28.08.2012 18:06

2050 прочтений

Технологию объединенных коммуникаций (UC) можно рассматривать как новый набор данных и протоколов, использующих IP-сети. С точки зрения обеспечения безопасности, эти сервисы мало чем отличаются от других сервисов передачи данных по IP-сетям, а рекомендации по использованию передового опыта включают в себя технологии и методы, используемые для защиты других сервисов. В этом документе описываются проблемы безопасности, которые необходимо учитывать при развертывании систем объединенных коммуникаций, а также приводятся рекомендации Polycom по их защите.

Вопросы, связанные с межсетевым экраном

Устройства объединенных коммуникаций Polycom — это вычислительные устройства, снабженные функциями удаленного управления (с помощью веб-интерфейса или других API-интерфейсов). Так же как и любые объекты ИТ-инфраструктуры, их не следует развертывать за пределами корпоративного межсетевого экрана без отключения таких интерфейсов. Polycom рекомендует развертывать системы UC под защитой межсетевого экрана (как при обычном развертывании любого особо ценного ИТ-ресурса) и использовать решение Polycom Video Border Proxy (VBP) для обеспечения обхода межсетевого экрана трафиком сигнализации H.323 и мультимедийными потоками. Это поможет исключить возможность случайных подключений злоумышленников, действующих в Интернете, к незащищенным конечным устройствам UC.

Интернет-злоумышленники не смогут добраться до открытых портов и сервисов на устройствах UC, развернутых под защитой межсетевого экрана. Внешние пользователи, заказчики и деловые партнеры по-прежнему будут иметь возможность совершать видеовызовы на устройство UC.

Организациям потребуется развернуть решение для обхода межсетевого экрана UC, например, решение Polycom Video Border Proxy (VBP).

Примечание. В тех организациях, которые не могут позволить себе использование межсетевого экрана для защиты видеотерминалов по экономическим соображениям, следует отключить функцию удаленного управления в меню настроек Security -> Enable Remote Management (Безопасность -> Включить удаленное управление), чтобы полностью исключить возможность выбора веб-интерфейса, Telnet и SNMP.

Обход межсетевого экрана

Обход межсетевого экрана позволяет использовать общедоступные видеосервисы в конфигурации с действующим межсетевым экраном организации, не подвергая инфраструктуру UC или все остальные компьютеры организации опасности интернет-атак. Устройство VBP можно использовать как для предоставления доступа к системам видеосвязи удаленным пользователям, так и для осуществления видеовызовов между компаниями, как показано на рисунке 1.

Преимущество более высокого уровня безопасности. Корпоративный межсетевой экран обеспечивает защиту устройств UC точно так же, как и других ИТ-ресурсов. Внешние пользователи, заказчики и деловые партнеры по-прежнему могут совершать видеовызовы на устройство UC.

Другие аспекты, которые следует учитывать . Организациям следует провести анализ существующей архитектуры трансляции сетевых адресов (NAT). Возможно, потребуется ее корректировка для включения функции обхода межсетевого экрана.

Вопросы, связанные с оценкой системы безопасности

Polycom рекомендует периодически проверять корпоративные устройства UC, так же как и любой другой ИТ-ресурс, с помощью сканеров уязвимостей, чтобы подтвердить способность системных конфигураций противостоять выявленным рискам. Это особенно важно при развертывании новых устройств UC, чтобы убедиться в том, что изменение всех конфигураций и паролей по умолчанию было выполнено. Необходимо выполнять сканирование как устройств, находящихся в зоне действия межсетевого экрана организации, так и за его пределами. Это дает полное представление о возможных сценариях вероятных действий злоумышленников или злоупотреблений внутри организации.

Следует отметить, что процесс выпуска продуктов Polycom предусматривает сканирование уязвимостей.

Преимущество более высокого уровня безопасности. Сканирование уязвимостей позволяет предупреждать об отсутствии необходимых исправлений или, что особенно важно во многих сценариях развертывания корпоративных решений UC, о наличии неверных настроек в системе обеспечения безопасности. Существует множество коммерческих и бесплатных сканеров уязвимостей, включая сервисы сканирования в Интернете. Сканирование, осуществляемое с внешней стороны корпоративного межсетевого экрана, позволяет выявлять уязвимости, которыми может воспользоваться злоумышленник, действуя через Интернет.

Другие аспекты, которые следует учитывать. Необходимо периодически выполнять сканирование для проверки отсутствия изменений в конфигурациях. Сканирование активирует вывод аварийных оповещений, генерируемых межсетевыми экранами и системами обнаружения вторжений (IDS). Обратите внимание, что Polycom не дает советов относительно конкретных инструментов сканирования. Организациям следует провести собственный анализ, чтобы сделать верный выбор в зависимости от своих потребностей.

Управление системой

С точки зрения администрирования, ИТ-администраторам следует рассматривать видеоустройства UC как обычные вычислительные устройства. Чтобы обеспечить безопасность, при работе с этими устройствами администраторы должны применять такие же процедуры, как и при работе с серверами.
Следует отключать неиспользуемые коммуникационные сервисы.Если организация не планирует использовать протокол SNMP для мониторинга устройств, он должен быть отключен. Если организация не использует устройство управления Polycom CMA (приложение для управления контентом), Telnet следует отключить. Если для мониторинга используется протокол SNMP, необходимо изменить значение параметра SNMP Community String (пароли доступа) по умолчанию ("public").

Сканеры уязвимостей определяют, какие сервисы являются открытыми и доступными. Неиспользуемые сервисы следует отключить.
Преимущество более высокого уровня безопасности. Чем меньше сервисов включено, тем меньше точек потенциальных атак доступно злоумышленникам.

Другие аспекты, которые следует учитывать. Организациям необходимо периодически просматривать системные конфигурации для выявления внесенных в них изменений. Сканеры уязвимостей позволяют автоматизировать этот процесс. Рекомендуется их использовать для периодических проверок (раз в месяц).

Вопросы, связанные с использованием автоответчика

Функция автоответчика — это возможность конечного устройства видеоконференций отвечать на входящие вызовы в автоматическом режиме. Эта функция позволяет существенно упростить пользование системой. Тем не менее, необходимо понимать последствия для корпоративной системы безопасности, связанные с использованием автоответчика.

Почему это важно. Во многих организациях при использовании видеосвязи придают особое значение удобству автоответчика. Например, в университетах, где используются программы дистанционного обучения, запланированные лекции читаются преподавателями в определенных аудиториях. Обычно подключение к запланированным конференциям в удаленных классах происходит автоматически, и этот процесс зависит от корректной работы автоответчика. С точки зрения угроз безопасности, риск для организации относительно невелик, особенно если случайные интернет-злоумышленники не могут набрать номер для установления связи с конференциями, проходящими в этих классах. Polycom признает необходимость нахождения некого баланса между безопасностью и удобством работы и рекомендует два лучших варианта решения этой проблемы.

Организациям следует оценить уровень допустимых рисков при выборе одного из этих вариантов.

Наиболее безопасный вариант. Отключить автоответчик.

Риск для безопасности. Риск минимален для удаленных автоматических подключений. Если автоответчик отключен, дозвониться в определенное место просто невозможно без активного взаимодействия с пользователем, находящимся в той же комнате.

Другие аспекты, которые следует учитывать. Это не повлияет на запланированные вызовы (интеграция с Outlook, Polycom RMX и т.д.), но пользователю потребуется пульт дистанционного управления или сенсорная панель управления Polycom Touch Control или иная система управления для ответа на входящий вызов (точно так же, как при телефонном вызове). Обратите внимание, что при отсутствии ответа в течение 30 секунд, вызов отключается.

Менее безопасный вариант. Автоответчик включен (никаких действий пользователя для ответа на входящий вызов не требуется).

Риск для безопасности. Возможно удаленное автоматическое подключение к видеоустройствам. Для снижения риска вы можете:

1. Удостовериться, что установлен режим "Mute Auto Answer Calls" (выключить микрофон для вызовов автоответчика). Приложение Polycom Converged Management Appliance (CMA) может вызвать сброс этой настройки.

2. Отключить управление камерой на удаленной площадке (приложение Polycom CMA может вызвать сброс этой настройки).

3. Надеть крышку на объектив камеры, когда система не используется.

4. Функции защиты шлюза приложений CMA и Polycom Distributed Media Application (DMA) направляют вызовы только на те устройства, которые были зарегистрированы для работы с ними. По существу, формируется закрытая группа устройств, для которой автоответчик включен, но действует только для некоторого известного набора конечных устройств. (См. параметры сервера обработки вызовов в "Руководстве по эксплуатации DMA").

5. Проверяйте журналы записей данных вызова (CDR), чтобы отслеживать незапланированные или совершаемые в неурочное время вызовы.

Другие аспекты, которые следует учитывать. Важно обеспечить доступность пульта дистанционного управления. При этом пользователи должны помнить о том, что в этом режиме им требуется включить микрофон для вызова.

Вопросы, связанные с комнатой для совещаний

Автоответчик предполагает использование схемы "набора номера": внешние участники набирают номер для связи с видеосистемой в конференц-зале. Устройства Polycom UC также поддерживают другую схему набора номера: видеоустройства отправляют вызов в комнату для совещаний из центрального сервера многосторонней видеоконференцсвязи (MCU). Эта архитектура более безопасна по своей сути, чем схема "набора номера", поскольку прямое соединение между конечными устройствами не устанавливается. Если видеосистема в комнате не подключена к серверу MCU, удаленный нарушитель просто не может получить доступ к этой комнате, даже если он получил доступ к MCU.

Polycom еще больше расширяет эти возможности благодаря организации виртуальных комнат для совещаний с использованием решения DMA. Это не только позволяет распределить нагрузку по всем доступным серверам MCU, но и мешает злоумышленнику определить адрес определенной видеоконференции.

Следует отметить, что "набор номера" в запланированных конференциях возможен даже при использовании серверов MCU или комнат для совещаний — сервер MCU в назначенное время автоматически направит вызов на видеотерминалы, обеспечивая высокий уровень безопасности в сочетании с максимальной простотой использования.

Риск для безопасности. Эта конфигурация требует использования сервера MCU видеоконференцсвязи, например, Polycom RMX. Его развертывание должно проводиться согласно рекомендациям, изложенным в этом документе.

Другие аспекты, которые следует учитывать. В этом режиме конечные устройства необходимо установить на "включить микрофон при ответе".

Вопросы удаленного доступа

Многие организации устанавливают видеотерминалы удаленно, в небольших или домашних офисах (SOHO). Эти устройства требуют точно такой же защиты, что и любой другой удаленный ИТ-ресурс. Самым безопасным и легко управляемым способом защиты является, пожалуй, технология VPN. Многие поставщики предлагают недорогие устройства VPN с централизованным управлением, которые вполне подходят для защиты видеоустройства в удаленном домашнем офисе. Многие из них (например, как Aruba RAP) включают в себя также и встроенную функцию межсетевого экрана.

Риск для безопасности: VPN позволяет логически включить видеоустройства в корпоративную сеть, защищенную корпоративным межсетевым экраном. Интернет-пользователи не могут получить к нему доступ, за исключением обхода межсетевого экрана во время обычного видеовызова, как в любой видеосистеме. Управление видеоустройством с логическим включением в корпоративную сеть, осуществляется точно так же, как и другими корпоративными видеоустройствами.

Другие аспекты, которые следует учитывать. Следует отметить, что в некоторых домашних маршрутизаторах (например, 2Wire) существуют проблемы, связанные с функцией NAT и функцией обхода межсетевого экрана. Удаленное устройство VPN позволяет избежать этих проблем.

Использование паролей

Устройства Polycom UC представляют собой вычислительные устройства, и, хотя они не являются универсальными компьютерами, подобно серверам или настольным системам, они обладают почти такой же архитектурой системы безопасности. Одним и примеров является использование учетных записей и паролей пользователей.

Каждое устройство Polycom поставляется с предустановленнымпаролем по умолчанию. Во время его установки, как и любого другого вычислительного устройства, выполняется смена пароля. Пароль не может быть пустым, должен быть допустимой длины и периодически меняться. Устройства Polycom UC реализуют эти аспекты политики надежных паролей.

В некоторых организациях предпочитают использовать службу Active Directory корпорации Microsoft для управления учетными записями и паролями пользователей. Устройства Polycom поддерживают эту конфигурацию.

Риск для безопасности. Существует вероятность простого проникновения даже в самое хорошо защищенное устройство, если оно обладает ненадежным паролем или паролем по умолчанию. Организациям следует помнить о том, что списки паролей по умолчанию можно легко найти в Интернете.

Анализ журнала регистрации

Устройства Polycom UC поддерживают журнал регистрации всех исходящих и входящих вызовов. Этот журнал называется журналом CDR (записей данных вызова). Его необходимо регулярно проверять, а именно, выяснять, были ли случаи непредусмотренного использования системы UC — неизвестными или несанкционированными удаленными устройствами, в неурочное время (по ночам или тогда, когда комната, где находится устройство, не была занята или запланирована для использования).

Устройство управления Polycom CMA извлекает журналы CDR для анализа из всех управляемых устройств.

Другие аспекты, которые следует учитывать. Необходимо обязать сотрудников ИТ-отдела проводить анализ записей журнала регистрации.

Шифрование

Наибольший риск для служб объединенных коммуникаций представляет не подслушивание, а атаки злоумышленников в попытке получить доступ непосредственно к устройствам UC. Тем не менее, возможно и подслушивание; существует целый ряд инструментов, выполняющих это в автоматическом режиме. Шифрование видеосвязи позволяет предотвращать эту угрозу.

Устройства UC необходимо настраивать на использование шифрования по возможности. Это позволит использовать в конференциях UC имеющиеся устройства или устройства сторонних поставщиков, которые не поддерживают шифрование. Организации с более высокими требованиями к безопасности (или те, которым не требуется поддерживать имеющиеся более старые системы) могут настраивать устройства UC на режим "всегда использовать шифрование".

Обратите внимание, что шифрование Polycom соответствует стандарту FIPS-140, сертифицированному правительством США.
Другие аспекты, которые следует учитывать. Организации, которым требуется режим "всегда использовать шифрование" требуется, не смогут использовать имеющиеся устройства или устройства сторонних поставщиков, которые не поддерживают шифрование.

Вопросы мобильности

С изменением характера видеоконференций и переходом от статических систем (например, систем в комнатах для совещаний) на мобильные устройства (ноутбуки или настольные системы) организации сталкиваются с дополнительными проблемами обеспечения безопасности. Хотя в программное обеспечение для видеосвязи заложены возможности безопасной работы (например, с помощью шифрования и т.д.), само устройство подвергается рискам, которые не свойственны статическим системам — просто потому, что устройство является мобильным и находится за пределами корпоративной защиты.

Компания Polycom рекомендует централизованное управление видеоприложениями для мобильных систем, способное обеспечить корректную настройку параметров безопасности. Устройство управления Polycom CMA предоставляет такую возможность.

Polycom рекомендует также устанавливать на мобильных устройствах ПО для обеспечения безопасности сторонних поставщиков, например, антивирусное ПО, приложения для персонального межсетевого экрана и поддержки достоверности конфигураций. Кроме того, в организациях должна быть разработана стратегия выполнения автоматических обновлений ОС и приложений на мобильных устройствах, а также удаленной очистки конфиденциальных данных на случай потери или кражи устройства.

Риск для безопасности. Без централизованного управления безопасностью конфигураций видеосистем и конечных устройств невозможно предугадать, можно ли использовать некое мобильное устройство в качестве промежуточного средства для совершения интернет-атаки на организацию.

Другие аспекты, которые следует учитывать. Большинство поставщиков антивирусного ПО предлагают клиентские приложения для мобильных устройств, которые встраиваются в существующую консоль антивирусной защиты организации.

Передовой опыт межкорпоративной связи

Видеовызовы, совершаемые между различными организациями, создают особые риски для безопасности, поскольку каждая организация имеет свою политику безопасности и свои средства управления. В отличие от вызовов внутри одной организации, при выполнении вызовов между разными организациями потоки данных необходимо направлять только на устройства, участвующие в вызове.

Наиболее безопасный вариант. Использовать комнату для совещаний.

Риск для системы безопасности. Риск минимален, если исключить прямые, двухточечные и межкорпоративные вызовы. Конечные устройства в обеих организациях отправляют вызов серверу многосторонних видеоконференций (MCU), который развернут в незащищенной области сети (DMZ). Такие серверы MCU предназначены именно для этого типа развертывания и позволяют подключать конечные устройства к одному вызову. Следует подчеркнуть, что сервер MCU должен быть настроен в соответствии рекомендациями, изложенными в этом документе.

Другие аспекты, которые следует учитывать. Сервер MCU может дозваниваться до обоих конечных устройств в запланированное для начала конференции время. Тем не менее, удаленная организация должна настроить свое конечное устройство так, чтобы обеспечить безопасность такого соединения.

Менее безопасный вариант. Использование списков контроля доступа для ограничения входящих вызовов. Настоятельно рекомендуем частую проверку журнала регистрации, чтобы выявить непредусмотренные входящие или исходящие вызовы.

Риск для безопасности. Возможно удаленное автоматическое подключение к видеоустройствам. Необходимы меры для предупреждения несанкционированных подключений к автоответчику.

Другие аспекты, которые следует учитывать. Необходимо настроить правила межсетевого экрана, разрешающие устанавливать входящие соединения, инициированные удаленным устройством.

Вопросы, связанные с утилизацией устройств и очисткой данных

Когда после окончания срока полезного использования вычислительных устройств наступает время их утилизации, необходимо стирать с них конфиденциальные корпоративные данные. Устройства объединенных коммуникаций Polycom обладают функцией сброса настроек, восстанавливая все заводские установки первоначальной предустановленной конфигурации. Этот процесс стирает все конфиденциальные данные (адресные книги, истории вызовов, журналы с записями данных вызовов и т.д.).

Polycom советует восстанавливать все заводские настройки устройств UC перед их утилизацией.

Примечание. При сбросе конфигурации устройства важно использовать параметр "Erase Flash" (очистить флэш-память) для удаления персональных данных.

Будем откровенны: для многих из нас наш рабочий компьютер представляет собой маленький островок дома вне дома. Наверное, это только справедливо, учитывая, что наш домашний компьютер часто является филиалом офиса вне офиса. Поэтому в перерывах между сочинением отчетов и обдумыванием сводных таблиц с расчетами мы используем свои рабочие компьютеры для своей личной жизни. Мы закупаем продукты ко дню рождения, смотрим смешные клипы на YouTube и переписываемся с друзьями по "аське" или по электронной почте.

И очень часто некоторые вещи легче сделать с помощью потребительских технологий, чем с помощью часто неуклюжих корпоративных технологий - сравните хотя бы почту Gmail с корпоративным почтовым ящиком.

В связи с этим возникает одна проблема: наши работодатели недовольны нашим поведением на рабочем месте. Отчасти потому, что они хотят, чтобы на рабочем месте мы работали. А отчасти они боятся, что то, чем мы занимаемся, ставит под угрозу внутренние сети компании. Поэтому они просят IT-отдел запретить нам тащить свою личную жизнь из дома на работу.

Что же, сказочке конец? Ну нет, не так быстро. Чтобы выяснить, можно ли обойти запреты IT-отдела, мы обратились за советами к экспертам по сетевым ресурсам. А именно, мы попросили их найти 10 главных секретов, которые скрывают от нас люди из IT-отдела. Например, как зайти на заблокированный сайт и не оставить следов, или как общаться в чате в реальном времени, не загружая для этого запрещенную программу.

Однако чтобы все было по-честному, мы обратились также к специалистам по безопасности, чтобы выяснить, чем мы рискуем, совершая эти обходные маневры.

За советами по взлому мы обратились к редактору интернет-гида по продуктивному использованию сети Lifehacker.com Джине Трапани, редактору блога такого же назначения Lifehack.org Леону Хо и к Марку Фрауэнфельдеру, основателю блога BoingBoing.net и редактору журнала Make, дающего рекомендации по технологиям в формате "сделай сам".

Чтобы оценить риски, мы поговорили с тремя экспертами, которые зарабатывают на жизнь тем, что помогают IT-отделам составлять правила и отслеживать злоумышленников, которые норовят их нарушить. Это Джон Пиронти, главный стратег по информационным угрозам консалтинговой фирмы из Амстердама Getronics, специалист по информационной безопасности из компании PricewaterhouseCoopers Марк Лоубел и специалист по угрозам из компании-производителя защитного программного обеспечения McAfee Крейг Шмугар.

Итак, вот эти 10 секретов, которые скрывает от вас ваш IT-отдел, и опасности, связанные с ними, а также советы, как защитить себя и не потерять работу, когда вы будете применять их на практике.

1. Как отправлять гигантские файлы

Проблема: Всем нам время от времени надо посылать большие файлы, начиная от слайдов для презентации и заканчивая фотографиями с отпуска. Но если вы отправляете нечто тяжелее нескольких мегабайт, то рискуете получить сообщение, что превышаете установленный вашей компанией лимит.

Компании могут ограничивать объем данных, которые их сотрудники могут отправлять по почте, по одной простой причине: они хотят избежать перегрузки серверов, которая замедлит их работу. А обращение к руководству с просьбой увеличить ваш лимит на отправляемые файлы может оказаться весьма муторным процессом.

Обходной маневр: Воспользуйтесь интернет-службами типа YouSendIt, SendThisFile или DropSend, которые позволяют бесплатно отправлять объемные файлы - иногда до нескольких гигабит. Чтобы воспользоваться их услугами, обычно требуется зарегистрироваться, предоставив личную информацию, такую как ваше имя и электронный адрес. После этого вы можете ввести электронный адрес получателя и сообщение для него или для нее, а сайт предоставит вам инструкции по загрузке файла. В большинстве случаев, на адрес получателя приходит ссылка, пойдя по которой он может загрузить файл.

Риск : Поскольку эти сервисные сайты отправляют ваши файлы по интернету, они находятся за пределами контроля компании. Это облегчает задачу коварным хакерам, которые могут перехватить эти файлы в пути.

Как защитить себя : У некоторых из этих сайтов репутация лучше, чем у других. Например, YouSendIt - новая компания, которой руководит бывший глава Adobe Systems и которая финансируется хорошо известными венчурными компаниями. Другие такие сайты предлагают мало сведений о себе и поэтому с большей вероятностью могут проделать брешь в системе безопасности, чем могут воспользоваться хакеры, чтобы похитить вашу информацию.

Если владельцы сайта не очевидны, есть другие ориентиры, по которым можно его оценить. Ищите значки безопасности - в Internet Explorer такой значок выглядит как маленький замочек в нижней части экрана, - которые означают, что данный сайт использует систему кодирования для защиты конфиденциальности информации от посетителей.

2. Как использовать программное обеспечение, которое ваша компания запрещает загружать

Проблема: Многие компании требуют, чтобы сотрудники, прежде чем загружать программы, получали разрешение от IT-отдела. Однако это может быть проблематично, если вы хотите загрузить программу, которую парни из IT занесли в черный список.

Обходной маневр: Существует два легких способа решить эту проблему: найти альтернативу этой программе в интернете или принести программу на внешнем носителе.

Первый способ проще. Допустим, ваша компания не разрешает вам загрузить популярную программу для общения в реальном времени AOL Instant Messenger. Вы все равно можете общаться со своими друзьями и коллегами с помощью онлайновой версии программы под названием AIM Express (AIM.com/aimexpress.adp ). Кроме того, у компании Google существует служба общения в реальном времени Google Talk, доступная по адресу Google.com/talk . Свои интернет-версии есть и у таких программ как музыкальные плееры и видеоигры - обычно они несколько урезаны по сравнению с оригинальными программами.

Второй подход к решению проблемы более сложный, зато с его помощью вы на своем компьютере получаете доступ к той самой программе. Все три наших эксперта назвали компанию Rare Ideas LLC (RareIdeas.com ), которая предлагает бесплатные версии популярных программ, таких как Firefox и OpenOffice. Вы можете загрузить программы на портативные устройства, например, на iPod или на "флэшку", через службу Portable Apps (PortableApps.com ). После этого вы подключаете это устройство к своему рабочему компьютеру, и готово. (Правда, если ваша компания запрещает использовать внешние устройства, считайте, что вам не повезло.)

Риск: Использование онлайновых сервисов может создать чрезмерную нагрузку для ресурсов компании. А программы на внешних носителях, создают угрозу безопасности. Люди из IT предпочитают держать под контролем программное обеспечение, используемое сотрудниками, чтобы в случае появления вируса или другой проблемы, они могли легко все починить. Если вы приносите программы с собой, степень их контроля снижается.

Надо помнить еще об одном: некоторые менее надежные программы, в особенности программы для обмена файлами, могут быть снабжены шпионским ПО.

Как защитить себя: Если вы приносите программу на внешнем носителе, говорит Лоубел, по крайней мере измените настройки антивирусной программы на вашем рабочем компьютере, чтобы он просканировал устройство на предмет потенциальной угрозы. Это нетрудно сделать, выйдя в меню "настройки" или "опции". Точно так же, если вы пользуетесь файло-обменниками, настройте их так, чтобы другие не могли получить доступ к вашим файлам, тоже через "настройки" или "опции".

3. Как заходить на сайты, заблокированные вашей компанией

Проблема: Компании часто перекрывают своим сотрудникам доступ на определенные сайты - от действительно непристойных (порно-сайты) и вероятно не самых добропорядочных (сайты с азартными играми) до практически невинных (сайты с электронной почтой).

Обходной маневр: Даже если ваша компаний не дает вам заходить на эти сайты, набив их адрес в верхней строке, вы иногда все же можете на них пробраться окружным путем. Вы отправляетесь на сайт, который называется "прокси", и набираете там в поисковой строке нужный вам интернет-адрес. Потом прокси-сайт выходит на нужный вам сайт и выдает вам его изображение - таким образом вы можете его видеть, не заходя на него непосредственно. Например, Proxy.org , обслуживает более 4 тысяч прокси-сайтов.

Еще один способ достичь того же результата предлагают Фрауэнфельдер и Трапани: воспользуйтесь переводчиком Google, задав ему перевести название сайта с английского на английский. Просто введите следующий текст: "Google.com/translate?langpair=en|en&u=www.blockedsite.com", заменив "blockedsite.com" на адрес нужного вам сайта. Google фактически выступает в качестве прокси-сервера, находя для вас зеркало сайта.

Риск: Если вы пользуетесь прокси-сайтом для просмотра почты или видео-файлов с YouTube, основная опасность, это что вас застукает начальство. Но есть и более серьезные угрозы, связанные с безопасностью. Иногда плохие парни, которые подвизаются в интернете, покупают адреса сайтов, одной-двумя буквами отличающихся от адресов популярных сайтов, и используют их для заражения вирусами компьютеров посетителей, предостерегает Лоубел. Часто компании блокируют и эти сайты - но если вы будете пользоваться прокси, вы окажетесь беззащитны перед ними.

Как защитить себя: Не превращайте использование прокси-сайтов в привычку. Прибегайте к этому способу только для выхода на определенные сайты, доступ на которые ваша компания закрыла в целях повышения продуктивности - например, YouTube. И поаккуратнее с орфографией.

4. Как замести следы на корпоративном ноутбуке

Проблема: Если вы используете принадлежащей компании ноутбук для работы из дома, весьма вероятно, что вы используете его в личных целях: организуете семейный отпуск, закупаете книги для чтения на пляже, составляете фото-альбомы в интернете, и так далее. Многие компании оставляют за собой право отслеживать все, что вы делаете на этом компьютере, потому что технически он является собственностью компании. Что же будет, если...эээ... ваш друг случайно забредет на порно-сайт или будет искать в интернете лекарство от какой-нибудь постыдной болезни?

Обходной маневр: Последние версии браузеров Internet Explorer и Firefox позволяют замести следы. В IE7 выберите Tools, потом Delete Browsing History. Здесь вы сможете либо стереть всю историю своих посещений, выбрав Delete All, либо выбрать несколько ссылок, которые вы хотите стереть. В Firefox просто нажмите Ctrl-Shift-Del или нажмите на Clear Private Data в меню Tools.

Риск: Даже если вы почистите свою историю, свободный интернет-серфинг все равно ставит вас под угрозу. Вы можете непреднамеренно подцепить на каком-нибудь сомнительном сайте шпионское ПО или создать своим поведением юридические проблемы для босса. Если вас поймают, в лучшем случае вам грозит неловкая ситуация, а в худшем - вы рискуете лишиться работы.

Как защитить себя: Как можно чаще подчищайте свои личные данные. Еще лучше не используйте рабочий компьютер ни для чего, о чем вы не хотели бы ставить в известность свое начальство.

5. Как найти рабочие документы из дома

Проблема: Вы доделываете свою работу поздно вечером или в выходные - но документ, который вам нужен, остался на офисном компьютере.

Обходной маневр: Google, Microsoft, Yahoo и IAC/InterActiveCorp предлагают ПО для быстрого поиска документов на рабочем столе компьютера. Кроме того, некоторые из них позволяют с одного компьютера искать документы, сохраненные на рабочем столе другого. Как это работает? Компания-поисковик сохраняет копии ваших документов на своем сервере. Таким образом она можете сканировать эти копии, когда вы осуществляете удаленный поиск.

Для использования ПО Google - одного из самых популярных - вам нужно проделать следующие шаги. Во-первых, установите эккаунт Google на обеих машинах, посетив Google.com/accounts . (Обязательно используйте один и тот же эккаунт на обоих компьютерах.)

Потом выйдите на сайт Desktop.Google.com и загрузите ПО для поиска на рабочем столе. Когда он установится, опять же на обеих машинах, кликните на Desktop Preferences, потом на Google Account Features. Поставьте галочку напротив фразы Search Across Computers. Начиная с этого момента, все документы, открываемые вами на обоих компьютерах, копируются на серверы Google, что позволит найти их с обоих компьютеров.

Риск: Специалисты по корпоративным технологиям воображают катастрофический сценарий: вы сохранили на своем рабочем компьютере крайне секретную финансовую информацию. Установили программу для доступа к этим файлам со своего личного ноутбука. А потом ноутбук потерялся. Ай-ай-ай.

Кроме того, эксперты обнаружили в программе Google для поиска по компьютерам уязвимые места, благодаря которым хакеры могут заставить пользователя предоставить им доступ к файлам, говорит Шмугар из McAfee. (После этого эти проблемные места были исправлены, но там могут оказаться и другие, говорит он.)

Как защитить себя: Если на вашем рабочем компьютере есть файлы, которые не должны ни при каких обстоятельствах оказаться в широком доступе, попросите системного администратора из IT помочь вам установить Google Desktop таким образом, чтобы избежать утечек.

6. Как хранить рабочие файлы в онлайне

Проблема: Помимо поиска на рабочем столе большинство людей, которым часто приходится работать из дома, нашли собственное решение. Они сохраняют рабочие файлы на портативных устройствах или в сети компании, откуда потом забирают их удаленно. Но портативные устройства могут быть слишком громоздкими, а связь с рабочей сетью бывает медленной и ненадежной.

Обходной маневр: Используйте службы хранения информации онлайн, такие как Box.net , Streamload или принадлежащий AOL Xdrive. Большинство из них предлагает бесплатную услугу сохранения информации объемом от одного до пяти гигабайт, а за пакет с дополнительным местом берут несколько долларов в месяц. Еще один партизанский метод - отправлять себе эти файлы на личный email, например на Gmail или Hotmail.

Риск: Плохие парни могут украсть ваш пароль для одного из этих сайтов и заграбастать копии секретных материалов вашей компании.

Как себя защитить: Когда вы собираетесь сохранить в интернете тот или иной файл, спросите себя, что будет, если он окажется в широком доступе или попадет в руки главе компании, являющейся вашим основным конкурентом. Если ничего страшного не произойдет, то продолжайте.

Проблема: Многие компании имеют возможность отслеживать электронные письма сотрудников как на рабочем адресе, так и на других электронных адресах, а также общение по ICQ.

Обходной маневр: Когда вы отправляете электронные письма со своего личного электронного ящика или с рабочей почты, вы можете их закодировать так, чтобы их мог прочитать только адресат. В Microsoft Outlook кликните на Tools, потом Options и выберите строку Security.

Сюда вы можете ввести пароль, и никто не сможет открыть письмо, не зная этого пароля. (Людям, которым эти письма предназначены, вы, разумеется, должны сообщить этот пароль заранее.)

Для персональной переписки с помощью почтовых сервисов в интернете воспользуйтесь советом Фрауэнфельдера. Когда будете проверять свою почту, добавьте в строке адреса вашего почтового сайта букву s после "http" - например, https://www.Gmail.com . Таким образом вы начнете безопасную сессию, и никто не сможет отследить ваши письма. Однако не все веб-сервисы поддерживают это.

Чтобы закодировать свое общение в реальном времени, воспользуйтесь службой Trillian от Cerulean Studios, которая позволяет работать с AOL Instant Messenger, Yahoo Messenger и другими программами общения в реальном времени и помогают кодировать разговоры таким образом, чтобы никто посторонний не мог их прочитать.

Риск: Основная причина, по которой компании отслеживают электронную переписку сотрудников, это чтобы поймать тех, кто передает конфиденциальную информацию. Прибегая ко всем вышеперечисленным уловкам, вы можете спровоцировать ложную тревогу, и усложнить сотрудникам отдела IT борьбу с реальной угрозой.

Как защитить себя: Пользуйтесьописанными методами только время от времени, а не используйте их по умолчанию.

8. Как получить удаленный доступ к рабочей почте, если ваша компания не хочет разоряться на КПК

Проблема: Всем, у кого нет КПК, знакомо это чувство: вы пошли в ресторан пообедать или выпить пива после работы, и вот все полезли в карманы за своими КПК, и только вы в одиночестве вынуждены покачивать в руке стакан.

Обходной маневр: Вы тоже можете поддерживать связь с рабочей почтой, используя различные мобильные устройства. Просто настройте свою рабочую почту так, чтобы письма пересылались вам на личный электронный адрес.

В Microsoft Outlook вы можете сделать это, нажав на правую кнопку мыши при работе с любым письмом, выбрав "Создать правило" и попросив пересылать вам все письма на другой адрес. Потом настройте свой мобильный телефон так, чтобы проверять с его помощью электронную почту, следуя инструкциям от своего провайдера (это та компания, которая посылает вам счета за телефон).

Риск: Теперь хакеры могут взломать не только ваш компьютер, но и ваш телефон.

Как защитить себя: Существует "правильный" способ получить доступ к рабочей почте с помощью различных персональных мобильных устройств, взяв пароль и другую информацию в отделе IT.

9. Как получить доступ к личной почте с рабочего КПК

Проблема: Если ваша компания предоставила вам КПК, вы, вероятно, сталкиваетесь с противоположной проблемой. Вы хотите проверять свою личную почту так же легко, как рабочую.

Обходной маневр: Обратите внимание на раздел "Настройки" своего персонального почтового ящика и убедитесь, что у вас активирован POP (почтовый протокол), используемый для получения почты через другие адреса. Потом зайдите на сайт своего провайдера услуг для КПК BlackBerry. Нажмите на кнопку "Профиль", найдите там раздел Email Accounts ("почтовые ящики") и выберите Other Email Accounts ("другие почтовые ящики"). Потом нажмите на Add Account ("добавить ящик") и введите информацию о своем персональном электронном адресе. Теперь ваша личная почта будет приходить туда же, куда и корпоративная.

Риск: Ваша компания, вероятно, использует целый арсенал средств для обеспечения безопасности и борьбы с вирусами и шпионскими программами. Когда вы получаете на BlackBerry личную почту, она приходит, минуя эти защитные барьеры. Это означает, что шпионский софт или вирусы могут проникнуть в ваш КПК через личную почту, говорит Шмугар из McAfee.

Что еще хуже, говорит он, когда вы подключите BlackBerry к своему рабочему компьютеру, существует вероятность, что этот шпионский софт перенесется на жесткий диск.

Как защитить себя: Скрестите пальцы и уповайте на то, что ваш провайдер электронной почты делает все, что от него зависит, для защиты от вирусов и шпионского ПО (возможно, так оно и есть).

10. Как сделать вид, что вы работаете

Проблема: Вы заняты жизненно важным поиском в интернете, и вдруг у вас за спиной появляется начальник. Ваши действия?

Обходной маневр: Быстро нажмите Alt-Tab, чтобы свернуть одно окно (например, в котором вы исследуете сайт ESPN.com) и открыть другое (с подготовкой к сегодняшней презентации).

Риск: Хорошая новость: в том, что касается безопасности компании, это ничем не грозит.

Как защитить себя: Займитесь работой.

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Google против межсетевых экранов

Как сообщается в 21 номере "PCWeek/RE" за 2001 год, из-за временного отключения межсетевого экрана в Южном политехническом университете Атланты поисковая машина Google проиндексировала внутреннюю сеть этого вуза и смогла получить доступ к файлам о студентах - домашним адресам, номерам социального страхования и т. д.

Общее непонимание состоит в том, что межсетевой экран не распознает атаки и не блокирует их. Межсетевой экран (МСЭ) - это устройство, которое сначала запрещает все, а потом разрешает только "хорошие" вещи. То есть при установке межсетевого экрана первым делом запрещаются все соединения между защищаемой и открытой сетями. Затем администратор добавляет специфичные правила, которые позволяют определенному трафику проходить через МСЭ. Типичная конфигурация МСЭ запретила бы весь входящий трафик ICMP, оставив разрешенным только исходящий трафик и некоторый входящий трафик на базе UDP- и TCP-протоколов (например, HTTP, DNS, SMTP и т. д.). Это позволит сотрудникам защищаемой организации работать с Internet и запретит доступ злоумышленников к внутренним ресурсам. Однако не стоит забывать, что МСЭ - это просто системы, основанные на правилах, которые разрешают или запрещают прохождение трафика через них. Даже МСЭ, использующие технологию "stateful inspection", не позволяют с точностью сказать, присутствует ли атака в трафике или нет. Они могут лишь уведомить, соответствует ли трафик правилу.

Можно провести хорошую аналогию с физическим миром. Межсетевой экран - это просто ограждение вокруг вашей сети, которое не может обнаружить, когда кто-то роет подкоп под него. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением. А чтобы не быть голословными, приведем несколько примеров, когда межсетевые экраны не спасут вас от злоумышленников [Лукацкий1-01].

Атаки через туннели в межсетевом экране

Туннелирование является методом инкапсуляции (маскирования) сообщений одного типа (которые могут быть блокированы фильтрами МСЭ) внутри сообщений другого типа , Атаки через "туннели" возникают вследствие наличия соответствующих свойств у многих сетевых протоколов. МСЭ фильтрует сетевой трафик и принимает решения о пропуске или блокировании пакетов, опираясь на информацию об используемом сетевом протоколе. Обычно правила предусматривают соответствующую проверку с целью определения того, задействован или нет конкретный протокол. Например, если на МСЭ разрешены 25-й и 80-й порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web- (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Например, такой дефект в межсетевых экранах используется при реализации атаки LOKI, которая позволяет туннелировать различные команды в запросы ICMP Echo Request и реакции на них в ответы ICMP Echo Reply, что существенно изменяет размер поля данных по сравнению со стандартным.

Для межсетевого экрана и любого другого традиционного средства сетевой безопасности данные действия выглядят вполне обычно. Например, вот как отображается передача файла паролей в 1СМР-"туннеле" анализатором протоколов TCPdump.
Другим примером туннельных атак можно назвать атаки на уровне приложений, которые связаны с практикой использования уязвимостей в приложениях путем отправки пакетов, непосредственно связанных с этими приложениями.

Рис. 1.3. Атака через туннели в межсетевом экране

Самый простой пример, демонстрирующий применение таких туннелей, - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика (автору не приходилось видеть МСЭ, который бы этого не делал), то во внутреннюю сеть может попасть и "вирусная инфекция". Приведем более сложный пример. Например, Web-сервер, функционирующий под управлением программного обеспечения компании Microsoft (Internet Information Server), защищается межсетевым экраном, на котором разрешен только 80-й порт. На первый взгляд, обеспечивается эффективная защита. Но только на первый взгляд. Если используется IIS версии 3.0, то обращение по адресу http://www.domain.ru/default.asp. (с точкой на конце) позволяет злоумышленнику получить доступ к содержимому ASP-файла, который может хранить конфиденциальные данные (например, пароль доступа к базе данных). И даже если вы установили самую последнюю версию IIS 5.0.

Мало того, большое количество правил снижает производительность межсетевого экрана и, как следствие, пропускную способность каналов связи, проходящих через него.

Атаки, осуществляемые в обход межсетевого экрана

Слова песни из детского фильма "Айболит-66" - "Нормальные герои всегда идут в обход" - как нельзя лучше иллюстрируют следующую проблему, присущую межсетевым экранам. Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться их обойти?

Пример из смежной области

21 февраля 1990 года аналитик по бюджету Мэри Пирхем (Mary Pircham) пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе безопасности. Желая все же войти, Мэри открыла дверь черного хода при помощи пластиковой вилки и карманной отвертки. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила 44 тыс. долларов [Вакка1-97].

Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов, и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети руководители отдела защиты информации и автоматизации рвали на себе рубахи, утверждая, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, мы действительно нашли указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Одним пользовался сотрудник аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем служил для доступа в Internet в обход межсетевого экрана.

С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь, как свидетельствует статистика, связано как раз с инцидентами защиты со стороны внутренних пользователей, изнутри. Необходимо-уточ-нить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий бреши в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем

Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.

Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование — это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.

Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов — пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).

На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана — это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.

В данной статье я не буду говорить о достоинствах названных типов межсетевых экранов (этому посвящено немало публикаций), а основное внимание уделю недостаткам, присущим всей технологии в целом.

Отсутствие защиты от авторизованных пользователей

Наиболее очевидный недостаток межсетевых экранов — невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.

Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует — авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.

Отсутствие защиты новых сетевых сервисов

Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма «посредников» (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких «посредников» достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.

Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов). В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.

Ограничение функциональности сетевых сервисов

Некоторые корпоративные сети используют топологию, которая трудно «уживается» с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.

Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.

Потенциальная опасность обхода межсетевого экрана

Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники какой-либо организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в Internet. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана.

Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.

Потенциально опасные возможности

Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от «мобильного» кода Java и ActiveX практически нет. Доступ такого кода в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java, сценариев JavaScript и т.п., на самом деле враждебный код может попасть в защищаемую зону даже в случае полного их блокирования в настройках межсетевого экрана.

Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного «мобильного» кода.

Вирусы и атаки

Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту «на нет». Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?

В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.

Снижение производительности

Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета («proxy»), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.

В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.

Компромисс между типами межсетевых экранов — более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).

Отсутствие контроля своей конфигурации

Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, — сотрудники хотят получить доступ к новым ресурсам Internet, работать с новым сервисами (RealAudio, VDOLive и т.п.) и т.п. Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: «разрешено все и всем».

В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа «отказ в обслуживании»), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа «подбор пароля», позволяющие обнаружить «слабые» пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS).

В 1999 году я написал статью "Firewall - не панацея", которая рассказывала о различных недостатках, присущих технологии, используемой в межсетевых экранах (МСЭ). Я надеялся, что отечественные поставщики и, особенно разработчики, перестанут "дурить голову" заказчикам, утверждая, что именно их межсетевой экран - это панацея от всех бед, и он решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако этого не произошло, и я вновь хочу вернуться к этой теме. Тем более что, как показывает мой опыт чтения лекций по защите информации, этот вопрос живо интересует специалистов, которые уже используют межсетевые экраны (firewall) в своих организациях.

Существует ряд проблем, о которых я хотел бы рассказать и которые можно проиллюстрировать на примере. Межсетевой экран - это просто ограждение вокруг вашей сети. Оно может быть очень высоким или очень толстым, чтобы его можно было перелезть или проделать в нем дыру. Но… это ограждение не может обнаружить, когда кто-то роет под ним подкоп или пытается пройти по мостику, переброшенному через ограждение. МСЭ просто ограничивает доступ к некоторым точкам за вашим ограждением.

Людям свойственно ошибаться

Как известно, межсетевые экраны, как и другие средства защиты, настраиваются людьми. А людям свойственно ошибаться, даже специалистам по защите информации. Именно этот факт и используется многими злоумышленниками. Достаточно найти всего лишь одну слабину в настройках межсетевого экрана и все, можно считать, что "ваше дело табак". Это подтверждается и различными исследованиями. Например, собранная в 1999 году ассоциацией ICSA (http://www.icsa.net) статистика показывает, что до 70% всех межсетевых экранов уязвимы из-за неправильной конфигурации и настройки. Я не хочу говорить о некомпетентности или низкой квалификации администратора МСЭ (хотя эти причины отнюдь не редки), - опишу другой примера. Сразу после института я попал в отдел автоматизации одной крупной компании. Защита Internet обеспечивалась межсетевым экраном, которым "рулил" администратор отдела защиты информации. Мне не раз приходилось сталкиваться с ситуацией, когда к этому администратору подходили друзья из других отделов компании и просили на время разрешить им доступ к серверам с игрушками. Однажды я был свидетелем вопиющего случая. К администратору МСЭ подошел начальник отдела по работе с партнерами и потребовал дать ему доступ к одному из Internet-ресурсов. На ответ, что это невозможно, начальник пригрозил устроить администратору "веселую жизнь", после чего последнему пришлось выполнить распоряжение и изменить настройки межсетевого экрана. Самое удивительное, что со временем ситуация не улучшается. Недавно мы проводили обследование в одной из организаций и обнаружили там точно такую же ситуацию. На межсетевом экране был открыт доступ по протоколам ICQ, RealAudio и т.д. Стали выяснять - оказалось, это было сделано по просьбе сотрудника одного из отдела, с которым у администратора сложились дружеские отношения.

"Нормальные герои всегда идут в обход"

Фрагмент песни из детского фильма "Айболит-69" как нельзя лучше иллюстрирует следующую проблему, присущую межсетевым экранам. Зачем пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их? Это можно проиллюстрировать примером из смежной области. В среду, 21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все-таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как "безотказная и надежная" и стоила несколько десятков тысяч долларов. Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. Знаете ли вы, сколько в вашей сети установлено модемов и для чего они используются? Не отвечайте сразу утвердительно, подумайте. При обследовании одной сети начальники отдела защиты информации и автоматизации рвали на себе рубаху, утверждая, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, мы действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.