ICND1_Vol1_RUS

Открытые сети

Сегодня корпоративным сетям требуется доступ в Интернет и другие сети общего пользования. Достаточно часто корпоративные сети имеют несколько точек доступа к сетям общего пользования и другим частным сетям. Обеспечение безопасности открытых сетей крайне важно.

Средства атак: увеличение опасности и упрощение

использования

На графике проиллюстрировано, как совершенствование хакерских средств в сочетании с упрощением их использования привело к увеличению угроз для открытых сетей.

За последние 20 лет с развитием крупных открытых сетей значительно возросли угрозы безопасности. Хакеры выявляют в сетях все больше уязвимых мест, а использование хакерских средств требует все меньше специальных навыков. Теперь можно загрузить приложения, для использования которых не нужны или почти не нужны специальные знания о взломе программ. Даже приложения, созданные для поиска и устранения неисправностей в сетях, а также для их технического обслуживания и оптимизации, в плохих руках могут использоваться с преступными намерениями и представлять серьезную угрозу.

Разумный учет требований сетевой безопасности

В этом разделе описывается задача поиска компромисса между требованиями безопасности сети и процессами электронного бизнеса, юридическими вопросами и государственными правилами.

Задачи электронного бизнеса

Расширение доступа; возрастание рисков безопасности

Основная задача безопасности состоит в поиске разумного компромисса между двумя важными требованиями: открытость сетей для поддержания растущих требований бизнеса и свободы распространения информации с одной стороны и защита конфиденциальной, личной и стратегической корпоративной информации с другой.

На первый план в процессе внедрения сетей и управления ими вышла проблема безопасности. Для выживания многих компании необходим открытый доступ к сетевым ресурсам, но при этом они должны максимально обезопасить данные и ресурсы. Рост значимости электронной коммерции и необходимость передачи конфиденциальной информации по потенциально небезопасным сетям общего пользования увеличивают потребность в разработке и внедрении общекорпоративной политики сетевой безопасности. Первым шагом на пути к созданию безопасной инфраструктуры сети должно стать создание политики сетевой безопасности.

Благодаря Интернету компании получают возможность построить более тесные взаимоотношения с клиентами, поставщиками, партнерами и сотрудниками. Электронная коммерция требует от компаний большей гибкости и конкурентоспособности. Благодаря этому создаются новые приложения для электронной коммерции, управления цепями поставок, обслуживания заказчиков, оптимизации рабочей силы и электронного обучения. Эти приложения оптимизируют и улучшают процессы, снижают издержки, одновременно улучшая время обработки заказа и степень удовлетворенности заказчиков.

Когда сетевые администраторы предприятия открывают сети для большего числа пользователей и приложений, они подвергают сети большему риску. В результате растут требования к безопасности бизнеса. Фундаментальным компонентом любой стратегии электронного бизнеса должна стать безопасность.

Электронный бизнес требует создания сетей с учетом их назначения, которые могут поддержать постоянный рост числа покупателей и постоянно растущие требования к производительности и качеству работы. Кроме того, они должны обрабатывать голостовой трафик, видео и данные, так как сети имеют тенденцию к переходу на обслуживание мультисервисного окружения.

Злоумышленники, их мотивы и классификация атак

В этом разделе описываются злоумышленники, действующие в сети, их мотивы и классы атак.

Злоумышленники, их мотивы и классификация атак

Для защиты от атак, направленных на информацию и информационные системы, организации должны определить угрозу с точки зрения следующих трех понятий.

Злоумышленники. До 1980-х годов всех людей, обладающих высоким уровнем навыков программирования, называли «хакерами». Со временем стало важно различать, используют ли программисты свои навыки ответственно или

злонамеренно и преступно. Многие представители первой группы утверждают, что программистов из второй группы следует называть не хакерами, а «взломщиками», но это слово не прижилось. Добропорядочные программисты известны в сфере компьютерной безопасности как «белые шляпы» (английский термин обозначает положительного героя вестерна), а программистов с преступными намерениями называют «черные шляпы». Менее опытных взломщиков-злоумышленников часто называют «хакерами-дилетантами». К другим потенциальным злоумышленникам относятся националисты, террористы, преступники, сотрудники, недовольные действиями руководства компании, и конкуренты компании.

Преступные мотивы. Злоумышленники могут руководствоваться такими мотивами, как сбор разведывательной информации, кража интеллектуальной собственности, отказ в обслуживании (DoS), создание проблем компании или заказчикам или желание удовлетворить собственным нуждам.

Классы атак. Атаки могут принимать такие формы, как отслеживание сеансов связи, активные атаки на сети, атаки с близкого расстояния (при получении физического доступа), атаки изнутри сети и распределенные атаки посредством удаленного доступа.

Информационные системы и сети являются привлекательными целями, поэтому они должны быть защищены от атак со стороны всех возможных злоумышленников, от хакеров до националистов. В системе должны быть предусмотрены средства ограничения ущерба и быстрого восстановления в случае атаки.

Классы атак

Можно выделить пять классов атак.

Пассивная. К пассивным атакам относится анализ трафика, отслеживание незащищенных сеансов обмена данными, расшифровка плохо зашифрованного трафика и перехват данных аутентификации (например, паролей). Пассивный перехват сетевых операций позволяет злоумышленникам спланировать будущие действия. Пассивные атаки позволяют злоумышленнику получить доступ

кинформации или файлам данных незаметно для пользователя или без его согласия. Примеры таких атак: раскрытие личной информации ( номер кредитной карты или данные о состоянии здоровья).

Активная. К активным атакам относятся попытки обойти или нарушить средства защиты, внедрить злонамеренный программный код, украсть или изменить информацию. Эти атаки нацелены на магистраль сети, они включают расшифровку информации в процессе ее передачи, электронное проникновение в закрытые области или атаку на авторизированного удаленного пользователя, когда он пытается подключиться к закрытой области. Активные атаки приводят

краскрытию и распространению файлов данных, отказу в обслуживанию или модификации данных.

С близкого расстояния. При атаках с близкого расстояния группа лиц находится в непосредственной близости от сетей, систем или технических средств с целью изменения и сбора информации, либо для провокации отказа в доступе

кинформации. Непосредственная физическая близость к сети достигается путем тайного проникновения в сеть, открытого доступа или сочетания обоих методов.

Внутренняя. Внутренние атаки могут быть злонамеренными или случайными. Злонамеренные внутренние пользователи намеренно перехватывают, воруют или повреждают информацию, используют информацию с целью мошенничества или отказывают в доступе другим авторизированным пользователям. Случайные атаки обычно являются результатом беспечности, отсутствия знаний или намеренного обхода системы безопасности для выполнения задания.

Распределенная. Распределенные атаки нацелены на злонамеренную модификацию аппаратного или программного обеспечения во время производства и распространения. Во время таких атак злонамеренный программный код (черный ход) внедряется в продукт для получения неавторизованного доступа к информации или функциям системы на будущее.

Уменьшение основных угроз

Часто угрозу безопасности сети представляет неверная или неполная установка сетевых устройств, причем эта угроза часто оставляется без внимания и приводит к печальным последствиям. Невозможно предотвратить преднамеренное или даже случайное повреждение сети в результате плохо проведенной установки только программными средствами безопасности. В этом разделе описано, как можно уменьшить общие угрозы безопасности для маршрутизаторов и коммутаторов Cisco.

Типовые угрозы

Для физических устройств

–Угрозы для аппаратного обеспечения

–Угрозы со стороны окружающей среды

–Электрические угрозы

–Эксплуатационные угрозы

Разведка: получение информации о конкретной сети

сиспользованием доступной информации и приложений

С целью получения доступа: атака на сети или системы по следующим мотивам:

–Получение данных

–Получение доступа

–Расширение привилегий доступа

Атака путем подбора пароля: хакеры используют различные инструменты для взлома паролей

Физические устройства

Следующие угрозы считаются физическими:

Угрозы аппаратного обеспечения. Это угрозы физического повреждения аппаратной части маршрутизатора или коммутатора. Сетевое оборудование Cisco, предназначенное для решения ответственных задач, следует располагать в коммутационных отсеках или в компьютерных залах, соответствующих следующим минимальным требованиям.

—Помещение должно запираться, и доступ к нему должен иметь только уполномоченный персонал.

—К помещению не должно быть доступа через подвесной потолок, фальшпол, окна, воздуховоды или любую другую точку, кроме защищенного входа.

—По возможности используйте электронный контроль доступа, причем все попытки входа должны заноситься системой безопасности в журнал и отслеживаться службой безопасности.

—По возможности сотрудники службы безопасности должны контролировать происходящее в помещении с использованием камер слежения с автоматической записью.

Угрозы со стороны окружающей среды. К ним относятся такие угрозы, как предельные температуры (слишком высокие или слишком низкие) или крайние значения влажности (слишком низкая или слишком высокая). Для предотвращения повреждения сетевых устройств Cisco по условиям окружающей среды предпримите следующие шаги.

—Установите в помещении надежную систему контроля температуры

ивлажности. Всегда проверяйте рекомендуемые параметры окружающей среды для всего сетевого оборудования Cisco в документации по изделию, поставляемой в комплекте с ним.

—Удалите из помещения все источники электростатических и магнитных помех.

—По возможности дистанционно отслеживайте параметры окружающей среды в помещении и предусмотрите подачу предупреждающего сигнала.

Электрические угрозы. К ним относятся такие угрозы как всплески напряжения, недостаточное напряжение в сети (провалы напряжения), колебания напряжения (шум) и полное отключение питания. Проблемы электропитания можно свести к минимуму, выполняя следующие рекомендации.

—Установите системы бесперебойного питания для критически важных сетевых устройств Cisco.

—Установите аварийный генератор электрического тока для критически важного оборудования.

—Планируйте и выполняйте регулярные процедуры тестирования и технического обслуживания систем бесперебойного питания и генераторов с учетом предложенного производителем расписания профилактического обслуживания.

—Установите для важных устройств избыточные системы электропитания.

—Отслеживайте все параметры, связанные с электропитанием, на уровне источника питания и на уровне устройства, и предусмотрите подачу предупреждающего сигнала.

Эксплуатационные угрозы. К эксплуатационным угрозам относится неправильное обращение с основными электронными компонентами, отсутствие важных запасных частей, плохая прокладка кабеля, небрежная маркировка и т. д. Эксплуатационные угрозы образуют большую группу, которая охватывает множество ситуаций.

Для предотвращения эксплуатационных угроз выполняйте общие правила, перечисленные ниже.

—Все кабели оборудования должны иметь четкую маркировку и крепиться на стойках с оборудованием для предотвращения случайного повреждения, отключения или нештатного прерывания.

—Используйте кабелепроводы и направляющие для прокладки кабеля между стойкой и потолком или между стойками.

—При замене внутренних компонентов маршрутизаторов и коммутаторов или при работе с ними всегда следуйте процедурам по предотвращению электростатического разряда.

—Храните запас важных запчастей для аварийных ситуаций.

—Не оставляйте консоль, если она подключена к любому консольному порту

изарегистрирована на нем. Покидая станцию, всегда выполняйте выход из интерфейса администратора.

—Помните, что закрытость помещений не может быть единственной необходимой защитой устройств. Всегда помните, что ни одна комната не может обеспечить полную безопасность. Когда злоумышленники окажутся в защищенном помещении, ничто не сможет помешать им подключить терминал к консольному порту маршрутизатора или коммутатора Cisco.

Разведка

Разведка – это неавторизированное исследование и составление схемы систем, служб или уязвимых мест. Разведка также известна как сбор информации и в большинстве случаев предшествует фактической атаке доступа или DoS-атаке. Обычно злоумышленник сначала проводит эхо-тестирование сети для определения действующих IP-адресов. Затем он определяет какие службы или порты активны на этих действующих IP-адресах. На основе этой информации злоумышленник посылает запрос на порты для определения типа и версии приложения и операционной системы, установленных на целевом хосте.

Разведка в какой-то степени аналогична тому, как воры исследуют район и ищут наиболее уязвимые дома (например, дома без жильцов или дома, в которых можно легко открыть дверь или окно). Во многих случаях злоумышленники ищут уязвимые службы, которые можно использовать в своих целях позднее, когда вероятность незамеченной атаки повысится.

Получение доступа

При проведении атак с целью получения доступа используются известные уязвимые места в службах аутентификации, службах FTP и сетевых службах для получения доступа к учетным записям в сети, конфиденциальным базам данных и другой защищаемой информации.

Атаки подбором пароля

«Атакой подбора пароля» называют многократные попытки вычислить учетную запись пользователя, пароль или то и другое. Эти многократные попытки называются «переборным криптоанализом». Атаки подбором пароля также осуществляются с использованием других методов, например, программ типа «троянский конь», фальсификации IP-адреса и анализа пакетов.

Риск нарушения безопасности возникает, когда пароли хранятся в незашифрованном виде. Для устранения рисков необходимо шифровать пароли. В большинстве систем пароли обрабатываются алгоритмом шифрования, в результате чего для паролей генерируется односторонняя хэш-функция. Из одностороннего хэша невозможно получить исходный текст. Большинство систем не дешифруют сохраненный пароль во время аутентификации: они хранят одностороннюю хэш-функцию. При входе в систему вводится учетная запись и пароль, и алгоритм шифрования пароля генерирует одностороннюю хэш-функцию. Алгоритм сравнивает эту хэш-функцию с хэш-функцией, сохраненной в системе. Если они совпадают, алгоритм делает вывод, что пользователь ввел правильный пароль.

Помните, что при обработке пароля этим алгоритмом получается хэш пароля. Хэш это не зашифрованный пароль, а результат работы алгоритма. Преимущество хэша заключается в том, что значение хэша можно восстановить только при наличии сведений об исходном пользователе и пароле, а получение исходной информации из хэша невозможно. Это преимущество делает использование хэшей идеальным для хранения паролей. При выполнении авторизации сравниваются и вычисляются не пароли, а их хэши.

Снижение угрозы атаки подбора пароля

Ниже приведены методы уменьшения воздействия атак подбора пароля:

Не позволяйте пользователям применять один пароль в разных системах.

Отключайте учетные записи после определенного числа неудавшихся попыток входа в систему.

Не используйте незашифрованные пароли.

Используйте «сильные» пароли (например, «mY8!Rthd8y» вместо «mybirthday»).

Для уменьшения угроз атак с подбором пароля можно использовать следующие рекомендации.

Не позволяйте пользователям применять одинаковый пароль в разных системах. Большинство пользователей применяет один пароль для доступа ко всем системам, включая личные системы.

Отключайте учетные записи после некоторого числа неудавшихся попыток входа в систему. Это помогает предотвратить попытки подбора пароля.

Не используйте незашифрованные пароли. Используйте либо одноразовые пароли, либо зашифрованные пароли.

Используйте «сильные» пароли. Сильные пароли состоят по меньшей мере из восьми символов и содержат заглавные и прописные буквы, цифры и специальные символы. Многие современные системы время поддерживают сильные пароли и могут потребовать от пользователя использования только такого пароля.