Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Новости компании

• Обновлены демо-версии продуктов ViPNet, TermiNET на web-сайте компании Инфотекс.
  

Правда, подобные решения обычно дорого стоят, и для их правильной настройки необходимо обладать довольно высокой квалификацией. Кроме того, следует тщательно спланировать схему их развертывания. Отберите основные серверы приложений, без которых вы не сможете обойтись, и установите системы ID именно на них.

Заслуживает внимания еще один вариант решения интеллектуального мониторинга — система выявления вторжений для сети (network-based ID). Хотя такие системы предназначены в первую очередь для отражения сетевых атак, они по своей природе обладают возможностями мониторинга, позволяющими контролировать действия сотрудников организации.

Подобно тому, как система ID для компьютера может, помимо прочего, следить за тем, какие клавиши пользователь нажимает на компьютере, сетевая система ID может отслеживать нажатия клавиш сразу в нескольких приложениях, работающих в сети. Это оказывается возможно благодаря тому, что система собирает и анализирует трафик пакетов, проходящих через сегмент сети, в котором она установлена. Таким образом, вы можете осуществлять проверку всей деятельности сотрудников в рамках данного сетевого сегмента.

Имейте в виду, что при использовании коммутаторов в сетевой системе ID необходимо произвести некоторые изменения. Особенность коммутатора состоит в том, что широковещательный трафик проходит через все порты, а одноадресный трафик — только через один из портов коммутатора. Если система подключена не к порту концентратора, а к коммутируемому порту, то она будет отслеживать только трафик сотрудников, генерируемый в этом сегменте. Для большинства моделей коммутаторов проблема решается достаточно просто — необходимо включить режим зеркального копирования трафика нужного порта на порт, к которому подключена система ID, и вы сможете видеть трафик, исходящий от любых устройств, подсоединенных к коммутатору.

Сетевые системы ID предлагают не только возможности мониторинга; многие решения, в частности, Real Secure от компании Internet Security Systems, вводят специальные правила сравнения с шаблоном и применяют их для прекращения нежелательных сетевых сеансов. Благодаря этому сотрудникам, принадлежащим конкретной сети, можно, например, разрешить доступ к серверу, а пользователям другой сети запретить доступ, и при этом все попытки несанкционированного доступа будут протоколироваться в журнале. Чтобы эти средства давали максимальный эффект, сетевые системы ID следует установить в наиболее критичных местах сети (см. Рисунок 2).

Рисунок 2. Во многих решениях мониторинга предусмотрены специальные правила сравнения с шаблоном, которые применяются для прекращения нежелательных сетевых сеансов. Чтобы эти средства давали максимальный эффект, сетевые системы ID следует установить в наиболее критичных местах сети.

Большинство компаний захотят, скорее всего, отслеживать главным образом трафик пользователей, направленный в Internet и на корпоративные серверы Intranet. Впрочем, сегодня многие корпорации хранят на серверах в своих сетях Intranet все подряд — и приложения планирования найма рабочей силы, и сведения об окладах служащих, и корпоративную финансовую информацию. Только представьте себе, что произойдет, если эта информация попадет в чужие руки! По этой причине мы рекомендуем разместить сетевую систему ID во внутреннем (по отношению к межсетевому экрану) сегменте сети — для наблюдения за трафиком, идущим в Internet и обратно, — и еще несколько систем ID в сегментах, в которых расположены серверы вашей сети Intra-net (см. Рисунок 3).

Рисунок 3. Чтобы защитить ценные корпоративные данные, размещенные на серверах Intranet, сетевую систему ID следует установить во внутреннем (по отношению к брандмауэру) сегменте сети, а еще несколько систем ID — в тех сегментах, где расположены серверы Intranet.

Пожалуй, самая «бесцеремонная» разновидность мониторинга работы сотрудников — программы удаленного управления. Эти программы, такие, как pcAnywhere (корпорация Syman-tec), ICA Client (компания Citrix; программа используется в паре с устанавливаемой на сервере MetaFrame) и даже SMS Client (Microsoft), позволяют узнать много интересного о работе пользователя в удаленной системе. Устанавливая подобные клиентские программы на удаленных станциях и серверах в скрытом режиме, сотрудники службы безопасности смогут без труда подключаться к этим системам и наблюдать за действиями пользователей в режиме реального времени, о чем те не будут и подозревать. При желании они могут генерировать снимки экранов удаленных станций и серверов, сохраняя их для последующего анализа.

Под тяжестью улик
Итак, вы наладили систему наблюдения за использованием информационных ресурсов; но как отличить случаи неправильного или неблаговидного использования этих ресурсов? Какие меры следует принимать при обнаружении подобных фактов? Выявление случаев недопустимого использования ресурсов — это в большей степени искусство, чем наука. Для примера мы рассмотрим последовательность действий одного пользователя, попутно отмечая, как их можно — или нельзя — отслеживать.

Итак, некто Джон Доу пришел на работу в 9:35. Это можно проверить по записи в журнале службы безопасности, внесенной устройством считывания карточек-пропусков при входе сотрудника в здание. Впрочем, возможно, сегодня Джону не пришлось воспользоваться своим пропуском, так как Салли придержала для него дверь.
Затем в 10:00 Джон зарегистрировался на серверах NT/Novell и распечатал 97 страниц на цветном принтере своего отдела (об этом можно узнать из журналов серверов домена).
Потом Джон сделал 50 копий на ксероксе (что отмечено в журнале соответствующего устройства считывания карт), потратил 160 мин на разговоры со своего настольного телефона (отмечено в журнале УАТС), одновременно разглядывая эротические картинки на страницах Web и пробегая по узлам Web-аукционов (отмечено в журналах доступа в Web), переслал своему приятелю, работающему в другой компании, изображения JPEG общим объемом 123 Мбайт (отмечено в журналах proxy-сервера FTP), связался с несколькими узлами Internet по неизвестному протоколу (опознано брандмауэром как игра Quake), в 15:23 заразил свою рабочую станцию вирусом, скрытым в той же игре Quake (отмечено в журналах антивирусной защиты локальной станции) и в 16:00 отправился домой. В 16:30 таймер простоя блокирует экран рабочей станции Джона. Тем временем его компьютер постепенно заражает приобретенным вирусом окружающие системы (отмечено в общекорпоративных журналах серверов и рабочих станций).

Как видите, для эффективного отслеживания действий сотрудника нередко приходится привлекать записи из разных журналов и информацию от устройств, не входящих в единую систему управления событиями безопасности.

Если речь идет не об очевидных нарушениях доступа в Web, обнаружить нарушителя не так-то просто. Только потратив много времени на анализ журналов служебного использования ресурсов, можно отличить нарушение от ложной тревоги — или, если хотите, преступление от проступка.

Вам нужно разработать четкую процедуру официального расследования, которая поможет оценить и смягчить последствия нарушения, а также значительно повысит шансы уличить злоумышленника. Важное значение в этой связи приобретает архивация и обработка данных. Устройства хранения данных и их носители должны быть защищены так же надежно, как и устройства доступа в Internet и Intranet; для этого организуйте наблюдение за доступом сотрудников в компьютерные залы и в места хранения лент. Комплекс эффективных процедур контроля, подобных описанным выше, повысит ваш иммунитет к нарушениям безопасности.

Новые уровни сложности
Претендующее на солидность решение управления событиями безопасности должно уметь собирать информацию о деятельности пользователей в виде записей о событиях, поступающих из систем разных типов, применять специальные логические правила и определять, как будет генерироваться предупреждение и кто его должен получить. Со всеми этими задачами успешно справляются такие решения, как NetCool компании Micro-muse и Open e-Security Platform компании E-Security. Они могут принимать события от различных систем и устройств — межсетевых экранов, почтовых серверов, файловых серверов, серверов баз данных, шлюзов VPN и маршрутизаторов — и применять логические схемы для интерпретации истинной природы этих событий и оповещения специалистов по поддержке или отражения атаки в режиме реального времени.

При возникновении потребности в повышении уровня интеллектуальности решение можно настроить так, чтобы в случае необходимости оно позволяло порождать новое логическое событие на основе двух или более имеющихся и устанавливать взаимосвязи между этими событиями. Применяя специальные логические схемы на сервере управления событиями безопасности, вы сможете на основании этого дополнительного события делать более точные выводы о характере происшествия. Получив новые сведения, система управления событиями сумеет распознать недопустимое использование информационных ресурсов и выявлять общекорпоративные вирусы.

Способность реагировать на события в сети имеет жизненно важное значение. Своевременно обнаруживая факты несанкционированных действий сотрудников, вы избавите компанию от многих неприятностей. Организовав мониторинг корпоративных информационных ресурсов в режиме реального времени, вы обеспечите надежную защиту от нарушителей.

Кертис Далтон, (опубликовано в журнале сетевых решений "LAN" 4/2001).

Тим Ньюшем (Tim Newsham) исследователь из фирмы @Stake, занимающейся вопросами безопасности, в своем докладе на конференции Black Hat Briefings продемонстрировал слабость системы защиты беспроводных сетей, которую можно сломать менее чем за 30 секунд.

Он сказал, что протокол WEP (Wired Equivalent Privacy), который призван защищать безопасность сети, наследственно небезопасен, это всего лишь маленький барьер на пути атакующего, который очень легко преодолеть.

64-битный ключ, используемый в системах предназначенных для дома, взламывается менее чем за минуту, если атакующему удалось перехватить лучи, несущие по сети информацию. Но и более новые 128-битные решения, кажущиеся значительно более защищенными, на деле очень слабы. Плохо подобранные пароли (а большинство из них таковыми и являются) являются замечательной мишенью для старой доброй атаки, основанной на подборе по словарю наиболее употребляемых слов.

"Сработает это или нет - не важно. Даже если это не сработает, Вы можете попробовать другую атаку", - говорит он. Действительно, целый ряд докладов на конференции был посвящены слабости защиты беспроводных сетей.

Например, Ян Голдберг (Ian Goldberg) Zero Knowledge Systems представил множество различных техник взлома. То как изменять, дополнять и взламывать данные в беспроводных соединениях было предметом его диссертации в Калифорнийском Университете.

Целью исследователей было не дать хакерам новые инструменты, а продемонстрировать людям возможные опасности и указать на необходимость разработки хороших защитных алгоритмов. "Люди должны рассматривать беспроводные сети с той же точки зрения, что и Интернет, что означает необходимость использования криптографии для защиты данных", - говорит Голдберг.
(источник - http://www.submarine.ru, опубликовано 13.07.2001)

По крайней мере в Нью-Джерси, США, анонимность в Интернете охраняется теперь законом.

Апелляционный суд Нью-Джерси огласил рекомендательное письмо по вопросам сохранения анонимности публикаций в Сети. Известны (в том числе и в США) неоднократные случаи, когда после появления в Интернете некоторых критических анонимных сообщений (в гостевых книгах, на телеконференциях) официальные лиа либо представители компаний обращались к провайдерам с просьбами отследить авторов таких сообщений. Иногда это были не просьбы, а требования - например, в ходе скандала Клинтон-Левински, когда весьма ехидные и ядовитые комментарии возникали на множестве американских сайтов. И вот теперь в Нью-Джерси анонимность на досках объявлений и в гостевых книгах Интернета находится под охраной закона. Конечно, в чрезвычайных случаях провайдерам всё-таки придётся открыть свои файлы для следствия. Но теперь вся процедура предоставления запроса в суд, принятия решения и доведения его до сведения провайдера регламентирована и поставлена под жёсткий контроль судов вышестоящих инстанций. Данное постановление было принято в связи с делом компании Dendrite International Inc. против её анонимного критика, скрывающегося под прозвищем John Doe. Апелляционный суд оставил в силе решение первой инстанции о том, что человеку для высказывания обоснованного мнения через Интернет нет необходимости идентифицировать себя. Другое дело, если в телеконференциях появляются ложь или грубые нападки; в таком случае провайдера могут принудить раскрыть личность анонимщика. Но это должно произойти именно после правовой оценки судом данной конкретной записи в конференции. И если истина окажется на стороне человека, пожелавшего остаться неизвестным, он в полном праве не снимать маску.

Решение Апелляционного суда Нью-Джерси, по отзывам юристов, наверняка послужит образцом и для прочих судов США.
(источник - http://www.submarine.ru, опубликовано 13.07.2001)

Служащая одной из государственных служб штата Аляска воспользовалась глюком в компьютерной системе своей организации и украла в общей сложности 11 тысяч 560 долларов. Сейчас ее судят за кражу.

Как сообщила во вторник Anchorage Daily News, 28-летняя Дарси Рили обманула более 79 клиентов за прошлый год. Она нашла сбой в компьютерной системе, который позволял ей брать с клиентов 250 долларов и выше за восстановление водительских прав. В системе после этого оставалась запись, что она выдала права всего за 15 долларов, а разницу она клала себе в карман. Полезный сбой в системе Рили обнаружила по чистой случайности в июне прошлого года, и до мая этого года ее кражи оставались незамеченными.

Рили сообщила полиции, что часть украденных денег она использовала для того, чтобы помогать другим клиентам снизить расходы на восстановление прав. Свои расчеты она вела на листочке бумаги, не доверяя такие важные данные компьютеру.
(источник - http://www.netoscope.ru/, опубликовано 12.07.2001)

В настоящее время австралийские власти уже рассматривают новый закон о компьютерной безопасности CyberCrime Bill 2001, который еще до принятия был безоговорочно признан IT-сообществом страны «драконовским и опасным».

Согласно этому законопроекту гражданам страны будет запрещено даже просто хранить у себя хакерские программы и редакторы для написания вирусов.
Причем касается этот запрет и тех программ, которые системные администраторы используют для тестирования надежности своих систем.

Это, кстати, еще не все. Закон существенно расширяет количество компьютерных преступлений, которые влекут за собой тюремное заключение сроком до 10 лет.
Предложенный законопроект также разрешает двум государственным структурам - Defence Signals Directorate (DSD) и Australian Security Intelligence Organisation (ASIO) – легально взламывать компьютерные системы организаций и компаний. Все же остальные компании должны по первому требованию правительства предъявлять пароли, коды и ключи к зашифрованной информации.

В настоящее время IT-сообщество Австралии настаивает на введении поправок к законопроекту. Поправки будут обсуждены в августе, когда парламент соберется после каникул.
Напомним, что в последнее время власти Австралии прославились своими суровыми законопроектами в отношении Интернета. Это и запрет на онлайновые азартные игры, и различные ограничения в духе самой настоящей цензуры.
(источник - http://news.battery.ru/, опубликовано 11.07.2001)

Во вторник в Интернете появилось предупреждение о новом опасном черве, маскирующемся под очередную заплатку к продуктам корпорации Microsoft. Троянец, получивший длинное название W32.Leave.B.Worm является новой версией крайне опасного вируса Leave, дело о котором в настоящее время расследуется ФБР. Также как и оригинал, W32.Leave.B.Worm использует для сокрытия своего целый ряд эффективных шифровальных средств.

В качестве пути распространения W32.Leave.B.Worm использует электронную почту - в письме, пришедшем якобы от службы технической поддержки Microsoft и похожем на письма от MS по стилю, пользователю предлагается скачать очередное исправление к продуктам софтверного гиганта. При этом в письме сообщается, что заплатка предназначается для защиты от нового вируса, способного уничтожать документы, стирать с диска mp3 и видео, заражать исполняемые файлы и портить BIOS.

Гиперссылка из письма ведет на адрес, начинающийся с "http://www.microsoft.com@"'>target='_blank'>http://www.microsoft.com@", затем следует шестнадцатеричный код, скрывающий истинный адрес документа. Сама вредоносная программа носит имя cvr58-ms.exe и изначально находилась на сервере хостинг-провайдера Internet Gateway Connections. W32.Leave.B.Worm позволяет своим создателям получить практически полный контроль над зараженной машиной и использовать ее, например, для проведения DoS-атак.
(источник - http://news.battery.ru/, опубликовано 11.07.2001)

Не обладает никакими деструктивными эффектами вроде удаления файлов, но все же может испортить жизнь пользователям зараженных компьютеров.

Действие вируса заключается в изменении адрес домашней страницы веб-браузера на my.marijuana.com, и изменении заголовка окна IE на "Marijuana Explorer (Legalise It!)". В системном трее при этом появляется значок с изображением листьев марихуаны, при нажатии на который появляется длинный призыв к легализации "травки". Кроме этого каждый день в 16:20 на экране появляется сообщение с предложением покурить.

Распространяется новый вирус по электронной почте, маскируясь под игру с названием Dope Crop или Weed Farmer. При запуске исполняемого файла вирус копирует себя в файл system32.exe в системной папке Windows и создает в реестре ключ, обеспечивающий его запуск при каждой загрузке компьютера.

Интересно заметить, что администрация сайта Marijuana.com отрицает свою причастность к созданию вируса. На страницах сайта уже появилось несколько сообщений от пользователей зараженных компьютеров, которые в весьма резких выражениях обвиняют администрацию в распространении вирусов. Рик Гарсиа (Rick Garcia), администратор сайта а ответ на это уверил всех посетителей в отсутствии связи между сайтом и вирусом и обещает как можно скорее найти подходящее антивирусное средство.
(источник - http://news.battery.ru/, опубликовано 11.07.2001)

Американские исследователи выявили самые распространенные ошибки, которые приводят к наибольшему количеству проблем с безопасностью компьютерных систем компаний.

По данным новостного сайта IDG.net, десять самых распространенных ошибок таковы:

1. Пользователи очень любят записывать пароли на специальных бумажках для записей и наклеивать бумажки на монитор. Им это проще, чем запомнить свой пароль. Около 15-20% пользователей регулярно так и делают.

2. Пользователи спорят с системным администратором, считая, что им не нужны никакие программы для безопасности, они только захламляют жесткий диск и тормозят быстродействие компьютера. Чаще всего пользователи протестуют против антивирусных программ.

3. Пользователи часто оставлют машину включенной и не выходят из сети. Каждый, кто подойдет к такому компьютеру, может войти в корпоративную сеть и стащить оттуда любые данные.

4. Пользователи открывают вложения в письма, не проверяя их антивирусной программой. Так происходит заражение вирусами большинства систем.

5. Пользователи придумывают пароли, которые очень легко подобрать. Был проведен следующий эксперимент: специалисты из антихакерского подразделения NASA за 20 минут подобрали 60% паролей технических специалистов одной из крупных американских компаний.

6. Пользователи обсуждают свои пароли вслух и прилюдно. Например, один рассказывает другому, что поменял пароль путем добавления к старому цифры "2".

7. Пользователи теряют ноутбуки с важными данными. Или эти ноутбуки у них крадут.

8. Компании не стремятся тратить большие деньги на защиту своей корпоративной сети. Зачастую только после взлома руководство компании выделяет на это деньги. Такое поведение сходно с попыткой запереть двери конюшни после того, как лошадь украли.

9. Недооценка способностей и возможностей обиженных или уволенных пользователей. Чаще всего компании попадаются на том, что увольняют системного администратора, не лишив его прав доступа. За пользователями надо присматривать, а системного администратора ни в коем случае не обижать, увольнять быстро, провожать до двери офиса и не пускать обратно ни под каким предлогом.

10. Даже если компании используют специальные программы для защиты своих сетей, они не слишком оперативно их обновляют.
(источник - http://news.battery.ru/, опубликовано 11.07.2001)

Согласно новому исследованию, проведенному в США Privacy Foundation, у почти 14 миллионов работников работодатели постоянно контролируют использование Интернета и e-mail.
Это составляет почти треть от 40 миллионов американцев, использующих Интернет и e-mail в офисе.

Исследование было основано на финансовых отчетах компаний, продающих программы для мониторинга онлайн-деятельности сотрудников.

Такими программами пользуются 20th Century Fox, Glaxo Wellcome, Nike, Duracell, Barclays, Marriott, Texaco, American Express и многие другие, включая правительственные - the U.S. Army, the Small Business Administration и the National Park Service.

По оценкам Privacy Foundation, затраты на подобное программное обеспечение составляют в США порядка 140 млн. долларов в год, или $5, 25 на работника в месяц.

В связи с падением цен на подобные программы в течение нескольких последних лет рост их продаж шел в два раза быстрее, чем рост количества работников с доступом в Интернет. Хотя компании часто называют в качестве причины использования мониторинга проблему ответственности сотрудников, специалисты из Privacy Foundation отмечают, что записывая и сохраняя информацию о деятельности работников, организации непреднамеренно накапливают потенциальные доказательства против сотрудников для возможных судебных разбирательств в будущем.
(источник - http://news.battery.ru/, опубликовано 09.07.2001)

Обновлены демо-версии продуктов ViPNet, TermiNET.
В новых версиях исправлены предыдущие ошибки, добавлены новые функции и улучшен интерфейс. Загрузить обновленные демоверсии можно со страницы http://www.infotecs.ru/demo.htm

Пакет программ ViPNet Office позволяет:
- защитить информацию, хранимую на компьютере, а также сам компьютер от возможного несанкционированного доступа из Интернет или локальной сети;
- организовать защищенный обмен в режиме «on-line» конфиденциальной информацией (текстовой, голосовой) по телефонным каналам или через Интернет между компьютерами, установленных в произвольных точках земного шара;
- обмениваться почтовыми сообщениями и прикрепленными к ним файлами в защищенном режиме;
- организовывать защищенные конференции (видеоконференции) и сбор конфиденциальной информации, используя каналы Интернет;
- работать в защищенном режиме по открытому каналу, используя любые Интернет-приложения;
- обеспечить защищенную работу с серверами FTP, WWW и т.д.;
- обеспечить односторонний доступ только по инициативе пользователя к открытым информационным ресурсам в сети Интернет и локальной сети, блокируя любые другие соединения во время сеанса;
- определить сетевые адреса злоумышленников, пытающихся получить доступ к информации на компьютере или проникнуть в локальную сеть;
- разграничить доступ пользователей из "черного" и "белого" списков к базам данных и определенным www-серверам;
- разграничить доступ к конфиденциальной информации внутри локальной сети.

Продукт ViPNet ТUNNEL предназначен для объединения локальных сетей или офисов в защищенную виртуальную сеть. Этот продукт используется, если необходимо защитить трафик между офисами и нет необходимости разграничения доступа внутри каждой из локальных сетей, входящих в VPN.

Пакет программ ViPNet Tunnel (Small, Large) позволяет:
- обеспечивать работу объектов виртуальной сети от имени одного адреса внутри локальной сети;
- обеспечивать туннелирование пакетов с незащищенных компьютеров;
- обеспечивать фильтрацию открытых пакетов в соответствии с заданной политикой защиты

Программа ViPNet [TermiNET] - это персональный сетевой экран (firewall), предназначенный для защиты компьютера от атак из Интернет.

Основные возможности программы ViPNet [TermiNET]:
- Защита информационных ресурсов от атак из Интернет.
- Использование технологии защищенного web-серфинга "Stealth" ("Невидимка").
здесь можно посмотреть результаты независимого теста Gibson Research Corporation (www.grc.com)
- Черный список/Белый список - эта функция обеспечивает возможность запрещать доступ к нежелательным сайтам или разрешать его только к известным желаемым сайтам (функция "Родительский контроль").
- Гибкое управление доступом позволяет с помощью IP адреса, URL, порта и / или протокола определять правила для входящего и исходящего трафика.
- Автоматическое ведение журнала IP-адресов, с которых производилась атака на ресурсы пользовательского компьютера.
- Возможность работы в любой сетевой инфраструктуре.
- Отсутствие влияния на работу любых стандартных приложений (MS Exchange, Net Meeting и т.д.).
- Разграничение доступа и персональные настройки для каждого пользователя.
- Многоязыковая поддержка.
- Простота использования интерфейса "Windows Explorer" делает настройки ViPNet [TermiNET] доступными даже для пользователя, незнакомого с техникой.

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.