- •1. Межсетевые экраны
- •1.1. Классификация
- •1.2. Выбор межсетевого экрана
- •Возможности
- •1.3. Недостатки
- •1.4. Персональные межсетевые экраны
- •2. Системы контроля содержания
- •2.1. Возможности
- •2.2. Недостатки
- •3. Системы построения vpn
- •3.1. Классификация
- •3.2. Варианты построения
- •3.3. Варианты реализации
- •4. Системы обнаружения атак
- •4.1. Системы анализа защищенности
- •4.2. Введение в классификацию
- •4.3. Системы обнаружения атак на уровне узла
- •4.4. Системы обнаружение атак на уровне сети
- •Невозможность «заметания следов*
- •4.5. Обманные системы
- •4.6. Системы контроля целостности
1.3. Недостатки
Выше уже были перечислены некоторые недостатки, присущие межсетевым экранам, а также способы их обхода.
Потенциально опасные возможности
Новые возможности, которые появились недавно и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, JavaScript, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Специфика мобильного кода такова, что он может быть использован и как средство для проведения атак, и как объект атаки. В первом варианте опасность заключается в том, что мобильный код загружается на компьютер пользователя и выполняется на нем как обычная программа, получая доступ к системным ресурсам. Второй вариант, как правило, используется для модификации мобильного кода — как предварительный этап перед проведением атак на локальный компьютер пользователя. Атаки на мобильный код, как на средство выполнения каких-либо функций, пока не получили широкого распространения. Связано это с тем, что мобильный код пока не применяется для выполнения каких-либо серьезных операций, например проведения финансовых транзакций. Хотя уже известны примеры банковских систем, в том числе и российских, использующих технологию Java для работы с клиентом [8].
Как средство для проведения атак мобильный код может быть реализован в виде:
• вируса, который вторгается в информационную систему и уничтожает данные на локальных дисках, постоянно модифицируя свой код, затрудняя тем самым свое обнаружение и удаление;
• агента, перехватывающего пароли, номера кредитных карт и т. п.;
• программы, копирующей конфиденциальные файлы, содержащие деловую и финансовую информацию;
• прочее.
Маскироваться такие программы могут под анимационные баннеры, интерактивные игры, звуковые файлы и т. п. Российские пользователи не так часто используют компьютер для совершения финансовых сделок и других действий, которые могли бы нарушить конфиденциальность данных. Поэтому рассмотрим примеры враждебного мобильного кода, который нарушает функционирование узла, на котором он запускается. Это наиболее простая в реализации и, как следствие, часто применяемая угроза, которой может подвергнуться любой пользователь сети Internet.
Такая угроза может осуществляться путем:
• создания высокоприоритетных процессов, выполняющих несанкционированные действия;
• генерации большого числа окон;
• «захвата» большого объема памяти и важных системных классов;
• загрузки процессора бесконечным циклом;….
Обычный подход, используемый при обнаружении мобильного кода, заключается в том, чтобы сканировать весь входящий трафик на 80-м или 443-м портах, используемых протоколами ННТР и HTTPS, с целью выявить такие элементы, как соответствующие теги. Но этого недостаточно, чтобы остановить мобильный код, потому что можно получить управляющие элементы ActiveX и апплеты Java и другими способами.
Вирусы и атаки
Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например система антивирусной защиты Trend Micro для МСЭ Check Point Firewall-1 или система обнаружения атак RealSecure для него же). Использование нестандартных архиваторов или форматов передаваемых дан-ных, а также шифрование трафика сводит всю антивирусную защиту «на нет». Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?
В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах.
Снижение производительности
Очень часто межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В тех случаях, когда приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета («proxy»), существенно снижается производительность межсетевого экрана. Для сетей с напряженным трафиком использование обычных межсетевых экранов становится нецелесообразным. В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы-. Тем более что некоторые средства обнаружения атак (например BlacklCE Gigabit Sentry) могут функционировать и на гигабитных скоростях.