Раздел: Документация

0 ... 25 26 27 28 29 30 31 ... 169

Типпетт рассказал, что недавно они поймали хакера, который

подключился к локальной сети американского сенатора и доказал это, продемонстрировав код личного ключа сенатора и подлинные расписания его встреч. Правда, непонятно, зачем он все это демонстрировал, неужели для того, чтобы больше дали? Впрочем, у хакеров своя психология и желающих ознакомиться с ней отсылаем к главе «Хакер как диагноз».

Хотя при ловле хакеров сотрудникиощущают себя

«рыцарями плаща иТиппетт все же уверен, что большая

часть проблем безопасности компании имеет внутреннее происхождение.

инженеры запросто могут показать вам дыры в вашей Windows 95 или в ваших маршрутизаторах, однако эта проблема решается легко, — заверяет Типпетт. — Конечно, кто-то может взломать окно в вашем доме и проникнуть внутрь, но гораздо страшнее, если вы оставите входную дверь незапертой».

Он считает, что на данный момент главное для пользователей — видеть реальную перспективу и поддерживать безопасность на таком

уровне, чтобы чувствовать себя спокойно.

«Если можете, вводите дешевые, простые и эффективные усовершенствования так, чтобы они как можно меньше влияли на ваших служащих и в то же время повышали уровень защищенности вашего узла», — советует Типпетт.

Интернет и телекоммуникации

Вначале несколько сухих цифр

Объем рынка электронной коммерции в 2000 г.

Общая стоимость всех приобретений Internet-продуктов4, 5-6 млрд.

Общая стоимость всех приобретений на среднего покупателя600-800

Стоимость среднего приобретения на Internet-транзакцию25-3S

Полный объем транзакций-приобретений по Internet130-200 млн.

Доля приобретений продуктов on-line60- 70%

Доля приобретений доставляемых товаров30-40%

Благодаря упрощенному просмотру технология интрасетей становится привлекательной для распространения информации внутри

предприятия, но в то же время вызывает беспокойство у администраторов сетей, отвечающих за защиту данных. Несмотря на то, что Web-

86

---

броузеры и Web-серверы кажутся идеальными инструментами, обеспечивающими быстрый и простой доступ к документам и данным, открытость этой технологии приводит к необходимости принимать специальные меры, предотвращающие возможность получения информации ограниченного пользования нежелательными лицами, будь то служащие компании или посторонние люди. Интрасети порождают новые проблемы защиты данных. Одно из самых серьезных опасений состоит в том, что использование доступных каждому Web-инстру-ментов усугубит угрозу вторжений извне. Чтобы парировать ее, администраторы сетей защищают границы своих интрасетей с помощью

брандмауэров.

Одновременно возникает необходимость ограничить доступ и

внутри предприятия, чтобы исключить возможность попадания конфиденциальных данных в руки служащих, не имеющих на это полномочий. Несколько поставщиков усиленно рекламируют в этих целях установку брандмауэров в ключевых пунктах между отделениями, что, согласно их утверждению, эффективно ограничит доступ к Web-страницам и Web-приложениям, используемым в одном отделении, из другого. Некоторые фирмы, например, Bay Networks для повышения надежности защиты на предприятии предлагают применять концентраторы и маршрутизаторы со встроенными функциями брандмауэров.

Многие администраторы, однако, скептически относятся к такому подходу. По мнению одного из них, дополнение внутреннего маршрутизатора брандмауэром предполагает, что физическая структура корпоративной сети совпадает с ее логической структурой, а это не

всегда предусматривается при конфигурировании сети. Кроме того, он указывает, что установка брандмауэров между отделениями не учитывает типичной ситуации, когда доступ к конфиденциальной информации должен предоставляться только руководителям из особого списка, которые могут быть рассредоточены по сети. «Использовать брандмауэр для защиты интрасети — это то же самое, что колоть грецкие орехи кувалдой», — иронизирует он.

Внимательное администрирование

Тем не менее менеджеры считают наилучшим способом ля за безопасностью интрасетей внимательное администрирование

прав доступа пользователей. Некоторые из них полагают, что контроль посредством паролей в сочетании с такими продуктами, как Secure Sockets Layer компании Netscape Communications, позволит эффективно и гибко ограничивать несанкционированный доступ. Однако эксперты по защите данных выражают мнение, что риск, связан-

87

---

Павел Ломакин,Шрейн

ный с инструментальными средствами, исходный код которых общедоступен, сохраняется.

«Трудно сделать действительно секретной любую программу, написанную на языке HTML или Java, — утверждает Питер Типпетт (Peter Tippett), президент Национальной ассоциации компьютерной

безопасности (NCSA). — Они рассчитаны только на передачу по линиям связи и выполнение на компьютере».

Сценарии общего межсетевого интерфейса (Common Gateway Interface, CGI), используемые для подключения Web-серверов к внутренней базе данных или системам обработки транзакций, также стали

предметом серьезного беспокойства администраторов интрасетей. Эти сценарии, написанные на интерпретируемых, а не компилируемых языках, например Practical Extraction and Reporting Language, особенно уязвимы для несанкционированного доступа, поскольку в них могут быть включены вводящие в заблуждение операторы. Передав в

сценарии CGI непредусмотренные входные данные, хакеры могут добиться, чтобы сервер переслал им по электронной почте файлы паролей, установить сеансы связи по протоколу Telnet с секретными ресурсами или получить доступ к полезной информации о конфигурации.

Кроме того, они могут проникать в сеть в целях установления режима так называемого отказа в услугах, когда серверу приходится выполнять некоторые занимающие ресурсы действия (например, массовый

поиск), что делает систему непригодной для обычного использования.

Несмотря на то, что включение Web-сервера между конечными пользователями и приложениями может обеспечить независимость от платформы и упростить представление данных, оно усложняет защиту данных. Меры защиты, присущие давно созданным приложениям, теперь недостаточны, поскольку их клиентом является Web-сервер, а не конечный пользователь. HTML-страница становится вторым важнейшим пунктом контроля защиты. Даже при наличии средств защиты приложений каждый желающий, который имеет физический доступ к сегменту локальной сети, способен перехватить сообщения, передаваемые по(если только не используется какой-либо

способ шифрования).

Как сказал Типпетт, сравнительно легко можно превратить персональный компьютер пользователя в устройство для перехвата

информации. «Появляется все больше автоматизированных инструментов, позволяющих незаконно вторгаться в сеть, даже не помышляя об этом», — констатировал он.

88

0 ... 25 26 27 28 29 30 31 ... 169