- •1. Межсетевые экраны
- •1.1. Классификация
- •1.2. Выбор межсетевого экрана
- •Возможности
- •1.3. Недостатки
- •1.4. Персональные межсетевые экраны
- •2. Системы контроля содержания
- •2.1. Возможности
- •2.2. Недостатки
- •3. Системы построения vpn
- •3.1. Классификация
- •3.2. Варианты построения
- •3.3. Варианты реализации
- •4. Системы обнаружения атак
- •4.1. Системы анализа защищенности
- •4.2. Введение в классификацию
- •4.3. Системы обнаружения атак на уровне узла
- •4.4. Системы обнаружение атак на уровне сети
- •Невозможность «заметания следов*
- •4.5. Обманные системы
- •4.6. Системы контроля целостности
2. Системы контроля содержания
Межсетевые экраны позволяют контролировать доступ сотрудников компании к внешним ресурсам по их IP-адресам. Однако представьте, что на одном сервере находится запрещенная и разрешенная информация. В таком случае межсетевому экрану придется либо разрешить полный доступ к этому сайту, либо полностью его запретить, что не всегда возможно. Другая проблема, которую не могут предотвратить межсетевые экраны, — передача конфиденциальной информации за пределы компании. Согласно некоторым исследованиям, за последний год до 90 % организаций, имеющих доступ в Internet, сталкивались с такими случаями. Причем такая передача может осуществляться как через сообщения электронной почты, так и просто при обращении к какому-либо внешнему Web-серверу (с помощью скрытого сценария или Java-апплета) или через почтовый ящик на Web-сервере (например, на www.hotmail.com или mail.yahoo.com). И не забывайте про вирусы, троянские кони, загрузку порнографии и т. д. Если вы скажете, что эти напасти вам не грозят, то давайте обратимся к статистике:
• согласно данным ФБР и Института компьютерной безопасности США, 97 % организаций столкнулись с злоупотреблениями сотрудников в области использования Internet. По данным eMarketer.com, 32,6 % пользователей, «блуждающих» по Internet, не имеют никакой конкретной цели и «ходят по Сети просто так»;
• 80 % компаний сталкиваются с тем, что их сотрудники передают личные данные, используя корпоративную электронную почту;
• 28 % пользователей осуществляют покупки в Internet в рабочее время;
• основной объем порнотрафика (70 %) передается именно в рабочие часы (с 9 утра до 5 вечера).
Все это приводит к снижению прибыли компании и даже потере имиджа из-за случайно отправленных не по адресу писем с нецензурной лексикой или содержащих вирусы и троянские кони.
Для защиты от такого рода угроз недостаточно применять обычные антивирусные системы и межсетевые экраны. Нужны другие средства, к которым можно отнести и системы контроля содержимого (content filtering).
В последнее время системы контроля содержания стали очень активно применяться в корпоративных сетях. При своей достаточно невысокой стоимости они позволяют обнаружить действия, которые могут привести к несоизмеримо большему ущербу.
2.1. Возможности
Существует большое число средств контроля содержимого, но все они используют схожие возможности, которые можно разделить на две основных категории:
• контроль почтового трафика;
• контроль Web-трафика.
В свою очередь в каждой из этих категорий реализуются свои возможности, которые мы бы и хотели перечислить:
1. Обнаружение спама. Данная возможность позволяет путем анализа в сообщениях типовых слов и фраз обнаруживать попытки рассылки спама. Анализ проводится не только в тексте сообщения, но и в заголовке и даже во вложениях, передаваемых в рамках сообщения. Некоторые системы (например MAILsweeper for SMTP) позволяют создавать списки спамеров и даже блокировать сообщения, получаемые от них.
2. Анализ удержания сообщения. Это наиболее распространенная и типичная возможность, присущая системам контроля содержания, с помощью которой можно, путем поиска ключевых слов и фраз, обнаруживать утечку конфиденциальной информации, оскорбления и другие нарушения политики безопасности.
3. Обнаружение подмены адреса. Так как зачастую злоумышленники, в том числе и спамеры, пытаются подменить исходный адрес своих сообщений, то некоторые системы контроля содержимого пытаются обнаруживать такие попытки.
4. Анализ размера сообщений и вложений. Если центральный или удаленные офисы компании подключается к сети Internet по низкопроизводительным каналам, то часто бывает необходимо ограничить объемы передаваемого трафика, что и реализуется с помощью указанной возможности. При этом пересылка сообщений, размер которых превышает указанные в политике безопасности значения, могут отбрасываться, а могут и блокироваться до тех пор, пока напряженность передаваемого трафика спадет.
5. Обнаружение вирусов и троянских коней. Эта возможность также является одной из самых распространенных. При этом обнаружение вирусов и других враждебных элементов (троянцев, Java и т. д.) осуществляется с помощью как собственных антивирусных подсистем, так и с помощью продуктов третьих фирм.
6. Анализ передаваемых файлов. В сообщениях электронной почты могут передаваться различные файлы, начиная от договоров и списков цен и заканчивая порнографическими картинками и музыкальными записями Для того чтобы разрешать прохождение одних и запрещать прохождение других файлов, используется механизм анализа передаваемых файлов. При этом анализ может происходить как на основе расширения и имени файла, так и на основе самой структуры файла. Такая возможность присутствует во многих системах контроля содержания, но число распознаваемых форматов разнится от производителя к производителю.
7. Анализ вложений. Данная возможность позволяет не ограничиваться анализом текста сообщения электронной почты или HTML-страницы, но и анализировать содержание передаваемых файлов. Например, с помощью этой возможности можно обнаружить передачу документов, содержащих строку «СТРОГО КОНФИДЕНЦИАЛЬНО».
8. Анализ скрытых HTML. Сейчас стало распространенным рассылать сообщения электронной почты не путем обычного текста, а виде HTML-страниц, что делает сообщения красочными и удобочитаемыми. Однако такая красота скрывает и ряд опасностей. Например, с помощью скрытого сценария в HTML-странице можно украсть пароли или реализовать атаку типа «отказ в обслуживании».
9. Блокировка доступа к определенным URL. Хотя возможность блокирования доступа к сайтам, содержащим материалы, противоречащие политике безопасности, может быть реализована и с помощью межсетевого экрана, но, как было показано в начале главы, в них этот механизм ограничен. Кроме того, очень неудобно указывать в правилах доступа IP-адреса запрещенных сайтов, число которых может насчитывать тысячи.
10. Анализ содержания HTML-страницы. Не всегда есть возможность задания конкретных адресов запрещенных сайтов или страниц. Поэтому некоторые системы контроля содержимого позволяют обнаруживать в страницах, к которым идет обращение, ключевые слова и фразы и, в случае превышения заданного порога вхождений, блокировать доступ к этой странице (в т.ч. и к динамически созданной).