Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

Предприятия и провайдеры Internet не могут допустить, чтобы их защита оказалась слабее все более мощных инструментальных средств, которые хакеры применяют с целью воспрепятствовать пользователям в получении доступа к важной информации, размещаемой в сети.

В сегодняшнем выпуске рассылки представляем заключительную часть статьи Джима Карра "Борьба против DoS: вести с фронта", в которой автор рассматривает различные инструментальные средства обнаружения и защиты от атак DDoS и методики отражения атак DDoS нового типа.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Новости компании Инфотекс

• Приглашаем посетить стенд компании Инфотекс на российской выставке информационных технологий SOFTOOL'2002

Ссылки на инструментарий
Как уже было замечено ранее, Вашингтонский университет, где работает Диттрих, предлагает ссылки на различные инструментальные средства обнаружения и защиты от атак DDoS. К ним относятся RID и Zombie Zapper.

По сведениям Theory-Group, консалтинговой службы, представляемой Дэвидом Брумлеем и Джоэлом де ла Гарза, RID может обнаруживать многие из популярных инструментальных средств организации атак DDoS, в том числе клиента атаки DDoS Trinoo, клиента атаки переполнения сети DDoS Tribal и клиента атаки DDoS Stacheldraht.

Как подчеркивается, RID не следует использовать ни как инструментарий для оценки уязвимости, ни как сетевую систему выявления вторжений (Intrusion Detection System, IDS), поскольку она не ведет постоянный мониторинг сети, подобно коммерческим IDS. RID выявляет удаленное программное обеспечение, которое реагирует определенным образом на конкретный поток пакетов. Он рассылает предварительно сформированные пакеты, затем "выслушивает" соответствующие ответы.

Zombie Zapper компании BindView представляет собой бесплатную, свободно распространяемую программу, причем она может заставить инфицированную "зомбированную" систему прекратить передачу трафика. Она действует против таких программ организации атак, как Trinoo, TFN, Stacheldraht, Trinoo for Windows и Shaft.

По утверждению специалистов группы RAZOR компании BindView, сетевые менеджеры могут использовать Zombie Zapper для обнаружения и прекращения лавинных атак, инициаторы которых находятся внутри их собственных сетей или во внешнем источнике. Группа RAZOR состоит из специалистов по защите, совместно работающих над выявлением новых изъянов защиты и путей их устранения.

В BindView предупреждают, что применение Zombie Zapper против другого сайта может породить серьезные проблемы, в том числе отключение трафика с неверного IP-адреса, если лавинный трафик был "фальсифицирован" или передан с невинной системы, инфицированной и захваченной хакером. Еще один риск связан с возможностью привлечь внимание правоохранительных органов, если выяснится, что кто-то использовал Zombie Zapper против легитимного сайта.

Однако на сайте BindView отмечается, что "все больше специалистов стремятся использовать Zombie Zapper для организации защиты по принципу "ответного удара" вместе с IDS или программным обеспечением межсетевого экрана, в особенности со свободно распространяемыми решениями, которые поддерживают или, при соответствующей модификации, способны поддерживать другие свободно распространяемые решения".

Сайт RAZOR компании BindView предлагает большое количество другой информации, призванной помочь специалистам по ИТ решить задачи в области защиты. Отметим предупреждение о том, что пользователи Proxy v3.x компании Funk Software уязвимы для некоторых атак, осуществление которых может привести к несанкционированному доступу посредством удаленного управления. На сайте можно ознакомиться с детальными инструкциями для смягчения последствий любых атак, при этом, как отмечается, Funk Software работает вместе с BindView над решением данной проблемы.

Сайт RAZOR содержит также множество других инструментальных средств. К примеру, он предоставляет ссылку на VLAD the Scanner, свободно распространяемый бесплатный инструментарий для выявления часто встречающихся изъянов защиты, перечисленных в списке "20 наиболее серьезных угроз защите Internet" (Top 20 Most Critical Internet Security Risks), составленном SANS Institute.

На домашней странице Диттриха можно найти ссылки на информационные бюллетени CERT, посвященные DDoS, соответствующие статьи и законодательные предложения, а также ссылки на сайты производителей, работающих над решением вопросов, касающихся DDoS. К ним относятся Arbor Networks, Asta Networks, Captus Networks и Mazu Networks.

Отражение атаки DoS
Стив Гибсон, президент компании Gibson Research, признанный специалист по вопросам борьбы с атаками по типу "отказ в обслуживании", дорого заплатил за свои взгляды. Его сайт Web дважды пострадал от атак DDoS. Последний раз это произошло 11 января 2002 г., когда сайт был отключен в результате так называемой "распределенной отраженной атаки по типу "отказ в обслуживании" (см. Рисунок 1).

Рисунок 1. Отражение атак DDoS нового типа.
В распределенных отраженных атаках по типу "отказ в обслуживании", представленных на данном рисунке, множество серверов TCP посылает пакеты SYN/ACK, чтобы вызвать перегрузку на сайте в надежде, что он захочет открыть соединением TCP с их серверами. По существу, хакер использует генератор пакетов SYN, чтобы "затопить" маршрутизаторы Internet посылаемыми в рамках запроса на соединение TCP пакетами SYN, при этом пакеты содержат фальшивые IP-адреса источника, в качестве которого указывается атакуемый сайт. Все это, конечно, приводит к блокированию сайта.

Хакеры воспользовались пакетами SYN/ACK, которыми браузеры Web и клиенты ftp обмениваются при установлении соединений с компьютером по протоколу TCP, для того, чтобы обрушить поток нелигитимных пакетов на сотни маршрутизаторов Internet. По словам Гибсона, маршрутизаторы были запружены пакетами, поступающими, как предполагалось, с сайта по адресу: http://www.grc.com, но на самом деле они стали жертвами "фальсификации" IP-адреса, когда вместо реального IP-адреса пакета подставляется иной. Это, вероятно, самый распространенный метод для генерации трафика DDoS большого объема.

"Вредоносные пакеты SYN были "отражены" ничего не подозревающими серверами TCP, — отметил Гибсон на своем сайте Web. — Их ответы SYN/ACK были использованы для затопления нашей системы и атаки на пропускную способность". К тому времени, как Гибсон смог остановить этот поток, попросив своего провайдера установить фильтры на маршрутизаторе для блокирования трафика, провайдер удалил свыше 1 млрд (1 072 519 399) злонамеренных пакетов SYN/ACK. Столь мощная атака, по мнению Гибсона, показала, с какими проблемами сталкиваются предприятия и сайты электронной коммерции при отражении атак DoS. "Со своей стороны я ничего не могу предпринять для решения проблемы. Поток необходимо фильтровать на уровне провайдера Internet", — подчеркнул он. До сих пор для этого инженеры провайдеров Internet и ферм серверов Web должны были анализировать журналы регистрации трафика вручную, чтобы выяснить, какой именно трафик является "плохим", т. е. передается в рамках атаки, а какой поступает от легитимных пользователей. Здесь-то и могут прийти на помощь недавно созданные компании, в том числе Arbor Networks, Asta Networks, Captus Networks, Mazu Networks и др.

Развертывание в системах провайдеров INTERNET
Продукты этих новых компаний предназначены для развертывания на маршрутизаторах или коммутаторах провайдеров Internet или рядом с ними. В этом случае устройства размещаются в точках с высоким уровнем трафика в сети, например точках обмена трафиком. Устанавливаемые автономно, вне основного потока сетевого трафика, они выполняют мониторинг и анализ трафика. По мнению производителей, такие устройства способны распознавать принадлежность пакетов к входящей атаки DDoS и могут также предлагать провайдерам Internet способы фильтрации трафика атаки.

По существу, эти экспертные системы проверяют сетевой трафик на соответствие параметрам нормальной деятельности: Peakflow компании Arbor Networks, Vantage System от Asta Network и TrafficMaster Inspector компании Mazu Networks, выявляют атаки DoS с помощью функций маршрутизатора, сообщающих о потоках трафика, передаваемых через интерфейсы маршрутизаторов. Продукты для предотвращения распределенных атак по типу "отказ в обслуживании" предлагают также компании Captus Networks, Lancope и WanWall, которая планирует сменить название на Riverhead.

Информация, собираемая этими системами, помогает сетевым менеджерам решить, как предотвратить атаку. Этого можно добиться, в частности, за счет изменения списков контроля доступа на маршрутизаторе или отключения определенных интерфейсов маршрутизатора.

Скотт Блейк, вице-президент по защите информации компании BindView и руководитель группы RAZOR, скептически относится к заявлениям о том, что названные продукты способны работать так, как обещают их создатели. По его словам, при передаче трафика на гигабитных скоростях "необходимый для распознавания атак DDoS уровень интеллектуальности слишком высок для современных технологий".

Он считает, что производители инструментальных средств для предотвращения DDoS сталкиваются с теми же проблемами, что и поставщики решений, отслеживающих вторжения и вирусы. Им необходимо постоянно обновлять свои продукты по мере возникновения новых видов атак: например, когда созданный хакерами новый код "научится" обходить алгоритмы поиска шаблонов, применяемые в таких продуктах.

Поскольку эти инструментальные средства относительно новы, Robert Francis Group советует своим пользователям развертывать их вместе с традиционными IDS. Он отмечает, что производители "пока только ищут наилучшие решения для наборов своих правил и максимально эффективной их конфигурации".

Другие компании, в том числе Cs3 и Webscreen Technology, разрабатывают продукты DDoS, рассчитанные на развертывание именно на предприятиях. В отличие от решений, ориентированных на провайдеров Internet, их продукты устанавливаются непосредственно на пути входных данных, где они принимают, контролируют и анализируют каждый пакет, передаваемый через предприятие.

Помимо обнаружения атак DDoS из внешних источников, Reverse Firewall компании Cs3 может обнаружить, какие компьютеры внутри предприятия оказались носителями зомбированного кода. Это устройство регулирует поток исходящего из сети трафика, предлагая то, что в компании называют "справедливым обслуживанием исходящих потоков пакетов". Тем самым ограничивается уровень неожидаемых пакетов или тех, которые не являются ответами на пакеты, переданные ранее в другом направлении.

Сетевая приставка WS100 компании Webscreen для выявления атак DDoS использует эвристические алгоритмы. WS100 анализирует природу сетевого доступа, а не точную сигнатуру шаблона пакетов, и присваивает пакетам "магический", или числовой, коэффициент. Этот коэффициент вычисляется с учетом ряда факторов, в том числе IP-адресов отправителя и получателя и находящейся внутри пакета информации. Продукт создает динамически меняющуюся базу данных с итоговыми коэффициентами для каждого пакета и допускает пакеты с большим коэффициентом, но отклоняет с меньшим.

Представители Webscreen считают, что их эвристический подход для определения вредоносных пакетов DDoS решает проблему модернизации алгоритма поиска по шаблону DDoS каждый раз, когда появляется новый инструментарий DDoS. Компания сообщила о постоянном обновлении базы данных с итоговыми коэффициентами, что позволяет динамически отражать новые виды атак DDoS.

В апреле 2002 г. Webscreen анонсировала версию своего продукта, предназначенную для провайдеров Internet под названием WS1000. Эта программа устанавливается перед серверами, которые провайдер Internet должен разместить таким образом, чтобы весь трафик, передаваемый из Internet на сайты Web, проходил через устройство Webscreen, по существу останавливающих атаки DDoS.

Предприятия и провайдеры услуг могут рассчитывать на то, что на рынке скоро появится множество новых продуктов для предотвращения атак DDoS. Беда лишь в том, что хакеры по-прежнему будут придумывать новые средства для организации атак на сетевые системы.

Ресурсы Internet
Более подробную информацию о группе RAZOR компании BindView можно найти на сайте по адресу: http://razor.bindview.com/.

Сайт Web Attrition.org посвящен вопросам компьютерной защиты, в том числе сбору и распространению информации в рамках отрасли. На нем имеется Denial of Service Database 2.0. Более подробную информацию можно найти по адресу: http://www.attrition.org/security/denial/.

Рекомендации CERT CC Workshop находятся по адресу: http://www.cert.org/reports/dsit_ workshop-final.html.

Сайт Web Дэвида Диттриха, посвященный Distributed Denial of Service (DDoS), расположен по адресу: http://staff.washington.edu/dittrich/misc/ddos/.

Информация по Remote Intrusion Detector (RID) опубликована по адресу: http://www.theorygroup.com/Software/RID/.

Информация института System Administration, Networking, and Security (SANS) Institute представлена по адресу: http://www.sans.org/newlook/home.php.

Составленный SANS список десяти самых опасных угроз защите Internet находится по адресу: http://www.sans.org/topten.htm.

Джим Карр - независимый журналист, специализирующийся на вопросах бизнеса и технологий. С ним можно связаться по адресу: jecarr13@charter.net. (опубликовано в журнале "LAN" №7-8/2002).

Прежде чем покинуть компанию, Кэри обеспечил себе возможность проникновения в компьютерную сеть RP Duct Work. Из дома Кэри удалил базу данных с большим количеством важной информации. Действия хакера нанесли компании ущерб в размере 50 тысяч фунтов стерлингов. Позже Кэри был арестован полицией, а дальнейшее расследование подтвердило, что Стивен проник в компьютерную систему компании незадолго перед тем, как была стерта база данных. Это и послужило основным доказательством вины британского хакера.
(источник - http://www.compulenta.ru/, опубликовано 24.09.2002)

Данное соглашение свидетельствует о том, что Microsoft не смогла справиться со спамом своими силами, хотя ранее неоднократно заявляла, что обладает необходимым ПО для фильтрации почты.

В последнее время распространение спама сильно беспокоит многих пользователей сети, поскольку спам снижает эффективность электронной почты как средства коммуникации.
(источник - http://www.cnews.com/, опубликовано 24.09.2002)

По мнению обозревателей Inquirer, благодаря тому, что добросовестные пользователи, чей серийный код, по их мнению, неправомерно оказался в "черном списке", вправе обратиться в Microsoft за новым серийным кодом, специалисты этой компании получают возможность отследить происхождение использующихся пиратами кодов.
(источник - http://www.compulenta.ru/, опубликовано 24.09.2002)

По сообщению сайта Internetnews, в настоящее время соответствующие разделы сайта RIAA защищены паролем. Однако сам факт наличия такой уязвимости свидетельствует о низкой квалификации администраторов сайта. В выдержанном в шутливой форме материале Zone-H.org уязвимость описывается в виде диалога Шерлока Холмса и доктора Ватсона. Когда Холмс объясняет суть уязвимости, у Ватсона отвисает челюсть, и он еле-еле выговаривает: "Я не могу в это поверить".
(источник - www.compulenta.ru, опубликовано 23.09.2002)

О стойкости метода говорит тот факт, что изменение положения одной из бусинок лишь на 1 мкм поменяет в ключе половину знаков. Технологий же, которые позволяют копировать макрообъекты с такой точностью, в наше время не существует и в ближайшем времени не предвидится. Для сохранения идентичности также требуется использовать определенную длину волны лазера и угол луча.

Как считают в MIT, на создание первых коммерческих разработок с применением нового метода уйдет около полугода.
(источник - www.compulenta.ru, опубликовано 23.09.2002)

Место проведения: Москва, Всероссийский выставочный центр (павильон № 69).
Время проведения: 24 - 28 сентября 2002 года
Учредители выставки: Министерство науки и технологий РФ, Правительство Москвы, Отделение информатики, вычислительной техники и автоматизации РАН, Торгово-промышленная палата РФ.

Постоянные участники выставки - лидеры российского рынка информационных технологий уже серьезно заявили о себе и в стране, и за ее рубежами, как квалифицированные разработчики сложнейших систем в области управления, автоматизации технологических процессов, телекоммуникации, научных исследований, образования, а также широкого спектра прикладного программного обеспечения.

В рамках выставки проходит Всероссийская Конференция "Информационные технологии в России". Конференция включает несколько разделов по ключевым направлениям развития ИТ.

На стенде № H08 наши специалисты продемонстрируют последние достижения компании по защите распределенных информационных корпоративных ресурсов на базе технологии ViPNet и ответят на Ваши вопросы. Здесь можно посмотреть схему расположения стенда H08 компании Инфотекс.

Ждем Вас на нашем стенде.

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.