Рассылка закрыта
При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.
Вы можете найти рассылки сходной тематики в Каталоге рассылок.
Защита информации, виртуальные сети VPN. Технология ViPNet.
|
Защита информации, виртуальные частные сети (VPN). Технология ViPNet. |
||
|
||
| Извините
за повторный выпуск рассылки, предыдущий выпуск был отправлен в некорректной
форме для чтения. Здравствуйте, уважаемые подписчики! В сегодняшнем выпуске рассылки мы публикуем окончание статьи В. В. Красавина "Технология VPN для корпоративных пользователей", в которой приводятся данные об основных и вспомогательных протоколах VPN и их поддержке в продуктах различных фирм-производителей. Как обычно в рассылке, свежие новости из области защиты информации и IT-технологий, а также новости компании Инфотекс. |
||
| Содержание выпуска: | ||
| Технология VPN для корпоративных пользователей (часть 2) | ||
|
Стандартизированных протоколов для VPN-сетей пока нет, хотя работы по решению этого вопроса ведутся. Например, организация IETF, которая отвечает за разработку стандартов для сети Интернет, в настоящее время занимается утверждением в качестве стандарта протокола L2TP (Layer 2 Tunneling Protocol), который объединяет Point-to-Point Tunneling Protocol (компании Microsoft) и Layer 2 Forwarding Protocol (фирмы Cisco Systems). При помощи этого протокола пользователи могут применять в одних и тех же VPN-сетях L2TP-совместимые аппаратные и программные реализации VPN-продуктов различных производителей. Также следует отметить, что IETF занимается продвижением протокола IPSec (IP Security Protocol), который является набором открытых стандартов для аутентификации и шифрования IP-пакетов. Протокол IPSec является дополнением IP средствами обеспечения информационной защиты данных, которые отвечают, требованиям корпораций, желающих отправлять свои конфиденциальные данные по Internet через VPN-сети. Для создания VPN-сетей в Интернет используются 4 основных протокола: РРТР, L2F, L2TP и IPSec. Причинами такого многообразия можно считать как отсутствие стандартов, так и то, что одни компании используют VPN-сети для замены серверов удаленного доступа, чтобы более эффективно обеспечивать соединение мобильных пользователей, офисов и филиалов с корпоративной сетью через ISP, а другие компании используют VPN-сети как средство обмена данными между локальными сетями по защищенным тоннелям в Интернет. Такая функциональная противоречивость отражается и в наборе протоколов для создания VPN-сетей: РРТР, L2F и L2TP используются для удаленного доступа, а IPSec - для соединений между локальными сетями. Протокол РРТР был одним из первых для создания VPN-соединений в сети Интернет. Он был разработан фирмой Ascend Communications, корпорацией Microsoft и несколькими другими производителями VPN-продуктов. Этот протокол встроен практически во все современные операционные системы фирмы Microsoft, что гарантирует РРТР жизнь в течение нескольких последующих лет. Однако ему присущ ряд недостатков. Например, РРТР не поддерживает современных средств шифрования данных и схем аутентификации пользователей с применением генераторов паролей. Существует версия РРТР with RC4, которая использует протокол RC4 для шифрования данных. Главное отличие РРТР и L2F состоит в том, что протокол L2F может работать в инфраструктуре сетей других протоколов, таких, как Frame Relay или ATM. Протокол L2F для усиления средств установления подлинности поддерживает протоколы Tacacs+ и Radius. Также важным отличием L2F и РРТР является то, что созданные с помощью L2F тоннели способны поддерживать несколько соединений одновременно. Разработка протокола L2TP ведется в организации Internet Engineering Task Force. Он является продолжением РРТР и L2F, в котором будут устранены недостатки, присущие первым VPN-протоколам. Протокол L2TP выполняет те же функции, что РРТР и L2F. Однако он определяет свой собственный протокол тоннелирования. L2TP должен стать еще более универсальным, чем L2F, потому что разработка ведется по созданию протокола, который мог бы использоваться в транспортных сетях Х.25, Frame Relay и ATM. Протокол IPSec применяется для усиления криптографической защиты информации в протоколе L2TP (L2TP with IPsec). Этот протокол был разработан для создания средств обеспечения защищенной передачи пакетов протокола IPv6. Основная задача IPSec - обмен сеансными ключами, используемыми для шифрования данных, и их администрирование. В протоколе применяется схема обмена ключами IKE (Internet Key Exchange), которая в настоящее время утверждается в качестве стандарта IETF. Схема IKE представляет собой два похожих модуля: IKE aggressive mode - для быстрого распределения ключей и IKE X.509 certificates -для использования сертификатов публичных ключей. Протокол IPSec выделяет два заголовка в IP-пакете, которые используются системами аутентификации и шифрования данных: АН (Authentification Header - заголовок аутентификации) и ESP (Encapsulating Security Payload - заголовок протокола безопасного закрытия содержания). Спецификация IPSec предусматривает применение АН и ESP к IP-пакету двумя способами. В стандартном режиме передачи данных аутентификации и шифрованию подвергается только заголовок IP-пакета. В режиме тоннелирования аутентификация и шифрование распространяются на весь пакет. При выборе режима нужно определить, какой фактор более важен: скорость доставки данных или безопасность информации. Существует три модификации протокола IPSec: ∙ IPsec gateway - для связи между различными сетями; ∙ IPsec client for Windows - для связи с клиентской Windows-машиной; ∙ IPsec client for Macintosh - для связи с клиентской Macintosh-машиной. 1. Протокол IPPCP compression применяется для сжатия IPSec-трафика. 2. TripleDES или тройной DES -для усиления криптографической защиты передаваемых данных. 3. VPN toolkit - для использования OEM при создании VPN-систем. 4. Certificate authority - для авторизации систем и служб. Количество протоколов, применяемых для создания VPN-сетей, очень велико. Именно это и является главной проблемой VPN-технологии, решением которой занимаются такие организации, как VPNC и IETF. Поддержка протоколов в продуктах различных фирм-производителей отражена в табл. 3. Хотелось бы отметить компании, которые занимаются предоставлением VPN-услуг на российском рынке. Компания "Элвис+"
предлагает свои собственные VPN-решения серии "Застава" - это
отдельные и готовые для работы VPN-продукты, которые также можно встраивать
в различные сетевые комплексы других фирм-производителей, например компании
Aladdin Software Security. Технология VPN займет одно
из основных мест на рынке сетевого обеспечения по очень важной причине:
она предоставляет возможность обмениваться данными через Интернет. Благодаря
этому компании, использующие в качестве основы для корпоративной сети
каналы Интернет, смогут экономить значительные средства, так как им не
придется создавать новые частные глобальные сети на базе арендованных
линий и технологии Frame Relay.
|
| Фирма-производитель |
IPsec
gateway
|
IPsec
client for Windows
|
IPsec
client for Macintosh
|
IKE
X.509 Certificates
|
IPPCP
compression
|
TripleDES
encryplion
|
L2TP
with IPsec
|
PPTP
with RC4
|
IKE
aggressive mode
|
VPN
toolkit
|
Certificate
Authority
|
| 3Com | + | + | + | + | + | + | + | ||||
| Altiga Networks | + | + | + | + | + | + | + | ||||
| Ashley Laurent | + | + | + | + | + | + | + | + | |||
| Baltimore Technologies | + | ||||||||||
| Checkpoint | + | + | + | + | + | + | |||||
| Cisco Systems | + | + | + | + | + | + | |||||
| Compatible Systems | + | + | + | + | + | + | + | ||||
| CoSine Communications | + | + | + | + | + | + | + | ||||
| Cylink | + | + | + | + | |||||||
| Enteiasys/CaUetron | + | + | + | + | + | ||||||
| F-Secure | + | + | + | + | + | + | |||||
| FreeGate | + | + | + | + | + | ||||||
| Hi/fn | + | + | + | + | + | + | |||||
| Indus River | + | + | + | + | + | + | + | + | |||
| Intel | + | + | + | + | + | + | + | ||||
| internet Devices/Alcatel | + | + | + | + | + | ||||||
| IRE | + | + | + | + | + | + | |||||
| Lucent | + | + | + | + | + | + | + | + | + | ||
| Microsoft | + | + | + | + | + | + | + | + | |||
| Network Alchemy | + | + | + | + | + | + | |||||
| RedCreek | + | + | + | + | |||||||
| Secure Computing | + | + | |||||||||
| SPYRUS | + | ||||||||||
| SSH Communications Security | + | + | + | + | + | + | + | + | |||
| Spring Tide Networks | + | + | + | + | + | + | + | + | + | ||
| TImeStep | + | + | + | + | + | + | |||||
| UUNET/MCIWorldcom | + | ||||||||||
| ValiCert | + | ||||||||||
| VPNet | + | + | + | + | + | + |
В. В. Красавин - независимый
эксперт (опубликовано в журнале "Сотовая связь" №16)
| Новости и события в области защиты информации |
Появился "политический" вирус. На этой неделе на многих почтовых серверах было зарегистрировано появление нового компьютерного вируса Injustice ("Несправедливость"), созданного, по всей видимости, в поддержку народа Палестины. Вирус не наносит вреда жесткому диску компьютера, и поэтому был классифицирован антивирусными лабораториями как вирус средней степени опасности. Распространяется он через почтовые службы, используя при этом сведения, содержащиеся в адресной книге пользователя. Вирус содержит послание "От вас я такого не ожидал", а также вложенный файл injustice.TXT.vbs, который активируется после его открытия пользователем. Запущенный файл отправляет загрузившего его пользователя на сайты, освещающие палестинскую проблему, предварительно сообщив: "Не беспокойтесь, этот вирус не опасен. Он не причинит вреда вашей системе. Его предназначение - помочь палестинскому народу жить в мире на своей земле". Появление вируса было зарегистрировано также на сайте правительства Израиля. (источник - http://www.utro.ru, опубликовано 21.03.2001) |
Появился новый троян под названием TROJ_Q2001 Новый троян создан наподобие SubSeven'а и BackOrifice'а. Троян состоит из серверной и клиентской части. Позволяет получить доступ хакеру ко всем ресурсам зараженного компьютера. После запуска серверная часть устанавливает себя в реестр Windows, что позволяет программе запускаться при каждой загрузке компьютера. Клиентская часть обладает интересной функцией - поиск в Интернете зараженных компьютеров (посредством сканирования диапозона IP - адресов). (источник - http://www.compulenta.ru/, опубликовано 20.03.2001) |
Бюджетный комитет одобрил законопроект "Об электронной цифровой подписи" Комитет Госдумы по бюджету и налогам на сегодняшнем заседании рекомендовал нижней палате парламента принять в первом чтении проект федерального закона "Об электронной цифровой подписи", внесенный председателем банковского комитета Александром Шохиным и его заместителем Владимиром Тарачевым. Как сообщает агентство "АКМ", в случае принятия данного закона электронная подпись будет иметь ту же юридическую силу, которую имеет собственноручная подпись физического или юридического лица. При этом законопроектом устанавливается, что средства выработки электронной цифровой подписи не являются средствами шифрования. Проект закона предусматривает формирование системы сертификации и лицензирования в сфере использования электронной цифровой подписи (ЭЦП). По мнению комитета, предлагаемый законопроект обеспечит базовые правовые условия для применения ЭЦП и в значительной степени снизит существующие препятствия для развития электронного документооборота. (источник - http://www.telenews.ru/, опубликовано 16.03.2001) |
Вирус MAGISTR: "I LOVE YOU" И "ЧЕРНОБЫЛЬ" отдыхают. "Лаборатория Касперского" предупредила об обнаружении нового компьютерного вируса Magistr, распространяющегося по электронной почте и ресурсам локальных сетей и использующего крайне сложные технологии сокрытия своего присутствия на зараженных системах. Судя по комментариям в коде вируса, он создан неким шведским хакером по кличке The Judges Disemboweler. Лаборатория Касперского уже получила несколько сообщений о фактах обнаружения вируса в "диком" виде. Magistr может проникнуть в компьютер тремя основными способами. Во-первых, через письма электронной почты, в случае если пользователь запустил зараженный вложенный файл. Во-вторых, через локальную сеть, заражая файлы на доступных ресурсах серверов и других компьютеров. В-третьих, в процессе обмена файлами с использованием мобильных накопителей. Сразу же после запуска инфицированного файла вирус начинает внедряться в систему, в рассылки, и через определенное время начинает ощущаться его разрушительное действие. После запуска "Magistr" заражает все файлы форматов PE EXE и SCR в каталогах "Windows", "WinNT", "Win95" и "Win98" всех локальных дисков. После этого он сканирует все доступные сетевые ресурсы и снова ищет те же каталоги и заражает обнаруженные там файлы. В процессе внедрения в файлы вирус использует ряд исключительно сложных методов, что значительно осложняет процедуру его обнаружения и удаления. Для этого тело вируса разделяется на три части, две из которых шифруются полиморфным кодом, так что зараженный файл выглядит следующим образом: Magistr_rus.bmp . Таким образом, после запуска зараженного файла, вирус перехватывает его выполнение в точке входа и переадресовывает обработчик на код вируса. И только после окончания выполнения основного кода вируса управление снова передается оригинальной программе. Для обеспечения своего постоянного присутствия в системе, Magistr модифицирует конфигурационный файл Windows WIN.INI и системный реестр таким образом, что вирус активизируется каждый раз при запуске операционной системы. При заражении сетевых ресурсов вирус модифицирует только WIN.INI. Magistr содержит исключительно опасную деструктивную функцию. Через 1 месяц после заражения компьютеров под управлением Windows NT/2000 вирус уничтожает все файлы на локальных и сетевых дисках, записывая в них фразу "YOUARESHIT". В дополнение к этому, на компьютерах с установленной Windows 95/98/ME вирус сбрасывает данные в памяти CMOS (CMOS содержит аппаратные параметры загрузки компьютера) и, подобно вирусу "Чернобыль" (CIH), уничтожает содержимое микросхемы FLASH BIOS. Кроме того, в зависимости от ряда условий, вирус запускает еще одну процедуру, вызывающую эффект "убегающих иконок": при установке указателя мыши на какой-либо иконке рабочего стола она тут же меняет свое местоположение, так что пользователь не в состоянии запустить соответствующую ей программу: Magistr_icons.bmp. "В данном случае мы имеем дело с весьма сложным и технологически продвинутым вирусом, впитавшем в себя все наиболее эффективные методы распространения, заражения, маскировки и самые опасные деструктивные функции, - комментирует Денис Зенкин, руководитель информационной службы Лаборатории Касперского. - По сути дела, Magistr - это результат успешного скрещивания бешеной скорости распространения вируса ILOVEYOU и разрушительного воздействия "Чернобыля". (источник - http://www.utro.ru, опубликовано 15.03.2001) |
В компьютерные системы NASA снова проник подросток. 15-летнего американца обвинили во взломе по крайней мере трех компьютерных систем NASA, а также во взломе сайтов этой организации, сообщает Yahoo! News. Подросток поместил на взломанных сайтах картинки, которые обычно используют хакеры из группировки "Электронные души" (Electronic Souls). Кроме того, юный американец обвиняется во взломе компьютерных систем нескольких правительственных лабораторий. Мальчику, имя которого не оглашается из-за его юного возраста, грозит до пяти лет тюремного заключения. Стефен Несбит (Stephen Nesbitt), который расследует факт взлома системы безопасности главного офиса NASA в Вашингтоне, заявил, что подросток не получил доступ к стратегически важной информации. Г-н Несбит также отказался от дальнейших комментариев, вплоть до момента задержания остальных хакеров из группировки "Электронные души". В свою очередь компания Attrition.org, исследующая интернет-активность хакеров, зафиксировала 32 "деяния" "Электронных душ" с февраля этого года. Хакеры, которых считают членами этой группы, взламывали также коммерческие сайты. Однако, обычно им не удавалось получить конфиденциальные сведения, считает Брайан Мартин (Brian Martin) из Attrition.org. Это уже не первый случай деятельности хакеров подросткового возраста в компьютерных сетях NASA. Интересно, куда смотрят системные администраторы. (источник - http://www.oxpaha.ru/, опубликовано 15.03.2001) |
| Информационные
сообщения по новым атакам и способам взлома, статистика по инцидентам
|
|
По данным http://www.attrition.org/mirror/attrition/
за период с 29 января по 9 февраля было взломано 367 Веб сайтов, в том
числе в домене Обнаружен новый вирус - Magistr
- отличается повышенной злобностью (через месяц после попадания он стирает
информацию на компьютере) и умением прятаться на компьютере. Основной
способ заражения - как всегда через почтовые сообщения. Кардинальный способ
предупреждения заражения - не открывать что-то исполняемое из приложения
почтовогосообщения. Более подробно об этом : Некоторые релизы Cisco IOS и CatOS (операционные системы маршрутизаторов Cisco и Catalist свичей) содержат сходные по свойствам уязвимости, позволяющие просматривать и модифицировать некоторые SNMP объекты без какой-либо авторизации. Вся уязвимости вызваны ошибками, допущенными при реализации поддержки Simple Network Management Protocol (SNMP) протокола, являющегося Интернет-стандартом и применяемого для удаленного администрирования сетевых устройств. В SNMP используется понятие "сообщество" (community), которое служит для обозначения групп "объектов" (переменных), собранных в древовидную структуру, которые можно просмотреть или модифицировать. Структура SNMP-данных называется Management Information Base (MIB). Отдельное устройство может поддерживать разнообразное количество MIB-ов, связанных вместе в большую структуру , предоставляющих 'read-only' (только чтение) или 'read-write'(чтение-запись) доступ к различным, возможно даже перекрывающимся, частям большой структуры данных. Примером 'read-only' переменной может служить счетчик, показывающий итоговое число переданных или принятых через интерфейс байт. Примером 'read-write' объекта может служитьпеременная, в которой описана скорость интерфейса или имя хоста. В SNMP версий 1 и 2 механизмы
контроля доступа развиты достаточно слабо (SNMP v3 предоставляет большие
возможности за счет использования более строгих методов аутентификации)
При отсуствии дополнительных параметров конфигурации, ограничивающих доступ,
знание названия сообщества для устройства - все, что необходимо для получения
доступа ко всем объектам (с уровнем доступа 'read-only' или 'read-write'). 1. Сообщество с 'read-only' доступом может быть добавлено в параметры настройки при выполнении команды "snmp-server community" ( если "community" до этого не было описано). В случае удаления команды описание сообщества появится перезагрузки устройства. Подробный список уязвимых версий приведен в http://www.cisco.com/warp/public/707/ios-snmp-community-vulns-pub.shtml Уязвимость вызвана дефектом в реализации SNMPv2 функции "informs", с помощью которой обеспечивается обмен информацией об общем состоянии устройств. Когда устройство выполняет команду "snmp-server host", устанавливая хост, который будет получать SNMP "прерывание" (trap),cообщество, указанное в параметрах команды, становится доступным для широкого пользования, даже если оно не определено заранее в конфигурации. Это происходит даже если сообщество удалили и сохранили конфигурацию перед перезагрузкой системы. 2. Цепочка "read-write"
сообществ становится доступной, когда к устройству осуществляется доступ
с помощью утилиты "walk" или с 3. При внедрении новых стандартов для управления кабельными модемами ВIOS были описаны новые недокументированные "cable-docsis" сообщества с доступом "read-write", которые заводились специально для DOCSIS совместимых устройств. По умолчанию они доступны на всех устройствах, кроме DOCSIS-совместимых кабельных модемов и оконечных устройств в определенных релизах IOS. Уязвимость описана в CSCdr59314. Уязвимость исправлена в 12.1(4), 12.1(5)T и последующих релизах. Знание названия доступных на чтение сообществ позволяет получить доступ на чтение к информации, хранящейся на устройстве, что приводит к снижению уровня безопасности. При знании цепочек сообществ доступных на чтение-запись злоумышленник может удаленно без должной авторизации конфигурировать устройство, возможно даже без соответствующего уведомления администратора, что может привести к ошибкам в работе. Для устранения уязвимости необходимо заменить матобеспечение маршрутизатора или свича, или обеспечить с помощью конфигурационных параметров разграничение доступа к SNMP сервисам (до момента обновления программного обеспечения) Подробнее:
|
| Новости компании |
|
Сложившееся определение понятия
виртуальных сетей - это соединение локальных сетей через отрытую IP-сеть
с использованием на выходах этих сетей специальных устройств, осуществляющих
шифрование проходящего через них трафика и туннелирование его между двумя
такими устройствами. Здесь перечислены только
наиболее важные функции, которые должны выполняться персональными средствами
VPN для обеспечения возможности их использования одновременно в локальных
и глобальных сетях без наложения серьезных ограничений на сетевую среду.
|
| Познакомиться с нашими
решениями и получить более подробную ифромацию можно на web-сервере - http://www.infotecs.ru
или по телефону (095) 737-6192
Полнофункциональные
демо-версии продуктов ViPNet Desk, TermiNet, ViPNet Office, ViPNet Tunnel
находятся по адресу |
| С уважением, ведущий рассылки Олег Карпинский. |
|
http://subscribe.ru/
E-mail: ask@subscribe.ru |
|
| В избранное | ||
