Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Защита информации, виртуальные сети VPN. Технология ViPNet. #88 от 20.03.2003


Информационный Канал Subscribe.Ru


Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

20 марта 2003. Выпуск #88

(С) ОАО "Инфотекс"


Здравствуйте, уважаемые подписчики!


K компонентам, играющим особую роль в виртуальных частных сетях (Virtual Private Network, VPN), относятся брандмауэр, маршрутизатор Internet/Intranet и, конечно же, маршрутизатор Home-Office-DSL с заданными правилами, списком доступа и системой преобразования адресов (Network Address Translation, NAT).

VРN могут строиться в соответствии c различными схемами, в рамках которых должно осуществляться взаимодействие между сетевыми компонентами. К их числу относятся, например, маршрутизаторы NAT, соединяющие домашний офис с сетью предприятия, или туннели, ведущие сквозь брандмауэр к клиенту IPSec. В таких ситуациях клиент IPSec организует свой туннель VPN к концентратору VPN либо непосредственно через провайдера Internet, либо напрямую через маршрутизатор DSL, либо через брандмауэр.

В статье "IPSec, NAT, брандмауэры и VPN" Альфред Брот рассматривает различные проблемы, возникающие при построении VPN на основе NAT и IPSec, и варианты их решений.

Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, информационные сообщения по новым атакам и способам взлома, статистика по инцидентам, а также новости компании Инфотекс.

Содержание выпуска:



"IPSec, NAT, брандмауэры и VPN"

 

Новости и события в области защиты информации

 

Новости компании Инфотекс

 
"IPSec, NAT, брандмауэры и VPN"



Зависимости, проблемы и решения
K компонентам, играющим особую роль в виртуальных частных сетях (Virtual Private Network, VPN), относятся брандмауэр, маршрутизатор Internet/Intranet и, конечно же, маршрутизатор Home-Office-DSL с заданными правилами, списком доступа и системой преобразования адресов (Network Address Translation, NAT).

VРN могут строиться в соответствии c различными схемами, в рамках которых должно осуществляться взаимодействие между сетевыми компонентами. К их числу относятся, например, маршрутизаторы NAT, соединяющие домашний офис с сетью предприятия, или туннели, ведущие сквозь брандмауэр к клиенту IPSec. В таких ситуациях клиент IPSec организует свой туннель VPN к концентратору VPN либо непосредственно через провайдера Internet, либо напрямую через маршрутизатор DSL, либо через брандмауэр.

На практике с VPN на основе NAT и IPSec связаны определенные проблемы. Поэтому прежде всего мы рассмотрим основы NAT и IPSec и только после этого поговорим о предлагаемых решениях по обеспечению взаимодействия указанных компонентов.

Какой бы способ построения VPN не был выбран, следует помнить, насколько большое значение имеет согласованность используемых компонентов VPN и внешней сети, особенно если они лишь частично находятся под административной защитой какого-либо владельца VPN или же вообще не защищены. Неблагоприятная комбинация и/или неправильная конфигурация сетевых компонентов в соединении из конца в конец может привести к тому, что туннель VPN на базе IPSec можно будет использовать только условно. В статье рассматриваются возможные проблемы при создании подобных сетей.


Преобразование NAT
Применение NAT позволяет обойти существующие ограничения открытого адресного пространства IРv4, поэтому данный протокол используется при решении многих сетевых проблем. Определение NAT приведено в RFC 1631, где устанавливается, как можно преобразовать IP-адреса из одного адресного блока IP в другой.

В большинстве случаев NAT преобразует IP-адреса из так называемого частного адресного пространства IP (10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255) в однозначное и зарегистрированное открытое адресное пространство IP. Согласно RFC 1918, частные IP-адреса нельзя передавать дальше в Internet, поэтому они могут свободно использоваться только для внутренних целей.


Статический и динамический NAT
Простой формой NAT является статическое преобразование адресного пространства IP. При этом администратор либо устанавливает статическое однозначное соответствие IP-адресов для каждого адреса, либо динамически распределяет их по пулу адресов NAT. В данном случае пул адресов NAT предоставляет в распоряжение пользователя адресное пространство IP такого же размера, как и частное адресное пространство IP. Преобразование адресов хостов из частного адресного пространства IP в адреса из пула NAT выполняется один к одному.

При подобной форме преобразования устройство NAT (например, маршрутизатор или брандмауэр) в зависимости от направления передачи заменяет IP-адрес отправителя и/или получателя в передаваемом пакете IP на IP-адрес из пула адресов и вносит запись в таблицу NAT, где фиксируется соответствие IP-адресов. Затем оно рассчитывает новую контрольную последовательность для заголовка IP (IP-Header), и измененный пакет IP с новым заголовком передается адресату.

Получив пакет IP, система сравнивает IP-адреса (получателя и/или отправителя) с записями в таблице NAT, соответствующим образом изменяет их, после чего создает контрольную последовательность для заголовка IP и передает измененный пакет адресату.


Преобразование портов в адресе
Нередко случается так, что имеющийся в распоряжении пользователя пул адресов NAT существенно меньше частного адресного пространства IP, подлежащего преобразованию. Например, для соединений с Internet часто используется только один открытый IP-адрес. Вариант NAT, известный как Port Address Translation (PAT) или Network Address Port Translation (NAPT), позволяет в такой ситуации одновременно задействовать этот открытый IP-адрес для нескольких сетевых компонентов.

В случае PAT устройство NAT также вставляет в IP-пакет вместо адреса отправителя открытый IP-адрес. Чтобы можно было отличить IP-пакеты различных отправителей, оно заменяет (возможно, неоднозначный) порт TCP/UDP в заголовке TCP/UDP исходного пакета IP на другой, уникальный порт TCP/UDP и вносит соответствующую запись в таблицу NAT. В последующем таблица NAT становится основой для обратного преобразования IP-адресов.

При таком преобразовании система должна заново рассчитать контрольную последовательность не только заголовка IP, но и заголовка TCP/UDP. После этого она создает новый заголовок TCP/UDP и IP и передает пакет IP соответствующему адресату.


Протокол IPSec
IPSec устанавливает четыре основных признака безопасного соединения по IP и надежной передачи данных: конфиденциальность данных (Confidentiality), их целостность (Integrity), идентификацию другой стороны и данных (Aithentification) и фиксацию авторства (от данных нельзя отказаться - Non-Repudiation).

В зависимости от требований безопасности можно создать комбинацию из различных алгоритмов шифрования и хэширования (Diffie-Hellman, DES, 3DES, MD5, SHA-1 и т. д.) и таким образом IPSec может быть реализован с определенным уровнем гибкости.

IPSec предлагает два способа передачи: транспортный и туннельный. При транспортном - реальный IP-заголовок (следовательно, и IP-адрес) остается нетронутым, а заголовок IPSec вставляется между заголовком IP и остальными заголовками или, соответственно, данными. При таком способе передачи изменения затрагивают только транспортный уровень пакета IP, а собственно данные могут быть аутентифицированы и/или зашифрованы.

При туннельном режиме изменяется весь пакет IP. Защита распространяется на заголовок IP и данные, причем вместо исходного создается новый заголовок IP с другими IP-адресами. IPSec включает в себя две формы преобразования или два протокола передачи - AH и ESP.

Authentication Header (АН) дает возможность с помощью цифровой подписи проверить аутентичность и целостность пакета IP. В то же время Encapsulating Security Payload (ESP) предназначен не только для проверки аутентичности и целостности, но и для кодирования данных. Оба протокола могут использоваться как совместно, так и отдельно друг от друга. Правда, их совместное применение связано со значительным увеличением объема данных и не дает заметных преимуществ.


Управление ключами и ассоциации безопасности
Протокол ассоциаций безопасности и управления ключами (Internet Security Association and Key Management Protocol, ISAKMP) определяет в соответствии со своим названием процедуру установления ассоциаций безопасности и функции управления ключами.

Функции управления ключами - важная составная часть IPSec. Они предназначены для безопасного обмена ключами между партнерами IPSec. Такой обмен можно реализовать двумя способами: вручную или с помощью протокола обмена ключей (Internet Key Exchange, IKE).

Первый способ позволяет ответственным лицам самостоятельно вводить необходимые параметры.

IKE, напротив, автоматизирует большинство задач управления ключами. На первом этапе он осуществляет идентификацию партнеров IPSec и определяет способ кодирования, в соответствии с которым будет зашифровываться созданная ассоциация безопасности для транзакции IKE. На втором - происходит определение способа шифрования для ассоциации безопасности IPSec и собственно ее создание.


Проблемы и решения
Для обеспечения целостности данных (одного из четырех основных свойств IPSec) запрещается какое-либо их изменение в процессе передачи. Это является основным препятствием, с которым можно столкнуться при реализации NAT и IPSec. Поскольку NAT изменяет заголовок IP, то это влияет на проверку целостности пакета IP в случае использования протокола АН. При любом режиме (транспортном или туннельном) протокол АН осуществляет аутентификацию всего пакета IP, включая и заголовок IP.

Именно поэтому протокол АН и NAT совместно работать не могут. Следовательно, единственный вариант - использовать протокол ESP в транспортном или в туннельном режиме. ESP в туннельном режиме защищает данные и заголовок транспортного уровня. Заголовок IP остается нетронутым и может быть изменен, что и происходит при преобразовании NAT. Таким образом, этот процесс может функционировать до тех пор, пока речь не заходит о пакете TCP.

Однако, как только возникает необходимость в передаче пакета TCP с преобразованием портов в адресе, маршрутизатор NAT начинает работать с портами TCP и заново рассчитывает контрольную последовательность TCP. А поскольку заголовок TCP защищен протоколом ESP, можно ожидать следующих проблем.

  • Если заголовок TCP и данные зашифрованы, то маршрутизатор NAT не сумеет заново рассчитать контрольную последовательность TCP, и передача данных окажется невозможна.
  • Если заголовок TCP и данные не зашифрованы, то маршрутизатор NAT заново рассчитает контрольную последовательность TCP и нарушит целостность данных с точки зрения протокола ESP.

Отсюда следует: NAT и ESP способны совместно функционировать в транспортном режиме только в том случае, если партнерами IPSec отменена проверка контрольной последовательности.

Но существует еще одна трудность: при использовании IKE с предварительной общей (Pre-shared) аутентификацией в большинстве реализаций IPSec происходит идентификация IP-адреса партнера по заранее заданному паролю. Изменение этого IP-адреса при использовании NAT может привести к сложностям с аутентификацией. Однако если идентификация партнера IPSec происходит на основе идентификационных данных (ID) пользователя или имени домена, то такая проблема не возникает.


IPSec поверх UDP
Вышеописанную проблему позволяет решить NAT Traversal (NAT-T) или "IPSec поверх UDP". Речь идет о способе, основанном на проекте стандарта Internet от IETF "Инкапсуляция пакетов IPSec в UDP" и не требующем никакого изменения устройств на пути между партнерами IPSec. Пакет IP, защищенный IPSec, дополнительно упаковывается в пакет UDP с заголовком UDP, в результате чего он избегает проверки идентичности и целостности заголовка IP и TCP. Поскольку при этом используется тот же порт UDP, что и для IKE (500), то обычно не требуется каких-либо изменений в настройке брандмауэра, так как этот порт уже условно активизируется вследствие использования VPN на базе IPSec.

Процесс настройки всех параметров в случае "IPSec поверх UDP" занимает больше времени, чем для "обычного" соединения IPSec. Он включает распознавание партнера IPSec для поддержки "IPSec поверх UDP", процесс обнаружения для установления факта преобразования в пути адреса (NAT) и, наконец, определение параметров, необходимых для передачи (туннельный режим с инкапсуляцией UDP или транспортный с инкапсуляцией UDP).

IPSec поверх TCP
А что происходит, если по причинам безопасности IKE и ESP (порт UDP 500 и протокол IP 50) не могут функционировать на одном из брандмауэров? В этом случае создание соединения IPSec и передача данных не состоятся ни в "чистом" туннельном режиме ESP, ни в режиме NAT-Traversal или "IPSec поверх UDP".

Некоторые разработчики предлагают решения, основанные на тех же принципах, что и NAT-Traversal, но при этом пакеты IPSec упаковываются не в пакеты UDP, а в пакеты TCP. Коммуникационный порт TCP либо определен в программном обеспечении по умолчанию (например, порт TCP 80), либо выбирается произвольным образом. В последнем случае его можно установить для каждого партнера IPSec.

Выводы
Как следует из описания проблемы и множества представленных вариантов ее преодоления, единственного решения для всех возможных ситуаций не существует. При реализации VPN речь идет, чаще всего, о тщательном анализе предварительно заданных сетевых компонентов, которые находятся на пути следования данных и чьи свойства играют большую роль в процессе передачи. Окончательное решение придется принимать с учетом некоторых возможных компромиссов, которые, конечно же, не должны влиять на безопасность процесса.


Альфред Брот работает в компании N.Runs. С ним можно связаться по адресу: http://www.nruns.de. (Опубликовано в журнале LAN, #01/2003 )

 
Новости и события в области защиты информации


Новая критическая дыра во всех версиях Windows
Корпорация Microsoft сообщила об обнаружении новой критической дыры в Windows. В отличие от недавно обнаруженной прорехи, новая дыра опасна не только для пользователей Windows 2000. По информации Microsoft, она имеется во всех поддерживаемых в настоящее время версиях Windows от Windows 98 и NT 4 до Windows XP. Для всех этих операционных систем уязвимость носит критический характер.

Причиной уязвимости является возможность возникновения ошибки переполнения буфера в модуле jscript.dll, ответственном в Windows за обработку скриптов JScript. Для осуществления атаки хакер должен создать HTML-документ и включить в него скрипт, использующий дыру. Затем эту страницу можно разместить на веб-сайте и заманить туда пользователя или отправить в виде электронного письма в формате HTML. В случае успешного использования дыры злоумышленник захватит управление компьютером с правами пользователя, работающего на нем в данный момент.

Поскольку уязвимость носит критический характер, Microsoft настоятельно рекомендует всем пользователям Windows немедленно установить соответствующую заплатку. Если это по каким-то причинам невозможно, то можно принять и другие меры: запретить использование скриптов в браузере. При использовании Outlook 98 или 2000 желательно установить пакет обеспечения безопасности. В Oulook Express 6 и Outlook 2002 обработка скриптов по умолчанию отключена, и использовать уязвимость нельзя. Подробную информацию о дыре и заплатках можно найти в бюллетене безопасности Microsoft MS03-008.
(источник - http://www.compulenta.ru/, опубликовано 20.03.2003)


О хакерах-альтруистах, изменниках и героях
По данным американского Института компьютерной безопасности (Computer Security Institute), в 2002 году около 90% компаний США подверглись компьютерных атакам и примерно 80% из них понесли ущерб в результате действий хакеров. Однако, отмечают в Washington ProFile, следует признать, что хакеры бывают разными, и цели, которые они преследуют, совершая взломы, могут быть и совершенно безобидными, и крайне опасными.

В 2002 году в мире было зафиксировано более 80 тыс. случаев нарушений систем защиты компьютерных сетей (атаки хакеров, попытки краж информации и т.д.). Их число резко увеличилось по сравнению с 2001 годом, когда было зафиксировано примерно 58 тыс. таких нарушений (в то время как в 2000 году их было чуть более 20 тыс.). Во второй половине 2002 года число хакерских атак увеличилось на 32% по сравнению с аналогичным периодом 2001 года. Однако информация о многих атаках не попадает в статистику. По другим данным - компании Symantec, - во второй половине 2002 года впервые за историю интернета общее число компьютерных атак несколько уменьшилось. Их зафиксировано на 6% меньше, чем в первые шесть месяцев 2002 года. В то же время, финансовые компании столкнулись не только с ростом числа атак, но и с увеличением их опасности. Чаще всего мишенями злоумышленников становятся компьютерные сети на территории США - в 2002 году было зафиксировано почти 27 тыс. компьютерных атак. Британские компьютерные сети подвергались атакам менее 5 тыс. раз, германские - около 4,6 тыс. раз.

Исследование, проведенное в марте 2003 года компанией Dataquest, показало, что большинство компаний не способно бороться с компьютерными атаками и минимизировать нанесенный ущерб. Каждая третья фирма в результате компьютерной атаки теряла важную информацию. У 24% компаний не был подготовлен план действий на случай подобной ситуации.

Несмотря на то, что хакерами называют всех злоумышленников, покушающихся на компьютерные сети, все из них обладают разными возможностями и навыками, и ущерб от их деятельности также различный. Специалист по вопросам информационной безопасности Нил Дэвис (Neil Davis) считает, что наиболее многочисленны, но наименее опасны хакеры-любители. На их долю приходится до 80% всех компьютерных атак. Но этих людей интересует не некая цель, а сам процесс атаки. Они испытывают удовольствие от взлома систем защиты. Чаще всего их действия удается легко пресечь, поскольку хакеры-любители предпочитают не рисковать и не вступать в конфликт с законом.

Более опасны "хакеры-изменники", которые выдают себя за преданных сотрудников компании. На их долю приходится примерно 3-5% компьютерных атак. По данным консалтинговой фирмы Pricewaterhouse Coopers, 58% компаний мира сталкивались с тем, что их сотрудники, в большей или меньшей степени, способствовали проникновению посторонних во внутренние сети. "Изменников" обычно побуждает к таким действиям обида на свою компанию, которая не способна оценить их выдающиеся способности, или из банального материального расчета. "Изменники" обычно похищают или продают право доступа к ценной информации (номера кредитных карточек, базы данных и т.д.) или ограничиваются актами вандализма. К примеру, муниципальный служащий австралийского города Брисбена повздорил с начальником и был уволен. В отместку он взломал городскую базу данных, содержавшую информацию о городской инфраструктуре, подрядчиках, пенсионерах и т.д. и привел ее в полную негодность.

Примерно 10% компьютерных атак совершают члены организованных преступных сообществ - "хакеры-мафиози". Эксперты ФБР считают, что ныне наиболее активны "мафиози" из бывшего СССР и государств Восточной Европы. Единственная цель этих хакеров - получение прибыли. Поэтому их мишенью становятся банки, финансовые и торговые компании. Однако к услугам "мафиози" прибегают и террористы. К примеру, террористическая организация "Ирландская республиканская армия" (ИРА) создала специальные группы из числа сочувствующих хакеров, которые выполняли две основные задачи: похищали деньги для ИРА и собирали информацию для будущих терактов.

На долю "политических хакеров" приходится менее 1% компьютерных атак, но их можно отнести к числу наиболее опасных злоумышленников. Они организуют компьютерные атаки на сайты и серверы организаций, которые исповедуют иные политические ценности. Жертвами политических атак часто становятся правительственные сайты - в США за три последних года были взломанысайты Белого дома, Пентагона, Госдепартамента США. Мишенью политических хакеров становятся интернет-представительства различных партий и организаций. Так, в 2001 году израильские хакеры взломали сайт террористической организации "Хамас" после того, как она взяла на себя ответственность за совершение теракта. Страдают и средства массовой информации: например, неизвестными в США были взломаны сайты популярных газет New York Times и USA Today. В 2002 году хакеры успешно атаковали сайт Ассоциации звукозаписывающей индустрии Америки (Recording Industry Association of America). Причиной нападения стала борьба с пиратством, которую ведет эта организация. Хакеры, выступающие против практики абортов, взламывали сайты клиник, где проводятся подобные операции, хакеры-пацифисты - сайты компаний военно-промышленного комплекса, а недовольные пользователи Windows атаковали сети компании Microsoft. Как правило, целью подобных нападений является лишь деструктивная деятельность и, в ряде случаев, пропаганда. На взломанном сайте хакеры оставляют надписи и лозунги, пропагандирующие их идеи.

Существуют подозрения, что политических хакеров иногда используют спецслужбы и террористические организации, чтобы найти слабые места в компьютерных системах иных государств. К примеру, в 2001 году китайские хакеры произвели массированную атаку на десятки американских сайтов, в том числе, принадлежащие министерству обороны США. Американские эксперты, проанализировавшие тактику атаки, пришли к выводу, что она ставила целью не просто размещение лозунгов и портретов погибшего в столкновении с американским самолетом китайского летчика, но и попытки получить доступ к внутренним компьютерным сетям.

Крайне редко встречаются "хакеры-альтруисты". Обычно это специалисты высокого класса, которые взламывают системы защиты исключительно из гуманных соображений и сообщают компаниям-жертвам атаки об обнаруженных "дырах" в системах безопасности. Эксперты считают, что многие проблемы возникают из-за пренебрежения элементарными мерами компьютерной безопасности. По подсчетам Symantec, новые программные продукты часто недостаточно защищены от возможных хакерских атак. В 2002 году в новом программном обеспечении было обнаружено на 81% больше "дыр", чем в ПО, выпущенном в 2001 году. Новые технологии также предоставляют хакерам возможности для атак. К примеру, компания Orthus, предоставляющая услуги компьютерной безопасности, обнаружила серьезные уязвимости в системах беспроводного доступа в интернет (Wi-Fi). Почти шесть из каждых десяти компаний, использующих эту технологию, абсолютно беззащитны перед хакерами.
(источник - http://www.cnews.ru/, опубликовано 19.03.2003)


Найдена прореха в ядре Linux
В нескольких версиях ядра операционной системы Linux обнаружена опасная уязвимость. Она содержится в модуле ptrace и позволяет любому локальному пользователю получить полномочия администратора (root). К счастью, использовать данную дыру удаленно невозможно, и атак из интернета можно не опасаться. Дыра имеется в ядрах версий 2.2 и 2.4, ядро Linux 2.5 такой уязвимости не содержит.

Сообщество разработчиков Linux достаточно оперативно подготовило исправления для Linux. Для удаления уязвимости из ядра версий 2.2.х была выпущена обновленная версия ядра с порядковым номером 2.2.25. Ее можно использовать для обновлений любого ядра семейства 2.2.х. Других изменений в версии 2.2.25 ядра не появилось.

Для устранения дыры в ядрах 2.4.20/Linux 2.4.21pre был написан отдельный патч. Подробности о дыре и код патча для версий 2.4.20/Linux 2.4.21pre можно найти в электронном письме второго, после Линуса Торвальдса, разработчика Алана Кокса, которое находится здесь. Ведущие поставщики дистрибутивов Linux уже заняты подготовкой патчей для конкретных вариантов этой открытой ОС.
(источник - http://www.compulenta.ru/, опубликовано 19.03.2003)


В интернет пришел иракский червь
О появлении нового интернет-червя сообщили специалисты британской антивирусной компании Sophos. Червь под названием Ganda распространяется по электронной почте и предлагает адресату запустить приложенный к письму файл, где якобы находятся экранные заставки с сатирическими изображениями президента США Джорджа Буша (George Bush). Червь предлагает также просмотреть снимки территории Ирака, сделанные при помощи спутника-шпиона.
Грэхам Клули (Graham Cluley), главный технологический консультант компании Sophos, считает, что на руку вирусописателям играет нестабильная политическая обстановка в мире и, в частности, иракский кризис. О механизме действия червя Ganda, к сожалению, ничего не известно, сообщает Vnunet.Com.

Тем временем, пока неясно, стоит ли нам ждать пришествия известного вирусописателя из Малайзии. Напомним, что в января этого года известный компьютерный хакер Владимор Чамлкович (Vladimor Chamlkovic) заявил, что собирается запустить в интернет новый разрушительный компьютерный вирус, в случае если США применят против Ирака военную силу. Чамлковича заявил тогда, что он нанесет удар по глобальной компьютерной сети при первой же атаке американцев, потому что он ненавидит войну и умирающих людей.

Сейчас 23-летний хакер считается одним из ведущих вирусописателей нашей планеты. Именно он, как считают многие, причастен к появлению таких вирусов, как "ОсамаЛаден", "Мехак", "Камил", "БлеБла Джей" и "Недал". Ряд экспертов, знакомых с "творчеством" вирусописателя, весьма серьезно восприняли угрозу хакера. Они считают, что такая интернет-диверсия может нанести серьезный урон мировой экономике. Однако другие специалисты считают, что беспокоиться не стоит. По их мнению, негативный эффект от вирусов есть, но люди уже научились бороться с ними.
(источник - http://webplanet.ru, опубликовано 19.03.2003)


Valuehost подвергся мощным хакерским атакам
Как сообщили представители компании, такие атаки случались и раньше и до сих пор успешно отражались, однако в этот раз был особый случай. "Стомегабитные порты на наших коммутаторах стали забиваться TCP и ICMP флудом на 95%, что привело к падению таких мощных каналов, как МТУ и простою в работе наших хостов, по этой причине на несколько часов. Усугубилось все тем, что злоумышленники напали на Valuehost в Англии с неменьшей силой, что и в России в тоже время и нефильтрованный 100 мб порт в Телии забит на 95%. Данную атаку возможно только осуществить имея огромные гигабитные канальные ресурсы. Сейчас ситуация стабилизировалась, весь трафик фильтруется и ведутся поиски злоумышленников", - сообщается на форуме для клиентов Valuehost.

Как следует из сообщений Valuehost, испытывали трудности и часть клиентов компании "МТУ-Интел". Загрузка большинства сайтов происходила крайне медленно. Однако сообщается, что уже к 14 часам по московскому времени работоспособность каналов была, в основном, восстановлена.
(источник - http://www.runet.ru, опубликовано 18.03.2003)

Компьютерные вирусы - дело рук неадекватных мужчин
"Ежемесячно вирусописатели создают около 1000 новых сетевых паразитов для поражения операционных систем", - говорит Ян Хруска, исполнительный директор британского разработчика анти-вирусных решений Sophos Plc. – "Таким образом, мы не можем констатировать снижение активности хакеров в этом секторе. Творцы вирусов постоянно ищут новые направления для инфекции, используя уязвимости ОС для эксплуатации заразы".
По словам экспертов, в отношении самих хакеров можно утверждать следующую закономерность. В основном, вирусописатели – это мужчины 14-34 лет с компьютерной манией, страдающие хроническими проблемами в общении с противоположным полом. Обычно они социально неадекватны и имеют непреодолимое влечение к написанию самовоспроизводящихся кодов. "Это как форма цифрового граффити для них", - замечает Хруска.

Для создания и распространения кибер-инфекций, хакеры используют известные ошибки и дефекты существующего ПО или ищут уязвимости в новых.

"С появлением новых версий ОС, будет увеличиваться и число форм вирусов", - комментирует Хруска. – "Каждое программное обеспечение или операционная система обладают новыми качествами и исполняемыми файлами, которые могут стать переносчиками сетевой заразы".

По словам г-на Хруска, в ближайшие годы число инфекций продолжит расти. А следующей мишенью сообщества вирусописателей возможно станет платформа для веб-сервисов Microsoft’s .NET, которая затрагивает соединение различных компьютерных систем для бизнеса через Интернет, - сообщает Reuters.
(источник - http://www.runet.ru, опубликовано 18.03.2003)

Новости компании Инфотекс


Обновлены демо-версии ПО ViPNet

В настоящее время в разделе "Демо-версии" доступны для скачивания обновленные демо "Personal Firewall", "Cryptomania", "Office Firewall" версии 2.8.7 (build #523). Также доступна новая версия ViPNet [DEMO], заменившая ранее представленные демо ViPNet [Office] и ViPNet [Tunnel].

Состав демо-версии:
- 2 ViPNet [Координатора] (по 2 туннельных лицензии на каждый)
- 2 ViPNet [Клиента]

Такая комбинация программных модулей позволяет организовать защищенную виртуальную сеть в соответствии c различными схемами, в рамках которых должно осуществляться взаимодействие между сетевыми компонентами. Демо-версия полностью функциональна, единственное ограничение налагается на срок использования - без регистрации программа проработает 1 месяц.

Компания Инфотекс приглашает на работу: Преподавателя для чтения учебных курсов, IT - менеджера, Сервис-специалиста в отдел сопровождения и клиентских проектов

Преподаватель для чтения учебных курсов

Требования к кандидату:

- Технико-педагогическое образование
- Знание современных информационных технологий (в области компьютерных сетей, Internet)
- Желательно знание криптографии (алгоритмы шифрования, нормативно-правовая база)
- Опыт написания учебно-методических материалов (с техническим уклоном)
- Опыт проведения учебных занятий в группах от 5 до 15 человек
- Опыт работы в соответствующей должности не менее 3 лет

Резюме просьба направлять по адресу: zadonsky@infotecs.ru

IT - менеджер
Описание должности:
- Обслуживание и развитие локальной и виртуальной сетей, включая, но не ограничиваясь - конфигурирование, администрирование, настройка серверов, маршрутизаторов, firewalls и т.д.
- Обслуживание и настройка программного обеспечения и рабочих станций персонала, организация ремонта, замены, up grade рабочих станций, закупка и выдача в работу персоналу
- Обучение персонала эффективному использованию офисных аппликаций
- Организация сетевой поддержки работ web-мастера
- Подготовка руководству отдела технической поддержки предложений по развитию сетевых коммуникаций, включая, но не ограничиваясь - бюджет развития, обоснование сетевых решений и т.д.
- Подготовка предложений руководству по выбору базовых офисных приложений наиболее отвечающих требованиям бизнес-процесса компании.

Требования к кандидату:
- Наличие знаний в сфере DNS, DHCP, SMTP, POP3 в объеме достаточном для эффективного управления сетью
- Наличие знаний об операционных системах Win95/98/NT, Unix/Linux и офисных приложений Microsoft
- Опыт работы с оборудованием CISCO
- Знание squid-proxy
- Опыт работы не менее двух лет в качестве Администратора сети
- Образование высшее

Желательно - водительские права и опыт вождения не менее 3-х лет
Обязательно - навык делового общения с пользователями сети

Резюме просьба направлять по адресу: elena@infotecs.ru

Сервис-специалист в отдел сопровождения и клиентских проектов ОАО "Инфотекс"
Описание должности:
- Работа на "горячей" телефонной линии
- Установка, наладка, конфигурирование программных решений компании "Инфотекс"
- Сервисное сопровождение Клиентов: по телефону, электронной почте, путем выезда к Клиенту (возможны выезды за пределы Москвы)
- Проведение учебных занятий в учебном классе компании или на территории заказчика

Требования к кандидату:
- Знание стека протоколов TCP/IP, знание сетевых технологий (proxy/firewall/router) организации Internet/Intranet и, желательно, криптографии
- Отличное знание операционных систем Windows 95/98, Windows NT/2000; инсталляция и настройка
- Знание Linux - желательно
- Умение работать с людьми (ведение переговоров, проведение учебных занятий и т.д.)
- Знание технического английского (умение читать и переводить английскую документацию на ПО)
- Отсутствие проблем со службой в рядах вооруженных сил РФ
- Образование высшее

Резюме просьба направлять по адресу: zadonsky@infotecs.ru


Познакомиться с нашими решениями и получить более подробную информацию можно на web-сервере - http://www.infotecs.ru или по телефону (095) 737-6192 

Также получить ответы на интересующие Вас вопросы, Вы можете на нашем форуме, находящемся по адресу: http://www.infotecs.ru/phpBB2/index.php

Полнофункциональные демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel, ViPNet Office Firewall находятся по адресу: http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.

 
 
С уважением, ведущий рассылки Олег Карпинский.

Решения ViPNet - надежные средства для построения VPN


http://subscribe.ru/
E-mail: ask@subscribe.ru
Отписаться
Убрать рекламу

В избранное