Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Новости компании Инфотекс

• Компании ФОРС-ХОЛДИНГ и Инфотекс заключили соглашение о сотрудничестве

Конечно, это не то, на чем можно сделать фильм о Джеймсе Бонде, но результаты могут оказаться столь же драматичными. В ежегодном опросе по поводу компьютерных преступлений и проблем безопасности Института компьютерной защиты (Computer Security Institute, CSI) 273 тех респондентов, кто указал размер ущерба от компьютерных вторжений, понесли убытки в сумме на 265 млн долларов. Это составляет в среднем по 970 тыс. долларов на компанию, что почти на 28% больше по сравнению с 760 тыс. долларов именно таким, согласно опросу, был в среднем убыток от подобных преступлений в 1999 г.

Прошли те времена, когда простой брандмауэр был достаточно надежным средством защиты, чтобы администраторы сетей могли спокойно спать по ночам. Современные корпорации предусматривают сложные стратегии защиты, реализация которых предполагает использование нескольких систем, как предупредительных, так и реактивных (часто они являются многоуровневыми и избыточными). В этом новом мире Internet выявление атак становится столь же распространенным, как шифрование и аутентификация, и широко применяется как крупными, так и небольшими компаниями.

Суть систем выявления атак проста и состоит в установке агентов для проверки сетевого трафика и поиска "сигнатур" известных сетевых атак. Однако с развитием сетевых вычислений и пугающим распространением Internet эта идея несколько усложнилась. С появлением распределенных атак по типу "отказ в обслуживании" (Distributed Denial of Service, DDoS), часто инициируемых из сотен различных источников, адрес отправителя трафика больше не может служить надежным свидетельством того, что против вас организована атака. Хуже того, адекватно реагировать на такие атаки становится все труднее из-за разнообразия исходных систем, особенно из-за того, что большинство атак по своей природе являются географически распределенными.

Администраторы сети ведут трудную борьбу, и в этой связи возможность распознавать некоторые (если не все) подобные атаки в тот момент, когда они происходят, себя оправдывает, поскольку это позволяет своевременно предпринять корректирующие действия.

Основы выявления атак
Хотя системы выявления атак до сих пор считаются экспериментальными, они стали значительно совершеннее с 1988 г., причем до такой степени, что у них появилось собственное место в системе обороны сети наравне с брандмауэрами и антивирусным ПО. Хотя практические реализации таких систем, как правило, достаточно сложны и нестандартны, общая концепция выявления атак на удивление проста и состоит в проверке всей активности сети (как входящей, так и исходящей) и обнаружении подозрительных действий, которые могли бы свидетельствовать об атаке на сеть или систему.

Большинство имеющихся на рынке инструментальных средств выявления атак использует две фундаментальные методики выявление злоупотреблений и выявление аномалий.

Выявление злоупотреблений опирается на предопределенный набор сигнатур атак, которые могут быть получены у производителя или указаны сетевым администратором. Выполняя поиск конкретных шаблонных действий, системы выявления атак пытаются установить соответствие каждого из поступающих в сеть пакетов сигнатуре известной атаки. Очевидные преимущества данной методики в ее простоте и необременительности (как следствие, она не вызывает трудностей и при развертывании). Однако у этого подхода есть существенный недостаток: проверка каждого пакета в сети становится все сложнее, особенно с учетом последних достижений сетевой технологии (подробнее об этом позднее).

Администраторы защиты должны хорошо подготовиться, прежде чем приступить к выбору системы выявления злоупотреблений. Обязательно поинтересуйтесь у производителя, как часто появляются новые сигнатуры атак и сколько стоит обновление службы. Как и в случае с системой обнаружения вирусов, полезность программного обеспечения напрямую зависит от полноты базы данных с сигнатурами, которую оно использует при анализе пакетов.

Выявление аномалий, вторая методика выявления атак, будет наиболее полезной в стабильных сетевых средах, где администратор может легко определить "нормальное" (или основное) состояние сети в таких терминах, как уровень трафика, отказ протокола и типичный размер пакета. Детекторы аномального поведения можно настроить таким образом, чтобы они периодически проводили мониторинг сетевых сегментов и определенного числа сетевых серверов и сравнивали их состояние с основным. Если эти состояния значительно различаются, то могут быть предприняты соответствующие действия. Например, если в два часа дня в воскресенье уровень загруженности вашего сегмента в демилитаризованной зоне (Demilitarized Zone, DMZ) внезапно увеличивается до 80%, причем 90% пакетов этого трафика являются эхопакетами протокола управляющих сообщений Internet Control Message Protocol (ICMP) на запросы от различных источников, весьма вероятно, что ваша сеть подверглась атаке DDoS.

Большая часть систем выявления атак использует сочетание обеих методик, и они часто устанавливаются в сети, на конкретном хосте или даже для конкретного приложения на хосте.

Надежная защита
Наверное, самое очевидное место для размещения системы выявления атак - непосредственно в том сегменте, контроль за которым вы хотите установить. Сетевые детекторы атак устанавливаются в сети точно так же, как и любое другое устройство, за исключением того, что они проверяют все пакеты, которые видят. Хотя системы выявления атак достаточно просты в реализации и развертывании, они все же не лишены недостатков, о которых стоит упомянуть.

Во-первых, действительно разделяемые сегменты (на базе концентраторов, а не коммутаторов) сейчас встречаются довольно редко, т. е. для мониторинга всей подсети одного датчика недостаточно. Вместо этого системы выявления атак должны быть интегрированы в определенный порт коммутаторов Ethernet (с поддержкой режима приема всех пакетов), что не всегда возможно, даже если такой порт имеется.

Кроме того, обслуживание всего сегмента одной системой выявления атак делает ее уязвимой для атаки DoS. Если злоумышленник сможет вывести из строя сам детектор, то он получает полную свободу действий и может проникнуть в подсеть, не опасаясь быть обнаруженным. Об этой опасности всегда следует помнить при проектировании и установке хоста для своей системы выявления атак. Как и брандмауэр, такая система не должна содержать никаких пользовательских бюджетов, за исключением привилегированного пользователя (root/Administrator), не должна поддерживать никаких необязательных сетевых служб, не должна предлагать никакой вид интерактивного сетевого доступа (доступ возможен только через консоль) и не должна работать под управлением малоизвестной, нестандартной операционной системы.

Если система выявления атак размещается на стандартной многозадачной, многопользовательской системе, то это должен быть укрепленный вариант операционной системы, где не инициируется (и не размещается) большинство пользовательских процессов, чтобы она могла обеспечить необходимую производительность для проверки каждого пакета по мере их поступления. Это освобождает машину от необязательной нагрузки по обработке и позволяет сосредоточиться на выполнении поставленной задачи.

Если ваша политика защиты такова, что злонамеренное вторжение будет иметь серьезные негативные последствия для вашего бизнеса, то я настоятельно рекомендую установить избыточные системы выявления атак. В идеале эти системы должны быть приобретены у двух производителей или, по крайней мере, должны устанавливаться на двух различных платформах. Смысл в том, чтобы не класть все яйца в одну корзину. (Конечно, концепция избыточности применима ко всем подобным системам.)

Хотя такой подход предполагает дополнительные затраты на поддержку разнородного аппаратного обеспечения и операционных систем, вы можете легко компенсировать этот недостаток, выбрав системы выявления атак, управление которыми может осуществляться централизованным и защищенным образом с помощью стандартных (к примеру, на базе SNMP) инструментальных средств для управления сетями и системами.

Еще одна часто реализуемая стратегия в отношении выявления атак на сеть состоит в автоматическом блокировании доступа по всему периметру сети в случае выхода из строя системы выявления атак. О случившемся должно быть немедленно сообщено администратору сетевой защиты, так как он может оценить создавшуюся ситуацию и предпринять необходимые корректирующие действия. Отметим, что это решение зачастую предполагает, что система выявления атак должна взаимодействовать с размещенными по периметру сети устройствами, такими, как брандмауэры и краевые маршрутизаторы.

Ориентированный на хосты подход идеален для серверов высокой доступности, которые предприятия используют в своей повседневной работе. Эти серверы, как правило, в любом случае устанавливаются в "слабозаселенных" сегментах, так что дополнительные расходы на размещение на хосте детекторов не должны создать непреодолимых трудностей. Возможно, самое важное преимущество этого подхода в том, что он позволяет выявить внутренние операции, т. е. обнаружить ситуацию, когда законопослушный пользователь обращается с ресурсами хоста таким образом, что это ведет к нарушению принятой в компании политики защиты. Такого рода нарушения практически невозможно обнаружить посредством системы выявления атак на сеть, поскольку пользователь может обращаться к системе с консоли, и передаваемые им команды просто не пересылаются по сети.

Однако и в деле выявления атак на хост тоже не все гладко. Поскольку эти системы тесно связаны с операционной системой, они становятся еще одним приложением, которое необходимо обслуживать и переносить. Это весьма важный момент в среде, где операционные системы часто обновляются, поскольку система выявления атак может работать эффективно, только если она имеет все последние данные. Кроме того, сама по себе установка детекторов на хосты не защитит вашу компанию от базовых атак DoS на сетевом уровне (SYN flooding, ping of death, land attack и т. д.). Но, несмотря на эти ограничения, система выявления атак на хосты должна стать неотъемлемой частью вашей общей защиты от вторжений.

(Окончание статьи, посвященное выбору аппаратного и программного обеспечение для обнаружения атак и реализации эффективной системы выявления атак - в следующем выпуске рассылки...)

Рамон Дж. Онтаньон, (опубликовано в Журнале сетевых решений "LAN" 10/2000).

Во вторник компания McAfee объявила о появлении первого вируса, передающегося через файлы формата PDF. Вирус, получивший название "Peachy", использует возможность создания в Adobe Acrobat (программы для работы с PDF-файлами) так называемых вложений (attachments), которыми могут быть файлы других форматов (от VBScript-программ, до исполняемых файлов), под видом которых и распространяется вирус. Исходники вируса, написанного неким Zulu из Аргентины, появились на сайте www.coderz.net По счастью, те пользователи, которые просто просматривают PDF-файлы при помощи программы Acrobat Reader, не подвержены опасности, так как код для распознавания вложений, который есть в Acrobat, не реализован в Acrobat Reader.

Пока, по утверждению специалистов, опасность массового распространения PDF-вирусов невелика, и еще не было зарегистрировано ни одного случая заражения, однако уязвимость формата PDF открывает новый канал для распространения вирусов, и это вызывает тревогу. Как заявили в Adode, популярные программы всегда становятся объектом взлома со стороны хакеров, и Acrobat уже перешагнула этот порог популярности.
(источник - http://news.battery.ru/ , опубликовано 08.08.2001)

5 июля Линь Цзесьон (Lin Jiexiong) и Чжан Гуйлин (Zhang Guiling) пытались забрать деньги из банка в Гуанчжоу (Guangzhou) и выносили $43 тыс., с которыми и были задержаны полицией. Еще 3 сообщника были задержаны в тот же день. Через подставную компанию "Цифровой дракон" (Shenlong Shuma) мошенники предлагали всем желающим зарабатывать деньги, кликая на рекламу, расположенную на сайте компании. Правда, вначале желающие заработать таким образом должны были приобрести членскую карточку за $46. Плата за каждый клик составляла 4 цента.

В период наибольшей популярности Shenlong Shuma ежедневно продавала 10-30 тыс. карточек. Полиция заинтересовалась деятельностью компании, когда ее дневной доход составил $120 тыс., якобы полученных за размещение объявления для третьих лиц.
(источник - http://www.cnews.ru/, опубликовано 08.08.2001)

По мнению Ф. Фельцмана, это заявление может еще более запутать следы и затруднить поиск настоящего автора этого опасного вируса. Он также отверг идею о том, что вирус был разработан в Китае, несмотря на известную надпись "Взломано китайцами", которая появляется на зараженных компьютерах. Тем временем в США в течение этой недели продолжается распространение как минимум двух новых версий Code Red.
(источник - http://www.cnews.ru/, опубликовано 08.08.2001)

В выходные по Сети начала распространяться новая, модифицированная версия широко прославившегося интернет-червя Code Red.

В отличие от своего прародителя, единственной задачей которого была организация DDoS-атаки на сайт Белого Дома, вирус Code Red-2 пришивает к системе троянскую программу, позволяющую удаленному пользователю получать системный доступ и устанавливать полный контроль над сервером.

Червь Code Red в любой модификации не опасен для конечных пользователей, даже если их компьютер поключен к Сети. Это напоминание кажется особенно актуальным в связи с возникающими в СМИ сообщениях о том, что "опаснейший вирус RedCode поражает компьютеры, на которых установлены операционные системы Windows 2000/NT".

На самом деле, червь поражает только компьютеры, работающие под англоязычными версиями ОС Widows NT/2000, на которых установлено серверное ПО Microsoft Internet Information Server (IIS) с включенной службой индексирования (Indexing Service). Вирус эксплуатирует дыру Indexing Service и потому опасен именно для серверов, а не для конечного пользователя. Главным профилактическим средством борьбы с распространением Code Red является установка бесплатной заплатки от Microsoft либо установка альтернативного серверного ПО.

После первых непродолжительных "выступлений" в июле Code Red впал в спячку до первого августа. ФБР и прочие правительственные организации США подняли настоящую интернет-тревогу, назвав вирус "угрозой национальаной безопасности". Нагнетание паники вызывало многочисленные критические заявления экспертов и даже официальный протест британского Скотланд-ярда.

При этом, как сообщает The Register, из-за шумихи вокруг Code Red многие не обратили внимания на то, что уже первая версия Code Red позволяла удаленному пользователю установить на зараженный север троянскую программу и получить полный контроль над удаленной системой.

Новая версия интернет-червя, которая делает это автоматически, была обнаружена сотрудниками американского "Института системного администрирования, сетей и безопасности" (Systems Administration, Networking and Security Institute - SANS). Точных данных о возможных или реальных последствиях распространения новой модификации CodeRed пока нет. Ясно лишь одно - теперь для полного устранения последствий деятельности вируса уже недостаточно будет просто перезагрузить сервер, поскольку при установке троянской программы ("черного хода" в систему) вредоносный код прописывается на жесткий диск сервера.

Напомним, что первая версия вируса Code Red занималась лишь тем, что устраивала DDoS-атаку на сайт Белого дома, а также вывешивала на зараженных серверах сообщение "Hacked By Chinese!" ("Взломано китайцами!"), что привело к предположениям о китайском происхождении вируса. "Старый" Code Red не прописывал себя на жестких дисках серверов и не создавал ни временных, ни постоянных файлов, существуя лишь в их оперативной памяти. Благодаря этой особенности его пребывание в системе было труднее отследить. С другой стороны, от вируса можно было избавиться, просто перезагрузив сервер.

Еще одним неприятным эффектом распространения Code Red специалисты называли снижение скорости работы зараженных серверов, а иногда и их полное зависание. Правда, компания Keynote на днях сделала заключение, что даже в моменты наивысшей активности вируса он практически не влиял на качество прохождения информации по Сети. Глобальное замедление Интернета 19 июля этого года, по мнению компании, было вызвано не вирусом Code Red, а железнодорожной катастрофой в туннеле близ Балтимора, где сошел с рельсов и загорелся поезд, груженный соляной кислотой. В результате аварии были повреждены магистральные кабели (backbones), что вызвало замедление работы Интернета по всем Соединенным Штатам.

Как сообщает "Компьюлента", удмуртский интернет-провайдер МАРК-ИТТ зафиксировал уже три случая заражения вирусом CodeRed российских серверов.
(источник - http://www.netoscope.ru/, опубликовано 07.08.2001)

Уязвимое место было найдено в системе, используемой для защиты компьютерных коммуникаций от "подслушивания". Проблема обнаружилась в реализации RC4 - программы, разработанной в 1987 и часто применяемой для кодирования электронных сообщений. Исследователи из Института Вейцмана (Weizmann Institute) в Израиле и американской компании Cisco воспользовались ошибкой и смогли перехватить сообщения, передаваемые по беспроводным компьютерным сетям, использующим WEP (Wired Equivalent Privacy - Проводной эквивалент секретности) - набор правил, разработанных для обеспечения безопасности. Основная проблема заключается в алгоритме назначения ключей (Key Scheduling Algorithm), создающем секретный ключ для кодирования сообщений. Ученые обнаружили, что в определенных обстоятельствах этот процесс предсказуем и с помощью WEP его можно обратить, получив ключ и расшифровав затем сообщение.

Существование такой "дыры" означает, что любая компьютерная информация, посланная по каналам радиосвязи, в течение нескольких часов может быть раскодирована на обыкновенном компьютере.
(источник - http://news.battery.ru, опубликовано 07.08.2001)

В отчете сообщается, что обнаруженные бреши в системе безопасности ставят под угрозу деятельность департамента в целом. Несанкционированный доступ к этим системам могут получить как его сотрудники, так и лица, не имеющие никакого отношения к деятельности Департамента Коммерции. При этом они могут получить возможность "читать, копировать, изменять и удалять ценную экономическую, финансовую, кадровую и конфиденциальную деловую информацию", говорится в отчете. Пока не было выявлено происшествий, в которых хакеры реально взломали бы компьютеры департамента, при этом сам департамент, вероятнее всего, не смог бы установить факт взлома настолько оперативно, чтобы предотвратить нанесение ущерба.
(источник - http://www.cnews.ru/, опубликовано 06.08.2001)

Компания Sophos, специализирующаяся на разработке антивирусного ПО, опубликовала свой ежемесячный обзор самых активных и вредоносных вирусов. По данным компании, горячая десятка июльских вирусов выглядит следующим образом:

Июльский рейтинг возглавил опасный сетевой червь Sircam. Он является безусловным лидером - на его счету 65,2% инфицированных в прошлом месяце компьютеров. Несмотря на то, что защита от Sircam уже доступна, вирус продолжает распространяться с высокой скоростью. По словам старшего консультанта Sophos Грэхема Клули (Graham Cluley), данный червь нанес ущерб тысячам компаний из разных стран мира, от него пострадали даже компьютеры ФБР.

"SirCam использует те же технологии распространения и проникновения на компьютеры, что и печально известные черви LoveLetter, Melissa и им подобные. Распространенность SirCam подтверждает тот факт, что многие пользователи не извлекли уроков из ранее произошедших глобальных эпидемий. Они до сих пор не придают значения своевременному обновлению антивирусных программ и осторожности при обращении с вложенными файлами, - независимо от их происхождения", - объяснил Денис Зенкин, руководитель информационной службы "Лаборатории Касперского".

Всего за июль этого года компанией Sophos было обнаружено 1276 новых вирусов.
(источник - http://www.cnews.ru/, опубликовано 06.08.2001)

"Ужасный" вирус Code Red, которым так долго пугали многочисленные СМИ, представители ФБР и правительства США накануне наступления 1 августа, никогда не представлял серьезной опасности для интернета - такое сенсационное сообщение опубликовала в четверг BBC со ссылкой на заявление компании интернет-мониторинга Keynote Systems Inc.

Нарушения работы интернета, приписываемые деятельности червя, на самом деле были вызваны пожаром в туннеле Балтимора, в результате которого расплавились кабели и многие компании остались без интернета. 18 июля, когда Code Red только начинал поиск уязвимых мест в серверах, поезд, перевозящий опасные грузы сошел с рельсов в туннеле в Балтиморе. Происшедшее вызвало пожар, в результате которого были повреждены кабели 7 крупнейших провайдеров доступа в интернет. Таким образом, заявление провайдеров о нарушении работы Сети совпало с обнаружением нового вируса, что и привело к мнению о серьезной опасности, которую представляет собой вирус для нормального функционирования интернета.

Соответственно, "заторможенность" интернета 19 июля вообще никак не была связана с действием вируса. Специалисты Keynote, которые следят за функционированием интернета сообщили, что даже на пике активности Code Red в прошлом месяце он практически никак не отразился на интернет-траффике. Вирус уже успел заразить с начала августа сотни тысяч серверов, что также фактически не отразилось на функционировании интернета. Зато все интернет-сообщество имело возможность целую неделю переживать по поводу возможных серьезных сбоев. Пожалуй, по масштабам эта истерии может сравниться только с широко разрекламированной "проблемой двухтысячного года".
(источник - http://www.cnews.ru/, опубликовано 03.08.2001)

Компании ФОРС-ХОЛДИНГ и Инфотекс заключили соглашение о сотрудничестве

Его подписание - очередной шаг к обеспечению защищенного обмена данными в корпоративных, территориально распределенных информационных комплексах, использующих Интернет и общедоступные каналы связи. К ним относятся разрабатывемые ФОРСом информационные и аналитические системы для государственных и муниципальных структур, страховых компаний, банковского сектора, предприятий связи и телекоммуникаций. Построенные на базе ORACLE, они могут использовать как встроенные при создании СУБД средства и технологии защиты информации, так и сертифицированные ФАПСИ и Гостехкомиссией отечественные разработки.

ФОРС - ХОЛДИНГ - одна из самых крупных отечественных компаний, занимающихся программным обеспечением.
Специализация: создание и продвижение информационных технологий в различных сферах экономики, бизнеса и предприятий государственного сектора.
Основные направления:
- системная интеграция
- разработка сложных информационных систем
- комплексная автоматизация банков
- комплексная автоматизация предприятий
Системные решения:
- СУБД и инструментальные средства Oracle, лицензионная поставка, техническая поддержка
- Средства для быстрой разработки, проектирования (CASE) и администрирования распределенных систем
- Новейшие технологии хранения и анализа данных - data warehouse и OLAP
- Поставка прикладных систем

ОАО "Инфотекс" - один из лидеров отечественного рынка VPN (Virtual Private Network) решений и средств защиты информации в TCP/IP сетях. Решения "Инфотекс", объединенные торговой маркой ViPNet - это высокоэффективные средства создания и управления VPN (поддержка мобильных и удаленных пользователей в корпоративной VPN; объединение нескольких локальных сетей в одну глобальную). Это интегрированные средства защиты сети в целом, ее сегментов и каждого клиента сети в отдельности (защита TCP/IP трафика, создаваемого любыми приложениями и программами; защита рабочих станций, серверов WWW, баз данных и приложений; защищенные автопроцессинг и транзакции для финансовых и банковских приложений, платежных систем).

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.