Thực đơn
trang chủYandex

Cách vượt qua các hạn chế về CNTT tại nơi làm việc. Nhược điểm của việc bảo vệ chống lại các cuộc tấn công của hacker. Cách truy cập thư cá nhân từ PDA công việc

Năm 1999, tôi viết một bài báo, "Tường lửa không phải là thuốc chữa bách bệnh", thảo luận về những thiếu sót khác nhau vốn có trong công nghệ được sử dụng trong tường lửa (Tường lửa). Tôi hy vọng các nhà cung cấp trong nước và đặc biệt là các nhà phát triển sẽ ngừng lừa dối khách hàng, cho rằng tường lửa của họ là liều thuốc chữa bách bệnh và nó sẽ giải quyết mọi vấn đề của khách hàng, đảm bảo bảo vệ đáng tin cậy toàn bộ tài nguyên của mạng công ty. Tuy nhiên, điều này đã không xảy ra và tôi muốn quay lại chủ đề này một lần nữa. Hơn nữa, theo kinh nghiệm giảng dạy về bảo mật thông tin của tôi cho thấy, vấn đề này rất được các chuyên gia đã sử dụng tường lửa(tường lửa) trong tổ chức của họ.

Có một số vấn đề mà tôi muốn nói đến và có thể được minh họa bằng một ví dụ. Tường lửa chỉ đơn giản là một hàng rào xung quanh mạng của bạn. Nó có thể rất cao hoặc rất dày để bạn có thể trèo qua hoặc tạo một cái lỗ trên đó. Nhưng... hàng rào này không thể phát hiện khi ai đó đang đào đường hầm bên dưới nó hoặc cố gắng đi dọc theo cây cầu bắc qua hàng rào. ITU chỉ hạn chế quyền truy cập vào một số điểm nhất định bên ngoài hàng rào của bạn.

Mọi người mắc sai lầm

Như bạn đã biết, tường lửa, giống như các biện pháp bảo mật khác, được cấu hình bởi con người. Và mọi người đều có xu hướng mắc sai lầm, ngay cả các chuyên gia bảo mật thông tin. Thực tế này được nhiều kẻ tấn công sử dụng. Chỉ cần tìm thấy một điểm yếu trong cài đặt tường lửa là đủ, chúng ta có thể cho rằng “đó là vấn đề của bạn”. Điều này được xác nhận bởi nhiều nghiên cứu khác nhau. Ví dụ: số liệu thống kê được thu thập vào năm 1999 bởi hiệp hội ICSA (http://www.icsa.net) cho thấy có tới 70% tổng số tường lửa dễ bị tổn thương do cấu hình sai và cài đặt. Tôi không muốn nói về sự kém cỏi hoặc trình độ thấp của quản trị viên ITU (mặc dù những lý do này không hiếm) - Tôi sẽ mô tả một ví dụ khác. Ngay sau khi tốt nghiệp đại học, tôi đã làm việc tại bộ phận tự động hóa của một công ty lớn. Bảo vệ Internetđược cung cấp bởi tường lửa, do quản trị viên bộ phận bảo mật thông tin kiểm soát. Đã hơn một lần tôi phải đối mặt với tình huống bạn bè từ các bộ phận khác của công ty đã tiếp cận quản trị viên này và yêu cầu cho phép họ tạm thời truy cập vào máy chủ bằng đồ chơi. Có lần tôi chứng kiến ​​một sự việc gây sốc. Người đứng đầu bộ phận làm việc với các đối tác đã tiếp cận quản trị viên ITU và yêu cầu cấp cho anh ta quyền truy cập vào một trong các tài nguyên Internet. Đáp lại rằng điều này là không thể, ông chủ đe dọa sẽ cho quản trị viên một “cuộc sống hạnh phúc”, sau đó người này phải tuân theo mệnh lệnh và thay đổi cài đặt tường lửa. Điều đáng ngạc nhiên nhất là tình hình không được cải thiện theo thời gian. Gần đây chúng tôi đã tiến hành một cuộc khảo sát tại một trong các tổ chức và phát hiện ra tình huống tương tự ở đó. Tường lửa cho phép truy cập thông qua Giao thức ICQ, RealAudio, v.v. Họ bắt đầu tìm hiểu - hóa ra việc này được thực hiện theo yêu cầu của một nhân viên của một trong các bộ phận, người mà quản trị viên đã phát triển quan hệ thân thiện.

"Những anh hùng bình thường luôn đi đường vòng"

Một đoạn bài hát trong bộ phim thiếu nhi "Aibolit-69" minh họa một cách hoàn hảo vấn đề cố hữu sau đây của tường lửa. Tại sao phải cố gắng truy cập các tài nguyên được bảo vệ thông qua các biện pháp bảo mật khi bạn có thể cố gắng vượt qua chúng? Điều này có thể được minh họa bằng một ví dụ từ một lĩnh vực liên quan. Thứ Tư, ngày 21 tháng 2 năm 1990, Mary Pierham, nhà phân tích ngân sách của một công ty Mỹ, đến làm việc. Tuy nhiên, cô ấy không thể đi đến chỗ cô ấy. nơi làm việc ngay cả sau khi quay mã bốn chữ số và nói từ mã vào hệ thống kiểm soát truy cập. Muốn tiếp tục làm việc, Mary đi vòng quanh tòa nhà và mở cửa sau bằng giũa móng tay và một chiếc lược nhựa. Hệ thống an ninh mới nhất mà Mary Pierham vượt qua được quảng cáo là “an toàn và đáng tin cậy” và có giá hàng chục nghìn đô la. Tương tự với tường lửa, chỉ có modem mới có thể đóng vai trò là cửa sau. Bạn có biết có bao nhiêu modem được cài đặt trên mạng của bạn và chúng được sử dụng để làm gì không? Đừng trả lời khẳng định ngay lập tức, hãy suy nghĩ về nó. Khi kiểm tra một mạng, những người đứng đầu bộ phận tự động hóa và bảo mật thông tin đã xé áo tuyên bố rằng họ biết từng modem được cài đặt trên mạng của mình. Sau khi chạy hệ thống phân tích bảo mật Internet Scanner, chúng tôi thực sự đã tìm thấy các modem mà họ chỉ ra đã được sử dụng để cập nhật cơ sở dữ liệu của hệ thống kế toán và pháp lý. Tuy nhiên, hai modem không xác định cũng được phát hiện. Một cái đã được một nhân viên của bộ phận phân tích sử dụng để truy cập vào các thư mục làm việc ở nhà. Modem thứ hai được sử dụng để truy cập Internet, vượt qua tường lửa.

Google vs Tường lửa

Như đã đưa tin trong số 21 của PCWeek/RE năm 2001, do tường lửa ở Yuzhny bị tắt tạm thời Đại học Bách khoa Công cụ tìm kiếm Atlanta Xe Googleđã lập chỉ mục mạng nội bộ của trường đại học này và có thể truy cập các tập tin về sinh viên - địa chỉ nhà, số an sinh xã hội, v.v.

Một sự hiểu lầm phổ biến là tường lửa không nhận ra các cuộc tấn công và không chặn chúng. Tường lửa (Firewall) là một thiết bị đầu tiên cấm mọi thứ và sau đó chỉ cho phép những thứ “tốt”. Nghĩa là, khi cài đặt tường lửa, bước đầu tiên là cấm tất cả các kết nối giữa thiết bị được bảo vệ và mạng mở. Sau đó, quản trị viên sẽ thêm các quy tắc cụ thể cho phép lưu lượng truy cập nhất định đi qua tường lửa. Cấu hình tường lửa thông thường sẽ từ chối tất cả lưu lượng truy cập ICMP đến, chỉ cho phép lưu lượng truy cập đi và một số lưu lượng truy cập dựa trên giao thức UDP và TCP đến (ví dụ: HTTP, DNS, SMTP, v.v.). Điều này sẽ cho phép nhân viên của tổ chức được bảo vệ làm việc với Internet và từ chối những kẻ tấn công truy cập vào tài nguyên nội bộ. Tuy nhiên, đừng quên rằng tường lửa chỉ đơn giản là các hệ thống dựa trên quy tắc cho phép hoặc từ chối lưu lượng truy cập đi qua chúng. Ngay cả tường lửa sử dụng công nghệ kiểm tra trạng thái cũng không cho phép người ta nói chắc chắn liệu có một cuộc tấn công trong lưu lượng hay không. Họ chỉ có thể thông báo liệu lưu lượng truy cập có phù hợp với quy tắc hay không.

Một sự tương tự tốt có thể được rút ra với thế giới vật chất. Tường lửa chỉ đơn giản là một hàng rào xung quanh mạng của bạn mà không thể bị phát hiện khi ai đó đào sâu bên dưới nó. ITU chỉ hạn chế quyền truy cập vào một số điểm nhất định bên ngoài hàng rào của bạn. Và để không vô căn cứ, chúng tôi sẽ đưa ra một số ví dụ khi tường lửa không cứu bạn khỏi những kẻ xâm nhập [Lukatsky1-01].

Tấn công qua đường hầm tường lửa

Đường hầm là một phương pháp đóng gói (che đậy) các tin nhắn thuộc một loại (có thể bị chặn bởi các bộ lọc ITU) bên trong các tin nhắn thuộc loại khác. giao thức mạng. Tường lửa lọc lưu lượng mạng và đưa ra quyết định về việc cho phép hoặc chặn các gói dựa trên thông tin về giao thức mạng được sử dụng. Thông thường các quy tắc cung cấp một biện pháp kiểm tra thích hợp để xác định xem một giao thức cụ thể có được bật hay không. Ví dụ: nếu cổng 25 và 80 được cho phép trên ITU thì lưu lượng thư (SMTP) và Web (HTTP) sẽ được phép đi vào mạng nội bộ. Nguyên tắc xử lý này được những kẻ tấn công lành nghề sử dụng. Tất cả các hoạt động trái phép được thực hiện trong khuôn khổ giao thức được phép, từ đó tạo ra một đường hầm mà qua đó kẻ tấn công thực hiện cuộc tấn công. Ví dụ: một khiếm khuyết như vậy trong tường lửa được sử dụng để thực hiện cuộc tấn công LOKI, cho phép tạo đường hầm các lệnh khác nhau vào Yêu cầu tiếng vang ICMP và phản hồi chúng thành phản hồi Trả lời tiếng vang ICMP, điều này làm thay đổi đáng kể kích thước của trường dữ liệu so với trường dữ liệu tiêu chuẩn.

Dành cho tường lửa và bất kỳ công cụ truyền thống nào khác an ninh mạng Những hành động này trông khá bình thường. Ví dụ: đây là cách truyền tệp mật khẩu trong “đường hầm” 1CMR được hiển thị bởi bộ phân tích giao thức TCPdump.
Một ví dụ khác về tấn công đường hầm là tấn công lớp ứng dụng, liên quan đến việc khai thác lỗ hổng trong ứng dụng bằng cách gửi các gói liên quan trực tiếp đến ứng dụng đó.

Cơm. 1.3. Tấn công qua đường hầm tường lửa

Ví dụ đơn giản nhất chứng minh việc sử dụng các đường hầm như vậy là sâu Internet và virus macro được đưa vào mạng công ty dưới dạng tệp đính kèm vào tin nhắn. E-mail. Nếu tường lửa cho phép lưu lượng SMTP đi qua (tác giả chưa bao giờ thấy tường lửa nào không làm điều này), thì " nhiễm virus". Hãy cho đi nhiều hơn ví dụ phức tạp. Ví dụ: một máy chủ Web đang chạy phần mềm Microsoft(Máy chủ thông tin Internet), được bảo vệ bởi tường lửa chỉ cho phép cổng 80. Thoạt nhìn, nó được cung cấp bảo vệ hiệu quả. Nhưng chỉ thoạt nhìn thôi. Nếu bạn đang sử dụng IIS phiên bản 3.0, hãy liên hệ với http://www.domain.ru/default.asp. (có dấu chấm ở cuối) cho phép kẻ tấn công truy cập vào nội dung của tệp ASP có thể lưu trữ dữ liệu nhạy cảm (ví dụ: mật khẩu truy cập cơ sở dữ liệu). Và ngay cả khi bạn cài đặt nhiều nhất phiên bản mới nhất IIS 5.0.

Hơn nữa, một số lượng lớn các quy tắc làm giảm hiệu suất của tường lửa và do đó làm giảm thông lượng của các kênh liên lạc đi qua nó.

Các cuộc tấn công vượt qua tường lửa

Lời bài hát trong bộ phim thiếu nhi “Aibolit-66” - “Những anh hùng bình thường luôn đi đường vòng” - minh họa một cách hoàn hảo cho vấn đề vốn có của tường lửa sau đây. Tại sao phải cố gắng truy cập các tài nguyên được bảo vệ thông qua các biện pháp bảo mật khi bạn có thể cố gắng vượt qua chúng?

Một ví dụ từ một lĩnh vực liên quan

Vào ngày 21 tháng 2 năm 1990, nhà phân tích ngân sách Mary Pircham đến làm việc. Tuy nhiên, cô ấy không thể vào nơi làm việc của mình ngay cả khi đã nhập mã bốn chữ số và nói từ mã đó vào hệ thống an ninh. Muốn vẫn vào, Mary mở cửa sau bằng một chiếc nĩa nhựa và một chiếc tuốc nơ vít bỏ túi. Hệ thống bảo mật mới nhất mà Mary Pierham vượt qua được quảng cáo là “không an toàn và đáng tin cậy” và có giá 44.000 USD [Vakka1-97].

Tương tự với tường lửa, chỉ modem mới có thể đóng vai trò là cửa sau. Bạn có biết có bao nhiêu modem được cài đặt trên mạng của bạn và chúng được sử dụng để làm gì không? Đừng trả lời khẳng định ngay lập tức, hãy suy nghĩ về nó. Trong một cuộc khảo sát trên một mạng, những người đứng đầu bộ phận tự động hóa và bảo mật thông tin đã xé áo tuyên bố rằng họ biết từng modem được cài đặt trên mạng của mình. Bằng cách chạy hệ thống phân tích bảo mật Internet Scanner, chúng tôi thực sự đã tìm thấy các modem mà họ chỉ ra đã được sử dụng để cập nhật cơ sở dữ liệu hệ thống kế toán và pháp lý. Tuy nhiên, hai modem không xác định cũng được phát hiện. Một cái đã được một nhân viên của bộ phận phân tích sử dụng để truy cập vào các thư mục làm việc ở nhà. Modem thứ hai được sử dụng để truy cập Internet vượt qua tường lửa.

Một ví dụ khác liên quan đến khả năng vượt qua tường lửa. Các mối đe dọa không phải lúc nào cũng chỉ đến từ bên ngoài ITU, từ Internet. Một số lượng lớn như số liệu thống kê cho thấy, những tổn thất có liên quan chính xác đến các sự cố bảo mật từ phía người dùng nội bộ, từ bên trong. Cần làm rõ rằng tường lửa chỉ kiểm tra lưu lượng ở ranh giới giữa mạng nội bộ và Mạng internet. Nếu lưu lượng khai thác lỗ hổng bảo mật không bao giờ đi qua tường lửa thì tường lửa sẽ không phát hiện vấn đề gì

Bức tường lửa hoặc bức tường lửa- một phức hợp phần cứng hoặc phần mềm, giám sát và lọc các gói mạng đi qua nó theo các quy tắc được chỉ định.
Nhiệm vụ chính của tường lửa là bảo vệ mạng máy tính hoặc các nút riêng lẻ khỏi bị truy cập trái phép. Ngoài ra, tường lửa thường được gọi là bộ lọc, vì nhiệm vụ chính của chúng là không cho (lọc) các gói không đáp ứng các tiêu chí được xác định trong cấu hình đi qua.
Tùy thuộc vào phạm vi bao phủ của luồng dữ liệu được kiểm soát, tường lửa được chia thành:

  • mạng truyền thống(hoặc mạng lưới) màn hình- một chương trình (hoặc một phần không thể thiếu của hệ điều hành) trên một cổng (máy chủ truyền lưu lượng giữa các mạng) hoặc giải pháp phần cứng, kiểm soát luồng dữ liệu đến và đi giữa các mạng được kết nối.

  • tường lửa cá nhân- chương trình được cài đặt trên máy tính người dùng và được thiết kế để chỉ bảo vệ máy tính này khỏi bị truy cập trái phép.
Tùy thuộc vào mức độ kiểm soát truy cập xảy ra, có sự phân chia thành các tường lửa hoạt động trên:

  • cấp độ mạng, khi quá trình lọc diễn ra dựa trên địa chỉ người gửi và người nhận của gói, số cổng lớp vận chuyển Mô hình OSI và các quy tắc tĩnh do quản trị viên đặt ra;

  • cấp độ phiên(còn được gọi là trạng thái) - theo dõi các phiên giữa các ứng dụng không cho phép các gói vi phạm thông số kỹ thuật TCP/IP đi qua, thường được sử dụng trong các hoạt động độc hại - quét tài nguyên, hack thông qua việc triển khai TCP/IP không chính xác, kết nối bị rớt/chậm, tiêm dữ liệu .

  • cấp độ ứng dụng, lọc dựa trên phân tích dữ liệu ứng dụng được truyền trong gói. Những loại màn hình này cho phép bạn chặn việc truyền thông tin không mong muốn và có khả năng gây hại dựa trên các chính sách và cài đặt.
Chịu sự theo dõi hợp chất hoạt động tường lửa là:

  • không quốc tịch(lọc đơn giản), không giám sát các kết nối hiện tại (ví dụ: TCP), nhưng chỉ lọc luồng dữ liệu dựa trên các quy tắc tĩnh;

  • có trạng thái,(lọc nhận biết ngữ cảnh), giám sát các kết nối hiện tại và chỉ truyền những gói đáp ứng logic và thuật toán của các giao thức và ứng dụng tương ứng. Những loại tường lửa này giúp chống lại hiệu quả hơn nhiều loại khác nhau Các cuộc tấn công DoS và lỗ hổng của một số giao thức mạng. Ngoài ra, chúng còn cung cấp chức năng của các giao thức như H.323, SIP, FTP, v.v., sử dụng mạch phức tạp truyền dữ liệu giữa những người nhận, khó mô tả bằng các quy tắc tĩnh và thường không tương thích với các quy tắc tiêu chuẩn, không quốc tịch tường lửa.
Làm thế nào để vượt qua tường lửa.

    1. ^ Mối đe dọa từ bên trong. Các mối đe dọa không phải lúc nào cũng chỉ đến từ bên ngoài ITU, từ Internet. Một số lượng lớn tổn thất có liên quan chính xác đến các sự cố bảo mật từ phía người dùng nội bộ (theo thống kê, có tới 80% sự cố đến từ bên trong). Cần làm rõ rằng tường lửa chỉ xem xét lưu lượng ở ranh giới giữa mạng nội bộ và Internet. Nếu lưu lượng khai thác lỗ hổng bảo mật không bao giờ đi qua tường lửa thì tường lửa sẽ không tìm thấy vấn đề gì.

    Ví dụ trên slide

  1. Đường hầm. Tường lửa lọc lưu lượng truy cập và đưa ra quyết định về việc cho phép hoặc chặn các gói mạng dựa trên thông tin về giao thức được sử dụng. Nói chung, các quy tắc cung cấp thử nghiệm thích hợp để xác định xem một giao thức cụ thể có được phép hay không. Ví dụ: nếu cổng 25 và 80 được cho phép trên ITU thì lưu lượng thư (SMTP) và Web (HTTP) sẽ được phép đi vào mạng nội bộ. Nguyên tắc xử lý này được những kẻ tấn công lành nghề sử dụng. Tất cả các hoạt động trái phép được thực hiện trong khuôn khổ giao thức được phép, từ đó tạo ra một đường hầm mà qua đó kẻ tấn công thực hiện cuộc tấn công. Ví dụ đơn giản nhất minh họa việc sử dụng đường hầm là sâu Internet và virus macro được đưa vào mạng công ty dưới dạng tệp đính kèm vào thư email. Nếu tường lửa cho phép lưu lượng SMTP đi qua (và tôi chưa bao giờ thấy tường lửa nào không làm điều này), thì “lây nhiễm vi-rút” có thể xâm nhập vào mạng nội bộ.

    Một cuộc tấn công kênh bí mật hiện đại phổ biến là cuộc tấn công Loki. Cuộc tấn công này sử dụng giao thức ICMP để truyền dữ liệu, mặc dù giao thức này không được thiết kế để sử dụng theo cách này nhưng nó chỉ nhằm mục đích gửi thông báo trạng thái và lỗi. Nhưng ai đó đã phát triển một công cụ đặc biệt (Loki) cho phép kẻ tấn công ghi dữ liệu ngay sau tiêu đề ICMP.
    Điều này cho phép kẻ tấn công liên lạc với hệ thống khác thông qua kênh bí mật. Cuộc tấn công này thường khá thành công vì hầu hết các tường lửa đều được cấu hình để cho phép lưu lượng ICMP vào và ra. Cái này kênh ẩn, bởi vì nó sử dụng một giao thức liên lạc không được thiết kế cho mục đích này. Thông tin chi tiết về cuộc tấn công Loki có thể được tìm thấy tại http://xforce.iss.net/xforce/xfdb/1452.


  2. Mã hóa. Rất thường xuyên từ miệng của nhiều nhà phát triển trong nước VPN có nghĩa là Bạn có thể nghe nói rằng công cụ mà anh ấy phát triển để xây dựng mạng riêng ảo có thể giải quyết được nhiều vấn đề về bảo mật. Họ nhấn mạnh rằng vì mạng được bảo vệ liên lạc với đối thủ của nó ( văn phòng từ xa, đối tác, khách hàng, v.v.) chỉ qua kết nối VPN thì sẽ không có “sự lây nhiễm” nào xâm nhập được. Điều này đúng một phần nhưng chỉ với điều kiện đối thủ cũng không liên lạc với bất kỳ ai thông qua các kênh không an toàn. Và điều này thật khó tưởng tượng. Và vì hầu hết các tổ chức sử dụng mã hóa để bảo vệ bên ngoài kết nối mạng, sự quan tâm của kẻ tấn công sẽ được hướng đến những nơi trong mạng nơi thông tin mà anh ta quan tâm có thể không an toàn, nghĩa là đến các nút hoặc mạng đã thiết lập mối quan hệ đáng tin cậy. Và ngay cả trong trường hợp Tạo VPN- kết nối giữa mạng được bảo vệ bởi tường lửa có chức năng VPN và mạng đáng tin cậy, kẻ tấn công sẽ có thể thực hiện các cuộc tấn công của mình với hiệu quả tương tự. Hơn nữa, hiệu quả của các cuộc tấn công của anh ta sẽ còn cao hơn nữa, vì thường các yêu cầu bảo mật đối với các nút và mạng đáng tin cậy thấp hơn nhiều so với tất cả các nút khác. Kẻ tấn công sẽ có thể xâm nhập vào một mạng đáng tin cậy và chỉ sau đó thực hiện các hành động trái phép chống lại mục tiêu tấn công của hắn từ đó.


  3. ^ Các lỗ hổng trong tường lửa. Sau khi tấn công tường lửa và vô hiệu hóa nó, những kẻ tấn công có thể bình tĩnh mà không sợ bị phát hiện thực hiện các kế hoạch tội phạm của mình liên quan đến tài nguyên của mạng được bảo vệ. Ví dụ, kể từ đầu năm 2001, nhiều lỗ hổng đã được phát hiện trong quá trình triển khai các tường lửa nổi tiếng khác nhau.

  4. ^ Giả mạo địa chỉ- Đây là một cách để che giấu địa chỉ thực của kẻ tấn công. Tuy nhiên, nó cũng có thể được sử dụng để vượt qua các cơ chế bảo vệ tường lửa. Như là cách đơn giản nhất, giống như việc thay thế địa chỉ nguồn của các gói mạng bằng một địa chỉ từ mạng được bảo vệ, không còn có thể đánh lừa các tường lửa hiện đại nữa. Họ đều sử dụng nhiều cách khác nhau bảo vệ chống lại sự thay thế đó. Tuy nhiên, nguyên tắc thay thế địa chỉ vẫn có liên quan. Ví dụ, kẻ tấn công có thể thay thế địa chỉ thựcđến địa chỉ của nút đã thiết lập mối quan hệ đáng tin cậy với hệ thống bị tấn công và thực hiện tấn công từ chối dịch vụ chống lại nó.

Mặc dù mỗi tổ chức sẽ đưa ra các yêu cầu và ưu tiên riêng của mình trong số ba tiêu chí lựa chọn, nhưng có thể xây dựng rõ ràng 10 tính năng tường lửa thế hệ tiếp theo phải có:

  1. Kiểm soát các chức năng ứng dụng và các ứng dụng phụ của chúng
  2. Quản lý lưu lượng truy cập không xác định
  3. Quét để phát hiện virus và phần mềm độc hại trong mọi ứng dụng, trên mọi cổng
  4. Đảm bảo mức độ hiển thị và kiểm soát ứng dụng như nhau cho tất cả người dùng và thiết bị
  5. Đơn giản hóa, không phức tạp hóa vấn đề bảo mật mạng với việc bổ sung Kiểm soát ứng dụng
  6. Cung cấp tương tự băng thông và hiệu suất với tính năng kiểm soát ứng dụng được kích hoạt đầy đủ
  7. Hỗ trợ các chức năng tường lửa hoàn toàn giống hệt nhau ở cả dạng phần cứng và dạng ảo

2. Tường lửa thế hệ tiếp theo của bạn phải xác định và kiểm soát các công cụ trốn tránh bảo mật.

Ảnh chụp màn hình: Lưu lượng mạng đường hầm TCP-over-DNS. Dữ liệu được mã hóa được chuyển đến trường Văn bản. Tường lửa thông thường coi lưu lượng này là các yêu cầu DNS.

Ví dụ thực tế. Ngày nay, các lập trình viên đặc biệt viết các ứng dụng để vượt qua tường lửa. Họ cần điều này cho cái gọi là Trải nghiệm người dùng.


Lập trình viên muốn bạn được thoải mái! Thế là bạn cài đặt Skype và nó lập tức “sáng xanh”. Bạn sẽ thích thú với việc bạn không phải thuyết phục quản trị viên của mình viết các quy tắc tường lửa vì các ứng dụng này tìm và sử dụng các hộp đã mở cho các ứng dụng khác. Các cổng như vậy thường là cổng 80, 53, 123, 25, 110. Hoặc chương trình lấy và sử dụng cài đặt máy chủ proxy từ trình duyệt.
Các phương tiện bảo vệ hiện đại không hoàn hảo. Chúng cũng được viết bởi các lập trình viên. 20 năm trước, khi Internet được tạo ra, người ta đã thống nhất rằng các cổng sẽ được sử dụng để xác định các ứng dụng. 80 - HTTP, 25 - SMTP, 21 - FTP, v.v. Tình hình đã thay đổi: mọi ứng dụng đều có thể chạy bên trong các cổng này. Các biện pháp bảo vệ có thay đổi không? Họ có thể xác định được điều gì cổng tiêu chuẩnđối với HTTP (cổng 80), hiện có ứng dụng nào khác đang chạy ngoài HTTP không?


Vượt qua các quy tắc tường lửa bằng cách sử dụng các cổng không chuẩn.


Hiện nay có rất nhiều ứng dụng trên mạng của bạn có thể được sử dụng để vượt qua các chính sách bảo mật nhằm bảo vệ tổ chức của bạn. Làm thế nào để bạn kiểm soát nó?
Các công cụ bỏ qua bảo mật bao gồm hai loại ứng dụng - các ứng dụng được thiết kế nguyên bản để vượt qua các biện pháp bảo mật (ví dụ: proxy bên ngoài và ứng dụng đường hầm được mã hóa (không phải VPN)) và các ứng dụng có thể được điều chỉnh để thực hiện tác vụ này (ví dụ: máy chủ từ xa công cụ quản lý/máy tính để bàn).
  • Proxy bên ngoài và các ứng dụng đường hầm được mã hóa (không phải VPN), được trang bị một số kỹ thuật ngụy trang, được sử dụng đặc biệt để vượt qua các biện pháp bảo mật. Vì các ứng dụng này được thiết kế để vượt qua bảo mật ngay từ đầu và do đó góp phần gây ra rủi ro về kinh doanh và bảo mật nên chúng không mang lại giá trị kinh doanh nào cho mạng của bạn.
  • Các công cụ quản lý máy chủ/máy tính từ xa như RDP và Teamviewer thường được nhân viên trợ giúp và chuyên gia CNTT sử dụng để nâng cao hiệu quả công việc. Chúng cũng thường được nhân viên của các tổ chức sử dụng để kết nối với máy tính gia đình và các máy tính khác bên ngoài mạng công ty, vượt qua tường lửa. Những kẻ tấn công nhận thức rõ về việc sử dụng các ứng dụng như vậy và Báo cáo vi phạm dữ liệu của Verizon (DBIR) được công bố chính thức đã báo cáo rằng những công cụ này Truy cập từ xađược sử dụng ở một hoặc nhiều giai đoạn tấn công mạng. Và chúng vẫn đang được sử dụng.

Họ có mang theo không ứng dụng tiêu chuẩn Có rủi ro nào trong mạng không? Xét cho cùng, cả quản trị viên và nhân viên đều có thể sử dụng cả ứng dụng truy cập từ xa và nhiều ứng dụng đường hầm được mã hóa. Tuy nhiên, những công cụ tương tự này ngày càng được những kẻ tấn công sử dụng ở nhiều giai đoạn khác nhau trong các cuộc tấn công tinh vi của chúng. Một ví dụ về công cụ như vậy vào năm 2017 là Cobalt Strike. Nếu các tổ chức không kiểm soát việc sử dụng các công cụ vượt kiểm soát bảo mật này, họ sẽ không thể thực hiện thành công các chính sách bảo mật và sẽ gặp phải tất cả các rủi ro mà các biện pháp kiểm soát bảo mật này được thiết kế để chống lại.

Yêu cầu. Hiện hữu Nhiều loại khác nhau các ứng dụng bỏ qua bảo mật và các kỹ thuật được sử dụng trong từng loại ứng dụng hơi khác nhau. Có các proxy bên ngoài công khai và riêng tư có thể sử dụng cả HTTP và HTTPS. Ví dụ: một cơ sở dữ liệu lớn về proxy công cộng được trình bày trên trang web proxy.org (bị cấm ở Liên bang Nga và nên bị cấm trên mạng công ty của bạn). Proxy riêng thường được định cấu hình dựa trên địa chỉ IP chưa được phân loại (ví dụ: máy tính gia đình) với các ứng dụng như PHProxy hoặc CGIProxy. Các ứng dụng truy cập từ xa như RDP, Teamviewer hoặc GoToMyPC có mục đích sử dụng hợp pháp nhưng phải được kiểm soát chặt chẽ do chúng có thêm rủi ro. Hầu hết các ứng dụng bỏ qua khác (ví dụ: Ultrasurf, Tor, Hamachi) không có giá trị kinh doanh cho mạng của bạn. Bất kể trạng thái chính sách bảo mật của bạn là gì, tường lửa thế hệ tiếp theo của bạn phải được trang bị các kỹ thuật cụ thể cho phép bạn xác định và kiểm soát tất cả các ứng dụng được liệt kê mà không bị ràng buộc với một cổng, giao thức, phương thức mã hóa cụ thể hoặc các chiến thuật trốn tránh khác.
Và một cái nữa tâm điểm: Các ứng dụng bỏ qua được cập nhật thường xuyên khiến chúng càng khó bị phát hiện và kiểm soát hơn. Vì vậy, điều quan trọng là phải biết tần suất cập nhật và duy trì các tính năng kiểm soát ứng dụng trong tường lửa của bạn.

Ví dụ thực tế. Chúng có được sử dụng không giao thức chuẩn TRÊN cổng không chuẩn vào mạng của bạn? Quản trị viên có thể di chuyển RDP từ cổng tiêu chuẩn 3389 sang cổng khác? Có lẽ. HTTP có thể đi trên một cổng khác ngoài 80 không? Anh ấy không chỉ có thể mà còn có thể đi bộ. Có thể Máy chủ ftp hoạt động trên Internet trên một cổng khác ngoài 21 - đúng như vậy số lượng lớn. Hệ thống an ninh của bạn có nhìn thấy điều này không? Nếu không, thì đây là động thái tiêu chuẩn để nhân viên công ty hoặc tin tặc trốn tránh việc kiểm tra chính sách. Chỉ cần di chuyển FTP sang cổng 25 - hóa ra công cụ bảo mật của bạn cho rằng đó là SMTP. Chữ ký IPS hoặc phần mềm chống vi-rút của bạn chỉ hoạt động với cổng 80 hoặc 110 (POP3)? Kẻ tấn công sẽ chuyển tiếp lưu lượng đến bất kỳ cổng nào khác. Ví dụ 10000.

Tường lửa chỉ đơn giản là một hàng rào xung quanh mạng của bạn. Nó có thể rất cao hoặc rất dày để bạn có thể trèo qua hoặc tạo một cái lỗ trên đó. Nhưng... hàng rào này không thể phát hiện khi ai đó đang đào đường hầm bên dưới nó hoặc cố gắng đi dọc theo cây cầu bắc qua hàng rào. ITU chỉ hạn chế quyền truy cập vào một số điểm nhất định bên ngoài hàng rào của bạn.

Mọi người mắc sai lầm

Như bạn đã biết, tường lửa, giống như các biện pháp bảo mật khác, được cấu hình bởi con người. Và mọi người đều có xu hướng mắc sai lầm, ngay cả các chuyên gia bảo mật thông tin. Thực tế này được nhiều kẻ tấn công sử dụng.

Chỉ cần tìm thấy một điểm yếu trong cài đặt tường lửa là đủ, chúng ta có thể cho rằng “đó là vấn đề của bạn”. Điều này được xác nhận bởi nhiều nghiên cứu khác nhau.

"Những anh hùng bình thường luôn đi đường vòng"

Tại sao phải cố gắng truy cập các tài nguyên được bảo vệ thông qua các biện pháp bảo mật khi bạn có thể cố gắng vượt qua chúng? Điều này có thể được minh họa bằng một ví dụ từ một lĩnh vực liên quan. Thứ Tư, ngày 21 tháng 2 năm 1990, Mary Pierham, nhà phân tích ngân sách của một công ty Mỹ, đến làm việc. Tuy nhiên, cô không thể vào nơi làm việc của mình ngay cả sau khi nhập mã gồm bốn chữ số và nói từ mã vào hệ thống kiểm soát truy cập. Vẫn muốn đi làm, Mary đi vòng quanh tòa nhà và mở cửa sau bằng giũa móng tay và một chiếc lược nhựa.

Hệ thống an ninh mới nhất mà Mary Pierham vượt qua được quảng cáo là “an toàn và đáng tin cậy” và có giá hàng chục nghìn đô la. Tương tự với tường lửa, chỉ có modem mới có thể đóng vai trò là cửa sau. Bạn có biết có bao nhiêu modem được cài đặt trên mạng của bạn và chúng được sử dụng để làm gì không? Đừng trả lời khẳng định ngay lập tức, hãy suy nghĩ về nó. Khi kiểm tra một mạng, những người đứng đầu bộ phận tự động hóa và bảo mật thông tin đã xé áo tuyên bố rằng họ biết từng modem được cài đặt trên mạng của mình.

Sau khi chạy hệ thống phân tích bảo mật Internet Scanner, chúng tôi thực sự đã tìm thấy các modem mà họ chỉ ra đã được sử dụng để cập nhật cơ sở dữ liệu của hệ thống kế toán và pháp lý. Tuy nhiên, hai modem không xác định cũng được phát hiện.

Một cái đã được một nhân viên của bộ phận phân tích sử dụng để truy cập vào các thư mục làm việc ở nhà. Modem thứ hai được sử dụng để truy cập Internet, vượt qua tường lửa.

Một ví dụ khác liên quan đến khả năng vượt qua tường lửa. Các mối đe dọa không phải lúc nào cũng chỉ đến từ bên ngoài ITU, từ Internet.

Một số lượng lớn tổn thất có liên quan chính xác đến các sự cố bảo mật từ phía người dùng nội bộ (theo thống kê, có tới 80% sự cố đến từ bên trong). Cần làm rõ rằng tường lửa chỉ xem xét lưu lượng ở ranh giới giữa mạng nội bộ và Internet. Nếu lưu lượng khai thác lỗ hổng bảo mật không bao giờ đi qua tường lửa thì tường lửa sẽ không tìm thấy vấn đề gì. Năm 1985, tại một trong những nhà máy đóng tàu của Nga, một nhóm tội phạm gồm hơn 70 (!) Người đã bị vạch trần, trong thời gian 1981 - 1985. bằng cách giới thiệu vào hệ thống thông tin cô ta đã lấy trộm hơn 200 nghìn rúp bằng cách sử dụng các tài liệu giả để tính lương.

Những trường hợp tương tự cũng được ghi nhận tại các nhà máy ở Leningrad và Gorky. Ngay cả tường lửa hiệu quả nhất cũng không thể phát hiện được hoạt động đó.

Đường hầm không chỉ được sử dụng trong tàu điện ngầm

Nhưng ngay cả việc xem lưu lượng truy cập ở ranh giới giữa mạng bên ngoài và mạng nội bộ cũng không đảm bảo được bảo vệ hoàn toàn. Tường lửa lọc lưu lượng truy cập và đưa ra quyết định về việc cho phép hoặc chặn các gói mạng dựa trên thông tin về giao thức được sử dụng. Nói chung, các quy tắc cung cấp thử nghiệm thích hợp để xác định xem một giao thức cụ thể có được phép hay không.

Ví dụ: nếu cổng 25 và 80 được cho phép trên ITU thì lưu lượng thư (SMTP) và Web (HTTP) sẽ được phép đi vào mạng nội bộ. Nguyên tắc xử lý này được những kẻ tấn công lành nghề sử dụng. Tất cả các hoạt động trái phép được thực hiện trong khuôn khổ giao thức được phép, từ đó tạo ra một đường hầm mà qua đó kẻ tấn công thực hiện cuộc tấn công. Ví dụ đơn giản nhất minh họa việc sử dụng đường hầm là Internet - sâu và virus macro được đưa vào mạng công ty dưới dạng tệp đính kèm vào thư email.

Nếu tường lửa cho phép lưu lượng SMTP đi qua (và tôi chưa bao giờ thấy tường lửa nào không làm điều này), thì “lây nhiễm vi-rút” có thể xâm nhập vào mạng nội bộ.

Hãy để tôi cho bạn một ví dụ phức tạp hơn. Ví dụ: một máy chủ Web chạy phần mềm Microsoft (Máy chủ thông tin Internet) được bảo vệ bởi tường lửa trên đó chỉ cho phép cổng 80. Thoạt nhìn nó được cung cấp bảo vệ hoàn toàn. Nhưng chỉ thoạt nhìn thôi. Nếu bạn đang sử dụng IIS phiên bản 3.0, hãy liên hệ:

http://www.domain.ru/default.asp. (có dấu chấm ở cuối)

cho phép kẻ tấn công có quyền truy cập vào nội dung của tệp ASP có thể lưu trữ dữ liệu bí mật (ví dụ: mật khẩu truy cập cơ sở dữ liệu).

Trong hệ thống phát hiện tấn công RealSecure, cuộc tấn công này được gọi là "HTTP IIS 3.0 Asp Dot". Và ngay cả khi bạn đã cài đặt phiên bản IIS 5.0 mới nhất, thì ngay cả trong trường hợp này, bạn cũng có thể không cảm thấy thoải mái. an toàn tuyệt đối. Địa chỉ liên hệ:

http://SOMEHOST/scripts/georgi.bat/..%C1%9C..%C1%9C..%C1%9Cwinnt/system32/cmd.exe?/c%20dir%20C:\

làm cho lệnh "dir C:\" được thực thi. Theo cách tương tự, bạn có thể đọc bất kỳ tệp nào, kể cả những tệp chứa thông tin bí mật:

http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%C1%9C..%C1%9Ctest.txt

Ví dụ cuối cùng là cuộc tấn công Loki, cho phép các lệnh khác nhau (chẳng hạn như yêu cầu chuyển tệp mật khẩu /etc/passwd) được chuyển vào Yêu cầu tiếng vang ICMP và phản hồi chúng thành Phản hồi tiếng vang ICMP.

Mã hóa, không mã hóa, tất cả đều giống nhau...

Rất thường xuyên, từ lời nói của nhiều nhà phát triển công cụ VPN trong nước, bạn có thể nghe nói rằng công cụ họ phát triển để xây dựng mạng riêng ảo có thể giải quyết nhiều vấn đề bảo mật. Họ nhấn mạnh rằng vì mạng được bảo vệ chỉ liên lạc với các đối thủ của nó (văn phòng từ xa, đối tác, khách hàng, v.v.) thông qua kết nối VPN nên sẽ không có “sự lây nhiễm” nào xâm nhập được.

Điều này đúng một phần nhưng chỉ với điều kiện đối thủ cũng không liên lạc với bất kỳ ai thông qua các kênh không an toàn. Và điều này thật khó tưởng tượng. Và vì hầu hết các tổ chức sử dụng mã hóa để bảo vệ các kết nối mạng bên ngoài, mối quan tâm của kẻ tấn công sẽ hướng đến những nơi trên mạng mà thông tin mà anh ta quan tâm có thể không an toàn, nghĩa là tới các nút hoặc mạng có mối quan hệ đáng tin cậy. thành lập. Và ngay cả khi các kết nối VPN được tạo giữa mạng được bảo vệ bởi tường lửa có chức năng VPN và mạng đáng tin cậy, kẻ tấn công vẫn có thể thực hiện các cuộc tấn công của mình với hiệu quả tương tự.

Hơn nữa, hiệu quả của các cuộc tấn công của anh ta sẽ còn cao hơn nữa, vì thường các yêu cầu bảo mật đối với các nút và mạng đáng tin cậy thấp hơn nhiều so với tất cả các nút khác. Kẻ tấn công sẽ có thể xâm nhập vào một mạng đáng tin cậy và chỉ sau đó thực hiện các hành động trái phép chống lại mục tiêu tấn công của hắn từ đó.

Vào tháng 3 năm 1995, người quản trị an ninh tại Trung tâm Vũ trụ Johnson nhận được thông báo rằng hai máy tính của trung tâm đã bị những kẻ xâm nhập tấn công. Tuy nhiên, theo kết quả điều tra, hóa ra những máy tính này đã bị xâm nhập vào tháng 12 năm 1994 và các chương trình đã được cài đặt trên chúng để chặn ID và mật khẩu người dùng. Nhật ký từ các chương trình này chứa khoảng 1.300 ID người dùng và mật khẩu từ hơn 130 hệ thống được kết nối với máy chủ bị xâm nhập.

Và một lần nữa về sự thay thế

Giả mạo địa chỉ là một cách để che giấu địa chỉ thực của kẻ tấn công. Tuy nhiên, nó cũng có thể được sử dụng để vượt qua các cơ chế bảo vệ tường lửa. Một phương pháp đơn giản như thay thế địa chỉ nguồn của các gói mạng bằng địa chỉ từ mạng được bảo vệ không còn có thể đánh lừa các tường lửa hiện đại nữa. Tất cả đều sử dụng các phương pháp bảo vệ khác nhau chống lại sự thay thế đó. Tuy nhiên, nguyên tắc thay thế địa chỉ vẫn có liên quan. Ví dụ: kẻ tấn công có thể thay thế địa chỉ thực của mình bằng địa chỉ của một nút đã thiết lập mối quan hệ đáng tin cậy với hệ thống bị tấn công và thực hiện một cuộc tấn công từ chối dịch vụ vào nó.

Tường lửa - là mục tiêu tấn công

Tường lửa thường là mục tiêu tấn công. Sau khi tấn công tường lửa và vô hiệu hóa nó, những kẻ tấn công có thể bình tĩnh mà không sợ bị phát hiện thực hiện các kế hoạch tội phạm của mình liên quan đến tài nguyên của mạng được bảo vệ.

Ví dụ, kể từ đầu năm 2001, nhiều lỗ hổng đã được phát hiện trong quá trình triển khai các tường lửa nổi tiếng khác nhau. Ví dụ: việc xử lý không chính xác các gói TCP có cờ ECE trong tường lửa ipfw hoặc ip6fw đã cho phép kẻ tấn công từ xa bỏ qua các quy tắc đã tạo. Một lỗ hổng khác đã được phát hiện trong BorderWare Tường lửa Server 6.1.2. Việc khai thác lỗ hổng này, liên quan đến việc phát sóng Yêu cầu tiếng vang ICMP, đã dẫn đến sự gián đoạn về tính khả dụng của tường lửa BorderWare.

Các tường lửa khác cũng không bị loại bỏ - Tường lửa Cisco Secure Pix, Hộp cứu hỏa WatchGuard, v.v.

Đợi đã, ai đang đến? Xuất trình hộ chiếu của bạn!

Phần lớn tường lửa được xây dựng trên mô hình cổ điển Kiểm soát truy cập được phát triển vào những năm 70 và 80 của thế kỷ trước trong các cơ quan quân sự. Theo các mô hình này, một chủ thể (người dùng, chương trình, quy trình hoặc gói mạng) được phép hoặc từ chối quyền truy cập vào một số đối tượng (ví dụ: tệp hoặc nút mạng) khi trình bày một số phần tử duy nhất vốn chỉ dành cho chủ thể này. Trong 80% trường hợp, phần tử này là mật khẩu. Trong các trường hợp khác, yếu tố duy nhất đó là máy tính bảng Bộ nhớ cảm ứng, Thẻ thông minh hoặc Thẻ lân cận, đặc điểm sinh trắc học của người dùng, v.v. gói mạng phần tử như vậy là các địa chỉ hoặc cờ được tìm thấy trong tiêu đề gói, cũng như một số tham số khác.

Có thể thấy rằng liên kết yếu nhất trong sơ đồ này là phần tử duy nhất. Nếu kẻ xâm nhập bằng cách nào đó đã nhận được chính phần tử này và đưa nó vào tường lửa, thì anh ta sẽ coi nó là “của riêng mình” và cho phép anh ta hành động theo quyền của thực thể có phần tử bí mật đã được sử dụng trái phép. Với tốc độ phát triển công nghệ như hiện nay, việc tiếp cận được một yếu tố bí mật như vậy không phải là điều khó khăn.

Nó có thể bị “nghe lén” khi được truyền qua mạng bằng cách sử dụng các bộ phân tích giao thức, bao gồm cả các bộ phân tích được tích hợp trong hệ điều hành(ví dụ: Giám sát mạng trong Windows NT 4.0). Nó có thể được chọn bằng cách sử dụng chương trình đặc biệt, có sẵn trên Internet, chẳng hạn như sử dụng L0phtCrack cho Windows hoặc Crack cho Unix.

Cái đó. Ngay cả tường lửa mạnh mẽ và đáng tin cậy nhất cũng sẽ không bảo vệ khỏi kẻ xâm nhập vào mạng công ty nếu kẻ sau có thể đoán hoặc đánh cắp mật khẩu của người dùng được ủy quyền. Hơn nữa, tường lửa thậm chí sẽ không phát hiện ra các hành vi vi phạm, vì đối với nó, kẻ xâm nhập lấy trộm mật khẩu là người dùng được ủy quyền.

Ví dụ: vào ngày 22 tháng 3 năm 1995, một kẻ tấn công không rõ danh tính, sử dụng mật khẩu và phần mềm bị đánh cắp từ chi nhánh Pinsk của BelAKB Magnatbank, đã xâm nhập vào mạng máy tính Trung tâm thanh toán liên ngân hàng Belarus và chuyển 1 tỷ 700 triệu rúp vào tài khoản thanh toán của Aresa LTD LLC tại chi nhánh BelAKB Promstroibank của Liên Xô.

Quản trị viên - Chúa và Vua

Mọi tổ chức đều có người dùng có quyền hầu như không giới hạn trên mạng. Cái này quản trị mạng. Họ không bị ai kiểm soát và có thể làm hầu hết mọi việc trực tuyến. Theo quy định, họ sử dụng các quyền vô hạn của mình để thực hiện trách nhiệm chức năng. Nhưng hãy tưởng tượng trong giây lát rằng quản trị viên đang bị xúc phạm bởi điều gì đó. Có thể là lương thấp, đánh giá thấp năng lực của anh ta, trả thù, v.v.

Có những trường hợp những quản trị viên bị xúc phạm như vậy đã “làm hỏng máu” của nhiều công ty và dẫn đến thiệt hại rất nghiêm trọng. Mùa thu năm 1985, giám đốc bảo mật máy tính Công ty USPA & IRA Donald Burlison đã cố gắng, thông qua ban lãnh đạo công ty, để đạt được mức giảm thuế thu nhập mà ông thường xuyên phải nộp và ông không hài lòng về điều này.

Tuy nhiên, anh ta đã bị sa thải. Ba ngày sau khi bị sa thải, anh ta đến làm việc và sau khi truy cập được vào mạng của công ty, anh ta đã xóa 168.000 hồ sơ khỏi cơ sở dữ liệu bảo hiểm và bảo hộ thương mại. Sau đó, anh ta tung ra một số chương trình sâu vào mạng, được cho là sẽ tiếp tục xóa các mục tương tự trong tương lai. Và Nga đã không đứng sang một bên.

Năm 1991, với sự giúp đỡ Thiết bị máy tính Xảy ra vụ trộm quỹ ngoại tệ từ Vnesheconombank với số tiền 125,5 nghìn đô la và chuẩn bị trộm 500 nghìn đô la khác. Cơ chế trộm cắp rất đơn giản. Một cư dân ở Moscow, cùng với người đứng đầu bộ phận tự động hóa hoạt động phi giao dịch của Vnesheconombank, đã mở tài khoản bằng sáu hộ chiếu giả và gửi 50 USD vào đó. Sau đó, bằng cách thay đổi phần mềm ngân hàng, 125 nghìn đô la đã được chuyển vào các tài khoản mở, số tiền này được nhận bằng hộ chiếu giả.

Hai ví dụ này chứng minh rằng ngay cả tường lửa hiệu quả nhất cũng không thể bảo vệ mạng công ty nếu nó bị quản trị viên tấn công.

Phần kết luận

Tường lửa không cung cấp đủ mức độ bảo mật cho mạng công ty. Mặc dù trong mọi trường hợp không nên bỏ rơi chúng. Chúng sẽ giúp cung cấp mức độ bảo vệ cần thiết nhưng rõ ràng là không đủ. nguồn lực doanh nghiệp. Như đã nhiều lần lưu ý, các công cụ truyền thống, bao gồm tường lửa, được xây dựng trên cơ sở các mô hình được phát triển vào thời điểm các mạng chưa phổ biến và các phương pháp tấn công các mạng này chưa phát triển như hiện nay.

Để chống lại các cuộc tấn công này một cách thỏa đáng, cần phải sử dụng các công nghệ mới. Ví dụ, công nghệ phát hiện xâm nhập bắt đầu tích cực phát triển ở nước ngoài và đến Nga cách đây 4 năm. Công nghệ này đại diện tiêu biểu là dòng công cụ RealSecure của Hệ thống Bảo mật Internet, cho phép bạn bổ sung hiệu quả các tường lửa hiện có, cung cấp nhiều tính năng hơn cấp độ cao bảo vệ.