Слабости некоторых служб Internet

Простой протокол передачи электронной почты ( Simple Mail Transfer Protocol - SMTP ) позволяет осуществлять почтовую транспортную службу Internet . Одна из проблем безопасности, связанная с этим протоколом, заключается в том, что пользователь не может проверить адрес отправителя в заголовке сообщения элек­тронной почты. В результате хакер может послать во внутреннюю сеть большое количество почтовых сообщений, что приведет к пе­регрузке и блокированию работы почтового сервера.

Популярная в Internet программа электронной почты Sendmail использует для работы некоторую сетевую информацию - IP-адрес отправителя. Перехватывая сообщения, отправляемые с помощью Sendmail , хакер может употребить эту информацию для нападений, например для спуфинга (подмены адресов).

Протокол передачи файлов ( File Transfer Protocol - FTP ) обеспечивает передачу текстовых и двоичных файлов, поэтому его часто используют в Internet для организации совместного доступа к информации. Его обычно рассматривают как один из методов работы с удаленными сетями. На FTP-серверах хранятся документы, программы, графика и другие виды информации. К данным этих файлов на FTP-серверах нельзя обратиться напрямую. Это можно сделать, только переписав их целиком с FTP-сервера на локаль­ный сервер. Некоторые FTP-серверы ограничивают доступ пользо­вателей к своим архивам данных с помощью пароля, другие же предоставляют свободный доступ (так называемый анонимный FTP-сервер). При использовании опции анонимного FTP для сво­его сервера пользователь должен быть уверен, что на нем хранят­ся только файлы, предназначенные для свободного распрост­ранения.

Служба сетевых имен ( Domain Name System - DNS ) представляет собой распределенную базу данных, которая преобразу­ет имена пользователей и хост-компьютеров в IP-адреса, указы­ваемые в заголовках пакетов, и наоборот. DNS также хранит ин­формацию о структуре сети компании, например количестве компьютеров с IP-адресами в каждом домене. Одной из проблем DNS является то, что эту базу данных очень трудно "скрыть" от неавторизированных пользователей. В результате DNS часто ис­пользуется хакерами как источник информации об именах дове­ренных хост-компьютеров .

Служба эмуляции удаленного терминала ( TELNET ) употребляется для подключения к удаленным системам, присоединен­ным к сети, применяет базовые возможности по эмуляции терми­нала. При использовании этого сервиса Internet пользователи должны регистрироваться на сервере TELNET , вводя свои имя и пароль. После аутентификации пользователя его рабочая станция функционирует в режиме "тупого" терминала, подключенного к внешнему хост-компьютеру. С этого терминала пользователь мо­жет вводить команды, которые обеспечивают ему доступ к файлам и запуск программ. Подключившись к серверу TELNET , хакер мо­жет сконфигурировать его программу таким образом, чтобы она записывала имена и пароли пользователей.

Всемирная паутина ( World Wide Web - WWW ) - это систе­ма, основанная на сетевых приложениях, которые позволяют пользователям просматривать содержимое различных серверов в Internet или интрасетях. Самым полезным свойством WWW является использование гипертекстовых документов, в которые встроены ссылки на другие документы и Web-узлы, что дает пользователям возможность легко переходить от одного узла к друго­му. Однако это же свойство является и наиболее слабым местом системы WWW , поскольку ссылки на Web-узлы, хранящиеся в гипертекстовых документах, содержат информацию о том, как осуществляется доступ к соответствующим узлам. Используя эту информацию, хакеры могут разрушить Web-узел или получить доступ к хранящейся в нем конфиденциальной информации.

К уязвимым службам и протоколам Internet относятся также протокол копирования UUCP , протокол маршрутизации RIP , графическая оконная система Х Windows и др.

Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран является набором компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безопасности. В частности, не­обходимо решить, будет ли ограничен доступ пользователей к оп­ределенным службам Internet на базе протоколов TCP / IP и если будет, то до какой степени.

Политика сетевой безопасности каждой организации должна включать две составляющие:

•  политику доступа к сетевым сервисам;

•  политику реализации межсетевых экранов.

В соответствии с политикой доступа к сетевым сервисам определяется список сервисов Internet , к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, например, на использование протоколов SLIP ( Serial Line Internet Protocol ) и РРР ( Point - to - Point Protocol ). Ограничение методов доступа необходимо для того, чтобы пользователи не могли обращаться к "запрещенным" сервисам Internet обходны­ми путями. Например, если для ограничения доступа в Internet се­тевой администратор устанавливает специальный шлюз, который не дает возможности пользователям работать в системе WWW , они могли бы установить РРР-соединения с Web-серверами по коммутируемой линии.

Политика доступа к сетевым сервисам обычно основыва­ется на одном из следующих принципов:

1) запретить доступ из Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в Internet;

2) разрешить ограниченный доступ во внутреннюю сеть из Internet , обеспечивая работу только отдельных "авторизированных" систем, например почтовых серверов.

В соответствии с политикой реализации межсетевых экра­нов определяются правила доступа к ресурсам внутренней сети. Прежде всего, необходимо установить, насколько "доверительной" или "подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

1) запрещать все, что не разрешено в явной форме;

2) разрешать все, что не запрещено в явной форме.

Реализация межсетевого экрана на основе первого прин­ципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно дорого. При реализации второго принципа внутренняя сеть оказывается менее защищен­ной от нападений хакеров, однако, пользоваться ей будет удобнее и потребуется меньше затрат.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рацио­нальности выбора и использования основных компонентов межсе­тевого экрана.

Функциональные требования к межсетевым экранам включают:

•  требования к фильтрации на сетевом уровне;

•  требования к фильтрации на прикладном уровне;

•  требования по настройке правил фильтрации и администрированию;

•  требования к средствам сетевой аутентификации;

•  требования по внедрению журналов и учету.