АНАЛИЗ ВОЗМОЖНОСТЕЙ МАРШРУТИЗАЦИИ И ПРОКСИ-СЕРВЕРОВ
В политике безопасности должно быть отражено, может ли МЭ маршрутизировать пакеты или они должны передаваться прокси-серверам. Тривиальным случаем МЭ является маршрутизатор, который может выступать в роли устройства для фильтрации пакетов. Все, что он может – только маршрутизировать пакеты. А прикладные шлюзы, наоборот, не могут быть сконфигурированы для маршрутизации трафика между внутренним ивнешним интерфейсами МЭ, так как это может привести к обходу средств защиты. Все соединения между внешними и внутренними хостами должны проходить через прикладные шлюзы (прокси-сервера).
Маршрутизация источника
Маршрутизация источника – это механизм маршрутизации, посредством которого путь к машине-получателю пакета определяется отправителем, а не промежуточными маршрутизаторами. Маршрутизация источника, в основном, используется для устранения проблем в сетях, но также может быть использована для атаки на хост. Если атакующий знает, что ваш хост доверяет какому-нибудь другому хосту, то маршрутизация источника может быть использована для создания впечатления, что пакеты атакующего приходят от доверенного хоста. Поэтому из-за такой угрозы безопасности маршрутизато ры с фильтрацией пакетов обычно конфигурируются так, чтобы отвергать пакеты с опцией маршрутизации источника. Поэтому сайт, желающий избежать проблем с маршрутизацией источника, обычно разрабатывает политику, в которой их маршрутизация запрещена.
|
|
|
Фальсификация IP-адреса
Фальсификация IP-адреса имеет место, когда атакующий маскирует свою машину под хост в сети объекта атаки (то есть пытается заставить цель атаки думать, что пакеты приходят от доверенной машины во внутренней сети). Политика в отношении маршрутизации пакетов должна быть четкой, чтобы можно было корректно построить обработку пакетов, если есть проблемы с безопасностью. Необходимо объединить аутентификацию на основе адреса отправителя с другими способами, чтобы защитить вашу сеть от атак подобного рода.
ТИПЫ МЕЖСЕТЕВЫХ ЭКРАНОВ
Существует несколько различных реализаций брандмауэров, которые могут быть созданы разными путями. Далее будет приведена краткая характеристика нескольких архитектур брандмауэров и их применимость к средам с низким, средним и высоким рискам.
Межсетевые экраны с фильтрацией пакетов используют маршрутизаторы с правилами фильтрации пакетов для предоставления или запрещения доступа на основе адреса отправителя, адреса получателя и порта. Они обеспечивают минимальную безопасность за низкую цену, и это может оказаться приемлемым для среды с низким риском. Они являются быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко админи стрировать, но имеется ряд средств для упрощения задачи создания и поддержания правил.
|
|
|
Шлюзы с фильтрацией имеют свои недостатки, включая следующие:
· адреса и порты отправителя и получателя, содержащиеся в заголовке IP-пакета, – единственная информация, доступная маршрутизатору при принятии решения: разрешать или запрещать доступ трафика во внутреннюю сеть;
· они не защищают от фальсификации IP- и DNS-адресов;
· атакующий получит доступ ко всем хостам во внутренней сети после того, как ему был предоставлен доступ МЭ;
· усиленная аутентификация пользователя не поддерживается некоторыми шлюзами с фильтрацией пакетов;
· практически отсутствуют средства протоколирования доступа к сети.
Прикладные шлюзы.
Прикладной шлюз использует программы (называемые прокси-серверами), запускаемые на МЭ. Эти прокси-сервера принимают запросы извне, анализируют их и пере дают безопасные запросы внутренним хостам, которые предоставляют соответствующие сервисы. Прикладные шлюзы могут обеспечивать такие функции, как аутентификация пользователей и протоколирование их действий.
|
|
|
Прикладной шлюз считается самым безопасным типом МЭ. При этом он имеет ряд преимуществ:
− может быть сконфигурирован как единственный хост, видимый из внешней сети, что потребует осуществлять все внешние соединения через него;
− использование прокси-серверов для различных сервисов предотвращает прямой доступ к этим сервисам, защищая от атак небезопасные или плохо сконфигурированные внутренние хосты;
− с помощью прикладных шлюзов может быть реализована усиленная аутентификация;
− прокси-сервера могут обеспечивать детальное протоколирование на прикладном
уровне.
Межсетевые экраны прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим от МЭ. Таким образом будет запрещен прямой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN, и т.д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер на МЭ.
Прикладные шлюзы требуют прокси-сервера для каждого сервиса, такого как FTP, HTTP и т.д., поддерживаемого МЭ. Когда требуемый сервис не поддерживается прокси, у организации имеется три варианта действий:
|
|
|
• отказаться от использования этого сервиса, пока производитель брандмауэра не разработает для него безопасный прокси-сервер (многие новые сервисы имеют большое число уязвимых мест);
• разработать свой прокси – это достаточно сложная задача и должна решаться только техническими организациями, имеющими соответствующих специалистов;
• пропустить сервис через МЭ – большинство МЭ с прикладными шлюзами позволяет пропускать большинство сервисов с минимальной фильтрацией пакетов.
Низкий риск. Когда для входящих сервисов внешней сети нет прокси-сервера, но требуется пропускать его через МЭ, администратор МЭ должен использовать конфигурацию или «заплатку», которая позволит использовать требуемый сервис.
Средний-высокий. Все входящие сервисы внешней сети должны обрабатываться прокси-сервером на МЭ. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель МЭ не разработает для него прокси-сервер и он не будет протестирован администратором МЭ. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.
Гибридные или сложные шлюзы
Гибридные шлюзы объединяют в себе два описанных выше типа МЭ и реализуют их последовательно, а не параллельно. Если они соединены последовательно, то общая безопасность увеличивается, с другой стороны, если их использовать параллельно, то общая безопасность системы будет равна наименее безопасному из используемых методов. В средах со средним и высоким риском гибридные шлюзы могут оказаться идеальной реализацией.
Прежде чем приступить к изучению видов угроз, разберемся, почему вообще возможно появление угроз информационной безопасности, ту почву, на которой у людей со злым умыслом или у случайных нарушителей появляется возможность наносить ущерб ИС. Т.е. без существования этих причин, злоумышленник, даже при желании не смог бы создать угрозу.
Существует три основные причины возникновения угроз ИБ.
Технологические недостатки. Каждая компьютерная технология изначально имеет свои проблемы защиты.
Недостатки конфигурации. Даже самая надежная технология защиты может быть неправильно реализована или использована, результатом чего может оказаться появление проблем защиты.
Недостатки политики защиты. Неподходящая или неправильно реализуемая политика защиты может сделать уязвимой даже самую лучшую технологию защиты.
Рассмотрим эти причины более подробно.
Технологические недостатки.
Компьютерные и сетевые технологии имеют свои внутренние проблемы защиты.
Недостатки TCP/IP.
Протокол TCP/IP разрабатывался как открытый стандарт, чтобы упростить связь в сети. Службы, средства и утилиты, построенные на его основе, тоже разрабатывались с целью поддержки открытых коммуникаций. Некоторые особенности TCP/IP, характеризующие его уязвимость. Заголовки пакетов IP, TCP и UDP и их содержимое могут быть прочитаны, изменены и посланы повторно так, чтобы это не было обнаружено, команда telnet является мощным средством, предоставляющим пользователю возможность доступа ко многим утилитам и службам Internet, которые иначе оказываются недоступными. Используя telnet и указывая номер порта вместе с именем хоста, хакеры могут начать интерактивный диалог с сервисами, которые считаются недостаточно защищенными.
Недостатки ОС.
Каждая ОС тоже имеет свои проблемы защиты. Каждый поставщик или разработчик ОС имеет информацию об известных проблемах защиты и методах их решения. Но, наверняка, существует немало проблем защиты ОС, которые еще предстоит обнаружить.
К самым распространенным недостаткам ОС можно отнести: недостаточную защиту паролей, использование плохо защищенных сетевых протоколов, недостаточная защищенность системных файлов от изменений, неоптимальная работа с оперативной памятью.
Недостатки сетевого оборудования.
Сетевое оборудование любого производителя имеет свои недостатки защиты. Примерами таких недостатков являются ненадлежащая защита пароля, отсутствие средств аутентификации, незащищенность протоколов маршрутизации, бреши брандмауэров и т.д.
Недостатки конфигурации.
Возникают вследствие неправильной конфигурации компьютера или сетевого оборудования.
Несколько примеров:
Недостаточная защита, обеспечиваемая установками по умолчанию. Установки по умолч. многих продуктов оставляют открытые бреши в системе защиты. Пример: изначальные настройки авторизации и SNMP на Cisco.
Неправильная конфигурация сетевого оборудования. Например, неправильная структура списков доступа, протоколов маршрутизации и т.д.
Незащищенные учетные записи пользователей. Если инф-я об учетных записях пользователей передается по сети открыто, это дает возможность использовать имена польз. и пароли злоумышленникам.
Учетные записи пользователей, имеющих слишком простые пароли.
Неправильная настройка служб Internet. Общей проблемой является применение Java в обозревателях Web, что открывает возможность для атак внедрения вредоносных аплетов Java.
Дата добавления: 2018-05-12; просмотров: 579; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!