Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Защита информации, виртуальные сети VPN. Технология ViPNet. #77 от 01.11.2002
Информационный Канал Subscribe.Ru |
Защита информации, виртуальные частные сети (VPN). Технология ViPNet. |
||
|
||
|
||
Содержание выпуска: | ||
Новости компании Инфотекс
|
||
"Сканеры не только ищут дыры в Вашей сети" | ||
Однако стоит отметить, что данным этапом, который называется построение карты сети, обычно пренебрегают во многих организациях. Это связано с тем, что процесс фиксации необходимого объема информации о компонентах информационной системы - достаточно долгий и рутинный процесс, который требует не только материальной поддержки. Зачастую специалисты отделов защиты информации не имеют соответствующей подготовки для получения такой информации. Мало того... они не имеют доступа к оборудованию, функционирующему в сети. Поэтому приходиться идти на компромисс со специалистами управлений телекоммуникаций, информатизации и т.д. Только совместная работа позволяет собрать всю необходимую информацию. Как показывает российская практика, карта сети создается (если вообще создается) только на этапе проектирования информационной системы. Затем эта карта уже не поддерживается в актуальном состоянии и не может служить основой для контроля и обнаружения несанкционированных изменений. Кроме того, зачастую данная карта и информация находится только в управлениях информатизации и является недоступной для отделов защиты, что существенно снижает эффективность их работы. Карта сети (network map) - это не просто один документ, содержащий всю необходимую информацию. Скорее это атлас, известный всем по школе. Такой атлас содержал различные карты, описывающие одну и ту же территорию с разных позиций (политическая, физическая, экономическая и т.д.). Также и карта сети, описывающая различные аспекты функционирования корпоративной сети. Без такой карты можно оказаться в ситуации, прекрасно описанной в русских сказках: "Пойди туда, не знаю куда, и принеси то, не знаю что". Для построения сетевой составляющей этой карты можно (и нужно) использовать различные системы сетевого управления (HP OpenView, SPECTRUM, MS Visio и т.п.). Такого рода инструменты включают в себя функцию AutoDiscovery, которая позволяет автоматически поддерживать актуальность сетевой карты и отслеживать все несанкционированные изменения в сетевой конфигурации. Однако такие средства стоят немалых денег и не всегда к ним дается доступ сотрудникам отделов защиты информации. В этом случае можно использовать системы анализа защищенности, позволяющие идентифицировать на узлах сети, следующие параметры:
Некоторые системы анализа защищенности позволяют своевременно обнаруживать в корпоративной сети модемы и указать на их наличие администратору безопасности.
Системы анализа защищенности позволяют своевременно обнаруживать в корпоративной сети несанкционированно подключенные устройства и оповещать об этом администратора безопасности.
Контроль
эффективности работы IT-подразделений Обиженные или недовольные администраторы IT-подразделений также могут несанкционированно и бесконтрольно изменять конфигурацию сетевого оборудования, важных серверов и других устройств с целью нанесения ущерба своей организации или шантажа своего руководства с целью повышения по служебной лестнице или улучшения материального положения. Такие случаи нередки; особенно в российской практике, когда зарплата персонала, обслуживающего вычислительную технику, достаточно низка. Системы анализа защищенности являются эффективным, а зачастую единственным средством контроля сотрудников и подразделений, имеющих большую власть над информационной системой организации.
Возможность дистанционного сканирования, реализованная в системах анализа защищенности, позволяют проводить с помощью них поиск уязвимостей в удаленных филиалах и офисах (в т.ч. и находящихся в других городах и странах) также эффективно, как и в случае анализа локальной сети.
Иногда, помимо дистанционного сканирования удаленных офисов, применяется выезд эксперта или группы экспертов-аудиторов в удаленный филиал и проведение анализа защищенности "на месте". Системы анализа защищенности помогают и в этом случае. Достаточно установить такую систему на notebook, являющийся мобильным рабочим местом аудитора, и, по приезде в удаленный филиал, подключить его к локальной сети.
Следующая проблема при построении системы защиты на предприятии заключается в необходимости привлечения высококвалифицированных специалистов, которые не только знают, на какие кнопки надо нажимать, но и понимают, когда нажимать и к чему может привести то или иное нажатие. Мало того, свои знания и умения необходимо постоянно повышать, чтобы быть всегда в курсе последних достижений хакерских технологий и своевременно предотвращать новые способы атак и использования уязвимостей. Еще одна проблема состоит в том, что существующие на рынке средства защиты включают в себя большое число функций, многие из которых никогда не используются, и вряд ли будут задействованы заказчиками. Например, если у вас нет в сети Unix-узлов, то вы никогда не будете проверять их на наличие уязвимостей при помощи возможностей Unix-сканирования, встроенных в систему анализа защищенности. Но в стоимость этой системы уже включены данные проверки. Кроме того, некоторые решения вам нужны не постоянно, а только время от времени. Это как квартальный отчет, который готовится всего четыре раза в год. Также и с безопасностью. Например, некоторые компании проводят анализ защищенности своих узлов не постоянно, а раз в месяц, т.е. 12 раз в год. Все остальное время эти средства простаивают. И, наконец, последней проблемой, которая встает при построении корпоративной системы защиты информации, является ее поддержка и своевременное обновление (наращивание мощностей, масштабирование и т.д.). Все эти проблемы остро встают перед российскими потребителями, особенно перед теми, которые планируют заниматься электронной коммерцией, что сразу же поставит их в первую шеренгу целей для злоумышленников. Решить эти проблемы качественно, быстро и за приемлемые деньги - очень непростая, а зачастую невозможная, задача. Именно поэтому в последнее время появляются компании, предлагающие заказчикам услуги по регулярному сканированию их сетей. Компании, предоставляющие такого рода услуги, называются провайдерами услуг по безопасности (Security Service Provider, SSP). Использование систем анализа защищенности является непременным атрибутом их деятельности и позволяет проводить поиск уязвимостей корпоративных ресурсов и средств защиты заказчика на регулярной основе. По результатам данного сканирования выявляются все уязвимые места, вырабатываются рекомендации по их устранению и предоставляются patch'и, hotfix'ы и другие необходимые обновления.
позволяет существенно расширить их область применения.
| ||
Новости и события в области защиты информации | ||
Mac OS - самая безопасная операционная система Как установила английская компания mi2g, на сегодняшний день самой безопасной операционной системой для настольных компьютеров является Mac OS, опережая по этому показателю Windows и даже, как ни странно, Linux. Такие результаты были получены на основе анализа данных базы Security Intelligence Products and Systems (SIPS), которая ведется с 1995 года. В нее занесена информация о более чем 100 тысячах случаев взломов и атак и о деятельности 6 тысяч хакерских группировках. Согласно mi2g, за первые 10 месяцев 2002-го года пользователями и разработчиками были выявлены 1162 уязвимости в различных операционных системах и программном обеспечении. Из них на долю Mac OS приходятся лишь 31 (0,05%). Лидерство здесь занимает Microsoft Windows - более 500 различных дыр (44%). Затем следуют Linux (19%), BSD (9%) и Sun Solaris (7%). По числу атак также впереди Windows - 31 тыс. случаев (54%). Linux занимает второе место с 17 тыс. (30%). Опередить Mac OS по стойкости перед атаками смогли лишь две операционные системы, относящиеся, однако, уже к серверному классу - Tru64 от Compaq и SCO Unix от SCO Group (в прошлом году состав тройки лучших был таким же). Причиной столь хороших результатов Mac OS стали не только ее технические особенности. "Макинтоши" составляют 2-3% от общего числа компьютеров в мире и их используют, в основном, в личных целях или в качестве рабочих станций, а не серверов для хранения важной информации или ведения интернет-бизнеса. Все это делает их малопривлекательными для злоумышленников. Играет несомненно важную роль и тот фактор, что на Mac OS не рассчитаны и общедоступные программы-конструкторы вирусов. Подробный отчет об исследовании
будет опубликован в ближайшее время на сайте компании mi2g. |
||
Новый стандарт безопасности для беспроводных WLAN-сетей Организация Wi-Fi Alliance, насчитывающая более 150 производителй и разработчиков оборудования, анонсировала новый стандарт безопасности беспроводных локальных сетей 802.11b. Стандарт, названный Wi-Fi Protected Access (WPA), должен прийти на смену Wired Equivalent Privacy (WEP), который, несмотря на то, что поддерживает все сертифицированное Wi-Fi оборудование, имеет весьма серьезные уязвимости. На них не раз обращали внимание независимые группы экспертов и компании, занимающиеся сетевой безопасностью. На современных компьютерах расшифровка перехваченного пароля занимает порядка 10-20 минут, и при этом увеличение длины ключа (обычно используются 64 и 128-битные) не дает существенного результата. Учитывая это, а также то, что информация по взлому WEP широко представлена в интернете, многие компании, эксплуатирующие WLAN-сети, попросту отказываются от его использования, предпочитая полагаться на другие технологии защиты. Новый стандарт будет также совместим с находящимся в разработке стандартом безопасности IEEE 802.11i, чьей составной частью он станет после его принятия. Для использования в небольших или домашних WLAN-сетях в WPA предусмотрен специальный режим с упрощенным использованием паролей. Сохранится возможность одновременной работы в сети клиентов WPA и WEP, а также использующих другие, проприетарные протоколы защиты. Часть старого оборудования можно будет модернизировать под WPA с помощью программных средств. Тестирование на совместимость
различных решений c WPA и их сертификация начнутся в феврале 2003 г. Таким
образом, часть производителей представят свои продукты с поддержкой нового
стандарта безопасности уже у первом квартале следующего года. |
||
Windows 2000 признана одной из самых безопасных операционных систем Корпорация Microsoft объявила о том, что ее операционная система Windows 2000 получила сертификат безопасности Common Criteria. Это свидетельствует о том, что данная ОС является одной из наиболее безопасных и может использоваться для решения многих критически важных задач. Сертификация Common Criteria является общепризнанным стандартом в области оценки безопасности и надежности программного обеспечения и других ИТ-продуктов. Требования, предъявляемые к сертифицируемым продуктам, и методы проведения сертификации описываются в международном стандарте ISO-IEC 15408. Проверка Windows 2000 на соответствие требованиям этого стандарта проводилась путем экспертной оценки ее архитектуры, документации, степени соответствия международным стандартам в области безопасности и т.д. Кроме этого, проводились испытания ОС в решении ряда практических задач. По словам представителей Microsoft, обеспечение высокой степени безопасности Windows 2000 потребовало нескольких лет работы и многомиллионных финансовых затрат. Все они, однако, окупаются за счет повышения безопасности и стабильности работы операционной системы. Получение сертификата Common Criteria особенно важно в свете реализуемой в Microsoft программы за безопасный компьютинг. В ближайшее время Microsoft намерена начать процесс сертификации на соответствие требованиям ISO-IEC 15408 операционных систем Windows XP и Windows .Net Server. По мнению экспертов, которых
цитирует агентство Reuters, наличие сертификата Common Criteria позволит
Microsoft привлечь новых клиентов из числа государственных ведомств, финансовых
организаций и крупных компаний, предъявляющих наиболее высокие требования
к безопасности. Но при этом сертификат совершенно не гарантирует отсутствия
в программном обеспечении уязвимостей и ошибок. Сертификат подтверждает
лишь то, что в операционную систему заложены эффективные функции по обеспечению
безопасности и защиты информации, но не является гарантией от возникновения
сбоев. |
||
Интеллектуальная маршрутизация поможет покончить с распределенными сетевыми атаками Хакерские атаки на корневые интернет-серверы, случившиеся на прошлой неделе, высветили проблему атак типа DDoS (распределенных DoS-атак, "отказов в обслуживании") и вновь привлекли внимание к методам борьбы с ними. Считать такие атаки изолированной проблемой нельзя. Отдельные веб-сайты регулярно подвергаются аналогичным атакам меньшего масштаба, приводящим к нарушению трафика. Распределенность источников атаки делает многие меры противодействия им неэффективными. Программы обеспечения безопасности, способные блокировать трафик, не срабатывают, если он приходит из различных источников. В этом случае программы не могут пресечь атаку без блокирования также и всего нормального трафика. Фил Хаггинс (Phil Huggins), консультант фирмы @Stake, полагает, что лучшим решением может стать пересмотр структуры сети. По его мнению, атаки типа DDoS невозможно прекратить в рамках существующей сетевой инфраструктуры интернета. Эксперт Стив Беллоуин (Steve Bellovin) и его коллеги из AT&T Labs считают, что покончить с атаками удастся, если обратить трафик "вспять", к его источнику. Его группа разрабатывает методику перепрограммирования роутеров, позволяющую им опознавать DDoS-атаки и прекращать их. В нормальном состоянии устройства работают в качестве узловых точек сети, направляющих трафик из одного пункта в другой. Исследователи разработали прототип программного средства, получившего название Pushback. Оно способно распознать необычно высокий трафик и блокировать его, передавая при этом информацию об атаке другим роутерам, которые смогут блокировать атаку как можно ближе к ее источнику. Ученые из Калифорнийского
университета в Лос-Анджелесе разработали альтернативную технологию, позволяющую
остановить DDoS-атаки. Программа под названием D-Ward, которая устанавливается
на шлюз сети, способна отслеживать не только входящий, но и исходящий
трафик в поисках подозрительно высокой активности. |
||
В браузере Internet Explorer обнаружены 9 уязвимостей Израильская компания GreyMagic вчера сообщила об обнаружении девяти уязвимостей в системе безопасности браузеров Microsoft Internet Explorer 5.5 и 6.0. Уязвимости позволяют удаленно проникать в систему пользователя. Более ранние версии браузера, а также Internet Explorer 6 с установленным SP1 не подвержены данной уязвимости. Эксплойт, использующий уязвимости в браузере можно разместить на веб-странице в сети, с его помощью получить доступ к файлам на жестком диске пользователя и запускать программный код в удаленной системе. Представители Microsoft пока не имеют информации об обнаруженных дырах в защите браузера. Все девять уязвимостей обнаружены в системе контроля за зонами безопасности в браузере Internet Explorer. Дыру в защите можно использовать для получения доступа к документам, хранящимся на компьютере. Дополнительную информацию
об уязвимостях, а также демонстрацию девяти способов получения доступа
к удаленной системе можно найти на сайте компании GreyMagic. Компания
рекомендует отключить в браузере возможность запуска скриптов в качестве
временного решения проблемы либо обновить программу до версии 6 SP1. |
||
Новости компании Инфотекс | ||
Компания Инфотекс объявляет о получении сертификата ФАПСИ на средство защиты информации "Персональный сетевой экран ViPNet" (ViPNet Personal Firewall). Сертификат соответствия № СФ/525-0558 от 01 октября 2001 года, действителен до 30 июня 2005 года, удостоверяющий, что средство защиты информации "Персональный сетевой экран ViPNet" соответствует требованиям ФАПСИ к устройствам типа межсетевые экраны по 4 классу защищенности и может использоваться для защиты информации от несанкционированного доступа в информационно-телекоммуникационных системах органов государственной власти Российской Федерации. Сертификат выдан на основании результатов проведенных Испытательным центром ФГУП НТЦ "Атлас" сертификационных испытаний. Безопасность информации обеспечивается при использовании средства в соответствии с требованиями руководства пользователя, а также требованиями к безопасности информации в конкретной информационно-телекоммуникационной системе. Напомним, что программный комплекс ViPNet - универсальное средство, сертифицированное Гостехкомиссией России и ФАПСИ, которое может устанавливаться на любые компьютеры (рабочие станции, сервера, маршрутизаторы) в локальных и глобальных сетях и обеспечивающее безопасное подключение к Интернет для обмена конфиденциальной информацией. Персональный сетевой экран ViPNet, как компонент программного комплекса ViPNet, предназначен для обеспечения защититы компьютера от попыток несанкционированного доступа как из глобальной, так и из локальной сети и позволяет пользователю:
Кроме вышеперечисленных функций Персональный сетевой экран ViPNet может предоставлять СОМ интерфейс для вызова криптофункций и их совместного использования с Web приложениями. Подробнее ознакомиться с
функциональными возможностями программы можно здесь. |
||
Компании Infotecs Internet Trust (IIT) и Domina Security 03 декабря 2002 г. в Москве проводят информационный семинар: "Практическое применение международного стандарта безопасности информационных систем ISO 17799" Основная задача семинара - ознакомить участников с содержанием международного стандарта безопасности информационных систем, которому соответствуют информационные системы всех компаний Европы и США. На семинаре подробно рассматриваются практические аспекты внедрения стандарта ISO 17799 в реальную информационную систему компании и возникающие в связи с этим проблемы и возможные пути их решения. Каждый участник семинара бесплатно получит CD "Практическое применение ISO 17799: основные положения стандарта; сборник типовых решений и документов; комментарии к стандарту". Семинар направлен прежде всего на повышение квалификации в области информационной безопасности ИT- менеджеров высшего и среднего звена, руководителей проектов фирм работающих в сфере инфотехнологий, ведущих ИТ-специалистов и специалистов по информационной безопасности, а также современных руководящих работников. По окончанию курса каждому
участнику будет предоставлено свидетельство о его прохождении. Получить более подробную информацию и зарегистрироваться на семинар можно здесь. |
||
Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php Полнофункциональные
демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel,
ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm |
||
С уважением, ведущий рассылки Олег Карпинский. |
http://subscribe.ru/
E-mail: ask@subscribe.ru |
Отписаться
Убрать рекламу |
В избранное | ||