Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

Здравствуйте, уважаемые подписчики!

От себя лично и от лица компании Инфотекс поздравляю Вас с наступающими Новым Годом и Рождеством. Желаю в Новом Году удачи, любви, радости, материального благополучия и всего, что сами себе пожелаете. Ну и, конечно, надежных файрволлов, зорких антивирусов и шустрых VPN'ов...

Недавно была проведена координированная атака на несколько корневых серверов имен Интернет. Эта сложная атака известна как DDoS (distributed denial of service – распределенная атака на отказ в обслуживании). Хотя никаких серьезных последствий не произошло, это стало главной темой в мире безопасности.
Под занавес уходящего года, предлагаем Вам статью Михаила Разумова "Введение в распределенные DoS атаки".

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

• Компании ФОРС-ХОЛДИНГ и ИНФОТЕКС создают электронный архив документов с интегрированной электронно-цифровой подписью
• Российские фирмы - разработчики систем защиты информации провели комплексные испытания своих программ

Введение
Недавно была проведена координированная атака на несколько корневых серверов имен Интернет. Эта сложная атака известна как DDoS (distributed denial of service – распределенная атака на отказ в обслуживании). Хотя никаких серьезных последствий не произошло, это стало главной темой в мире безопасности. Похожие атаки проводились также в феврале 2000 г. Хотя эта тема обсуждалась и до этого, тем не менее, это был первый пример такой длительной DDoS атаки, на несколько часов перекрывшей доступ легитимного трафика к главным серверам. Yahoo, eBay, Buy.com, и CNN – всего лишь некоторые из крупных сайтов, ставших недоступными в течение длительного периода времени. Сейчас, спустя почти три года, может ли оказаться, что мы все еще не защищены? К сожалению, ответ – да. В этой статье рассматриваются основы DDoS атак, как они работают, что делать, если вы стали целью атаки, и что может сделать сообщество по безопасности, чтобы предотвратить их.

Что такое DoS?
Чтобы понять инциденты, описанные выше, будет полезно отступить немного назад и рассмотреть более простую форму этой атаки – отказ в обслуживании. Отказ в обслуживании, или DoS - самая базовая категория атак в сфере компьютерной безопасности, которая может использоваться в нескольких вариантах. Этот термин может быть применен к любой ситуации, в которой атакующий пытается помешать использованию кем-либо какого-либо ресурса. Это может быть реализовано различными методами, физическими и виртуальными. Например, атакующий может перекрыть доступ к телефонной системе путем перерезания главного телефонного кабеля, идущего к зданию, непрерывных звонков по всем свободным телефонным линиям, или взломав мини-АТС. Во всех трех случаях, атакующий достигает цели, закрывая доступ пользователей к ресурсу, т. к. становится невозможно произвести ни входящие, ни исходящие звонки.

Концепции DoS легко применимы к миру сетей. Маршрутизаторы и серверы могут обрабатывать ограниченный объем трафика в любой момент времени, в зависимости от таких факторов, как характеристика оборудования, количество памяти и полоса пропускания. Если этот предел превышается, новый запрос будет отвергнут. В результате, будет проигнорирован легитимный трафик, и пользователи получат отказ в доступе. Таким образом, атакующий, который хочет нарушить работу определенного сервиса или устройства, может сделать это, просто забросав цель пакетами, которые поглотят все доступные ресурсы.

DoS не является обычным взломом, в котором целью атакующего является получение неавторизованного доступа, но может оказаться столь же зловредным. Цель DoS – нарушение работы и причинение неудобств. Успех измеряется в продолжительности хаоса. Примененные против ключевых целей, таких как корневые DNS сервера, эти атаки могут быть серьезной угрозой. Угроза DoS атак зачастую стоит на первом месте при обсуждении концепций информационной войны. Их легко осуществить, трудно остановить, и они очень эффективны.

Что такое DDoS?
Темой этой статьи является специфичный тип DoS, который реализует координированную атаку от множества источников. DDoS, известная как распределенная атака на отказ в обслуживании, легко выполняется в большой сети, и может быть ужасающе эффективной. DDoS можно рассматривать как продвинутую форму традиционной DoS атаки. Вместо того, чтобы один атакующий наводнял цель атаки трафиком, используется множество компьютеров в связанной конфигурации "master-slave".

Процесс относительно прост. Взломщик получает доступ к множеству компьютеров, подсоединенных к Интернет (часто используя автоматизированные программы, известные как авторутеры) и устанавливает программное обеспечение DDoS (коих существует несколько вариантов). Это программное обеспечение позволяет атакующему удаленно управлять взломанным компьютером, делая его slave’ом. От устройства – master’а взломщик информирует slave’ов о цели и направляет атаку. Тысячи машин могут контролироваться из одной точки. Время старта, время остановки, адрес цели и тип атаки – все можно передать slave’ам от master’а через Интернет. Использованная для определенной цели одна машина может создать трафик в несколько мегабайт. Несколько сотен машин могут создать трафик в несколько гигабайт. Осознав это, легко понять, как разрушительна может быть эта внезапная высокая активность для практически любой цели.

Технологии взлома сети различны. При достаточном количестве машин, эффективной будет атака любого типа: можно направить ICMP запросы на широковещательный адрес (Smurf атаки), поддельные HTTP запросы, фрагментированные пакеты, или случайный трафик. Цель будет наверняка так сокрушена, что перестанет работать вообще, или как минимум качество ее работы очень сильно упадет. Атака может быть направлена на любое сетевое устройство: маршрутизаторы (эффективно блокирует всю сеть), серверы (Web, mail, DNS), или специфичные компьютеры (firewalls, IDS).

Почему так трудно противодействовать DDoS? Очевидно, что неожиданный, резко возросший трафик бросится в глаза любому компетентному системному администратору (если раньше не начнет звонить телефон и надрываться пейджер!). Однако, к сожалению, весь этот трафик будет наверняка подделанным, то есть истинный источник атаки будет скрыт. Это значит, что нет очевидного правила, которое позволит файрволлу защитить от этой атаки, так как трафик зачастую выглядит легитимным и может приходить откуда угодно.

Так что же остается делать? Остается ужасно тяжелая и нудная задача: исследование DDoS. На каждом шаге в цепочке маршрутизаторов, которые пересылали злонамеренный трафик в вашу сеть нужно сделать множество административных контактов: телефонных звонков, e-mail, и исследований перехваченных пакетов. Это требует много времени, особенно если учесть, что сеть или компьютер в настоящее время не работают. Принимая во внимание, что slave’ы могут быть расположены по всему миру, печальная правда состоит в том, DDoS атака чаще всего прекращается по милости атакующего, чем из-за каких-либо действий, предпринимаемых системным администратором атакованной системы.

Спасение от DDoS атак
Существует множество шагов, которые можно предпринять для смягчения эффекта от DDoS атак. Как было упомянуто в предыдущем разделе, начинать нужно с процесса исследования. Определите, какой магистральный маршрутизатор (маршрутизатор, обрабатывающий основной трафик Интернет) передает пакеты на ваш граничный маршрутизатор (маршрутизатор, который соединяет вашу сеть с Интернет). Свяжитесь с владельцами магистрального маршрутизатора, наверняка это будет телекоммуникационная компания или ISP, и проинформируйте их о вашей проблеме. В идеале, у них должна быть соответствующая служба, которая займется вашим вопросом. Им, в свою очередь, нужно будет определить, откуда в их сеть приходит злонамеренный трафик и связаться с источником. Но от вас здесь уже ничего не зависит. Так что же тем временем можете сделать вы?

Поскольку вы вряд ли сможете быстро остановить DDoS атаку, существует несколько шагов, которые могут помочь временно ослабить атаку. Если цель – единичная машина, простая смена IP адреса прекратит атаку. Новый адрес можно прописать на внутреннем DNS сервере и дать его только наиболее важным внешним пользователям. Это не очень красивое решение, но быстрое и действенное. Особенно оно применимо к ключевым серверам (например, почтовым, или баз данных), которые атакованы в вашей сети.

Есть шанс, что могут помочь некоторые методики фильтрации. Если атака не фальсифицирована, можно обнаружить в трафике определенную сигнатуру. Тщательное исследование перехваченных пакетов иногда дает характерные следы, на основе которых вы можете создать ACL (access control lists – списки контроля доступа) маршрутизатора или правила файрволла. К тому же, большая часть трафика может исходить от определенного провайдера или магистрального маршрутизатора. В этом случае вы можете временно заблокировать весь трафик от этого источника, что позволит пройти части легитимного трафика. Помните при этом, что вы также блокируете «реальные» пакеты, или легитимный трафик, но этим придется пожертвовать.

И последней возможностью, доступной для больших компаний и сетей, является установка дополнительного оборудования и увеличения пропускной способности во время атаки и ожидание ее прекращения. Конечно, это не лучшее решение, и не самое дешевое, но оно может временно устранить проблему.

Важно подчеркнуть, что процесс исследования необходимо начать сразу. Без сомнения, придется сделать множество телефонных звонков, e-mail, факсов между вашей организацией, вашим провайдером и другими людьми и компаниями, имеющими к этому отношение. На это, конечно, уйдет много времени, так что лучше раньше начать.

Предотвращение DDoS атак
Проблема DDoS может быть решена только всеобщими усилиями и более жесткими стандартами безопасности. Во-первых, администраторы и домашние пользователи должны в одинаковой степени быть уверены, что их компьютеры защищены. Slave’ы, используемые в DDoS атаках – продукт работы авторутеров, программ, которые сканируют тысячи машин, взламывают те из них, которые уязвимы, и устанавливают программное обеспечение. Установка последних патчей, остановка ненужных сервисов, и использование базовой файрволл фильтрации помогут вашей машине не стать добычей и участником в таких атаках. Регулярно проверяйте свои компьютеры на наличие уязвимостей с помощью специальных сканеров, например XSpider.

Наибольшая сложность при защите от DDoS состоит в поддельных IP адресах атакующих машин. Эта проблема может быть решена с использованием методики, называемой «исходящая фильтрация» (Egress filtering). Исходящая фильтрация анализирует пакеты, направленные в Интернет на граничном маршрутизаторе, стоящем перед магистральным маршрутизатором. Эти маршрутизаторы должны знать адреса всех устройств, стоящих за ним, поэтому все, что отправлено с других адресов – подделка. Поддельные пакеты должны отбрасываться до их попадания в Интернет или на магистральный маршрутизатор. Если сетевые администраторы установят такую фильтрацию по умолчанию, поддельные пакеты станут почти невозможными, что многократно сократит процесс идентификации в исследовании DDoS. К сожалению, в большинстве сетей эти фильтры отключены, и поддельные пакеты беспрепятственно проходят. IPv6, будущий IP стандарт, также имеет возможности защиты от этой фундаментальной сетевой проблемы.

Всегда имейте под рукой список административных и технических контактов с вашим ISP. Узнайте также, имеет ли ваш провайдер методику обнаружения и работы с DDoS атаками в своей сети. Некоторые крупные провайдеры имеют сенсоры, которые определяют неожиданный рост трафика в определенных точках, что служит сигналом для обнаружения и изоляции крупных DDoS инцидентов. Если вы сейчас ищите провайдера, спросите его, что они делают с DoS атаками. Если у вас уже есть провайдер, задайте ему тот же вопрос. В зависимости от ответа вы можете принять решение сменить провайдера.

Заключение
Распределенные атаки на отказ в обслуживании очень эффективны, и их трудно остановить. Окончательное решение этой проблемы требует от мирового сетевого сообщества неусыпно следовать строгим стандартам безопасности. В настоящий момент лучшей техникой защиты является готовность к такой атаке. Очень важно иметь план реагирования на DDoS инцидент. А использование исходящей фильтрации является хорошим стандартом безопасности, гарантирующим, что машина, находящаяся под вашим контролем, не участвует в таких атаках. Осведомленное компьютерное сообщество может сделать DDoS сегодня пережитком прошлого.

Михаил Разумов, по материалам SecurityFocus (опубликовано на SecurityLab.ru).

По словам аналитиков, частое обнаружение недостатков, влияющих на безопасность компьютеров в значительной степени подрывает доверие потребителей, однако избежать таких ошибок невозможно. "Это то, что необходимо признать как факт. От этого никуда не деться - в программном обеспечении есть бреши", - сказала представительница маркетинговой компании Intelellect Беатрис Роджерс.

Руководитель онлайновой платежной системы WorldPay Фил Баттисон полагает, что объявления о об обнаружении брешей в программном обеспечении вряд ли может повысить степень доверия потребителей: "Загрузке патчей для Windows XP и Internet Explorer я посвятил целый уикенд и прекрасно знаю, что это такое". С мнением Баттисона согласен и руководитель отдела информационной безопасности британского представительства Microsoft Стюарт Окин.

Впрочем, исследователи рынка программного обеспечения отмечают, что несмотря на столь большое количество обнаруженных недостатков, программы Microsoft все равно остаются одними из самых популярных в мире.
(источник - http://www.securitylab.ru/, опубликовано 29.12.2002)

За сутки количество загрузок титульной страницы достигло нескольких миллионов, то есть нагрузки на сервера Afisha.ru были сопоставимы с нагрузками на серверы крупных порталов. В ночное время количество запросов несколько уменьшалось, хотя уровень числа запросов был аномально высоким - до пятнадцати в секунду. К счастью, серверы Afisha.ru выдержали повышенную нагрузку и продолжали работать в штатном режиме.

При исследовании логов сервера выяснилось, что с всплески количества запросов происходят с большого количества различных IP-адресов. Продолжительность таких всплесков также различна: от нескольких десятков минут до нескольких часов. А с одного IP-адреса в первый день атаки было выкачено около гигабайта данных. По мнению специалистов Afisha.ru и хостинг-центра РБК, где расположен сайт, своим возникновением атака обязана активизации червя, написанного неизвестными хакерами. При наличии соединения компьютера с интернетом червь обращается к главной странице Afisha.ru со средней частотой около десяти запросов в секунду. Информация об атаке направлена всем основным российским разработчикам антивирусного ПО.
(источник - http://www.compulenta.ru/, опубликовано 26.12.2002)

По сообщению газеты The New York Times, документ предусматривает создание централизованной системы наблюдения за интернетом - своеобразного средства раннего предупреждения о кибератаках. Подобная система должна оградить Сеть как от ставших уже привычными угроз, вроде почтовых вирусов, так и от крупномасштабных террористических атак. По сведениям газеты, в документе не содержится точных данных о структуре системы наблюдения, требованиях, предъявляемых к провайдерам, а также о предполагаемой стоимости подобной системы.

Насколько глубокой будет слежка, также неизвестно. Однако, отвечая на критику правозащитников, разработчики "Стратегии" отметили, что она не предусматривает наблюдения за тем, чем занимаются в Сети отдельные ее пользователи. Вместо этого планируется создать систему, в реальном времени анализирующую крупные информационные потоки на предмет обнаружения в них аномалий. Именно с целью наблюдения за интернетом в целом и разрабатывалась новая стратегия. И хотя каждый провайдер имеет представление о том, что происходит в его собственной сети, общая картина остается туманной.

Правозащитников, впрочем, подобные заверения не слишком убедили, и они продолжают выражать озабоченность по поводу принятия такого документа. Они полагают, что власти смогут использовать систему наблюдения за интернетом и для слежки за отдельными пользователями. Несколько позднее появились опровержения информации о создании централизованной системы слежки за интернетом со стороны министерства внутренней безопасности. По словам представителя новообразованного ведомства Брайана Рёркассе, информация, приведенная в статье New York Times не соответствует действительности, и никакие планы по созданию специализированной централизованной системы слежения за интернетом не рассматриваются. По данным сайта IDG, ссылающегося на компетентные анонимные источники, планы мониторинга интернета предусматривают лишь обеспечение возможности взаимодействия государственных и частных систем предупреждения о кибератаках.
(источник - http://www.compulenta.ru/, опубликовано 26.12.2002)

Во время обыска оперативники нашли 4 системных блока, три модема и большое количество компьютерных дисков. С помощью нескольких вирусных программ, которых хакеры называют "троянскими конями", Алексей взламывал файлы, где хранились пароли доступа к Интернету. Похищенные пароли доступа Алексей выставлял на Интернет-аукционе. Когда покупатель находился, взломщик встречался с ним и получал за каждый незаконный доступ по 20 долларов.

Точно по такой же схеме действовал и студент одного из московских вузов 18-летний Евгений. Сначала похищенным доступом в Интернет пользовались его родственники и знакомые, а потом он стал выставлять пароли на продажу. Оперативники установили, что только у одного Интернет-провайдера он похитил около 300 паролей.

Уголовный кодекс такие преступления классифицирует как неправомерный доступ к компьютерной информации. "За преступления такого рода предусмотрена ответственность - от 2 до 5 лет", - сообщил пресс-секретарь Управления "К" Анатолий Платонов.

Во время допросов Алексея и Евгения оперативникам стали известны имена еще нескольких компьютерных взломщиков. А всего с начала года сотрудники управления "К" зарегистрировали свыше трех тысяч преступлений, связанных с незаконным доступом в Интернет.
(источник - http://www.securitylab.ru/, опубликовано 26.12.2002)

Кстати, лицензию на работу с коротковолновым радио Митнику и его юристам пришлось с боями отвоевывать у Федеральной Комиссии по Связи. Представители Комиссии требовали за возобновление лицензии порядка 16 тысяч долларов, чем вызвали немалое удивление Митника и его юристов. Но разбирательство закончено, и восстановление лицензии признано законным, отчего подарок вдвойне ценнее, сообщает CNET.

Еще одна приятная новость для господина Митника - интерес к его персоне со стороны Кевина Спейси. Обладатель "Оскара" за роль в "Американской красоте" не на шутку намерен развивать бизнес с опальным хакером. Видимо мистер Спейси руководствуется принципом, что молния дважды не бьет в одно и то же дерево. Подходит к окончанию и срок трехлетнего условного заключения Митника, - так что у хакера нынче самое настоящее Рождество с подарками.
(источник - http://www.securitylab.ru/, опубликовано 25.12.2002)

Компания Инфотекс - признанный лидер в области разработки специального программного обеспечения для построения защищенных виртуальных сетей и электронной цифровой подписи (ЭЦП).

На основании Договора о сотрудничестве, компании успешно провели интеграцию программных продуктов компании Инфотекс в электронный архив документов ЭЛАД, разработанных компанией Форс-Холдинг.

Электронный архив документов ЭЛАД, построенный на базе СУБД ORACLE, предназначен для создания корпоративных решений, обеспечивающих эффективную работу значительного числа пользователей с большими объемами текстовой и мультимедийной информации.

Программные средства ViPNet, разработанные компание Инфотекс, реализуют алгоритмы генерации и проверки ЭЦП, сертифицированы ФАПСИ и могут использоваться для формирования ключей шифрования и ключей электронной цифровой подписи, шифрования и имитозащиты данных, обеспечения целостности и подлинности информации, не содержащей сведений, составляющих государственную тайну.

Интегрированный продукт позволит пользователям создавать, хранить в архиве, обрабатывать и передавать документы, снабженные электронно-цифровой подписью, реализующей алгоритмы ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94 и ГОСТ 28147-89. До сих пор подобные возможностями были известны преимущественно на примерах работы систем электронной почты.

Российские фирмы - разработчики систем защиты информации провели комплексные испытания своих программ.

Компаниями ООО "Новый Адам", ОАО "Инфотекс", ООО НПФ "ПРОМТЕХН", OOO "ALT Linux" и ЗАО "ПРИКС" в рамках достигнутого ранее Соглашения были проведены комплексные испытания разрабатываемого компаниями программного обеспечения. Целью испытаний являлось построение и проверка функционирования фрагмента распределенной защищенной PKI-системы на открытых сегментах компьютерных сетей (Интернет). Развернутая система представляла собой дополнительный Центр Регистрации (с СВТ "Квеб 3.1", Сертификат Гостехкомиссии РФ № 657) к функционирующему программно-аппаратному комплексу Удостоверяющего Центра "Вепрь" (серверные компоненты располагались на площади ООО "Новый Адам") и удаленный Абонентский пункт администратора УЦ ("Акей") (был расположен на площади ОАО "Инфотекс"). Серверная часть стенда была построена на защищенной интегрированной системе обработки конфиденциальной информации "УТЕС-К" (Сертификат Гостехкомиссии РФ №685). Защиту информации в открытых каналах связи обеспечивало программное решение ViPNet [Custom] ДК (Windows и Linux версии) (Сертификаты Гостехкомиссии РФ №545, 546), построенное на базе СКЗИ "Домен-К" (Сертификаты ФАПСИ № СФ/114-0470, СФ/124-0471).

Результат проведенных работ продемонстрировал возможность проектирования сложных защищенных программно-аппаратных комплексов и систем в доверенной программной среде с использованием открытых коммуникаций Интернет для передачи конфиденциальной информации, не содержащей сведений составляющих государственную тайну.

Особо следует отметить, что в итоге получено качественно новое решение, базирующееся на передовых технологиях защиты информации и предоставляющее пользователю весь необходимый спектр услуг в указанной области:

построение корпоративной защищенной сети для работы с конфиденциальной информацией;
построение структуры PKI c поддержкой международных стандартов X.509 и отвечающей требованиям российского законодательства;
построение распределенных программно - аппаратных комплексов.

ООО "Новый Адам" основано в 2000 году, специализируется на разработке защищенных информационных систем, системной интеграции, а также в реализации комплексных проектов электронной коммерции и защищенного документооборота. Фирма является разработчиком программно-аппаратного комплекса "Вепрь", выполняющего функции Удостоверяющего Центра сертификатов ключей подписи.

ОАО "Инфотекс" (Информационные Технологии и Коммуникационные Системы) одна из старейших High Tech компаний России, основанная в 1989г. В настоящее время является лидером отечественного рынка софтверных VPN решений и средств защиты информации в TCP/IP сетях. Все эти годы компания развивала собственные запатентованные продукты в области корпоративных сетевых решений и средств защиты информации, осуществляла управление крупными проектами по созданию корпоративных сетей и сетей связи общего пользования. Компания является разработчиком программных продуктов с торговой маркой ViPNet™.

Hаучно-производственная фирма (НПФ) "ПРОМТЕХН" создана в 1992 году, имеет лицензии РАСУ, Гостехкомиссии России, ФСБ России, и Минобороны России. НПФ "ПРОМТЕХН" аккредитована в качестве испытательной лаборатории в Системе сертификации Гостехкомиссии России и МО РФ по сертификации технических и программных средств защиты информации. Фирма специализируется на создании современных автоматизированных систем, аналитических систем, систем поддержки, принятия решений, программных и программно-технических комплексов в защищенном исполнении для органов государственного управления, включая министерства и ведомства силовых структур. НПФ "ПРОМТЕХН" является одним из разработчиков Защищённой Интегрированной Системы (ЗИС) "Утёс-К".

OOO "ALT Linux" - российский разработчик свободного программного обеспечния и решений на его основе. В рамках проекта Sisyphus поддерживает один из крупнейших в мире репозитариев пакетов свободных программ. Разработчик универсального дистрибутива GNU/Linux Master, серии дистрибутивов Junior. Разработчик (совместно с НПФ "Промтехн") ЗИС "Утес-К".

ЗАО "ПРИКС. ПРОГРАММНЫЕ ИНТЕГРИРОВАННЫЕ КОМПЛЕКСНЫЕ СИСТЕМЫ" создано в 2002 г., как интегратор передовых мировых технологий и разработок программных и технических средств. ЗАО "ПРИКС" специализируется на предоставлении комплексных услуг в области защиты информации, организации защиты государственных, промышленных, офисных и жилых помещений, начиная с разработки и проектирования программных, программно-технических комплексов и систем произвольной сложности. Является одним из партнеров по производству и поставке ЗИС "Утёс-К".

Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.