Защита от хакеров корпоративных сетей
Шрифт:
Таблица 12.1.
Основные свойства систем идентификации
Конечно, по сравнению с системой межабонентской связи представленные в таблице сведения ничего нового не дают (см. табл. l2.2) – вообще никакой разницы!
Таблица 12.2. Основные свойства систем идентификации человекаСпособность
Ниже разъясняются детали, позволяющие лучше понять приведенные в табл. 12.1 и 12.2 шесть свойств.
Способность к передаче: «Система может разговаривать со мной?»
Можно найти одну исключительную идею, на которой основано доверие во всех сетях, при межличностном общении и, более того, при общении внутри одной системы. Передача информации – это посылка чего-либо, что может где-нибудь что-то представлять.
При этом совсем не предполагается, что передача информации идеальна. Министерство обороны США в превосходном (прежде всего по содержанию, следует обязательно прочитать, как можно быстрее, без промедления установите на нем закладку (закладка – маркер, уникально идентифицирующий запись или строку в базе данных, строку в исходном коде или позицию в файле текстового редактора) и подсветите URL документа) отчете под названием «Реализация потенциала C4I» обращает внимание на следующее:
«Максимальная польза от систем (командных, управления, связи, компьютерных и интеллектуальных) основывается на их способности к взаимодействию и интеграции. Другими словами, для своей эффективной работы системы C4I должны взаимодействовать таким образом, чтобы они могли функционировать как часть большой «системы систем». Но благодаря этому при нападении на них многократно увеличиваются атакующие возможности противника».
«Реализация потенциала C4I» www.nap.edu/html/C4I
«Единственный способ обеспечить безопасность системы состоит в том, чтобы никогда не включать ее».
Неизвестный
Отключенная от любой сети система не может быть взломана (по крайней мере до тех пор, пока кто-либо не получит доступ с локальной консоли), но при этом ее нельзя использовать. Статистика свидетельствует, что некоторый процент несанкционированных пользователей будут пытаться получить доступ к ресурсу, к которому они не допущены. Несколько меньший процент от их числа будут пытаться фальсифицировать свои идентификационные данные. Из попытавшихся пользователей меньший, но не нулевой процент действительно будут обладать необходимой квалификацией и мотивацией для успешного (с их точки зрения) взлома установленной системы защиты. Так будет на любой установленной системе. Единственный способ избежать опасности попадания данных в неавторизованные руки заключается в недопущении какой-либо их рассылки.
Существует простая формула: для предотвращения несанкционированного раскрытия или потери защищенных данных администратору сети нужно полностью запретить удаленный доступ. Статистика свидетельствует о том, что лишь небольшое количество доверенных пользователей откажутся от доступа к данным, которые они уполномочены обрабатывать, прежде чем система защиты будет отклонена как слишком громоздкая и неудобная. Во время проектирования системы безопасности никогда не следует забывать о практическом результате ее использования. В противном случае с большей вероятностью откажутся от системы, чем от необходимого практического результата. Нельзя заработать на системе, если не видно, что она защищена от атак злоумышленника.
Как автор уже упоминал ранее, нельзя доверять каждому, но кому-то довериться все-таки надо. Если
Фильтрация на выходе (egress filtering) – последняя форма фильтрации. Она имеет решающее значение для предотвращения распространения распределенных атак отказа в обслуживании (атак типа DDoS), потому что на уровне провайдера Интернета не пропускает в глобальный Интернет пакеты с фальсифицированным в заголовке пакета адресом отправителя. Фильтрация на выходе может быть выполнена на устройствах Cisco с использованием команды ip verify unicast reverse-path. Подробнее об этом можно узнать по адресу www.sans.org/y2k/egress.htm.
Потенциальная возможность передать противоположному концу соединения относится к основному уровню безопасности, который должен быть реализован. Даже самый незащищенный, доступный всем сервис удаленного доступа не может быть атакован недоверенным пользователем, если у него не будет средств посылки сообщения уязвимой системе. К сожалению, нельзя считать сеть достаточно защищенной, полагаясь только на межсетевой экран, который не позволяет послать кому угодно сообщение, угрожающее системе в сети. Вероятнее всего, до тех пор, пока не будет использован воинствующий вариант настройки межсетевого экрана (читайте межсетевой экран, работающий по радиоканалу (air firewall) или полное отключение соединений между локальной сетью и глобальным Интернетом), всегда найдутся дополнительные пути пересылки опасных сообщений. В отчете Министерства обороны далее пишется:
«В основе планирования реакции системы должен лежать принцип постепенного сокращения возможностей системы, то есть система или сеть должны утрачивать свои функциональные возможности постепенно, сравнивая серьезность направленной против нее атаки с возможностью защиты от нее».
Способность ответить: «Система может мне ответить?»
Ответить – это следующий шаг, который необходимо выполнить вслед за передачей информации. Всего лишь несколько протоколов предусматривают некоторую форму переговоров между отправителем и получателем данных. Некоторые из них ограничиваются определением объявляющих что-либо сообщений, которые рассылаются по сети от случая к случаю или по требованию заинтересованного в передаче хоста и которые посылаются тому, кто будет готов участвовать в передаче информации. Если для обмена данными между компьютерами, состоящего из фазы передачи и фазы приема данных, требуется провести переговоры, то у системы должна быть возможность передать свою реакцию на содержимое данных, полученных от другого компьютера сети. Подобная возможность принципиально отличается от возможности простой передачи данных. Она находится на более сложном уровне, и автор назвал ее способностью ответить (ability to respond).