2. Средства защиты от удаленных атак

В настоящий момент среди средств предотвращения удаленных атак наиболее широкое распространение получили такие системы как межсетевые экраны (МЭ) и сетевые мониторы безопасности. Межсетевой экран предназначен для фильтрации сетевого трафика. Сетевой монитор безопасности – это средство, предназначенное для обнаружения сетевых атак. Лидером в производстве МЭ является компания CISCO, сетевых мониторов безопасности – фирма ISS (Internet Security Systems).

Необходимо заметить, что компания CISCO производит МЭ как отдельное устройство. Существуют также и такие МЭ, которые представляют собой программный продукт, устанавливаемый на обыкновенный компьютер с двумя и более сетевыми картами, одна из которых является внешней. Одним из таких продуктов является FireWall-1 – продукт фирмы Checkpoint. Основным достоинством МЭ является возможность централизованно осуществлять сетевую политику безопасности в защищаемом фрагменте сети.

Сетевые мониторы безопасности предназначены для отслеживания сетевого трафика и выдачи предупреждений при подозрении на осуществлении удаленной атаки или предотвращении удаленной атаки. Наиболее известным сетевым монитором является RealSecure (фирма ISS). Для обнаружения атак используются сигнатуры. В базе данных RealSecure есть следующие виды сигнатур удаленных атак:

• отказ в обслуживании;

• попытки несанкционированного доступа;

• подготовка к атакам;

• подозрительная активность;

• подозрительные команды на уровне протоколов.

2.1. Программно-аппаратные методы защиты

К программно-аппаратным средствам обеспечения информационной безопасности в вычислительных сетях можно отнести:

• аппаратные шифраторы сетевого трафика;

• МЭ, реализуемый на базе программно-аппаратных средств;

• криптопротоколы;

• программно-аппаратные анализаторы сетевого трафика;

• защищенные сетевые ОС.

Существует огромное количество литературы / /, посвященной этим средствам защиты, предназначенным для использования в Internet.

Кратко рассмотрим особенности данных средств защиты, применяемых в Internet.

2.1.1. Межсетевые экраны

В общем случае МЭ реализует следующие основные три функции:

1. Многоуровневая фильтрация сетевого трафика.

Фильтрация обычно осуществляется на трех уровнях:

• сетевом (IP);

• транспортном (TCP, UDP);

• прикладном (FTP, TELNET, HTTP, SMTP и т. д.).

Фильтрация сетевого трафика является основной функцией систем МЭ и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети, то есть, настроив соответствующим образом МЭ, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к МЭ-фильтрации: в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.

2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на МЭ-хосте.

Proxy-схема позволяет, во-первых, при доступе к защищенному МЭ сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ. полномочный) на хосте МЭ. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.

3. Создание приватных сетей (Virtual Private Network - VPN) с "виртуальными" IP-адресами.

В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы МЭ для создания приватной сети (VPN-сеть). Хостам в VPN-сети назначаются любые "виртуальные" IP-адреса. Для адресации во внешнюю сеть (через МЭ) необходимо либо использование на хосте МЭ описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней VPN-сети виртуальный IP-адрес не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами VPN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).

Однако системы МЭ не являются гарантией абсолютной защиты от удаленных атак в сети Internet, так как МЭ лишь запрещают какой-либо вид доступа, но большинство атак имеют другие цели и именно против них МЭ бессильны.

Поэтому применение методики МЭ является необходимым, но недостаточным условием. МЭ – хороший инструмент администрирования и может предотвращать некоторые разновидности сетевых атак (такие как навязывание хосту ложного маршрута с использованием протокола ICMP), но не может полностью обезопасить защищаемую сеть от удаленных атак.