Раздел: Документация
0 ... 20 21 22 23 24 25 26 ... 125 Заголовок IP Заголовок IP Заголовок TCP Данные TCP Фрагмент 1 Заголовок TCP и часть исходных данных Фрагмент 2 Заголовок IP Оставшаяся часть исходного пакета TCP Рис. 3.3 Заголовок TCP включается только в первый фрагмент информацию в заголовке TCP (например, номер порта) только для первого фрагмента. Это означает, что фильтр пакетов сможет заблокировать первый фрагмент, если он нарушает какие-либо правила безопасности, но в оставшихся фрагментах информацию TCP проверить не удастся, так что они сумеют пройти через фильтр. Известный трюк, позволяющий пакету проникнуть через фильтр, состоит в том, что номер фрагмента в его заголовке IP просто устанавливается равным 1. При этом пакет выглядит так, как будто он является фрагментом пакета большего размера. Если бы это был первый фрагмент с заголовком TCP, его номер был бы равен 0. Поскольку маршрутизатор считает, что это не первый фрагмент в последовательности, заголовок TCP не проверяется и пакет не блокируется, даже если он нарушает правила безопасности. Некоторые старые стеки TCP/IP могли собирать фрагменты в пакет даже при отсутствии пакета с номером 0, если полученный после сборки пакет оказывался корректным - то есть проходил проверку контрольной суммы. Еще один метод -послать пакет целиком, установив номер фрагмента и бит флага FIN равными 1, что определяет фрагмент как последний. Чтобы быть уверенным, что ваш компьютер защищен от атак данного типа, внимательно изучите документацию по системе и описание всех доступных исправлений ошибок и пакетов обновлений. Вирусы и «троянские кони» Межсетевой экран не в состоянии защитить вас от всех опасностей. Даже при строгих мерах безопасности и высоком уровне подготовки пользователей, все же не исключается проникновение в сеть вредоносной программы, такой как вирус или «троянский конь». Вирусы могут скрываться в других программах или даже в загрузочном секторе диска. «Троянские кони» выдают себя за другие программы. Не обнаруженные вовремя программы обоих этих типов способны причинить значительные разрушения. Иногда их приносят пользователи на дискетах либо загружают из Internet с какой-либо другой программой, или они проникают в сеть через электронную почту. Проблемы с разрушительными программами существовали и до появления Internet. Но Сеть создает новую почву для их распространения. Существуют сайты с рекомендациями по написанию подобных программ, содержащие примеры кода и инструкции по взлому устройств защиты. Некоторые межсетевые экраны предусматривают ограниченную защиту от подобных программ, позволяя выполнять проверку «отпечатков пальцев» известных вирусов и «троянских коней». Но для того, чтобы подобная функция работала, следует постоянно обновлять базы данных антивирусной программы. Не полагайтесь только на возможности межсетевого экрана. Продолжайте неусыпно следить за безопасностью отдельных компьютеров и устанавливайте антивирусное ПО на всех компьютерах сети. Фальсификация электронной почты Подделать электронную почту довольно несложно. SMTP - не слишком защищенный протокол в основном из-за того, что в нем нет надежной процедуры аутентификации. Каждый, подключившийся к почтовому серверу, обычно находящемуся на порту 25, сможет послать любому из пользователей сообщение, которое будет казаться пришедшим с вашего сервера. Можно даже не тратить время на изучение работы протокола SMTP - чтобы разослать сообщения от имени другого пользователя, достаточно просто перенастроить почтовый клиент. Сегодня ни в коем случае нельзя быть уверенным на 100% в том, что известно, откуда пришло принятое почтовое сообщение. Поэтому фальсификация электронной почты грозит большими неприятностями. Попробуйте разослать пользователям письма с просьбой прислать вам копию пароля. Если вам удастся узнать таким образом действующие пароли, то что помешает сделать то же самое и нарушителю? Именно фальсификация электронной почты может оказаться средством, которое позволит постороннему добыть информацию о вашей сети или поместить в нее свои файлы. Устранить проблему идентификации автора электронного сообщения помогает цифровая подпись (digital signature). Вы получите следующие преимущества: О аутентификацию автора сообщения; О гарантию целостности содержимого сообщения. При использовании цифровой подписи сообщение шифруется секретным ключом, а чтобы прочитать его обязательно требуется соответствующий открытый ключ. Более подробную информацию о работе цифровой подписи вы найдете в главе 9. \ .......——...............- Взлом Если локальная сеть физически находится под вашим контролем, то доступ к ней обычно полностью контролируем. Даже если для доступа пользователей в сеть требуются модемы, их можно настроить так, чтобы разрешить доступ 74 БЕЗОПАСНОСТЬ И INTERNET * только в определенные часы и применять обратный вызов для защиты от проникновения в сеть посторонних. Но при подключении к Internet вы оказываетесь перед лицом миллионов потенциальных хакеров, управлять которыми вы не в силах. Любое доверие к другим узлам в Internet чревато ослаблением защиты, поскольку хакер может взломать доверенную систему с целью получить больше информации о вашей. Кража пароля Простейший способ проникнуть в сеть - ввести имя и пароль существующего пользователя. При этом нарушитель вряд ли будет пойман до тех пор, пока кто-либо не заметит, что данный пользователь выполняет действия, не связанные с его рабочими обязанностями. Злоумышленник может угадать пароль или подобрать его при помощи таких программ, как Crack, расшифровывающих информацию в файле паролей. Хорошая политика безопасности обязывает пользователей выбирать пароли, которые сложно угадать, - длиной более 6 символов, состоящие из цифр, прописных и строчных букв. Но все же не следует чрезмерно усложнять пароли. Пароли, слишком трудные для запоминания, пользователи часто записывают на бумаге, компрометируя саму идею аутентификации посредством пароля. В настоящее время хакеры располагают инструментами, позволяющими направить на расшифровку паролей всю вычислительную мощь компьютера. Другие программы автоматизируют процесс подбора пароля из словаря во время многократных попыток входа в систему. При подключении к Internet одна только проверка пароля не обеспечивает надежной защиты. Существует слишком много средств для ее взлома. Поэтому в качестве первого барьера на пути посторонних должен стоять межсетевой экран, а в сетях с повышенными требованиями к безопасности следует прибегать к более мощным методам аутентификации, например к одноразовым паролям или физическим ключам. Более подробная информация о мощных методах аутентификации представлена в главе 9. Социальный аспект проблемы безопасности При реализации стратегии безопасности часто упускается из виду подготовка пользователей. Слишком часто пользователи просто подписывают в отделе кадров бумагу, в которой говорится о том, что они знакомы с политикой безопасности компании и обязуются следовать ей. На самом деле, многие даже не вполне понимают то, что написано в этом документе, и тем более не представляют себе всего значения политики безопасности. Простая тактика получения информации о сети заключается в том, чтобы спросить об этом кого-либо, кто уже работает в ней. 0 ... 20 21 22 23 24 25 26 ... 125
|