Раздел: Документация
0 ... 21 22 23 24 25 26 27 ... 125 Выше уже отмечалось, насколько просто фальсифицировать сообщение электронной почты. Доверчивые пользователи обычно выдают информацию, если запрос исходит от лица, облеченного полномочиями. Следует разъяснять пользователям, что нельзя выдавать свой пароль даже начальнику. Если необходимо получить доступ к учетной записи пользователя, пароль может быть изменен администратором. Для временных сотрудников лучше создавать временные учетные записи. Но очень редко возникает необходимость в том, чтобы несколько пользователей применяли одну учетную запись или один пароль доступа к ресурсу. Объясните пользователям, что надо обязательно проверять любые запросы, поступившие по небезопасным каналам, таким как электронная почта, прежде чем отвечать на них. Пользователи должны усвоить также, что информацию об их компьютере, сетевых серверах или вопросах безопасности нельзя обсуждать по телефону. Черный вход После того, как нарушителю удается получить хотя бы элементарный доступ к сети, его следующий шаг обычно заключается в формировании некой точки входа, облегчающей проникновение в сеть в будущем. Организация черного входа (backdoor) в сети иногда сводится просто к созданию новой учетной записи пользователя на сервере. Черный вход можно сделать при помощи «троянского коня», путем эксплуатации ошибки в операционной системе либо в приложении и даже изменением конфигурации брандмауэра или узлов в «демилитаризованной зоне». Поэтому я снова хочу напомнить о том, что после установки межсетевого экрана не следует забывать о защите индивидуальных компьютеров или отодвигать эту проблему на второй план. Мониторинг сетевого трафика Для перехвата сетевого трафика в локальной сети бывает достаточно подключить компьютер к сети и воспользоваться сетевым адаптером в promiscuous mode (режиме перехвата всех кадров). От этого удается защититься при помощи мониторинга сети и ограничения типов устройств, которые могут быть к ней подключены. В Internet пакет может перехватываться в любом сегменте, по которому он проходит. Поэтому не следует устанавливать незащищенные версии сетевых утилит, таких как FTP или Telnet. Эти приложения пересылают по сети имя пользователя и пароль в незашифрованном виде. Internet не защищает и другую информацию в IP-пакетах. Единственный способ гарантировать надежную защиту Internet-соединения - либо применить технологию шифрования для отдельных передаваемых файлов, либо передавать пакеты обычных сетевых протоколов через закрытую частную сеть (VPN). Вы сможете больше узнать о технологии шифрования из главы 10. Подмена IP-адреса Поле Source Address в заголовке IP-пакета служит для обозначения исходного узла, отправившего пакет. Это одно из полей, которое проверяется в фильтре пакетов. Существуют более и менее доверенные узлы. Фильтр может быть настроен так, чтобы он пропускал или блокировал пакеты в зависимости от адреса узла или сети. Как убедиться в правильности адреса источника? В Internet имеется целый ряд бесплатных программ, позволяющих нарушителю посылать пакеты с произвольным адресом источника. В результате такой подмены брандмауэр пропустит созданные нарушителем пакеты, считая, что они исходят от доверенного компьютера или сети. В качестве доверенного узла может выступать какой-либо узел в Internet или локальной сети. Если поддельный IP-адрес выглядит как адрес узла внутри вашей сети, стоит настроить фильтр пакетов так, чтобы он просто отбрасывал все внешние пакеты, адрес источника в которых принадлежит к внутренней сети. Следует сделать это на всех маршрутизаторах, соединенных с внешней сетью, поскольку на доверенные соединения между узлами локальной сети обычно накладываются менее строгие ограничения, чем на соединения с узлами в Internet. Конечно же, если такой пакет все-таки пройдет сквозь брандмауэр и адресат ответит на него, то ответ будет отправлен узлу, заданному в поле адреса источника, так что атакующий не сможет его получить. Но во многих случаях это и не нужно. Так, если раньше ему удалось внедрить в сеть «троянского коня», ожидающего подключения к порту с заданным номером, он может применить этот метод для передачи пакета, получение которого заставит вредоносную программу выполнить какие-либо действия. Если хакер уже имеет некоторые сведения о вашей сети и располагает достаточным временем, то не исключено, что результатом подмены IP-адреса станет более серьезная атака. При этом отключается какой-либо узел в Internet, известный хакеру в качестве доверенного с точки зрения вашей сети, а узел хакера выступает под видом этого доверенного узла. Доверенный узел обладает специальным доступом к вашей сети, поэтому, если атакующему удастся поместить в нее пакет, выглядящий как пришедший от доверенного узла, он может причинить серьезные разрушения. Доверенный узел выводится из строя при помощи атаки типа «отказ от обслуживания», после чего на ваш узел посылается пакет, который кажется поступившим от доверенного узла. Атаки подобного типа иногда включают в себя подбор последовательного номера пакета, каким он был бы в непрерывном соединении. Это не слишком сложно, если атакующий хорошо разбирается в работе протокола TCP/IP и его конкретной реализации в операционной системе вашего компьютера. Поскольку защищенный канал связи требуется часто, а брандмауэр стоит на границе сети и перехватывает весь трафик, многие брандмауэры имеют функцию создания VPN-соединения. Резюме Даже в простой локальной сети возникает множество проблем безопасности. Но после подключения сети к Internet возможные пути атаки многократно умножаются. В этой главе мы рассмотрели только несколько потенциальных угроз, которых могут придти из Internet. В следующей главе мы обсудим стратегии создания брандмауэра, с помощью которых вы сможете вам защитить свою сеть от новых проблем безопасности. 0 ... 21 22 23 24 25 26 27 ... 125
|
