Безопасность в Интернет

Сегодня вашему вниманию предлагается статья одного из сотрудников Стинс Коман , компании - системного интегратора, которая в настоящее время активно продвигает на рынок свое оригинальное и сравнительно недорогое решение по обеспечению безопасного доступа в Интернет Stins Firewall Solution.

В статье рассматриваются не только актуальность использования брандмауэров для защиты сетей, но и слабые места ОС Unix и способы повышения ее защищенности.

Здравый смысл брандмауэров

Меня часто спрашивают, насколько актуальна проблема безопасности в Internet. Приведу несколько занятных примеров, сопроводив их поучительной моралью для солидности.

История первая

Один банк подключился к Internet. В конце месяца он получил счет на весьма кругленькую сумму. Оказалось, что за этот месяц из банка утекло несколько сот(!) мегабайт информации и никто в банке не знает, что это была за информация и кто ее заполучил. После этого банк отключился от сети Internet (видимо вспомнив, что лучший Firewall - это заглушенный T-коннектор).

История вторая

Мне как-то довелось поработать на компьютерах факультета Биохимии Университета Вейцмана в Израиле. Естественно, что я использовал чужой account (с разрешения хозяина, разумеется. Чтобы вы лучше представили себе обстановку на месте, в какой-то момент в два часа ночи в вычислительном центре собралось семь работающих за компьютерами и все семь говорили по-русски и работали под чужими именами). Я быстро стал замечать, что творится что-то странное - приходит почта невесть от кого, в странном скрытом каталоге валяются IRC-скрипты и т.д. Владелец account-а про Unix знал весьма мало, про IRC не слышал никогда и почтой не пользовался. Однако он полагал, что все это - нормальные продукты деятельности системных администраторов (естественно, что пользователи не делают попыток понять ход мыслей загадочных существ, называемых системными администраторами и полагают, что те непрерывно проявляют некую демоническую активность в системе. Администраторы отвечают им полной взаимностью и справедливо считают, что пользователи мешают работе системы, засоряют дисковое пространство и отнимают ценные процессорные циклы от компиляции их программ).

 

Вскоре я окончательно убедился, что у нас завелся незванный гость. После этого, мы сменили пароль и я провел небольшое расследование, в результате чего выяснился круг интересов взломщика и основные направления его компьютерных интересов, способ его входа в компьютерную сеть (через модемный вход на университетском компьютере), а также имена некоторых его друзей по IRC. С этой информацией мы пошли к администратору всей местной сети, которая сразу же меня перебила - "Зачем вы мне все это рассказываете? Ведь я же не детектив!" Совершенно справедливое замечание. Она действительно не детектив и, как следствие, не системный администратор.

Как оказалось впоследствии, по Internet ходили списки с логинами и паролями многих биофизиков, пользующихся этим компьютером, и только ленивый там не пасся.

 

История третья

Однажды мне любезно предоставили account в одной организации, имеющей выход в Internet и несколько компьютеров Sun, использующих сетевую файловую систему NFS. Через некоторое время мой account оказался взломан. Техника взлома была весьма типична (Внимание, взломщики - информация для вас!) - по NFS был модифицирован мой файл ~/.rhosts и в него была добавлена строка "+", разрешившая всем вход командой rlogin. Я рассказал об этом администраторам и мы обсудили методы взлома. Через пару дней компьютер перестал работать (вероятно, съев что-нибудь вроде "rm -rf /").

 

Из этих историй можно сделать несколько полезных выводов.

Подключаясь к Internet, желательно заранее подумать, кто и как сможет воспользоваться вашим подключением. Потом думать может оказаться поздно. Две самые серьезные проблемы защиты в Internet и Unix - плохое администрирование и плохие пароли. Плохой администратор - это навсегда, а с плохими паролями можно бороться. Как - расскажу позже. Не позволяйте работать с "опасными" протоколами (типа NFS и Rlogin) через Internet. Эти удобные штучки годятся только для локальных сетей, да и то, только в случае, если вы доверяете всем компьютерам и пользователям сети.

 

Неуловимый Джо

Надеюсь, что я достаточно запугал вас этими страшными историями и вы бросаетесь к торговцам противопожарным оборудованием, надеясь купить брандмауэр самой последней модели, который раз и навсегда защитит вас от страшных бандитов и позволит с удобством вкушать прелести навигаторов, смотрелок и исследователей Internet. Неожиданно ваше начальство узнает, что в дополнение к тем немалым расходам, с которыми оно уже как-то смирилось (плата за инфо-линию - по-моему, теперь так принято называть выделенные линии), за некий загадочный "IP сервис", т.е. за продвижение ваших данных туда-сюда по сетям, за адреса, за имена неких доменов (не путать с демонами - о них позже), за нечто, называемое рутером или роутером в зависимости от места производства, вся работа которого состоит в том, что он забирает информацию из одного места и складывает в другое), нужно платить еще $15-20 тыс. долл. А так как убедить начальство в Москве и, тем более, в других городах, в том, что Internet нужен для чего-то еще кроме добывания красивых фотографий, и так весьма трудно, то все радужные перспективы и надежды становятся весьма отдаленными.

 

Упрощенная схема подключения брандмауэра.

Между тем, если вы тот самый знаменитый Неуловимый Джо, то для защиты от бандитов вам достаточно дешевого лассо и крепких дверей с навесным замком. Совершенно необязательно строить крепость и заливать водой рвы для защиты продуктовой лавки. Однако же, если вы собираетесь перевозить достояние Республики в почтовом дилижансе или в поезде, стоит принять более серьезные меры предосторожности. Для защиты Неуловимого Джо вполне сойдут старые добрые пакетные фильтры на вашем маршрутизаторе в сочетании с толковым администратором. А для действительно надежной защиты вам не отделаться лишь одним самым замечательным продуктом с импортным названием "Firewall" на коробке.

Мораль - оцените степень риска, изучите вашу сеть, разработайте политику защиты, заручитесь поддержкой менеджеров и после этого срокойно идите на противопожарный рынок, прихватив с собой десяток-другой килобаксов. Чем вы ценнее для окружающих и чем меньше вы знаете про Internet тем больше придется выложить.

Беззащитный Unix

Система Unix давно стала предметом религиозных войн и крестовых походов. Новый импульс этим войнам дало широкое распространение Internet и превращение его из кастового секрета хакеров в массовую игрушку и дойную корову для бизнеса. Исторически Internet и Unix были слишком сильно переплетены. Особенности программирования и сложившаяся культура в мире Unix наложили отпечаток на протоколы, используемые в Internet, и на подход к защите. Из-за своей распространенности (и полной открытости) и слабой защищенности Unix стал любимой добычей для взломщика. С другой стороны именно Unix используется в качестве базы для большинства современных систем защиты.

 

Как справедливо заметил один мой друг, основная проблема Unix состоит в том, что он делает то, что ему говорят. Это все тот же принцип WYSIWYG - What You Say Is What You Get.

 

Unix создавался по образу абсолютной монархии с формальными признаками демократии. Простые подданные системы (юзеры) имеют достаточно мало полномочий для того, чтобы нанести какой-либо реальный вред. Политические партии (группы) подданных имеют несколько больше прав и полномочий и у неискушенного туриста может создаться впечатление, что именно они и руковолят системой. Однако, на практике, все реальные и серьезные решения принимает абсолютный монарх, мистер Чарли Рут (Mr. Charlie Root). Только ему доступны все комнаты дворца, королевская печать, государственные архивы и королевская казна. Все подданные и вся жиззнь королевства подвластны ему, он волен заходить в любой дом, читать все документы и может по своему усмотрению убить или помиловать любого подданного или плод его деятельности - процесс (особенно это неприятно, когда подданный, решив, что процесс пошел, успокаивается и идет спать).

 

Однако, видимо опасаясь государственного переворота, мистер Рут тщательно скрывается от своих подданных. Для того, чтобы воспользоваться своими полномочиями ему требуется предъявить министру внутренних дел господину /etc/passwd свой паспорт для проверки. В паспорте содержится некое секретное слово (и в условном месте, известном господину министру, припрятано две крупинки соли). Если все нормально, предъявитель паспорта получает знак монархической власти (uid 0). К сожалению, оказалось, что при современном развитии печатного дела паспорт можно подделать. Взломщики выдумали немало способов подглядывать за секретной процедурой показа паспорта. В принципе, это похоже на кражу номеров кредитных телефонных карточек - в американских аэропортах пасутся специальные прохожие, невзначай подсматривающие за набором номера на телефоне. Призом для них является право на бесплатный (за счет клиента) звонок любимой тетушке на Бермуды. Призом же для удачливого вора, подделавшего пароль, является полный контроль над могущественной империей Unix.

 

Так как его Рутовское Величество часто занят делами и его трудно найти, для вершения государственных дел у него есть штат доверенных лиц. Исполняющий обязанности в Unix называюется Сюид (SUID), а исполняющий обязанности Монарха называется Сюид Рут (SUID root). Обычно Сюид Рут имеет весьма ограниченный круг обязанностей и не представляет серьезной опасности для безопасности. Однако некоторые недостойные умудряются использовать выданный им для отправления обязанностей монархический знак (uid 0) для непредусмотренных действий и могут, в принципе, воспользоваться им для полного захвата власти в стране. Особенно опасны Сюид Рут, имеющие доступ к акциям местных нефтяных компании системы Shell. Сюид, получивший контроль над Shell, по-сути неотличим от реального монарха. Поэтому господа Сюид являются лакомой добычий для воров и международных шпионов, под видом гостей проникающих в страну.

Для наблюдения за делами в королевстве и исполнения хозяйственных дел господин Чарли Рут обычно нанимает бригаду демонов, которые от его имени незаметно вершат свои демонические дела. Именно им мы обязаны периодическим шуршанием дисковых головок в моменты, когда мы смотрим на экран и не проявляем никакой видимой активности.

 

Исторически сложилось, что на границе страны и в ее таможенной службе Интернетовском Таможенном Департаменте ИнеТД (inetd) служат доверенные лица, имеющие значок (suid 0). Им разрешается пропускать туристов и товары через один из государственных 1024 портов (в стране Unix есть еще и множество частных портов, не контролируемых государством. Любой подданный имеет право открыть свой частный порт, однако все государственные порты строго контролируются).

 

По межгосударственному соглашению, заключенному когда-то в Беркли между дружественными Unix монархиями, транспорт, пришедший из государственных портов других стран, пользуется особенным доверием и пропускается без особенного таможенного контроля. Соглашение было выработано в период существования нескольких сильных Империй, которые хорошо знали друг друга. Теперь же всякий, без особого труда может завести себе маленькую персональную империю, владеть в ней всеми портами и отправлять контрабанду через любой из них. Более того, такие мелкие империи даже не обязаны иметь конституционное монархическое устройство Unix. Чаще всего они имеют довольно мягкий режим управления, позволяющий любому проходимцу прикинуться Рутом на час. Более того, террористы научились поддерживать дорожные документы и часто даже невозможно установить, откуда прибыл груз. Таможенные соглашения (r-commands), заключенные в Беркли оказались совершенно неприемлемыми для современного мира мелких государств с мягким управлением. Поэтому, мудрые руководители игнорируют соглашения и весьма тщательно проверяют весь груз, проходящий через порты.

продолжение в следующем номере

Москва, 19 сентября (Монитор). Сканер защищенности Nessus (бесплатный дистрибутив) представила компания Инфосистемы Джет . Как сообщается в пресс-релизе компании, сканер будет свободно распространяться всем заинтересованным предприятиям и организациям. Сканер Nessus позволяет выявлять уязвимости для всех существующих классов атак: отказ в обслуживании (DDoS), подбор пароля и других атрибутов доступа, получение привилегий суперпользователя и др. Nessus содержит как встроенные прототипы атак, так и подключаемые дополнения (plugins), которые могут быть смоделированы независимыми разработчиками или администратором безопасности. Количество подключаемых дополнений постоянно увеличивается, и в настоящее время их насчитывается порядка 300. Nessus может работать под управлением ОС Solaris, Linux. Продукт получил сертификат Гостехкомиссии при Президенте РФ на соответствие актуальной версии продукта заявленным техническим характеристикам.

 Pix 525 -- новая модель брандмауэра Cisco

Ярослав Власов, 19 сентября 2000 г.

В начале сентября компания Cisco Systems анонсировала новую модель межсетевого экрана из семейства Cisco Secure PIX Firewall 525, предназначенного для защиты корпоративных сетей, имеющих выход в Интернет. Производительность этого устройства на 25-30% выше, чем у других продуктов семейства PIX, -- его пропускная способность составляет 370 Мбит/с.

Цены на другие модели PIX снижены. Cisco Secure PIX Firewall 520 с лицензией на 1000 пользователей будет теперь стоить $13 000, а PIX 520 с лицензией на 128 пользователей - $9000 долл.