Рассылка закрыта
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Безопасность в Интернет
| Безопасность в Интернет #14 | октябрь 2000 |
Друзья!
В сегодняшней статье мы снова вернемся к теме межсетевых экранов, поскольку, как показывает практика, именно с их помощью чаще всего строятся системы защиты, удовлетворяющие требованиям времени. В этой статье приведена некая классификация МЭ и рассмотрены преимущества и недостатки каждого из классов. Но сначала я хотел бы привести пример активной заинтересованности в материалах моей рассылки. Как отклик на статью о транзакциях в Internet, вышедшую на прошлой неделе, Алексей Ефимов, специалист компании Rainbow, прислал свои комментарии на некоторые высказывания авторов вышеуказанной статьи. Считаю, что они будут полезны всем моим подписчикам и привожу их ниже.
Прежде всего, следует отметить, что достаточно легко можно перехватить данные идентификации и аутентификации (или вообще любые данные) и повторить их, чтобы выдать себя за клиента.
Алексей Ефимов: В современных системах идентификации длина запроса ~128 бит, т.е. 2 в 128 степени, т.е. приблизительно 3*10 в 38 степени возможных значений, длина ответа (хеш-функция запроса и некоего секретного значения) - столько же: 128 бит. Простым перемножением получаем размер таблицы запрос/ответ около 10 в 77 степени 128 битных значений... А это около 10 в 70 степени мегабайт... Многовато получается для перехвата и [оперативной] подмены.
Второй из известных методов - восстановление самого алгоритма преобразования на основе перехваченных значений - также малоперспективен, т.к. используемая хеш-функция - алгоритм по самой природе своей принципиально однонаправленный.
При аутентификации пользователи часто выражают недовольство ею и совершают ошибки, что делает возможным получение данных идентификации и аутентификации.
А.Е.:Это организационный и технический вопрос - как организовать идентификацию. При использовании электронных ключей (iKey, например) всю идентификацию можно проводить ВООБЩЕ без вмешательства пользователя - достаточно только подсоединить ключ к стандартному USB порту компьютера. Ошибки ввода пароля при этом полностью исключены, а сам пароль может достигать 8 тысяч буквенно/цифровых символов - это почти 4 страницы текста. С клавиатуры, даже если и знаешь, за 1-2 секунды (да еще и без ошибок!) такой пароль не введешь!
Наличие дополнительной идентификации и аутентификации при использовании Internet делает необходимым распространение среди клиентов данных для нее, что будет лишь усложнять им работу.
А.Е.:Неверно. Это чисто организационный вопрос. При правильной организации пароли/данные для идентификации можно генерировать/распространять/отзывать/заменять автоматически.
Другой проблемой является возможность злоумышленнику вклиниться в процессе финансовой транзакции клиента после выполнения им аутентификации
А.Е.:Не совсем так. Это - вопрос ИСКЛЮЧИТЕЛЬНО квалификации разработчика и офицера безопасности (или системного администратора), но никак не принципиальный. Ничто не мешает проводить идентификацию, например, раз в 5 секунд, или после/перед каждой транзакцией. Или - после передачи/приема каждых 30 кБ.
В целом - возможности активных технических средств последнего поколения (и iKey - в том числе), вполне достаточны для создания целостных и надежных систем идентификации/аутентификации, в том числе - в Интернет, и VPN и LAN.
Межсетевые экраны как средство повышения защищенности IP-сетей от несанкционированного доступа.
Введение
В связи с бурным ростом глобальных информационных сетей, вопросы защиты информации в таких системах приобретают большую актуальность. Прежде всего это касается тех предприятий или организаций, которые решили подключить свою внутреннюю локальную сеть к Интернет. Поскольку во внутренних локальных сетях предприятий циркулирует информация, распространение которой нежелательно, существует потребность в анализе каналов утечки и вариантов защиты. Все "слабые места" сетевых информационных систем можно условно классифицировать на два класса:
- ошибки в программном обеспечении серверов и рабочих станций, позволяющие получить полный или частичный доступ к информации, хранящейся на данной компьютере;
- ошибки при проектировании сетевых протоколов, приводящие к тому, например, что даже при корректной программной реализации того или иного протокола появляются возможности для несанкционированного доступа.
В первом случае решением проблемы является использование тех программных средств, которые прошли сертификацию и хорошо себя зарекомендовали на практике. Во втором случае одним из вариантом решения является применение так называемого межсетевого экрана (за рубежом и в нашей стране также применяется термин "firewall" или "брандмауэр").
Межсетевой экран - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющие условия прохождения сетевых пакетов из одной части в другую в целях защиты информации на компьютерах, находящихся в защищаемом сегменте. Как правило, эта граница проводится между локальной сетью предприятия и Интернет, хотя ее можно провести и внутри. В результате межсетевой экран пропускает через себя весь трафик внутрь или из защищаемой подсети, и для каждого проходящего пакета принимает решение пропускать его или отбросить. Обычно межсетевой экран это программно-аппаратный комплекс на базе рабочей станции, функционирующий под управлением сетевой операционной системы Windows NT или UNIX. Разумным также выглядит построение брандмауэра на основе маршрутизатора, при использовании его на границе между ЛВС предприятия и каналом в Интернет.
Все межсетевые экраны можно разбить на три основных типа:
- пакетные фильтры (packet filter);
- серверы уровня соединения (circuit gateways);
- серверы прикладного уровня (application gateways).
Все типы могут одновременно встретиться в одном брандмауэре.
Фильтры пакетов
Межсетевые экраны с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта - это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня - все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта. Для описания правил прохождения пакетов составляются таблицы со следующими графами:
- действие
- тип пакета
- адрес источника
- порт источника
- адрес назначения
- порт назначения
- флаги
Отметим преимущества и недостатки данного типа межсетевых экранов.
Преимущества:
- относительно невысокая стоимость;
- небольшая задержка при прохождении пакетов.
Недостатки:
- локальная сеть видна (маршрутизируется) из Интернет;
- правила фильтрации довольно трудны в описании, поэтому требуются очень хорошие знания технологий TCP и UDP;
- отсутствует аутентификация на пользовательском уровне;
- аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую, используя ее IP-адрес.
Завтра в продолжении этой статьи о том что такое "фильтры с контекстной проверкой", "серверы уровня соединения" и "серверы прикладного уровня".
| Ваши отклики - andboc@mail.ru |
 |
 |
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
| В избранное | ||
