Z każdym dniem przybywa ponad 20000 nowych komputerów, które łączą się z siecią Internet. Internet – największa publiczna sieć komputerowa, przyciąga do siebie coraz więcej użytkowników, dając możliwość korzystania z bogatych zbiorów informacyjnych, korzystania z poczty elektronicznej, gier sieciowych, bycia uczestnikiem grup dyskusyjnych, a nawet daje możliwość rozmów „on line”. Poniższy rysunek przedstawia wyniki przeprowadzonych badań przez firmę ‘Network Wizards’, który pokazuje ilość podłączeń do Internetu.
Ogromne zainteresowanie Internetem sprawia, że coraz ważniejsze staje się zabezpieczenie komputera przed zewnętrznymi użytkownikami. Obecnie wszystkie liczące się instytucje na rynku, są bardzo ściśle związane z Internetem. Cały system bankowym, wojskowy, opiera się na wykorzystaniu Internetu, co jest przyczyną, że polityka bezpieczeństwa gra najwyższą rolę. Wzrost liczby użytkowników korzystających z usług Internetu powoduje ryzyko utraty prywatności. Obecnie brak ryzyka równa się odseparowaniu komputerów od podłączenia do Internetu, co w dużych firmach, wymusza przebudowę systemu infrastruktury, który pociąga za sobą duże nakłady finansowe. Rozwiązaniem jest zastosowanie oprogramowania zwanego firewall (ściana ogniowa), który służy do ochrony sieci przed integracją zewnętrzną.
1.1. Ściana ogniowa (ang. firewall) – co to jest?
Główną funkcją ściany ogniowej (ang. firewall) jest zabezpieczenie sieci wewnętrznej przed zagrożeniami z Internetu. Cechą charakteryzującą ścianę ogniową jest przeprowadzanie połączeń w starannie kontrolowanym miejscu, co daje nam możliwość skoncentrowania tam całej naszej uwagi oraz sprawniej egzekwować politykę bezpieczeństwa. Tak więc ściana ogniowa skupia wszystkie środki bezpieczeństwa, gdyż decyzje ochrony są skupione. Najczęstszą stosowaną zasadą jest zasada minimalnych przywilejów (ang. least privilege). Użytkownicy mają przydzielone tylko takie uprawnienia, które są niezbędne do przeprowadzenia przydzielonych zadań. Fizyczna implementacja ściany ogniowej jest najczęściej zbiorem urządzeń razem z odpowiednim oprogramowaniem. Polityka bezpieczeństwa wyznacza konkretną architekturę i konfigurację ściany ogniowej. Bardzo ważne jest przeprowadzenie prawidłowej konfiguracji, dlatego że ściany ogniowe są skuteczne tylko wtedy, kiedy są obsługiwane przez kompetentne osoby. Nieprawidłowo skonfigurowany firewall, nie będzie dawał należytego bezpieczeństwa, a będzie stwarzał tylko takie pozory. Tak więc:
1.2. Zalety firewall’a
- firewalle są tak skonfigurowane, aby chronić przed nieautoryzowanymi użytkownikami z zewnątrz naszej sieci. Pomaga to przed osobami, którzy próbują się zalogować do naszej sieci
- firewall mogą dostarczyć tzw. pojedynczy “choke point” (zasada wąskiego przejścia - napastnik zmuszony jest do skorzystania z tej drogi, którą można kontrolować), który aktywnie nadzoruje i kontroluje przepływ ruchu pomiędzy sieciami. Cały ruch musi przejść przez ten „choke point”, w którym możemy skoncentrować wszystkie zabezpieczenia
- firewalle dostarczają streszczeń administratorom o liczbie i rodzaju ruchu w sieci, ile było prób ataków, włamań itp.
- firewalle chronią przed atakami z zewnątrz
- osoby zgrupowane w jedną sieć, mogą korzystać z jednego adresu IP
- firewalle umożliwiają systemom łączenie się z Internetem z protokołami innymi niż TCP/IP
1.3. Wady firewall’a (czego nie potrafią?)
- nie chroni przed użytkownikami wewnątrz firmy (zdrajcami). Chociaż firewall może uniemożliwić wysyłanie jakichkolwiek informacji na zewnątrz korzystając z połączenia sieciowego, to jednak nie ochroni nas przed skopiowaniem informacji na dyskietkę, płytę czy dysk twardy i wyniesieniem ich z firmy
- nie chroni przed połączeniami, które nie mają z nim styczności
- nie potrafią automatycznie się skonfigurować po podłączeniu do sieci, w celu najlepszej wydajności
- nie chronią przed atakami, które nie przechodzą przez firewall.
- nie chroni w 100% przed wirusami – jest to trudne, ponieważ wymaga:
a) rozpoznania mówiącego, że dany pakiet stanowi część programu
b) określenia, co do wyglądu programu (jak powinien wyglądać)
c) odkrycia, które mówi o zmianie spowodowanej wirusem
- ograniczają dostęp do sieci z Internetu
- wymagają częstych uaktualnień, dlatego że prawie codziennie pojawiają się nowe typy klientów sieciowych i serwerów, którzy uniemożliwiają bądź sprawiają kłopoty przy zarządzaniu siecią, np. przy popularnych programach wymiany plików
- przed całkowicie nowymi
2. Bezpieczeństwo sieci komputerowych
Zagrożenie, jakie płynie z sieci komputerowej połączonej do Internetu (globalnej sieci) jest bardzo często niedocenione. Chronić musimy nie tylko swoje dane, zasoby, ale także reputację firmy. Komputery z reguły przechowują poufne informacje, dlatego dostęp do tych informacji powinny mieć tylko odpowiednie osoby. Zasoby komputera są narażone na niebezpieczeństwo, np. przestrzeń dyskowa lub czas procesora. Kolejną sprawą jest zagrożona związane z reputacją użytkownika czy też firmy. Przykładem mogą być ataki, które zmieniają zawartość witryn WWW. Napastnik może również posłużyć się naszą skrzynką internetową lub też zrobić zakupy w sklepie elektronicznym. I wreszcie niebezpieczeństwo może kryć się wewnątrz sieci komputerowej, np. przez niekompetentnego pracownika. Z niektórych źródeł może wyczytać, że aż 55% związanych z naruszeniem polityki bezpieczeństwa, wiąże się z naiwnością lub brakiem należytej wiedzy użytkowników. Odkrywane błędy w systemach wraz z różnymi sposobami omijania lub łamania zabezpieczeń wskazują jednoznacznie, że raz skonfigurowana sieć nie da wiecznego bezpieczeństwa. Tylko systematyczna i aktywna kontrola sieci może zapewnić jej bezpieczeństwo.
Na system bezpieczeństwa, składają się:
- procedury monitorujące, powiadamiające i reagujące na zagrożenia
- ochrona logiczna dostępu
- ochrona fizyczna dostępu
- zapewnienie zarówno integralności i bezpieczeństwa danych jak i tworzenie oraz przechowywanie kopii zapasowych
- zapewnienie bezpieczeństwa pracy systemu, także utrzymanie urządzeń i łączy zapasowych oraz zapewnieni ciągłości zasilania
- ustalenie procedur i zasad administratorom systemów informatycznych, sieci i aplikacji
- szkolenie pracowników w celu uświadomienia im ważności bezpieczeństwa
Wzrost popularności Internetu doprowadził do wyodrębnienia destruktywnej grupy osób, które mogę przyczynić się do poważnych strat w sieciach lokalnych. Można te osoby podzielić ze względu na zakres wiedzy i doświadczenia oraz celu swoich motywów działania:
- oszust - jest to osoba o bardzo małej wiedzy praktycznej, która chwili się wymyślonymi włamaniami
- script kiddie - w wolnym tłumaczeniu - skryptowy szczeniak lub dzieciak. Charakteryzują się znaczną wiedzą, którzy jednak nie mają raczej nic wspólnego hakerami. Wykorzystują pracę innych ludzi, co powoduje że zakres ich działania ogranicza się raczej do uruchamiania poszczególnych narzędzi
- haker – jest to osoba, która ma bardzo duży zakres wiedzy zarówno teoretycznej jak i praktycznej. Raczej nie bazują na pracy innych osób, ponieważ starają się samodzielnie pokonywać zabezpieczenia. Należy jednak zauważyć, że każdy prawdziwy haker posiada swój własny kodeks etyczny, który mówi że haker nie działa na szkodę innych
Rysunek z boku pokazuje, że źródłem ataku może być dosłownie każda instytucja. Należy wziąć to pod uwagę, przy budowaniu własnej polityki bezpieczeństwa. Należy o tym pamiętać budując własną politykę obrony. System obrony powinien brać pod uwagę także ochronę sieci lokalnej przed wrogami wewnętrznymi.
System obronny wziąć pod uwagę wszystkie możliwe rodzaje ataku, bez względu na to prawdopodobieństwo danego zagrożenie.
Ataki przeprowadzane z napastników opierają się na zwykle na wykorzystaniu niedoskonałości protokołów oraz błędów oprogramowania. Także błędy popełniane przez użytkowników czy też administratorów są ‘zachętą’ do przeprowadzenia ataku. Najczęściej łączonych jest wiele różnych ataków, przez co szansa np. zdobycia uprawnień administratora się zwiększa. Na początku atak może przeprowadzony być na przeskanowanie komputera, co pozwala uzyskać informacje na temat oprogramowania, systemu operacyjnego, czy też strukturze sieci wewnętrznej. Omówię tylko najbardziej wykorzystane przez hakerów typy ataków.
Wciąż najpopularniejszą metodą, zapewniającą dostęp do odległego systemu jest Telnet (ang. Network Terminal Protocol). Warunek jaki należy spełnić przy logowaniu się jest znajomość zarówno identyfikatora jak i hasła. Niestety słaby punkt tej aplikacji polega na tym, że występuje kontrola tożsamości użytkownika. Hasło może zostać uzyskane przez nieodpowiednie osoby metodą zgadywania lub po zastosowaniu specjalnych programów, które wykorzystują słowniki (np. Cracków) i służą do automatycznego odgadnięcia hasła. Kolejnym sposobem na uzyskanie hasła jest metoda tzw. sniffing, co oznacza nasłuchiwanie sieci. Wystarczy tylko włączyć urządzenie nasłuchujące w tor transmisji danych, co spowoduje, że niezabezpieczone informacje przejmie niepowołana osoba. Nawet przesłanie klucza szyfrującego, oznacza ryzyko przejęcia.
Wykorzystanie protokołu FTP (ang. File Transfer Protocol), również stwarza niebezpieczeństwo. Dzięki temu protokołowi, użytkownik może uzyskać dostęp do plików, czy też wprowadzić odpowiednie złośliwe programy. Możemy wyróżnić poszczególne złośliwe programy:
- wirusy (ang. virus) - są to programy dołączające się do innych programów, mające na celu zniszczenie systemu i uaktywniające się w czasie włączania swojego „żywiciela”
- bakteria (ang. bacteria) - są to programy mające na celu zniszczenie systemu, które włączają takie procesy, które pożerają między innymi: powierzchnię dyskową, pamięć. - -
- bomba czasowa (ang. time bomb) lub bomba logiczna (ang. logic bomb) - są to programy wirusowe, które uaktywniają się, jeżeli poszczególne warunki zostaną spełnione.
- robak (ang. worm) - program ten powiela samego siebie, wykonując określone czynności stworzone przez twórcę programu, próbujący się przenieść na inne na inną maszynę w sieci
- koń trojański – program ten udając inny legalny program, wykonuje niepożądanych tym samym czasie inne niepożądanych czynności, np. kradnie on hasło użytkownika. Wirus ten może przedostać się do naszego systemu poprzez poprzez pocztę elektroniczną, bądź w czasie ściągania programu z niesprawdzonego źródła.
Furtki i włazy
Tworzone przez programistów ‘furtki’ np. podczas testowania aplikacji, umożliwiają kontrolowany dostęp do legalnych programów. „Furtką” taką może być, np. wpisanie odpowiedniej kombinacji klawiszy. Niebezpieczeństwem stosowania ‘furtek’ jest to, że kiedy zostanie znaleziona, daje nieodpowiedniej osobie kontrolę nad aplikacją.
Celem ataku może być próba zniszczenia danych czy też zdobycie dostępu do zasobów komputera, wynikiem czego, napastnicy nie zakłócają czy też nie przeszkadzają pracy innym użytkownikom systemu, co powoduje, że ataki takie mogą zostać niezauważone. Bardzo często tak zdobyty komputer wykorzystywany jest później do kolejnych ataków. Istnieje wiele sposobów na zdobycie dostępu do systemu, np. metodą siłową, czy też próba przepełnienia bufora, co może spowodować uzyskanie uprawnień administratora.
Są najbardziej popularnym zabezpieczeniem dostępu do komputera. Bardzo ważne jest, aby hasła były odpowiednio skomplikowane, a najlepiej, aby nie występowały w żadnym słowniku. Zdobyte hasło administratora przez napastnika powoduje, że nasza sieć wewnętrzna jest bezbronna przez jakimikolwiek zmianami.
Istnieje również taki rodzaj ataku, który swoim działaniem doprowadza do całkowitego wyczerpania wszystkich zasobów danego systemu, a tym samym jego upadku. Są typu DDoS (ang. Distributed Denial of Service - rozproszona odmowa usługi), wykorzystująca technikę odmowy usługi (ang. Denial of Service DoS). Ataki tego typu są szczególnie groźne, ponieważ ich źródło jest rozproszone, co powoduje, że administrator może nie zdawać sobie sprawy z faktu wystąpienia ataku.
(ang. buffer overflow) pozwala na wykorzystanie uprawnień atakowanego programu. Celem tego ataku są funkcje, które nie sprawdzają długości danych. Przepełnienie bufora polega na tym, że dostarczamy dłuższy łańcuch znaków, niż jest oczekiwany. Bufor może być zmodyfikowany tak, aby adres powrotny funkcji wskazał procedurę, np. uruchamiającą powłokę dłuższego uprawnieniami administratora.
Głównym motywem kradzieży informacji są wszystkie wartościowe dane. Rozwój Internetu spowodował, że ilość poufnych informacji zwiększa każdego roku. Dane te, mogą zostać wykorzystane do nadużyć wobec firmy czy użytkownika. Internet przyczynił się do fałszowania informacji w nowy sposób. Przykładem obrazującym jest atak, który może być nastawiony na przechwycenie sesji w protokole TCP (ang. hijacking). Wykorzystywane jest tu podsłuchiwanie oraz modyfikowanie informacji (ang. spoofing). Napastnik powoduje przerywanie połączenia między serwerem a klientem, co umożliwia mu podszycie się pod klienta.
Inżynieria społeczna (ang. social engineering) to jeden z najskuteczniejszych sposobów zdobycia poufnych informacji. Napastnicy wykorzystują fakt, że to człowiek jest najsłabszym ogniwem zabezpieczeń. Specjalnie przygotowany list elektroniczny przez napastnika może przyczynić się do ujawnienia hasła przez administratora czy użytkownika, np. próba telefoniczna z podszyciem się pod dyrektora, czy też list elektroniczny z wiadomością, że nastąpi błąd systemu komputerowego, jeśli nie wpisze się o identyfikatora lub hasła.
Podsłuchiwanie pakietów (ang. sniffing) które przepływają przez sieć, pozwala w sposób pasywny na zdobycie informacji. Karta sieciowa ma możliwość pracownia w trybie rozwiązłym (ang. promiscuous mode), co daje możliwość na kompletne odbieranie pakietów, które są przesyłane przez daną podsieć. Kluczową rolę tu gra miejsce założenia podsłuchu. Najbardziej niebezpiecznym miejscem podsłuchiwania, z punktu widzenia zagrożenia, będzie komputer, który pełni rolę rutera pomiędzy Internetem a siecią lokalną.
3. Budowa zapór ogniowych
Z reguły obiekty, na których działają firewalle to, np. pakiety i protokoły.
Jakiekolwiek informacje przesyłane przez sieć, dzieli się na małe kawałki, które w sieciach IP zwane są pakietami. Każdy pakiet składa się z dwóch części: nagłówka i treści. Nagłówek zawiera informacje o warstwie, a treść zawiera dane dla tej warstwy, które składają się z całego pakietu następnej warstwy. Każda warstwa interpretuje otrzymane informacje z warstwy znajdującej się wyżej, jako dane i dodaje do nich własny nagłówek. Każdy poziom pakietu zachowuje informacje z warstw poprzednich, więc żadne informacje nie są tracone. Proces ten, w którym są zachowywane dane i odbywa się dodawanie własnego nagłówka nazywa się enkapsulacją.
...
saturn3231