Meniul
AcasăTehnică

Dezavantajele protecției împotriva atacurilor hackerilor. Modalități de a ocoli firewall-urile. Cum să stocați fișierele de lucru online

Între firewall sau firewall- un set de hardware sau software care monitorizează și filtrează pachetele de rețea care trec prin el în conformitate cu regulile specificate.
Sarcina principală a unui firewall este de a proteja rețelele de computere sau nodurile individuale împotriva accesului neautorizat. De asemenea, firewall-urile sunt adesea numite filtre, deoarece sarcina lor principală este să nu lase (filtreze) pachetele care nu îndeplinesc criteriile definite în configurație.
În funcție de acoperirea fluxurilor de date controlate, firewall-urile sunt împărțite în:

  • rețeaua tradițională(sau internetwork) ecran- un program (sau o parte integrantă a sistemului de operare) pe un gateway (un server care transmite trafic între rețele) sau soluție hardware, controlând fluxurile de date de intrare și de ieșire între rețelele conectate.

  • firewall personal- program instalat pe calculatorul utilizatoruluiși conceput pentru a proteja numai acest computer împotriva accesului neautorizat.
În funcție de nivelul la care are loc controlul accesului, există o împărțire în firewall-uri care funcționează pe:

  • nivelul rețelei, atunci când filtrarea are loc pe baza adreselor expeditorului și destinatarului pachetelor, numerelor de port strat de transport Modelul OSI și regulile statice stabilite de administrator;

  • nivel de sesiune(cunoscut și sub denumirea de stateful) - sesiuni de urmărire între aplicații care nu permit trecerea pachetelor care încalcă specificațiile TCP/IP, adesea folosite în operațiuni rău intenționate - scanarea resurselor, piratarea prin implementări TCP/IP incorecte, conexiuni scăpate/lente, injecție de date .

  • nivelul de aplicare, filtrare bazată pe analiza datelor aplicației transmise în cadrul pachetului. Aceste tipuri de ecrane vă permit să blocați transmiterea de informații nedorite și potențial dăunătoare pe baza politicilor și setărilor.
În funcție de monitorizarea conexiunilor active, firewall-urile sunt:

  • Fara stare(filtrare simplă), care nu monitorizează conexiunile curente (de exemplu, TCP), ci filtrează fluxul de date exclusiv pe baza regulilor statice;

  • cu stare,(filtrare în funcție de context), monitorizarea conexiunilor curente și trecerea numai a acelor pachete care satisfac logica și algoritmii protocoalelor și aplicațiilor corespunzătoare. Aceste tipuri de firewall-uri fac posibilă combaterea mai eficientă tipuri variate Atacurile DoS și vulnerabilitățile unor protocoale de rețea. În plus, acestea asigură funcționarea protocoalelor precum H.323, SIP, FTP etc., care utilizează scheme complexe de transfer de date între destinatari greu de descris prin reguli statice și adesea incompatibile cu cele standard. Fara stare firewall-uri.
Cum să ocoliți firewall-urile.

    1. ^ Amenințare din interior. Amenințările nu vin întotdeauna doar din exteriorul ITU, de pe Internet. Un număr mare de pierderi sunt asociate tocmai cu incidente de securitate din partea utilizatorilor interni (statistic, până la 80% dintre incidente vin din interior). Trebuie clarificat faptul că firewall-ul inspectează doar traficul la granițele dintre rețeaua internă și Rețea de internet. Dacă traficul care exploatează găurile de securitate nu trece niciodată prin firewall, atunci firewall-ul nu va găsi nicio problemă.

    Exemplu pe diapozitiv

  1. Tuneluri. Firewall-ul filtrează traficul și ia decizii privind permisiunea sau blocarea pachetelor de rețea pe baza informațiilor despre protocolul utilizat. În general, regulile oferă testarea adecvată pentru a determina dacă un anumit protocol este permis sau nu. De exemplu, dacă porturile 25 și 80 sunt permise pe ITU, atunci traficul de e-mail (SMTP) și Web (HTTP) este permis să treacă în rețeaua internă. Acest principiu de procesare este folosit de atacatorii calificați. Toate activitățile neautorizate se desfășoară în cadrul protocolului permis, creând astfel un tunel prin care atacatorul efectuează atacul. Cel mai simplu exemplu care demonstrează utilizarea tunelurilor sunt viermii de Internet și virușii macro introduși într-o rețea corporativă sub formă de atașamente la mesaje. E-mail. Dacă firewall-ul permite trecerea traficului SMTP (și nu am văzut niciodată un firewall care să nu facă acest lucru), atunci o „infecție virală” poate intra în rețeaua internă.

    Un atac modern comun pe canal secret este atacul Loki. Acest atac folosește protocolul ICMP pentru a transmite date, deși protocolul nu a fost conceput pentru a fi utilizat în acest fel, este destinat doar trimiterii de mesaje de stare și de eroare. Dar cineva a dezvoltat un instrument special (Loki) care permite unui atacator să scrie date imediat după antetul ICMP.
    Acest lucru permite unui atacator să comunice cu un alt sistem printr-un canal secret. Acest atac este adesea destul de reușit, deoarece majoritatea firewall-urilor sunt configurate pentru a permite traficul ICMP de intrare și de ieșire. Acest canal ascuns, deoarece folosește un protocol de comunicare care nu a fost conceput în acest scop. Informatii detaliate despre atacul Loki poate fi găsit la http://xforce.iss.net/xforce/xfdb/1452.


  2. Criptare. Foarte des de pe buzele multor dezvoltatori autohtoni VPN înseamnă Puteți auzi că instrumentul pe care l-a dezvoltat pentru construirea rețelelor private virtuale poate rezolva multe probleme de securitate. Ei insistă că, deoarece rețeaua protejată comunică cu oponenții săi ( birouri îndepărtate, parteneri, clienți etc.) numai printr-o conexiune VPN, atunci nicio „infecție” nu va pătrunde în ea. Acest lucru este parțial adevărat, dar numai cu condiția ca adversarii să nu comunice cu nimeni prin canale nesecurizate. Și acest lucru este deja greu de imaginat. Și din moment ce majoritatea organizațiilor folosesc criptarea pentru a proteja extern conexiuni de retea, interesul atacatorului va fi direcționat către acele locuri din rețea în care informațiile care îl interesează probabil nu sunt sigure, adică către noduri sau rețele cu care s-au stabilit relații de încredere. Și chiar și în caz Crearea VPN- conexiuni intre o retea protejata de un firewall cu functii VPN si o retea de incredere, un atacator isi va putea desfasura atacurile cu aceeasi eficienta. Mai mult, eficiența atacurilor sale va fi și mai mare, deoarece adesea cerințele de securitate pentru nodurile și rețelele de încredere sunt mult mai mici decât toate celelalte noduri. Un atacator va putea pătrunde într-o rețea de încredere și abia apoi va efectua acțiuni neautorizate împotriva țintei atacului său de acolo.


  3. ^ Vulnerabilități în firewall-uri. După ce au atacat firewall-ul și l-au dezactivat, atacatorii își pot implementa cu calm, fără teama de a fi detectați, planurile criminale în raport cu resursele rețelei protejate. De exemplu, de la începutul anului 2001, au fost descoperite multe vulnerabilități în implementarea diferitelor firewall-uri binecunoscute.

  4. ^ Falsificarea adresei- Aceasta este o modalitate de a ascunde adresa reală a unui atacator. Cu toate acestea, poate fi folosit și pentru a ocoli mecanismele de protecție firewall. O astfel de metodă simplă precum înlocuirea adresei sursă a pachetelor de rețea cu o adresă din rețeaua protejată nu mai poate păcăli firewall-urile moderne. Toate folosesc diferite căi protecție împotriva unei astfel de înlocuiri. Cu toate acestea, principiul înlocuirii adreselor în sine rămâne relevant. De exemplu, un atacator îl poate înlocui pe al lui adresa reală la adresa unui nod care a stabilit o relație de încredere cu sistemul atacat și implementează un atac de tip denial of service împotriva acestuia.

Google vs firewall-uri

După cum sa raportat în numărul 21 din PCWeek/RE din 2001, din cauza închiderii temporare a firewall-ului din Yuzhny Universitatea Politehnică Atlanta motor de căutare Google a indexat rețeaua internă a acestei universități și a putut accesa fișiere despre studenți - adrese de domiciliu, numere de securitate socială etc.

O neînțelegere comună este aceea că un firewall nu recunoaște atacurile și nu le blochează. Un firewall (Firewall) este un dispozitiv care interzice mai întâi totul și apoi permite doar lucrurile „bune”. Adică, atunci când instalați un firewall, primul pas este să interziceți toate conexiunile dintre protecția și rețele deschise. Administratorul adaugă apoi reguli specifice care permit anumitor trafic să treacă prin firewall. O configurație tipică de firewall ar interzice tot traficul ICMP de intrare, lăsând permis doar traficul de ieșire și un anumit trafic bazat pe protocolul UDP și TCP de intrare (de exemplu, HTTP, DNS, SMTP etc.). Acest lucru va permite angajaților organizației protejate să lucreze cu Internetul și să le interzică atacatorilor accesul la resursele interne. Cu toate acestea, nu uitați că firewall-urile sunt pur și simplu sisteme bazate pe reguli care permit sau interzice traficul prin ele. Chiar și firewall-urile care utilizează tehnologia de inspecție de stat nu permit să se spună cu certitudine dacă un atac este prezent sau nu în trafic. Ei pot notifica doar dacă traficul corespunde unei reguli.

Se poate face o analogie bună cu lumea fizică. Un firewall este pur și simplu un gard în jurul rețelei dvs. care nu poate fi detectat atunci când cineva sapă sub el. ITU pur și simplu restricționează accesul la anumite puncte din afara gardului dvs. Și pentru a nu fi nefondat, vom da câteva exemple când firewall-urile nu vă vor salva de intruși [Lukatsky1-01].

Atacuri prin tunelurile firewall

Tunnelarea este o metodă de încapsulare (mascare) a mesajelor de un tip (care poate fi blocată de filtrele ITU) în interiorul mesajelor de alt tip.Atacurile prin „tuneluri” apar din cauza prezenței proprietăților corespunzătoare în multe protocoale de rețea. Firewall-ul filtrează traficul de rețea și ia decizii privind permisiunea sau blocarea pachetelor pe baza informațiilor despre protocolul de rețea utilizat. De obicei, regulile prevăd o verificare adecvată pentru a determina dacă un anumit protocol este sau nu activat. De exemplu, dacă porturile 25 și 80 sunt permise pe ITU, atunci traficul de e-mail (SMTP) și Web (HTTP) este permis să treacă în rețeaua internă. Acest principiu de procesare este folosit de atacatorii calificați. Toate activitățile neautorizate se desfășoară în cadrul protocolului permis, creând astfel un tunel prin care atacatorul efectuează atacul. De exemplu, un astfel de defect în firewall-uri este folosit pentru a implementa atacul LOKI, care permite tunelarea diverse comenziîn ICMP Echo Requests și reacțiile la acestea în răspunsuri ICMP Echo Reply, ceea ce modifică semnificativ dimensiunea câmpului de date în comparație cu cel standard.

Pentru firewall și orice alt instrument tradițional securitatea retelei Aceste acțiuni par destul de normale. De exemplu, acesta este modul în care transferul unui fișier de parolă într-un „tunel” 1CMR este afișat de analizorul de protocol TCPdump.
Un alt exemplu de atacuri de tunel sunt atacurile la nivel de aplicație, care implică practica exploatării vulnerabilităților din aplicații prin trimiterea de pachete direct legate de acele aplicații.

Orez. 1.3. Atacul prin tunelurile firewall

Cel mai simplu exemplu care demonstrează utilizarea unor astfel de tuneluri sunt viermii de Internet și virușii macro introduși într-o rețea corporativă sub formă de atașamente la mesajele de e-mail. Dacă firewall-ul permite trecerea traficului SMTP (autorul nu a văzut niciodată un firewall care nu a făcut acest lucru), atunci o „infecție virală” poate intra în rețeaua internă. Vom da mai mult exemplu complex. De exemplu, un server Web care rulează software Microsoft(Internet Information Server), este protejat de un firewall pe care este permis doar portul 80. La prima vedere, este furnizat protectie eficienta. Dar numai la prima vedere. Dacă utilizați versiunea IIS 3.0, atunci contactați http://www.domain.ru/default.asp. (cu un punct la sfârșit) permite unui atacator să obțină acces la conținutul unui fișier ASP care poate stoca date sensibile (de exemplu, o parolă de acces la baza de date). Și chiar dacă ai instalat cel mai mult ultima versiune IIS 5.0.

În plus, un număr mare de reguli reduce performanța paravanului de protecție și, ca urmare, debitului canalele de comunicare care trec prin el.

Atacurile care ocolesc firewall-ul

Cuvintele cântecului din filmul pentru copii „Aibolit-66” - „Eroii normali ocolesc întotdeauna” - ilustrează perfect următoarea problemă inerentă firewall-urilor. De ce să încercați să accesați resurse protejate prin măsuri de securitate când puteți încerca să le ocoliți?

Un exemplu dintr-o zonă conexă

Pe 21 februarie 1990, analistul bugetar Mary Pircham s-a prezentat la serviciu. Cu toate acestea, ea nu a putut să meargă la ea la locul de muncă chiar și după ce ați format codul din patru cifre și rostit cuvântul cod în sistemul de securitate. Vrând să intre în continuare, Mary deschise ușa din spate folosind o furculiță de plastic și o șurubelniță de buzunar. Cel mai nou sistem de protectie, pe care Mary Pierham a trecut peste, a fost promovat ca fiind „sigur și de încredere” și a costat 44.000 USD [Vakka1-97].

În mod similar cu firewall-urile, doar modemul poate servi ca ușă în spate. Știți câte modemuri sunt instalate în rețeaua dvs. și pentru ce sunt folosite? Nu răspunde afirmativ imediat, gândește-te. În timpul unui sondaj asupra unei rețele, șefii departamentului de securitate și automatizare a informațiilor și-au rupt cămășile, susținând că cunosc fiecare modem instalat în rețeaua lor. Prin rularea sistemului de analiză a securității Internet Scanner, am găsit într-adevăr că modemurile pe care le-au indicat au fost folosite pentru a actualiza bazele de date contabile și juridice. Cu toate acestea, au fost descoperite și două modemuri necunoscute. Unul a fost folosit de un angajat al departamentului de analiză pentru a avea acces la directoarele de lucru de acasă. Al doilea modem a fost folosit pentru a accesa Internetul ocolind firewall-ul.

Un alt exemplu este legat de posibilitatea de a ocoli firewall-ul. Amenințările nu vin întotdeauna doar din exteriorul ITU, de pe Internet. Un număr mare de pierderi, după cum arată statisticile, sunt asociate tocmai cu incidente de securitate din partea utilizatorilor interni, din interior. Este necesar să se clarifice faptul că firewall-ul privește numai traficul la granițele dintre rețeaua internă și Internet. Dacă traficul care exploatează găurile de securitate nu trece niciodată prin firewall, atunci firewall-ul nu va găsi nicio problemă

Să fim sinceri: pentru mulți dintre noi, computerul nostru de lucru este o mică insulă de casă în afara casei. Acest lucru este probabil doar corect, având în vedere că nostru computer de acasă adesea o sucursală în afara biroului. Așadar, între scrierea rapoartelor și gândirea la foile de calcul cu calcule, ne folosim computerele de lucru pentru viața personală. Cumpărăm produse alimentare de ziua noastră, urmărim clipuri amuzante pe YouTube și discutăm cu prietenii prin ICQ sau e-mail.

Și, de foarte multe ori, unele lucruri sunt mai ușor de făcut cu tehnologia de consum decât cu tehnologia de întreprindere deseori greoaie - doar comparați Gmail cu o cutie poștală corporativă.

Acest lucru ridică o problemă: angajatorii noștri sunt nemulțumiți de comportamentul nostru la locul de muncă. Parțial pentru că vor să lucrăm la locul de muncă. Și parțial le este teamă că ceea ce facem pune în pericol rețelele interne ale companiei. Așa că ei cer departamentului IT să ne împiedice să ne târâm viața personală de acasă la serviciu.

Deci, s-a terminat basmul? Ei bine, nu, nu atât de repede. Pentru a afla dacă este posibil să ocolim restricțiile departamentului IT, am apelat la experți în rețea pentru sfaturi. Și anume, le-am rugat să găsească primele 10 secrete pe care ni le ascund oamenii din departamentul IT. De exemplu, cum să accesezi un site blocat fără a lăsa urme sau cum să conversezi în timp real fără a descărca un program interzis.

Cu toate acestea, pentru a menține lucrurile corecte, am contactat și experții în securitate pentru a afla ce riscăm prin aceste soluții alternative.

Pentru sfaturi despre hacking, am apelat la Gina Trapani, editor al ghidului online pentru utilizarea productivă a rețelei Lifehacker.com, Leon Ho, editor al blogului Lifehack.org și Mark Frauenfelder, fondator și editor al blogului BoingBoing.net al revistei Make, care oferă sfaturi tehnologice, într-un format de do-it-yourself.

Pentru a evalua riscurile, am vorbit cu trei experți care își câștigă existența ajutând departamentele IT să scrie reguli și să urmărească actorii răi care doresc să le încalce. Acesta este John Pironti, strateg șef amenințări informaționale Firma de consultanță Getronics din Amsterdam, specialist în securitatea informațiilor de la PricewaterhouseCoopers Mark Lowbel și specialist în amenințări de la o companie de software de securitate Software-ul McAfee Craig Shmugar.

Așadar, iată 10 secrete pe care departamentul tău IT le ascunde de tine, pericolele asociate cu acestea și sfaturi pentru a te proteja și a evita să-ți pierzi locul de muncă atunci când le pui în practică.

1. Cum se trimite fișiere gigant

Problemă: Cu toții trebuie să trimitem din când în când fișiere mari, de la diapozitive de prezentare la fotografii de vacanță. Dar dacă trimiteți ceva mai mare de câțiva megaocteți, riscați să primiți un mesaj care spune că ați depășit limita companiei dvs.

Companiile pot limita cantitatea de date pe care angajații lor le pot trimite prin poștă dintr-un motiv simplu: doresc să evite supraîncărcarea serverelor, ceea ce le va încetini. Iar abordarea managementului cu o solicitare de a vă mări limita de fișiere trimise poate fi un proces foarte obositor.

Soluție: Utilizați servicii online precum YouSendIt, SendThisFile sau DropSend, care vă permit să trimiteți gratuit fișiere mari - uneori de până la câțiva gigabiți. Pentru a utiliza serviciile lor, de obicei trebuie să vă înregistrați prin furnizarea Informații personale, cum ar fi numele și adresa dvs. de e-mail. Puteți introduce apoi adresa de e-mail a destinatarului și un mesaj pentru el sau ea, iar site-ul vă va oferi instrucțiuni despre cum să descărcați fișierul. În cele mai multe cazuri, se trimite un link către adresa destinatarului, în urma căruia acesta poate descărca fișierul.

Risc: Deoarece aceste site-uri de servicii vă trimit fișierele prin Internet, acestea sunt în afara controlului companiei. Acest lucru face mai ușor pentru hackeri vicleni să intercepteze aceste fișiere în tranzit.

Cum să te protejezi: Unele dintre aceste site-uri au o reputație mai bună decât altele. De exemplu, YouSendIt - firma noua, care este condus de fostul șef al Adobe Systems și este finanțat de cunoscute firme de capital de risc. Alte astfel de site-uri oferă puține informații despre ei înșiși și, prin urmare, sunt mai probabil să creeze găuri de securitate pe care hackerii le pot exploata pentru a vă fura informațiile.

Daca proprietarii unui site nu sunt evidenti, exista si alte repere dupa care sa il evaluezi. Căutați pictograme de securitate - în Internet Explorer această pictogramă arată ca un mic lacăt în partea de jos a ecranului - care indică faptul că site-ul folosește un sistem de criptare pentru a proteja confidențialitatea informațiilor de la vizitatori.

2. Cum să utilizați software-ul pe care compania dumneavoastră vă interzice să îl descărcați

Problemă: Multe companii solicită angajaților să obțină permisiunea departamentului IT înainte de a descărca software. Cu toate acestea, acest lucru poate fi problematic dacă doriți să descărcați un program pe care IT-ii l-au inclus pe lista neagră.

Soluție: Există două modalități simple de a rezolva această problemă: găsiți o alternativă la acest program pe Internet sau aduceți programul la medii externe.

Prima metodă este mai ușoară. Să presupunem că compania dvs. nu vă permite să descărcați popularul program de chat în timp real AOL Instant Messenger. Puteți comunica în continuare cu prietenii și colegii dvs. folosind o versiune online a programului numită AIM Express (AIM.com/aimexpress.adp). În plus, Google are un serviciu de comunicare în timp real Google Talk, disponibil la Google.com/talk. Asemenea programe precum playere muzicaleși jocuri video - de obicei sunt oarecum dezbrăcate în comparație cu programele originale.

A doua abordare pentru rezolvarea problemei este mai complexă, dar cu ajutorul ei aveți acces la acel program pe computer. Toți trei experții noștri au numit compania Rare Ideas LLC (RareIdeas.com), care oferă versiuni gratuite programe populare precum Firefox și OpenOffice. Puteți descărca programe pe dispozitive portabile, de exemplu, pe un iPod sau pe o unitate flash, prin serviciul Aplicații portabile (PortableApps.com). După aceea, conectați acest dispozitiv la computerul de lucru și ați terminat. (Adevărat, dacă compania dvs. interzice utilizarea dispozitive externe, considerați-vă ghinionist.)

Risc: Utilizarea serviciilor online poate pune o presiune excesivă asupra resurselor companiei. Și programele de pe medii externe creează un risc de securitate. Oamenii IT preferă să păstreze controlul asupra software-ului folosit de angajați, astfel încât, dacă apare un virus sau o altă problemă, să o poată remedia cu ușurință. Dacă aduci programe cu tine, gradul de control asupra lor este redus.

Un alt lucru de reținut este că unele programe mai puțin sigure, în special programele de partajare a fișierelor, pot conține programe spion.

Cum să te protejezi: Dacă aduceți programul pe medii externe, spune Lowbell, schimbați cel puțin setările programului antivirus de pe computerul dvs. de lucru, astfel încât acesta să scaneze dispozitivul pentru potențiale amenințări. Acest lucru este ușor de făcut accesând meniul „Setări” sau „Opțiuni”. La fel, dacă utilizați servicii de partajare a fișierelor, configurați-le astfel încât alții să nu poată accesa fișierele dvs., tot prin „setări” sau „opțiuni”.

3. Cum să accesezi site-urile blocate de compania ta

Problemă: Companiile restricționează adesea accesul angajaților lor la anumite site-uri, de la cele cu adevărat obscene (site-uri porno) și probabil mai puțin scrupuloase (site-uri de jocuri de noroc) până la cele practic inocente (site-uri de e-mail).

Soluție: Chiar dacă compania dumneavoastră nu vă permite să accesați aceste site-uri introducând adresa lor în linia de sus, uneori mai poți ajunge la ele într-un mod ocolit. Accesați un site numit „proxy” și introduceți bara de căutare adresa de internet de care aveți nevoie. Apoi site-ul proxy merge pe site-ul de care aveți nevoie și vă oferă imaginea lui - astfel îl puteți vedea fără a merge direct la el. De exemplu, Proxy.org deservește peste 4 mii de site-uri proxy.

Frauenfelder și Trapani sugerează o altă modalitate de a obține același rezultat: folosiți Google Translate și cereți-i să traducă numele site-ului din engleză în engleză. Doar intra textul următor: „Google.com/translate?langpair=en|en&u=www.blockedsite.com”, înlocuind „blockedsite.com” cu adresa site-ului de care aveți nevoie. Google acționează în esență ca un server proxy, găsind site-ul oglindă pentru dvs.

Risc: Dacă utilizați un site proxy pentru a vizualiza e-mailuri sau videoclipuri YouTube, principalul pericol este că veți fi prins de superiorii dvs. Dar există și amenințări mai serioase la securitate. Uneori, băieții răi de pe internet cumpără adrese de site-uri web care sunt la doar o literă sau două distanță de site-urile populare și le folosesc pentru a infecta computerele vizitatorilor cu viruși, avertizează Lowbell. Adesea companiile blochează și aceste site-uri - dar dacă utilizați un proxy, veți fi fără apărare împotriva lor.

Cum să te protejezi: Nu faceți utilizarea site-urilor proxy într-un obicei. Utilizați această metodă numai pentru a accesa anumite site-uri la care compania dvs. are acces închis pentru a îmbunătăți productivitatea - de exemplu, YouTube. Și fii mai atent la ortografie.

4. Cum să-ți acoperi urmele pe un laptop corporativ

Problemă: Dacă utilizați deținută de companie laptop pentru lucrul de acasă, este foarte probabil să-l folosiți în scopuri personale: organizarea unei vacanțe în familie, cumpărarea de cărți de citit pe plajă, compilarea albumelor foto pe internet și așa mai departe. Multe companii își rezervă dreptul de a urmări tot ceea ce faci pe acel computer, deoarece din punct de vedere tehnic este proprietatea companiei. Ce se va întâmpla dacă... uh... prietenul tău rătăcește accidental pe un site porno sau caută pe internet un remediu pentru o boală rușinoasă?

Soluție: Ultimele versiuni browsere de internet Explorer și Firefox vă permit să vă acoperiți urmele. În IE7, selectați Instrumente, apoi Ștergeți Istoricul de navigare. Aici puteți fie să vă ștergeți întregul istoric de navigare selectând Ștergeți tot, fie să selectați mai multe link-uri pe care doriți să le ștergeți. În Firefox, pur și simplu apăsați Ctrl-Shift-Del sau faceți clic pe Ștergeți datele private din meniul Instrumente.

Risc: Chiar dacă vă ștergeți istoricul, navigarea liberă pe internet vă pune în continuare în pericol. Ați putea prelua în mod neintenționat programe spion de pe un site dubios sau puteți crea probleme legale șefului dvs. cu comportamentul dvs. Dacă ești prins, în cel mai bun caz ai putea fi într-o situație incomodă și, în cel mai rău caz, îți poți pierde locul de muncă.

Cum să te protejezi: Curățați-vă datele personale cât mai des posibil. Mai bine, nu folosi computerul de la serviciu pentru nimic despre care nu ai vrea să știe șeful tău.

5. Cum să găsești documente de lucru de acasă

Problemă:Îți termini munca noaptea târziu sau în weekend - dar documentul de care ai nevoie rămâne pe computerul de la birou.

Soluție: Google, Microsoft, Yahoo și IAC/InterActiveCorp oferă software pentru a căuta rapid documente pe desktopul computerului. În plus, unele dintre ele vă permit să căutați de pe un computer documente salvate pe desktopul altuia. Cum functioneaza? Compania de motoare de căutare stochează copii ale documentelor dumneavoastră pe serverul său. În acest fel, poate scana aceste copii atunci când căutați de la distanță.

Pentru a utiliza software-ul Google - unul dintre cele mai populare - trebuie să faceți pasii urmatori. Mai întâi, configurați un cont Google pe ambele mașini vizitând Google.com/accounts. (Asigurați-vă că utilizați același cont pe ambele computere.)

Apoi accesați Desktop.Google.com și descărcați software-ul de căutare pe desktop. După ce este instalat, din nou pe ambele mașini, faceți clic pe Preferințe desktop, apoi pe Cont Google Caracteristici. Bifați caseta de lângă expresia Căutare pe computere. Din acest moment, toate documentele pe care le deschideți pe ambele computere sunt copiate servere Google, care vă va permite să le găsiți de pe ambele computere.

Risc: Profesioniștii în tehnologie de întreprindere își imaginează un scenariu catastrofal: ați stocat informații financiare extrem de sensibile pe computerul dvs. de lucru. Am instalat un program pentru a accesa aceste fișiere de pe laptopul nostru personal. Și atunci laptopul s-a pierdut. Ah ah ah.

În plus, experții au descoperit vulnerabilități în software-ul de căutare de computer de la Google care ar putea permite hackerilor să păcălească un utilizator pentru a le oferi acces la fișiere, spune Shmugar de la McAfee. (Acele zone cu probleme au fost remediate de atunci, dar pot fi altele, spune el.)

Cum să te protejezi: Dacă aveți fișiere pe computerul dvs. de lucru care nu ar trebui niciodată partajate public, cereți administratorului de sistem IT să vă ajute să instalați Google Desktop într-un mod care să nu aibă scurgeri.

6. Cum să stocați fișierele de lucru online

Problemă: Pe lângă căutările pe desktop, majoritatea oamenilor care trebuie să lucreze adesea de acasă și-au găsit propria soluție. Ele salvează fișierele de lucru pe dispozitive portabile sau în rețeaua companiei, de unde le preiau ulterior de la distanță. Dar dispozitivele portabile pot fi prea voluminoase, iar comunicarea cu retea de lucru poate fi lent și nesigur.

Soluție: Utilizați servicii de stocare online precum Box.net, Streamload sau Xdrive de la AOL. Cele mai multe dintre ele oferă un serviciu gratuit de stocare a informațiilor de la unu la cinci gigaocteți și pentru un pachet cu spatiu suplimentar ei percep câțiva dolari pe lună. O altă metodă de gherilă este să trimiți aceste fișiere către e-mailul tău personal, cum ar fi Gmail sau Hotmail.

Risc: Băieții răi îți pot fura parola pentru unul dintre aceste site-uri și pot fura copii materiale clasificate compania dvs.

Cum să te protejezi: Când sunteți pe cale să salvați un anumit fișier pe Internet, întrebați-vă ce se va întâmpla dacă acesta va deveni disponibil pe scară largă sau va ajunge în mâinile șefului unei companii care este principalul dvs. competitor. Dacă nu se întâmplă nimic rău, continuă.

Problemă: Multe companii au capacitatea de a urmări e-mailuri angajații atât la adresa lor de serviciu, cât și la alte adrese de e-mail, precum și comunicare prin ICQ.

Soluție: Când trimiteți e-mailuri de la personal casuță de e-mail sau din e-mailul de la serviciu, le puteți cripta astfel încât doar destinatarul să le poată citi. În Microsoft Outlook, faceți clic pe Instrumente, apoi pe Opțiuni și selectați linia de securitate.

Aici puteți introduce o parolă și nimeni nu va putea deschide scrisoarea fără să cunoască această parolă. (Desigur, trebuie să oferiți această parolă persoanelor cărora le sunt destinate aceste scrisori în avans.)

Pentru corespondența personală folosind servicii poștale pe internet, folosiți sfatul lui Frauenfelder. Când vă verificați e-mailul, adăugați un s după „http” în bara de adrese a site-ului dvs. de e-mail - de exemplu, https://www.Gmail.com. În acest fel, veți începe o sesiune securizată și nimeni nu vă va putea urmări e-mailurile. Cu toate acestea, nu toate serviciile web acceptă acest lucru.

Pentru a vă codifica comunicațiile în timp real, utilizați serviciul Trillian al Cerulean Studios, care funcționează cu AOL Instant Messenger, Yahoo Messenger și alte programe de chat în timp real și vă ajută să vă codificați conversațiile, astfel încât nimeni altcineva să nu le poată citi.

Risc: Principalul motiv pentru care companiile urmăresc corespondență prin e-mail angajați, asta pentru a-i prinde pe cei care transmit informații confidențiale. Recurgând la toate trucurile de mai sus, poți provoca alarma falsa, și face mai dificilă pentru angajații departamentului IT să combată o amenințare reală.

Cum să te protejezi: Folosiți metodele descrise doar ocazional și nu le utilizați implicit.

8. Cum se ajunge acces de la distanță La e-mail de serviciu, dacă compania dvs. nu dorește să se prăbușească pe un PDA

Problemă: Oricine nu are PDA cunoaște sentimentul: te duci la un restaurant la prânz sau la o bere după muncă, iar toată lumea își pune mâna în buzunare după PDA-ul și ești singurul obligat să atârne un pahar în mână. .

Soluție: De asemenea, puteți rămâne în contact cu e-mailul de la serviciu folosind o varietate de dispozitive mobile. Pur și simplu configurați e-mailul de la serviciu, astfel încât e-mailurile să fie redirecționate către adresa dvs. de e-mail personală.

În Microsoft Outlook, puteți face acest lucru făcând clic dreapta pe orice e-mail, selectând „Creare Rule” și solicitând ca toate e-mailurile să fie redirecționate către o altă adresă. Apoi configurați-vă telefon mobil astfel încât să vă puteți verifica e-mailul folosindu-l, urmând instrucțiunile de la furnizorul dvs. (compania care vă trimite facturile telefonice).

Risc: Acum hackerii vă pot sparge nu numai computerul, ci și telefonul.

Cum să te protejezi: Există o modalitate „corectă” de a accesa e-mailul de serviciu folosind diverse personale dispozitive mobile prin obținerea parolei și a altor informații de la departamentul IT.

9. Cum să accesați corespondența personală de pe un PDA de serviciu

Problemă: Dacă compania dvs. v-a furnizat un PDA, probabil că vă confruntați cu problema opusă. Doriți să vă verificați mail personal la fel de usor ca munca.

Soluție: Acordați atenție secțiunii „Setări” a căsuței poștale personale și asigurați-vă că aveți POP activat ( protocol poștal), folosit pentru a primi corespondență prin alte adrese. Apoi accesați site-ul web al furnizorului dvs. de servicii BlackBerry PDA. Faceți clic pe butonul „Profil”, găsiți acolo secțiunea Conturi de e-mail (" cutii poştale") și selectați Alte conturi de e-mail. Apoi faceți clic pe Adăugare cont și introduceți informații despre personalul dvs Adresa de e-mail. Acum, corespondența dvs. personală va ajunge în același loc cu e-mailul corporativ.

Risc: Compania dvs. utilizează probabil un arsenal de instrumente de securitate și antivirus. spyware. Când primiți e-mail personal pe BlackBerry, acesta ocolește aceste bariere de securitate. Asta înseamnă că programele spion sau virușii ar putea intra în PDA-ul tău prin e-mailul personal, spune Shmugar de la McAfee.

Ce este mai rău, spune el, atunci când conectați BlackBerry la computerul de serviciu, există șansa ca programele spion să se transfere pe hard disk.

Cum să te protejezi:Încrucișați-vă degetele și sperați că furnizorul dvs. de e-mail face tot posibilul pentru a se proteja împotriva virușilor și a programelor spion (probabil că o fac).

10. Cum să te prefaci că lucrezi

Problemă: Ești ocupat să faci o căutare vitală pe Internet când dintr-o dată șeful tău apare în spatele tău. Actiunile tale?

Soluție: Apăsați rapid Alt-Tab pentru a minimiza o fereastră (cum ar fi cea în care navigați pe ESPN.com) și deschideți alta (în pregătirea prezentării de astăzi).

Risc: Vestea bună este că nu există nicio amenințare la adresa securității companiei.

Cum să te protejezi: Treci la treabă.

Ați găsit o greșeală de scriere? Selectați textul și apăsați Ctrl + Enter

Un firewall este pur și simplu un gard în jurul rețelei tale. Poate fi foarte înalt sau foarte gros, astfel încât să puteți urca peste el sau să faceți o gaură în el. Dar... acest gard nu poate detecta când cineva sapă un tunel sub el sau încearcă să meargă de-a lungul unui pod aruncat peste gard. ITU pur și simplu restricționează accesul la anumite puncte din afara gardului dvs.

Oamenii greșesc

După cum știți, firewall-urile, ca și alte măsuri de securitate, sunt configurate de oameni. Și oamenii tind să facă greșeli, chiar și specialiștii în securitatea informațiilor. Acest fapt este folosit de mulți atacatori.

Este suficient să găsim o singură slăbiciune în setările firewall-ului și asta este tot, putem presupune că „este problema ta”. Acest lucru este confirmat de diverse studii.

„Eroii normali iau întotdeauna un ocol”

De ce să încercați să accesați resurse protejate prin măsuri de securitate când puteți încerca să le ocoliți? Acest lucru poate fi ilustrat cu un exemplu dintr-un domeniu înrudit. Miercuri, 21 februarie 1990, Mary Pierham, un analist bugetar pentru o companie americană, a venit la muncă. Cu toate acestea, ea nu a putut să intre la locul de muncă nici după ce a introdus codul din patru cifre și a rostit cuvântul cod în sistemul de control al accesului. Încă dorind să se apuce de lucru, Mary a umblat prin clădire și a deschis ușa din spate folosind o pilă de unghii și un pieptene de plastic.

Cel mai nou sistem de securitate pe care Mary Pierham l-a ocolit a fost anunțat drept „sigur și de încredere” și a costat zeci de mii de dolari. În mod similar cu firewall-urile, doar modemul poate servi ca ușă în spate. Știți câte modemuri sunt instalate în rețeaua dvs. și pentru ce sunt folosite? Nu răspunde afirmativ imediat, gândește-te. În timp ce examinau o rețea, șefii departamentului de securitate și automatizare a informațiilor și-au rupt cămășile, susținând că cunosc fiecare modem instalat în rețeaua lor.

După rularea sistemului de analiză a securității Internet Scanner, am găsit într-adevăr că modemurile pe care le-au indicat au fost folosite pentru a actualiza bazele de date ale sistemelor contabil și juridic. Cu toate acestea, au fost descoperite și două modemuri necunoscute.

Unul a fost folosit de un angajat al departamentului de analiză pentru a avea acces la directoarele de lucru de acasă. Al doilea modem a fost folosit pentru a accesa Internetul, ocolind firewall-ul.

Un alt exemplu este legat de posibilitatea de a ocoli firewall-ul. Amenințările nu vin întotdeauna doar din exteriorul ITU, de pe Internet.

Un număr mare de pierderi sunt asociate tocmai cu incidente de securitate din partea utilizatorilor interni (statistic, până la 80% dintre incidente vin din interior). Trebuie clarificat faptul că firewall-ul se uită doar la traficul de la granițele dintre rețeaua internă și Internet. Dacă traficul care exploatează găurile de securitate nu trece niciodată prin firewall, atunci firewall-ul nu va găsi nicio problemă. În 1985, la una dintre fabricile rusești de construcții navale, a fost demascat un grup infracțional de peste 70 (!) persoane, care în perioada 1981 - 1985. prin introducerea în Sistem informatic a furat peste 200 de mii de ruble folosind documente false pentru calcularea salariilor.

Cazuri similare au fost înregistrate la fabricile din Leningrad și Gorki. Nici măcar cel mai eficient firewall nu a putut detecta o astfel de activitate.

Tunelurile sunt folosite nu numai în metrou

Dar chiar și vizualizarea traficului la granița dintre rețelele externe și cele interne nu garantează o protecție completă. Firewall-ul filtrează traficul și ia decizii privind permisiunea sau blocarea pachetelor de rețea pe baza informațiilor despre protocolul utilizat. În general, regulile oferă testarea adecvată pentru a determina dacă un anumit protocol este permis sau nu.

De exemplu, dacă porturile 25 și 80 sunt permise pe ITU, atunci traficul de e-mail (SMTP) și Web (HTTP) este permis să treacă în rețeaua internă. Acest principiu de procesare este folosit de atacatorii calificați. Toate activitățile neautorizate se desfășoară în cadrul protocolului permis, creând astfel un tunel prin care atacatorul efectuează atacul. Cel mai simplu exemplu care demonstrează utilizarea tunelurilor este Internetul - viermi și macrovirusuri introduși într-o rețea corporativă sub formă de atașamente la mesajele de e-mail.

Dacă firewall-ul permite trecerea traficului SMTP (și nu am văzut niciodată un firewall care să nu facă acest lucru), atunci o „infecție virală” poate intra în rețeaua internă.

Permiteți-mi să vă dau un exemplu mai complex. De exemplu, un server Web care rulează software Microsoft (Internet Information Server) este protejat de un firewall pe care este permis doar portul 80. La prima vedere, este asigurată o protecție completă. Dar numai la prima vedere. Dacă utilizați IIS versiunea 3.0, contactați:

http://www.domain.ru/default.asp. (cu un punct la sfârșit)

permite unui atacator să obțină acces la conținutul unui fișier ASP care poate stoca date confidențiale (de exemplu, o parolă de acces la baza de date).

În sistemul de detectare a atacurilor RealSecure, acest atac se numește „HTTP IIS 3.0 Asp Dot”. Și chiar dacă ați instalat cea mai recentă versiune a IIS 5.0, atunci chiar și în acest caz este posibil să nu vă simțiți confortabil siguranta deplina. Adresa:

http://SOMEHOST/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9Cwinnt/system32/cmd.exe?/c%20dir%20C:\

determină executarea comenzii „dir C:\”. În mod similar, puteți citi orice fișier, inclusiv pe cele care conțin informații confidențiale:

http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt

Un ultim exemplu este atacul Loki, care permite ca diverse comenzi (cum ar fi o solicitare de transfer al fișierului cu parole /etc/passwd) să fie tunelizate în Solicitări Echo ICMP și răspunsurile la acestea în Răspunsuri Echo ICMP.

Criptați, nu criptați, e tot la fel...

Foarte des, de pe buzele multor dezvoltatori autohtoni de instrumente VPN, puteți auzi că instrumentul pe care l-au dezvoltat pentru construirea de rețele private virtuale poate rezolva multe probleme de securitate. Ei insistă că, deoarece rețeaua protejată comunică cu adversarii săi (birouri la distanță, parteneri, clienți etc.) numai printr-o conexiune VPN, atunci nicio „infecție” nu va pătrunde în ea.

Acest lucru este parțial adevărat, dar numai cu condiția ca adversarii să nu comunice cu nimeni prin canale nesecurizate. Și acest lucru este deja greu de imaginat. Și din moment ce majoritatea organizațiilor folosesc criptarea pentru a proteja conexiunile de rețea externe, interesul unui atacator va fi direcționat către acele locuri din rețea în care informațiile de interes pentru el nu sunt sigure, adică către noduri sau rețele cu care a fost o relație de încredere. stabilit. Și chiar dacă se creează conexiuni VPN între o rețea protejată de un firewall cu funcții VPN și o rețea de încredere, atacatorul își va putea desfășura atacurile cu aceeași eficiență.

Mai mult, eficiența atacurilor sale va fi și mai mare, deoarece adesea cerințele de securitate pentru nodurile și rețelele de încredere sunt mult mai mici decât toate celelalte noduri. Un atacator va putea pătrunde într-o rețea de încredere și abia apoi va efectua acțiuni neautorizate împotriva țintei atacului său de acolo.

În martie 1995, administratorul de securitate de la Centrul Spațial Johnson a primit un mesaj că două dintre computerele centrului au fost atacate de intruși. Cu toate acestea, în urma investigației, s-a dovedit că aceste computere au fost compromise încă din decembrie 1994 și au fost instalate programe pentru a intercepta ID-urile și parolele de utilizator. Jurnalele din aceste programe conțineau aproximativ 1.300 de ID-uri de utilizator și parole de la peste 130 de sisteme conectate la gazdele compromise.

Și din nou despre înlocuire

Falsificarea adresei este o modalitate de a ascunde adresa reală a atacatorului. Cu toate acestea, poate fi folosit și pentru a ocoli mecanismele de protecție firewall. O astfel de metodă simplă precum înlocuirea adresei sursă a pachetelor de rețea cu o adresă din rețeaua protejată nu mai poate păcăli firewall-urile moderne. Toate folosesc metode diferite de protecție împotriva unei astfel de înlocuiri. Cu toate acestea, principiul înlocuirii adreselor în sine rămâne relevant. De exemplu, un atacator își poate înlocui adresa reală cu adresa unui nod care a stabilit o relație de încredere cu sistemul atacat și poate efectua un atac de tip denial of service asupra acestuia.

Firewall - ca țintă a atacului

Firewall-urile sunt adesea ele însele ținta atacurilor. După ce au atacat firewall-ul și l-au dezactivat, atacatorii își pot implementa cu calm, fără teama de a fi detectați, planurile criminale în raport cu resursele rețelei protejate.

De exemplu, de la începutul anului 2001, au fost descoperite multe vulnerabilități în implementarea diferitelor firewall-uri binecunoscute. De exemplu, procesarea incorectă a pachetelor TCP cu steag ECE în firewall-ul ipfw sau ip6fw a permis unui atacator de la distanță să ocolească regulile create. O altă vulnerabilitate a fost descoperită în BorderWare Firewall Server 6.1.2. Exploatarea acestei vulnerabilități asociată cu difuzarea solicitărilor ICMP Echo a condus la o întrerupere a disponibilității paravanului de protecție BorderWare.

Alte firewall-uri nu au fost lăsate afară - Cisco Secure Pix Firewall, WatchGuard Firebox etc.

Stai, cine vine? Arată-ți pașaportul!

Marea majoritate a firewall-urilor sunt construite modele clasice controlul accesului dezvoltat în anii 70-80 ai secolului trecut în departamentele militare. Conform acestor modele, unui subiect (utilizator, program, proces sau pachet de rețea) i se permite sau i se interzice accesul la un obiect (de exemplu, un fișier sau un nod de rețea) la prezentarea unui element unic inerent numai acestui subiect. În 80% din cazuri, acest element este o parolă. În alte cazuri, un astfel de element unic este o tabletă Touch Memory, un card inteligent sau de proximitate, caracteristicile biometrice ale utilizatorului etc. Pentru pachet de rețea un astfel de element sunt adresele sau steagurile găsite în antetul pachetului, precum și alți parametri.

Se poate observa că cea mai slabă verigă din această schemă este elementul unic. Dacă intrusul a primit cumva acest element și l-a prezentat firewall-ului, atunci îl percepe ca „al său” și îi permite să acționeze în conformitate cu drepturile entității al cărei element secret a fost folosit neautorizat. În ritmul actual de dezvoltare a tehnologiei, obținerea accesului la un astfel de element secret nu este dificilă.

Poate fi „auzit” atunci când este transmis printr-o rețea folosind analizoare de protocol, inclusiv cele încorporate în sistemele de operare (de exemplu, Network Monitor în Windows NT 4.0). Poate fi găsit folosind programe speciale disponibile pe Internet, de exemplu, folosind L0phtCrack pentru Windows sau Crack pentru Unix.

Acea. Nici cel mai puternic și mai de încredere firewall nu va proteja împotriva intrării unui intrus în rețeaua corporativă dacă acesta din urmă a putut să ghicească sau să fure parola unui utilizator autorizat. Mai mult, firewall-ul nici măcar nu va detecta încălcări, deoarece pentru acesta intrusul care a furat parola este un utilizator autorizat.

De exemplu, la 22 martie 1995, un atacator neidentificat, folosind o parolă furată și un software de la filiala Pinsk a BelAKB Magnatbank, a intrat rețea de calculatoare Centrul de decontare interbancar din Belarus și a transferat 1 miliard 700 de milioane de ruble în contul de decontare al Aresa LTD LLC din filiala sovietică a BelAKB Promstroibank.

Administrator - Dumnezeu și Rege

Fiecare organizație are utilizatori care au drepturi practic nelimitate în rețea. Acest administratori de rețea. Nu sunt controlați de nimeni și pot face aproape orice online. De regulă, ei își folosesc drepturile nelimitate pentru a-și îndeplini responsabilități funcționale. Dar imaginați-vă pentru o clipă că administratorul este jignit de ceva. Fie că este vorba despre salariu mic, subestimarea capacităților sale, răzbunare etc.

Sunt cunoscute cazuri când astfel de administratori jigniți au „stricat sângele” mai multor companii și au dus la pagube foarte grave. În toamna anului 1985, directorul USPA & IRA pentru securitatea computerelor, Donald Burlison, a încercat să determine conducerea companiei să reducă valoarea impozitelor pe venit pe care trebuia să le plătească în mod constant și de care era nemulțumit.

Cu toate acestea, a fost concediat. La trei zile de la concediere, a venit la muncă și, după ce a avut acces la rețeaua companiei, a șters 168.000 de înregistrări din baza de date de asigurări și protecție a comerțului. Apoi a lansat mai multe programe de viermi în rețea, care ar fi trebuit să continue ștergerea intrărilor similare în viitor. Și Rusia nu a stat deoparte.

În 1991, cu ajutorul tehnologiei informatice, de la Vnesheconombank au fost furate fonduri în valută în sumă de 125,5 mii de dolari și s-au făcut pregătiri pentru furtul a peste 500 de mii de dolari în plus. Mecanismul furtului era foarte simplu. Un rezident al Moscovei, împreună cu șeful departamentului de automatizare a operațiunilor non-trading al Vnesheconombank, a deschis conturi folosind șase pașapoarte false și a depus 50 de dolari în ele. Apoi, prin schimbarea software-ului bancar, 125 de mii de dolari au fost transferați în conturi deschise, care au fost primite folosind pașapoarte false.

Aceste două exemple demonstrează că nici cel mai eficient firewall nu ar putea proteja o rețea corporativă dacă ar fi atacată de administratorul său.

Concluzie

Firewall-urile nu oferă suficientă securitate rețele corporative. Deși în niciun caz nu trebuie abandonate. Acestea vor contribui la asigurarea nivelului de protecție necesar, dar în mod evident insuficient, a resurselor corporative. După cum s-a menționat de mai multe ori, instrumentele tradiționale, care includ firewall-uri, au fost construite pe baza modelelor dezvoltate într-o perioadă în care rețelele nu erau răspândite și metodele de atacare a acestor rețele nu erau la fel de dezvoltate ca acum.

Pentru a contracara în mod adecvat aceste atacuri, este necesară utilizarea noilor tehnologii. De exemplu, tehnologia de detectare a intruziunilor, care a început să se dezvolte activ în străinătate și a venit în Rusia în urmă cu patru ani. Această tehnologie un reprezentant de seamă care este familia de produse RealSecure a companiei securitatea internetului Systems, vă permite să completați eficient firewall-urile existente, oferind mai mult nivel inalt Securitate.

4.13.2. Ocolire firewall

Un firewall nu poate oferi securitate absolută deoarece algoritmul său de operare este imperfect. În lumea noastră nu există nimic impecabil, sută la sută de încredere, altfel viața ar fi plictisitoare și neinteresantă.

Cum vă protejează firewallul computerul sau serverul? Totul se bazează pe anumite reguli, conform cărora ecranul verifică tot ce trece interfata retea trafic și ia o decizie cu privire la posibilitatea de a-l depăși. Dar nu există niciun filtru în afară de interdicția absolută care poate asigura siguranța și nu există nicio regulă care să nu poată fi ocolită.

Este foarte ușor să implementați un atac DoS pe majoritatea firewall-urilor. Când ne-am uitat la tehnologia pentru acest atac ( vezi sectiunea 1.1.6), apoi au spus că poate fi ușor organizat în două cazuri:

1. Puterea canalului tău este mai mare decât cea a inamicului.

2. Există o sarcină pe server care necesită o mulțime de resurse computerizate și există posibilitatea de a o finaliza.

Un firewall este un sistem software complex care necesită semnificativ potenţial tehnic pentru a analiza tot traficul care trece, din care cea mai mare parte este cheltuită pe pachete cu steag-ul syn setat, adică la o cerere de conectare. Parametrii fiecărui astfel de pachet trebuie comparați cu toate regulile stabilite.

În același timp, nu sunt necesare resurse mari și un canal puternic pentru a trimite pachete syn. Un hacker poate inunda cu ușurință portul permis al serverului cu pachete solare în care se înlocuiește adresa expeditorului la întâmplare. Este posibil ca procesorul mașinii atacate să nu poată face față fluxului mare de solicitări care trebuie verificate în funcție de filtre și se va forma o coadă care nu va permite procesarea conexiunilor de la utilizatori respectabili.

Cel mai rău lucru este dacă firewall-ul este configurat să trimită mesaje de eroare. În acest caz, sarcina procesorului crește datorită creării și trimiterii de pachete către adrese care nu există sau nu aparțin hackerului.

Dacă clientul trimite prea multe date care nu pot fi conținute într-un singur pachet, atunci informațiile sunt împărțite în mai multe blocuri. Acest proces se numește fragmentare de pachete. Majoritatea firewall-urilor analizează doar primele blocuri dintr-o sesiune, iar toate celelalte sunt considerate corecte. Logica unui astfel de control este clară: dacă primul pachet este corect, atunci de ce să le verifici pe toate și să irosești resurse prețioase ale serverului pe el? În caz contrar, celelalte nu vor fi de nici un folos, deoarece conexiunea nu este stabilită și integritatea informațiilor este compromisă.

Pentru a se asigura că firewall-ul permite trecerea datelor hackerului, pachetele pot fi fragmentate într-un mod special. Vă puteți proteja de un astfel de atac numai dacă Firewall-ul este implementat asamblare automată pachete fragmentate și le vede în formă asamblată. Majoritatea firewall-urilor nu au această caracteristică.

Un firewall devine foarte des ținta unui atac și nu este un fapt că încercarea nu va avea succes. Dacă un atacator reușește să captureze firewall-ul, rețeaua va deveni deschisă la vedere. În acest caz, numai firewall-urile personale de pe fiecare computer vă pot salva de la înfrângerea totală. În practică, politica de securitate pe calculator personal nu atât de strict, dar poate fi suficient pentru a preveni pătrunderea în continuare a hackerului în rețea.

Un atac asupra unui firewall nu depinde de implementarea acestuia. Erorile apar atât în ​​sistemul de operare Linux, cât și în dispozitivele de rutare cu capabilități de filtrare.

Sarcina principală pe care o rezolvă un firewall este de a interzice accesul la cunoscut resurse închise. Dar există resurse deschise. De exemplu, dacă este necesar ca serverul Web să fie accesibil utilizatorilor de Internet, atunci firewall-ul nu va putea proteja împotriva hackingului prin erori în scripturile de pe serverul Web.

Securitatea maximă vine cu unele inconveniente. Deci, am spus deja că cel mai bine este să interziceți orice încercare de conectare din exterior. O conexiune poate fi stabilită doar la inițiativa unui client din rețeaua dvs., dar nu computer la distanță. În acest caz, hackerul va rămâne în urmă, dar utilizatorii rețelei pot avea și probleme, de exemplu, atunci când încearcă să se conecteze la un server FTP în modul activ. Știm deja că acest serviciu rulează pe două porturi: ftp și ftp-data (ftpd). Utilizatorul se conectează la server port ftp, iar când solicitați să primiți un fișier, serverul însuși inițiază o conexiune cu clientul, iar firewall-ul nu va permite acest lucru. Pentru serviciul FTP am rezolvat această problemă adăugând posibilitatea de a lucra în modul pasiv, dar în alte programe (de exemplu, în chat-uri) întrebarea rămâne deschisă.

Un hacker poate stabili o conexiune la o rețea securizată printr-un tunel portul deschisși cu o adresă validă în rețea. Nu există nicio scăpare din asta, pentru că măcar ceva trebuie permis.

ÎN companii mari pot exista mai multe servere pe o singură rețea. Am văzut doar într-o companie de apă și în filme cum administratorii lucrează în spatele mai multor monitoare și tastaturi în același timp pentru a gestiona fiecare dintre ele. În viața reală, astfel de specialiști sunt prea leneși, iar munca monotonă este obositoare, așa că stau la un singur computer și folosesc o conexiune de la distanță pentru a se conecta la server.