Несанкционированный доступ к данным

 

Возможные решения проблем и предупреждение взлома

 

Первоочерёдной задачей в этом случае является создание замкнутой операционной среды компьютера, отключение в BIOS возможности загрузки компьютера с дискеты, удаление конфигурационных программ и программ декодирования, отладки и трассировки. Следует также произвести разграничение доступа и осуществить контроль запускаемых приложений даже несмотря на то, что этим занимается программная часть аппаратной защиты.

 

Специальные защитные устройства уничтожения информации

 

Решение проблемы безопасности хранения важной конфиденциальной информации было предложено также в виде специальных защитных устройств, назначением которых является удаление информации при попытке изъятия накопителя - форматирование; первоочередная задача в первый момент действия - уничтожение информации с начала каждого накопителя, где расположены таблицы разделов и размещения файлов. Остальное будет зависеть от времени, которое проработает устройство. По прошествию нескольких минут вся информация будет уничтожена и её практически невозможно восстановить.

 

Вид устройств такого принципа действия представляет собой блок, монтируемый в отсек 3,5" дисковода и имеющий автономное питание. Такое устройство применимо к накопителям типа IDE и включается в разрыв шлейфа. Для идентификации хозяина применяются электронные ключи с длиной кода 48 бит (за 10 секунд на предъявление ключа подбор исключается), а датчики, при срабатывании которых происходит уничтожение информации, выбираются хозяином самостоятельно.

 

Шифрующие платы

 

Применение средств криптозащиты является ещё одним способом обеспечения сохранности информации, содержащейся на локальном компьютере. Невозможно использовать и модифицировать информацию в зашифрованных файлах и каталогах. В таком случае конфиденциальность содержащейся на носителе информации прямо пропорциональна стойкости алгоритма шифрования.

 

Шифрующая плата вставляется в свободный слот расширения PCI или ISA на материнской плате компьютера и выполняет функцию шифрования данных. Плата позволяет шифровать каталоги и диски. Оптимальным является способ шифрования всего содержимого жесткого диска, включая загрузочные сектора, таблицы разбиения и таблицы размещения файловой системы. Ключи шифрования хранятся на отдельной дискете.

 

Шифрующие платы гарантируют высокую степень защиты информации, но их применение значительно снижает скорость обработки данных. Существует вероятность аппаратного конфликта с другими устройствами.

 

Аппаратная защита сети

 

На сегодняшний день многие достаточно развитые компании и организации имеют внутреннюю локальную сеть. Развитие ЛВС прямо пропорционально росту компании, неотъемлемой частью жизненного цикла которой является подключение локальной сети к бескрайним просторам Интернета. Вместе с тем сеть Интернет неподконтрольна (в этом несложно убедиться), поэтому компании должны серьезно позаботиться о безопасности своих внутренних сетей. Подключаемые к WWW ЛВС в большинстве случаев очень уязвимы к неавторизированному доступу и внешним атакам без должной защиты. Такую защиту обеспечивает межсетевой экран (брандмауэр или firewall).

 

Брандмауэры

 

Брандмауэры существуют двух видов: программные и аппаратные. Однако помимо этого их делят ещё и на типы: брандмауэр сетевого уровня (фильтры пакетов) и прикладного уровня (шлюзы приложений). Фильтры пакетов более быстрые и гибкие, в отличие от брандмауэров прикладного уровня. Последние направляют специальному приложению-обрабочику все приходящие пакеты извне, что замедляет работу.

 

Для программных брандмауэров необходим отдельный компьютер на базе традиционных операционных систем Unix либо Windows NT. Такой брандмауэр может служить единой точкой входа во внутреннюю сеть. Слабость и ненадёжность подобной защиты заключается не столько в возможных нарушениях корректной работы самого программного брандмауэра, сколько в уязвимости используемых операционных систем, на базе которых функционирует межсетевой экран.

 

Аппаратные брандмауэры построены на базе специально разработанных для этой цели собственных операционных систем. Далее приступим к рассмотрению именно аппаратных брандмауэров.

 

Правильная установка и конфигурация межсетевого экрана - первый шаг на пути к намеченной цели. Чтобы выполнить установку аппаратного брандмауэра нужно подключить его в сеть и произвести необходимое конфигурирование. В простейшем случае, брандмауэр - это устройство, предотвращающее доступ во внутреннюю сеть пользователей извне. Он не является отдельной компонентой, а представляет собой целую стратегию защиты ресурсов организации. Основная функция брандмауэра - централизация управления доступом. Он решает многие виды задач, но основными являются анализ пакетов, фильтрация и перенаправление трафика, аутентификация подключений, блокирование протоколов или содержимого, шифрование данных.

 

Методика построения защищённой сети и политика безопасности

 

В процессе конфигурирования брандмауэра следует пойти на компромиссы между удобством и безопасностью. До определённой степени межсетевые экраны должны быть прозрачными для внутренних пользователей сети и запрещать доступ других пользователей извне. Такая политика обеспечивает достаточно хорошую защиту.

 

Важной задачей является защита сети изнутри. Для обеспечения хорошей функциональной защиты от внешней и внутренней угрозы, следует устанавливать несколько брандмауэров. Именно поэтому на сегодняшний день широкое распространение получили именно аппаратные межсетевые экраны. Довольно часто используется специальный сегмент внутренней сети, защищённый извне и изолированный от остальных, так называемая демилитаризованная зона (DMZ). Иногда брандмауэры разных типов объединяют. Различная конфигурация брандмауэров на основе нескольких архитектур обеспечит должный уровень безопасности для сети с разной степенью риска. Допустим, последовательное соединение брандмауэров сетевого и прикладного уровня в сети с высоким риском может оказаться наилучшим решением.

 

Существует довольно-таки много решений относительно более-менее безопасных схем подключения брандмауэров для проектирования правильной защиты внутренней сети. В данном случае рассмотрены только самые оптимальные в отношении поставленной задачи виды подключений.

 

Довольно часто подключение осуществляется через внешний маршрутизатор. В таком случае снаружи виден только брандмауэр, именно поэтому подобная схема наиболее предпочтительна с точки зрения безопасности ЛВС.

 

Брандмауэр также может использоваться в качестве внешнего маршрутизатора. Программные брандмауэры создаются на базе последних и интегрируются в них. Это наиболее комплексное и быстрое решение, хотя и довольно дорогостоящее. Такой подход не зависит от типа операционной системы и приложений.

 

В случае, когда сервера должны быть видимы снаружи, брандмауэром защищается только одна подсеть, подключаемая к маршрутизатору. Для повышения уровня безопасности интранета больших компаний возможно комбинированное использование брандмауэров и фильтрующих маршрутизаторов для обеспечения строгого управления доступом и проведения должного аудита сети. В подобных случаях используются такие методы, как экранирование хостов и подсетей.

 

Замечания:

 

· Брандмауэр не является абсолютной гарантией защиты внутренней сети от удалённых атак, несмотря на то, что осуществляет сетевую политику разграничения доступа к определённым ресурсам. Во множестве случаев достаточно вывести из строя лишь один межсетевой экран, защищающий определённый сегмент, чтобы отключить всю сеть от внешнего мира и при этом нанести достаточный ущерб, вызвав большие сбои в работе организации или компании.

 

· Не стоит игнорировать тот факт, что брандмауэры никогда не решали внутренних проблем, связанных с физическим доступом к серверам и рабочим станциям неуполномоченных лиц, слабыми паролями, вирусами с дискет пользователей и многим другим.

 

· Но из всего вышесказанного отнюдь не следует, что их использование абсолютно бессмысленно и неэффективно. Наоборот, применение брандмауэров - необходимое условие обеспечения безопасности сети, однако нужно помнить, что всех проблем они не решат.

 

Несколько советов

 

· В условиях поставленных задач, различных между собой, необходимо рассматривать соответственно различные возможные варианты решения, основанные именно на программно-аппаратных методах защиты.

 

· Построение правильной топологии сети решит многие проблемы, связанные с возникновением потенциальных точек уязвимости и сведёт уже существующие к минимуму.

 

· Обратите внимание на размещение сервера (серверов) и ограничьте физический доступ пользователей к нему. Предпринимайте меры по защите отдельных рабочих станций. Особое внимание уделите тем компьютерам, на которых хранится важная информация.

 

· Используйте стойкие к перебору пароли. Пароль должен содержать не менее 8 символов в верхнем и нижнем регистре, цифры и неалфавитные символы.

 

· Контролируйте запущенные процессы и периодически проверяйте журнал подключений сервера.

 

· И последнее: никогда не переоценивайте защищенность собственной сети или системы - идеальной защиты не существует.

 

Следует заметить, что все три вида аппаратной защиты могут интегрироваться и редко упоминаются без взаимосвязи. Между ними нет чётких границ. Систематизация правил аппаратной защиты ещё раз доказывает прямую сопряжённость с программными методами её реализации. В комплексном подходе к решению такого класса задач для предотвращения проникновения во внутреннюю сеть и уничтожения/копирования информации, необходимо специализированно объединять уже существующие методы с возможно новыми решениями в этой области. Проблема обеспечения безопасности компьютерной информации пока не может быть решена полностью даже при идеальной с точки зрения системного администратора настройке сети, но комбинированное применение программно-аппаратных средств защиты от НСД в сочетании с криптозащитой позволяет свести риск к минимуму.

 

Хакингё как сфера исследования

 

Типы хакеров

 

В настоящее время имеется много типов хакеров, каждый из которых весьма различен:

 

· Хакеры - народ, вламывающийся в систему ради забавы, не нанося ощутимого вреда компьютерам. Хакеры врываются в систему, оглядываются, и затем пробуют взломать даже более безопасную систему. Они не делают прибыль из хакинга.

 

· Крэкеры - так называемые плохие хакеры. Эти люди нападают на систему и уничтожают ценные данные или крадут программное обеспечение с целью его дальнейшего небесплатного распространения.

 

· Фрикеры - люди, который занимается хакингом на телефонных линиях с целью получить бесплатный телефонный разговор с любой точкой мира.

 

Методы хакинга

 

Спуфинг

 

Известно, что любая система защиты типа Firewall позволяет “жить” только определенным адресам IP. Это весьма серьезное препятствие для проникновения в сеть. Поэтому хакеры нашли метод для преодоления этого барьера - спуфинг IP.

 

Сначала хакер выясняет, какие из адресов IP проходят через firewall, затем использует один из вычисленных адресов в качестве своего и таким образом получает доступ к системе. Впрочем, это не всегда так. Например, известная система защиты FireWall-1 действительно дает возможность установить прозрачное подключение к Internet, используя практически весь диапазон протоколов межсетевого взаимодействия, обеспечив при этом некоторую (только в третьей версии этого экрана была залатана дырка, сидевшая в кодировке данных и идентификации клиента-пользователя) защиту сети. Многих администраторов, конечно, радует интуитивный графический интерфейс этой системы, а хакеров пугает многопротокольная проверка пакетов с так называемым учетом состояния протокола (SMLI), поэтому они стараются просто обходить сети с FireWall-1, оставив спуффинг для другой системы.

 

Многие системные администраторы надеются на брандмауэры Internet.

 

Firewalls способны изолировать локальные сети от вскрытия из Internet посредством экранирующих маршрутизаторов, двусторонних шлюзов и барьерной хост-машины. Но проблема в том, что это известно каждому хакеру. Экранирующие маршрутизаторы? Прекрасно! Проверка адреса IP и закупорка фальшивого трафика? А кто говорит, что это не так? Все верно! Блокируем трафик. А как насчет Telnet и username/password logon?! Terminal Access Controller Access System? Включайте!

 

Сниффинг

 

Сеть TCP/IP - это около 150 «дырок», сквозь которые открывается доступ в систему (TCP/IP -- протокол, через который устанавливается исключительно обоюдное постоянное соединение). И в первую очередь потому, что любой, кто регистрируется в сети TCP/IP (через telnet или ftp) посылает данные о своем пароле в обыкновенном IP-пакете. Поэтому, чтобы получить пароль и логин, достаточно выследить подобный пакет, приходящий на известный адрес, то есть захватить трафик. Далее у хакера будет выбор. Он может получить реквизиты пользователя. Тогда доступ в систему будет ограниченным. Но если он получит пароль системного администратора, то сможет скачать файл паролей всех пользователей системы.