, может  прибегнуть к методу "захвата  островов" и, пользуясь им как  базой, охватить всю локальную сеть. Подобная ситуация все же даст слабую надежду, ибо нарушитель может ,, наследить ‘’ , и его можно будет разоблачить. Если же брандмауэр полностью выведен из строя, локальная сеть становится открытой для нападения из любой внешней системы, и определение характера этого нападения становится практически невозможным.

 

В общем, вполне возможно рассматривать брандмауэр как средство сужения зоны риска  до одной точки повреждения. В  определенном смысле это может показаться совсем не такой уж удачной идеей, ведь такой подход напоминает складывание яиц в одну корзину. Однако практикой подтверждено, что любая довольно крупная сеть включает, по меньшей мере, несколько узлов, уязвимых при попытке взлома даже не очень сведущим нарушителем, если у него достаточного для этого времени. Многие крупные компании имеют на вооружении организационную политику обеспечения безопасности узлов, разработанную с учетом этих недостатков. Однако было бы не слишком разумным целиком полагаться исключительно на правила. Именно с помощью брандмауэра можно повысить надежность узлов, направляя нарушителя в такой узкий тоннель, что появляется реальный шанс выявить и выследить его, до того как он наделает бед. Подобно тому, как средневековые замки обносили несколькими стенами, в нашем случае создается взаимоблокирующая защита.

 

Исходя  из предыдущих 2-х глав сделаем несколько выводов :

 

1. Во-первых , любая защита может быть пусть не уничтожена , но пробита . Это лишь вопрос времени . Поэтому в настоящее время ведущими разработчиками такими как Лаборатория Касперского и Доктор Вэб , не прекращаются работы по усовершенствованию защиты , представляемые их продуктами .

 

Кибертерроризм  бросает нам вызов , от того насколько мы будет подготовлены к встрече с ним зависит очень многое . Как гласит народная мудрость - ,, Кто не хочет кормить собственную армию , будет кормить чужую ‘’ .

    

 

2. Во-вторых, наиболее эффективная система защиты имеет эшелонированный характер
3. И ещё надо помнить главный принцип обеспечения любого вида безопасности - ,, Лучше переоценить угрозу , чем не дооценить ёё ‘’.

 
 
 
 
 
 
 
 
 
 
 
 

5-ая глава. Почему сетевой экран?

 

Развитие глобальной сети продолжает поражать масштабами и возможностями этой сети , которые попали в руки не только благочестивых людей , но и злоумышленников .Через Internet ,, не желанный гость ‘’ может:

• вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации,
• незаконно скопировать важную и ценную для предприятия информацию,
• получить пароли, адреса серверов, а подчас и их содержимое,
• входить в информационную систему предприятия под именем зарегистрированного пользователя и т.д.

С помощью полученной злоумышленником информации может  быть серьезно подорвана конкурентоспособность  предприятия и доверие его  клиентов.

Существует много  видов защиты в сети, но наиболее  эффективный способ защиты объекта от нападения, одновременно позволяющий  пользователям иметь некоторый  доступ к службам Internet, заключается в построении брандмауэра. Чтобы брандмауэр был достаточно эффективным, необходимо тщательно выбрать его конфигурацию, установить и поддерживать.

 

Брандмауэры ( они же файрволы ) представляют собой аппаратно - программный подход, который ограничивает доступ за счет принудительного прокладывания всех коммуникаций, идущих из внутренней сети в Internet, из Internet во внутреннюю сеть, через это средство защиты. Брандмауэры позволяют также защищать часть вашей внутренней сети от остальных её элементов. Аппаратные средства и программное обеспечение, образующие брандмауэр, фильтруют весь трафик и принимают решение: можно ли пропустить этот трафик – электронную почту, файлы, дистанционную регистрацию и другие операции. Организации устанавливают конфигурацию брандмауэров разными способами. На некоторых объектах брандмауэры полностью блокируют доступ в Internet и из неё, а на других ограничивают доступ таким образом, что только одна машина или пользователь может соединяться через Internet  с машинами за пределами внутренней сети.

 

Иногда реализуются  более сложные правила, которые  включают  проверку каждого сообщения, направленного из внутренне сети  во внешнюю, чтобы убедится в соответствии  конкретным требованиям стратегии  обеспечения безопасности  на данном объекте. Несмотря на эффективность  в целом, брандмауэр  не обеспечивает защиту от собственного персонала или  от злоумышленника, уже преодолевшего  это средство сетевой защиты.

 

Именно поэтому  , как я уже упомянул , система защиты должна носить эшелонированный характер , на разных этапах которой злоумышленник встретит разный уровень сопротивения .

6-ая глава .Основные компоненты межсетевых экранов.

Большинство компонентов межсетевых экранов  можно отнести к одной из трех категорий:

• фильтрующие маршрутизаторы;
• шлюзы сетевого уровня;
• шлюзы прикладного уровня.

 

Эти категории  можно рассматривать как базовые для большинства  существующих межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые

возможности, отличающие межсетевые экраны друг от друга.

 

Рассмотрим же по порядку эти компоненты , начнем с фильтрующих маршрутизаторов .

6.1.Фильтрующие маршрутизаторы

Фильтрующий маршрутизатор  представляет собой работающую на сервере  программу, сконфигурированные таким образом, чтобы фильтровать входящее и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов .

 

Фильтрующие маршрутизаторы  обычно могут фильтровать IP-пакет на основе группы следующих полей заголовка пакета:

• IP- адрес отправителя (адрес системы, которая выслала пакет);
• IP-адрес получателя (адрес системы принимающий пакет);
• Порт отправителя (порт соединения в системе отправителя );
• Порт получателя (порт соединения в системе получателя );

 

Порт  – это программное понятие, которое используется клиентом или

сервером  для посылки или приема сообщений; порт идентифицируется 16 – битовым  числом.

 

Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса пришел пакет, и затем используют эту информацию как

дополнительный  критерий фильтрации.

Фильтрация может  быть реализована различным образом  для  блокирования 

соединений  с  определенными  хост-компьютерами или портами.

Например, можно  блокировать соединения, идущие от конкретных адресов

тех хост-компьютеров  и сетей, которые считаются враждебными или ненадежными.

 

Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам обеспечивает большую гибкость. Если межсетевой экран cпособен блокировать соединения TCP или UDP с определенными портами или от них, то можно реализовать политику безопасности, при которой некоторые виды соединений устанавливаются только с конкретными хост-компьютерами , что свою очередь воспрепятствует ,, просачиванию ‘’ конфедециальной информации все границы сети .

 

Например, внутренняя сеть может блокировать все входные соединения со всеми хост-компьютерами за исключением нескольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и TELNET или FTP -для другой). При фильтрации по портам TCP и UDP эта политика может быть реализована фильтрующим маршрутизатором или хост-компьютером с возможностью фильтрации пакетов.

 

В качестве примера  работы фильтрующего маршрутизатора приведу следующую ситуацию.

Допустим, что на предприятии существует политика безопасности, допускающей определенные соединения с внутренней сетью с адресом 123.4.*.* Соединения TELNET разрешаются только с одним хост-компьютером с адресом 123.4.5.6, который может быть прикладным TELNET-шлюзом, а SMTP-соединения - только с двумя хост-компьютерами с адресами 123.4.5.7 и 123.4.5.8, которые могут быть двумя шлюзами электронной почты. Обмен по NNTP (Network News Transfer Protocol) разрешается только от сервера новостей с адресом 129.6.48.254 и только с NNTP-сервером сети с адресом 123.4.5.9, а протокол NTP (сетевого времени)-для всех хост-компьютеров. Все другие серверы и пакеты блокируются.

 

Первое правило  позволяет пропускать пакеты TCP из сети Internet от любого источника с номером порта большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET, а все клиенты TELNET должны иметь непривилегированные порты с номерами не ниже 1024.

 

Второе и третье правила работают аналогично и разрешают передачу пакетов к получателям с адресами 123.4.5.7  и 123.4.5.8 в порт 25, используемый SMTP.

 

Четвертое правило позволяет пропускать пакеты к NNTP-серверу сети, но только от отправителя с адресом 129.6.48.254 к получателю с адресом 123.4.5.9 с портом назначения 119 (129.6.48.254 -единственный NNTP-сервер, от которого внутренняя сеть получает новости, поэтому доступ к сети для выполнения протокола NNTP ограничен только этой системой).