Отправляет email-рассылки с помощью сервиса Sendsay

Защита информации, виртуальные сети, безопасность.

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Октябрь 2000  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Автор
Сергей

Статистика

6.817 подписчиков
+263 за неделю
  Все выпуски  

Защита информации, виртуальные сети VPN. Технология ViPNet.


Служба Рассылок Subscribe.Ru проекта Citycat.Ru

Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

27 октября 2000. Выпуск #10

(С) ОАО "Инфотекс"
 

Здравствуйте, уважаемые подписчики!
В очередном выпуске мы публикуем заключительную часть статьи Сергея Мурашкина "Методы и средства связи. Туннели в глобальной сети", посвященную технологиям виртуальных частных сетей (VPN).

 
Содержание выпуска:
 
Методы и средства связи. Туннели в глобальной сети
Новости
Анонсы событий
Методы и средства связи. Туннели в глобальной сети.
 
Аспекты безопасности
Сама по себе инкапсуляция никоим образом не повышает конфиденциальности или надежности защиты туннелируемых данных. Обеспечить приемлемую степень конфиденциальности удается только путем шифрования. Естественно, инициатор и терминатор туннеля должны использовать один и тот же алгоритм шифрования-дешифрования. Кроме того, должна быть предусмотрена возможность обмена ключами.
Безопасность в VPN достигается с помощью специальных протоколов, работающих на уровне туннеля или на уровне пакетов, транслируемых по нему. Такие протоколы предоставляют узлам сети средства для согласования методики шифрования и цифровых подписей, позволяя тем самым обеспечить конфиденциальность и целостность данных, а также проводить корректную аутентификацию адресатов и отправителей пакетов.
В спецификациях PPTP не оговаривается конкретный метод шифрования, однако клиенты Windows NT 4.0 и Windows 95 со службой удаленного доступа версии 1.2 поддерживают алгоритм шифрования DES компании RSA Data Security, называемый еще алгоритмом шифрования двухточечной связи Microsoft (Microsoft Point-to-Point Encryption – MPPE). Протокол MPPE шифрует PPP-пакеты непосредственно на рабочей станции клиента до того, как они попадут в туннель PPTP. То есть сеанс шифрования инициируется после того, как рабочая станция начинает взаимодействовать с терминатором туннеля по протоколу PPP. Следует заметить, что все промежуточные коммутаторы туннеля лишены возможности дешифровки пакетов PPP. Для того чтобы проверить, действительно ли информация приходит к тому пользователю, которому она адресована, MPPE использует усовершенствованный Microsoft протокол аутентификации по квитированию вызова (MS-CHAP – Microsoft Challenge Handshake Protocol).
Еще одним стандартным средством обеспечения безопасности частных виртуальных сетей становится протокол IPsec (Secure IP). В тех случаях, когда IP используется для передачи туннелированного трафика, протокол IPsec позволяет организовать функциональную совместимость инициирующих и завершающих туннель устройств различных изготовителей.
Стандарт IPsec, предложенный рабочей группой IETF, состоит из набора протоколов IP-уровня, позволяющих двум рабочим станциям прийти к консенсусу по поводу методик шифрования и цифровой подписи. Рекомендуется использовать IPsec совместно с протоколом L2TP. Более того, совместимости виртуальной частной сети с IPv6 можно достигнуть только в случае задействования IPsec.
Будучи более эффективным по сравнению с MPPE, протокол IPsec самостоятельно выполняет аутентификацию пользователей, а также обеспечивает целостность и конфиденциальность передаваемых по туннелю данных. Кроме того, с его помощью туннель может быть продолжен от терминатора до рабочей станции конечного пользователя. Особую прелесть IPsec придает тесная связь механизмов безопасности и аутентификации с основными системами управления сетью.

Корпоративные приложения VPN
Существует множество способов, с помощью которых можно повысить эффективность и безопасность корпоративных сетей. Мы рассмотрим только три из них.

Глобальный доступ к Интернету
Переход на технологию VPN от выделенных линий, предназначенных для организации удаленного доступа, позволяет сэкономить как на абонентной плате за линии, так и на стоимости оборудования. На практике экономия достигает 60% и более.
Виртуальная частная сеть предоставляет удаленным пользователям доступ к корпоративной сети непосредственно через Интернет. Пользователю достаточно установить соединение с провайдером Интернета, и соответствующее программное обеспечение на его компьютере организует туннель через сеть провайдера к Интернет-шлюзу корпоративной сети. При этом провайдер вовсе не в курсе того, что организуется туннель, и не предпринимает никаких действий по его поддержке. Аутентификация пользователей в корпоративной сети и обеспечение целостности и конфиденциальности туннелируемых данных выполняются брандмауэром с помощью протоколов MPPE или IPsec.
В результате развертывания VPN компания получает возможность предоставить своим командированным сотрудникам «глобальный локальный» доступ к хранящимся в корпоративной сети данным. Для этого достаточно выбрать провайдера Интернета с модемными пулами во всех городах, куда командируются сотрудники, или же настроить учетные записи у нескольких провайдеров. В результате, делая местный телефонный звонок для установления соединения с пулом провайдера, пользователь входит в «родную» корпоративную сеть, физически расположенную за тысячи километров.
Аналогичный подход может быть использован для предоставления бизнес-партнерам безопасного доступа к ресурсам экстрасети. Как правило, в большинстве случаев такие пользователи уже подключены к Интернету и все, что остается сделать системному администратору для интеграции их в VPN, – это установить новое программное обеспечение или настроить должным образом уже установленное.
В виртуальных частных сетях подобного типа туннели инициируются клиентской рабочей станцией, функционирующей под управлением Windows 95/NT. Завершается туннель терминатором или туннельным коммутатором брандмауэра, расположенного в центральном офисе компании. Системный администратор может управлять процессом авторизации пользователей и другими аспектами безопасности непосредственно из центрального офиса.
Удаленный пользователь «входит» в корпоративную сеть в том месте, где заканчивается туннель. Точное местоположение зависит от типа брандмауэра. В случае использования одного брандмауэра точкой подключения будет корпоративный маршрутизатор Интернета. В случае использования двух брандмауэров, расположенных «спина к спине», точка подключения окажется на «нейтральной полосе» – между брандмауэрами. В любом случае подключившемуся пользователю будет предоставлен доступ к устройствам только локального сегмента.

Аутсорсинг удаленного доступа
Термин аутсорсинг (outsourcing) уже устойчиво ассоциируется с разработкой программного обеспечения в развивающихся странах (Индии, России и т. д.) силами местных специалистов. Заказчик в этом случае получает возможность сэкономить, а подрядчик (программист) – высокую по местным меркам заработную плату. Оказывается, что схожий принцип применим и к виртуальным частным сетям. Для этого компании достаточно возложить на провайдера услуг Интернета обязанности по поддержке конечных пользователей (естественно, за небольшое вознаграждение).
В результате мобильные и домашние пользователи избавляются от необходимости настройки и использования программного обеспечения туннелирования – они устанавливают соединение с модемным пулом провайдера обычным образом. В VPN-сетях подобного типа туннель инициируется концентратором доступа Интернет-провайдера. Терминатором туннеля обычно оказывается коммутатор или другое устройство на «нейтральной полосе» между брандмауэрами.
Хотя в данном случае часть полномочий по аутентификации пользователей возлагается на провайдера, системный администратор компании в состоянии как угодно настроить собственные стратегии безопасности. Поскольку туннель завершается в корпоративной сети (даже при отказе от туннельного коммутирования), в нее все равно поступают сведения о пользователях, внедренные в туннелируемые пакеты.

Организация виртуальных выделенных линий
Перед крупными компаниями зачастую стоит необходимость организации постоянных безопасных сетевых соединений между расположенными в различных городах и странах филиалами. Замена арендуемых междугородных телефонных на виртуальные «выделенки» предполагает переход на обслуживание местным Интернет-провайдером. Единственная выделенная линия (при условии достаточной пропускной способности) в состоянии обеспечить доступ как к корпоративной сети, так и собственно к Интернету.
С помощью виртуальных выделенных линий (Virtual Leased Line – VLL) компания получает возможность с минимальными затратами создать сетевую инфраструктуру топологии «полная сетка» со всеми присущими ей достоинствами – производительностью и избыточностью. Как и в случае использования сети из обычных выделенных линий, для коммутаторов такой инфраструктуры можно сформулировать оптимальные маршруты для туннелирования данных в обход потенциально «узких» мест.
Компании могут приобретать VLL у провайдеров Интернета как готовые службы, так и устанавливать и поддерживать собственное оборудование, используя площадку провайдера в качестве точки доступа к общедоступной сети. В последнем случае процесс установки и настройки оборудования в большинстве случаев сводится к удаленному конфигурированию маршрутизатора.
В виртуальных частных сетях такого типа туннель инициируется маршрутизатором доступа одного из филиалов компании. Терминатором туннеля обычно оказывается коммутатор или другое устройство на «нейтральной полосе» между брандмауэрами. Соединение между филиалами может быть постоянным или устанавливаемым при необходимости. Единственное требование – его пропускная способность должна соответствовать предполагаемой интенсивности трафика.

Сергей Мурашкин
Новости
 

В Японии создано "кибероружие" для отстрела хакеров 

Как сообщает Reuters, в Японии создано "кибероружие", которое будет применяться против хакеров, пытающихся взломать 
компьютерные системы министерства обороны страны. Официальные представители министерства обороны Японии заявили в 
понедельник о том, что разработан комплекс мер, позволяющий защитить компьютерные системы страны. В чем именно 
заключаются эти меры и каков прнцип действия "кибероружия" – пока неизвестно. 

С начала года обеспокоенность правительства безопасностью своих компьютерных сетей резко возросла. Хакеры предприняли 
по крайней мере пять успешных попыток взлома правительственных сайтов.
(источник - http://www.netoscope.ru, опубликовано 24.10.2000)
 

Табун троянских коней

Совет Безопасности не составляет проскрипционных списков российских СМИ, но озабочен усилением роли иностранного 
капитала на российском информационном рынке. Анатолий Стрельцов, автор утвержденной президентом Путиным Доктрины 
информационной безопасности России считает, что духовной и политической жизни страны угрожает "зависимость от 
зарубежных информационных структур". 

Отдел информационной безопасности Совбеза России воспринимается многими либеральными журналистами как 
возрожденное Третье Отделение императора Николая Первого. Именно там, по версии некоторых СМИ, составляют сейчас 
"черные списки" изданий, радиостанций и телеканалов, подлежащих закрытию. Начальник этого отдела Анатолий Стрельцов, 
выступивший 23 октября на конференции в гостинице "Золотое Кольцо", категорически опроверг слухи о намерении 
государства вернуть предварительную цензуру или подвергнуть независимые СМИ децимации. 

Но желание государства играть более заметную роль на информационном рынке несомненно. "Доктрина информационной 
безопасности Российской Федерации", автором которой является аппарат г-на Стрельцова, предусматривает "укрепление 
государственных СМИ" и "повышение эффективности" контроля государства над формально принадлежащими ему 
телеканалами. 9 сентября 2000 года эта доктрина была утверждена президентом Путиным. Любопытно, что именно в этот день 
был лишен эфира обозреватель первого канала Сергей Доренко, считавшийся ставленником крупнейшего частного акционера 
ОРТ Бориса Березовского. 

Одной из главнейших угроз информационной безопасности России Анатолий Стрельцов считает бесконтрольный рост числа 
российских СМИ, подконтрольных иностранному капиталу. В этом смысле представитель Совета Безопасности России был 
солидарен с другим участником конференции, философом и социологом Александром Зиновьевым, который говорил о "бомбе 
западнизации" и "табуне троянских коней". По данным, предоставленным "Вести.Ru" господином Стрельцовым, в России 
сейчас существует 38 электронных и 66 печатных СМИ с участием иностранного капитала. 1157 иностранных СМИ пользуются 
правом распространять свою продукцию на территории России. Доктрина, утвержденная президентом 9 сентября, также 
предупреждает об "усилении зависимости духовной, экономической и политической сфер общественной жизни России от 
зарубежных информационных структур". 

Если идеи, заложенные в Доктрину информационной безопасности, действительно ведут к практическим действиям власти, 
известный проект покупки акций НТВ англо-австрало-американским магнатом Рупертом Мердоком имеет немного шансов на 
успех. На конференции 23 октября говорилось также о деятельности финансируемой Конгрессом США радиостанции 
"Свобода" на российской территории. По словам Анатолия Стрельцова, вещание аналогичной российской станции на средних 
волнах США было бы невозможно: ее созданию препятствует закон от 1934 года, по которому лицензия на вещание не 
предоставляется компаниям, где доля иностранного капитала составляет более 20 процентов. 

Представитель Совета Безопасности не упомянул, правда, что дополнительным препятствием к созданию в США российского 
варианта "Свободы" были бы ограниченные финансовые возможности нашего государства. Трудно представить, чтобы в 
российской казне нашлись средства на гонорары, которые были бы на порядок выше предлагаемых NBC и CNN. А вот внутри 
России несколько тысяч дотационных рублей порой могут спасти от закрытия районную газету. Например, в Палехе 
Ивановской области газетчикам не хватило трех тысяч рублей, чтобы предотвратить отключение у них электроэнергии. 
Поэтому на конференции обсуждались проекты целевого финансирования государством некоторых местных СМИ. Многие 
участники были весьма удивлены, что такого рода субсидии существуют, оказывается, во многих европейских странах, включая 
Австрию, Францию и Швецию.
(источник - http://www.vesti.ru, опубликовано 24.10.2000)
 

Хакеры не страшны пользователям со старенькими модемами 

Как сообщил в понедельник новостной сайт Wired News, проведены исследования, в ходе которых эксперты доказали, что 
высокоскоростные компьютерные сети взламывают гораздо чаще и проще, чем медленые модемные соединения. 

Иллюстрацией к отчету служит начатое ФБР расследование ряда вторжений в компьютерные системы пользователей 
неизвестного хакера, который, проникнув в компьютер, выводит на десктоп приглашение посетить сайт GRC.com. 
Первоначально ФБР заподозрило в причастности к этому владельца сайта – независимого разработчика программного 
обеспечения Стива Гибсона из Южной Каролины. 

С точки зрения ФБР, это направление расследования выглядело многообещающим. Дело в том, что на сайте GRC.com всем 
пользователям предоставляется бесплатная услуга "Shields Up!, назначение которой – проверять компьютер пользователя на 
устойчивость против атак хакеров. ФБР и некоторые пострадавшие компании сочли, что вторжения в компьютерные системы – 
это тонко рассчитанный рекламный ход. 

Однако в ходе расследования непричастность Гибсона была доказана. Эксперты считают, что неизвестный хакер оказывает 
значительную услугу пользователям, показывая, как ненадежны их системы защиты и как уязвимы их компьютеры. 

Франк Принс, аналитик компании Forrester Research, провел исследование, согласно которому пользователи с 
высокоскоростными соединениями подвергаются значительно более высокому риску, чем владельцы более старых модемных 
соединений. 

По мнению Принса, причина этого коренится в том, что граждане, использующие кабельные модемы и DSL, проводят больше 
времени в Интернете и скачивают на свой компьютер больше информации. Также причинами меньшей безопасности таких 
компьютерных систем является наличие у них постоянного IP-адреса. 

Однако, по мнению аналитиков, наиболее существенным в этой проблеме остается то, что пользователи не знают даже азов 
компьютерной безопасности и тем более не знают, что надежный и быстрый канал в Интернет может стать источником 
повышенной опасности для их компьютера. 

Эксперты считают, что отношение к хакерам и к компьютерным вирусам в среде обыкновенных пользователей очень схоже. 
Это нечто, что существует где-то там, не на компьютере пользователя, и, теоретически, способно причинить ущерб. Но 
большинство людей надеется, что уж с их-то компьютером ничего не случится. К сожалению, констатирует Гибсон, только 
конечный пользователь (то есть именно пользователь, а не системный администратор фирмы или провайдер) может 
действительно решить проблему защиты своего компьютера от хакеров и вирусов. В этом мнение Принса полностью совпадает 
с мнением Гибсона. Безопасность, по словам исследователя, является сейчас вполне реальностью, а не сказкой, но практически 
ею никто не занимается. 

Еще большую сумятицу в вопрос о безопасности компьютеров отдельных пользователей вносят заявления провайдеров, 
предоставляющих высокоскоростной доступ в Интернет, что все пользователи будут защищены силами провайдера и 
соединение будет абсолютно безопасным. Предупреждения тех же провайдеров - после таких высказываний, - что для полной 
безопасности пользователи могут установить себе защитное программное обеспечение, проскальзывают мимо сознания 
рядового "юзера". 

Однако эксперты советуют пользователям взять безопасность своего компьютера под собственный контроль. По мнению 
Принса, установка программного обеспечения, назваемого "личный firewall", вполне решит проблему. Это программа работает, 
по словам Принса, "как консьерж в домах на Четвертой авеню: он пропускает только тех, кого вы пригласили заранее, и 
предупреждает о том, что к вам пытается проникнуть кто-то незваный". 

Сэм Карри, сотрудник компании McAfee и разработчик одной из таких защитных программ, считает, что каждый, кто 
пользуется высокоскоростным соединением, должен серьезно рассмотреть вопрос установки на своем компьютере 
персональной системы защиты. По мнению Карри, ряд DDoS-атак, которые были в этом году предприняты по отношению к 
крупным и хорошо защищенным корпоративным сайтам, могут быть направлены и против домашних компьютеров с 
постоянным подключением к Интернету. 

По мнению Принса, хакерам проще взять под контроль или вывести из строя 10 тысяч плохо защищенных домашних систем, 
чем пятьсот корпоративных сайтов, которые отслеживают потоки информации, проходящие через них, используют "firewall" и 
держат в штате грамотных системных администраторов. "Возможно, - заявляет Принс, - хакерам это несколько прибавит 
работы, но нам, в общем, будет уже все равно". 
(источник - http://www.netoscope.ru, опубликовано 24.10.2000)
 

Системный администратор победит хакеров, если сам уподобится им

Как сообщило в понедельник агентство Associated Press, в Нью-Йорке прошел очередной курс обучения в "хакерской школе" 
компании Foundstone(Foundstone’s hacking school). В процессе обучения студентов школы учат взламывать компьютеры с тем, 
чтобы потом они могли грамотно выстроить защиту компьютерных систем своих компаний. 

Как считают эксперты, сейчас не существует простого программного решения для защиты данных в Интернете. Семинары, 
подобные тем, какой прошел в Фаундстоуне, исповедуют философию, которая может быть сформулирована таким образом: 
"Если ты хочешь победить их – стань таким, как они". 

В семинаре приняли участие 31 специалист по компьютерной безопасности, которые хотели повысить уровень своей 
подготовки. Такие семинары проходят дважды в месяц и стоят 3500 за трех- или четырехдневный курс для одного студента. С 
марта, когда начались регулярные семинары, курс хакинга прошли уже около 300 студентов. 

В программе занятий – тренинги на модели компьютерной сети. Студенты учатся определять порты открытого доступа, 
находить и использовать известные "дыры" в программном обеспечении, подбирать пароли доступа с высоким уровнем 
привилегий, похищать файлы паролей с чужой машины и расшифровывать пароли с помощью соответствующего программного 
обеспечения. Также студентов учат обходить программное обеспечение, которое призвано отслеживать подобные действия. 

Также студенты учатся закрывать "дыры" в программном обеспечении, правильно выбирать пароли для доступа к тем или иным 
ресурсам, отслеживать появление хакеров на своих машинах и нейтрализовать их воздействие. 

По мнению устроителей семинаров, ни один программный продукт сам по себе не может предотвратить все попытки взлома 
системы. Одной из причин этого является тот факт, что хакеры все время выдумывают что-нибудь новенькое, а отслеживающее 
и защитное программное обеспечение не успевает за взлетами мысли взломщиков. Поэтому системным администраторам очень 
важно уметь ставить себя на место хакера, мыслить в том же ключе и, таким образом, более точно применять имеющиеся 
средства защиты или разрабатывать новые. 

Подобные семинары проходят также в других учебных заведениях и компаниях. Так, например, Internet Security Systems of Atlanta 
провела в Европе несколько семинаров "Ethical Hacking" и планирует устроить их и для американских специалистов.
(источник - http://www.netoscope.ru, опубликовано 24.10.2000)
 

Южноуральский похититель логинов и паролей обезврежен

Челябинские милиционеры поймали студента ЮурГУ, который занимался добычей и продажей чужих паролей доступа к Сети. 
В этих целях он использовал оборудование Университета и собственный компьютер. Теперь его судьбу решит местный суд. 
Милиционеры также наказали всех, кто воспользовался услугами преступника. Среди последних оказались и администраторы 
станций ФИДО. 

Напомним, что в середине прошлого месяца двум жителям города Воронежа были предъявлены обвинения в совершении 
аналогичных противоправных действий. Представители службы, занимающейся раскрытием подобных преступлений, 
разработали свою теорию, которая объясняет причины участившихся в последнее время краж кодов доступа. По мнению 
милиции, во всем виноваты сами пострадавшие. Фирмы не желают тратить лишние средства на услуги провайдеров, при этом 
сами оказываются не в состоянии обеспечить качественную настройку Интернета, вследствие чего вскоре и становятся 
жертвами воров. 
(источник - http://www.internet.ru, опубликовано 20.10.2000)

 
Анонсы событий
 

Компания "Инфотекс" организует беспрецедентную акцию "Работая удаленно - будь рядом".

В рамках акции, проводящейся с 16 октября по 31 декабря 2000 года, любой желающий сможет получить удаленный доступ в корпоративную сеть компании "Инфотекс" и, используя все функции, доступные сотрудникам компании, оценить возможности ПО ViPNet.

Каждый, участник акции сможет воспользоваться следующими функциями ПО ViPNet:

 - Защищенная деловая почта -  позволяет клиентам сети осуществлять обмен электронной почтой в защищенном виде

 - Защищенный доступ к базам данных - позволяет поставщикам и пользователям ценной деловой информации защитить ее от несанкционированного доступа

 - Защищенный файловый обмен - позволяет клиентам сети обмениваться файлами в режиме on-line в защищенном виде

 - Защищенная конференция – позволяет организовать диалог двух или более клиентов сети в реальном времени в защищенном режиме

 - Мониторинг и идентификация – позволяет блокировать попытки постороннего доступа к защищенным ресурсам и идентифицировать несанкционированные обращения по IP адресам и доменным именам.

Если Вы желаете принять участие в нашей акции, Вам необходимо:

  •  
 Зарегистрироваться на сервере ОАО «Инфотекс», заполнив регистрационную форму
  •  
 Загрузить, распечатать, внимательно изучить, подписать и переслать в наш офис по факсу (095) 737-7278 "Соглашение о конфиденциальности".
  •  
 Загрузить к себе на компьютер ПО "Сервис Безопасности"
  •  
 После получения подписанного Вами Соглашения о конфиденциальности, Вам будут высланы регистрационные файлы и краткое описание по установке программы
  •  
 краткое описание по установке программы в формате .doc находится здесь

*Мы рекомендуем организациям для участия в акции присылать заявки на 2-3 участников. 

Подробности на сайте компании "Инфотекс" - http://www.infotecs.ru

 
Познакомиться с нашими решениями можно на web-сервере - http://www.infotecs.ru 

Полнофункциональные демо-версии продуктов ViPNet Desk, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием 
рассмотрим их.

 
С уважением, ведущий рассылки Олег Карпинский.
http://subscribe.ru/
E-mail: ask@subscribe.ru
В избранное