logo search
Диплом / 18

1.3.6 Методы защиты от атак

Администраторы АБС должны так построить политику безопасности, что даже преодоление злоумышленником рубежа защиты, создаваемого операционной системой, не позволило ему нанести серьезный ущерб АБС. Если атака ОС не является конечной целью злоумышленника, а используется как первый этап атаки АБС, наибольший интерес для злоумышленника представляют файлы баз данных и файлы программного обеспечения, используемого СУБД. Поэтому АБС должна быть построена так, чтобы эти файлы не были доступны ни одному пользователю ОС рабочих станций. Доступ к БД должен быть возможен только через сервер базы данных. В противном случае злоумышленник, преодолев защиту рабочей станции, сможет доступ к файлам БД.

Для того чтобы злоумышленник, преодолевший защиту ОС, не смог причинить серьезный ущерб информации, хранящейся в базе данных, распределенная СУБД должна иметь архитектуру клиент-сервер. При этом должны выполняться следующие требования: на рабочую станцию передаются только те данные, которые запрошены пользователем; файлы БД, хранящиеся на сервере, не являются разделяемыми с точки зрения ОС – разделение данных между пользователями имеет место только на уровне СУБД; при сетевом взаимодействии рабочих станций и серверов баз данных не используются объектно-ориентированные сетевые протоколы (типа SMB). Эти требования достаточно очевидны, но, как показывает опыт, далеко не всегда администраторы ими руководствуются. На всех компьютерах, входящих в состав АБС, должны быть установлены достаточно защищенные операционные системы (SCO UNIX, Windows Server, Solaris и др., но не Windows Vista, 7 или OS/2). Для каждой операционной системы политика безопасности должна быть адекватной. При определении адекватной политики безопасности целесообразно ориентироваться на требования класса защиты C2 "Оранжевой книги”.

Для обеспечения надежной защиты сетевого уровня АБС необходимо добиться максимальной “закрытости” сетевых каналов связи, другими словами, максимально затруднить несанкционированный информационный обмен в защищаемой сети. Существуют следующие меры защиты, позволяющие это осуществить: максимальное ограничение объема защищаемой сети. Чем больше сеть (географически и по числу компьютеров), тем труднее ее защищать. Изоляция сети от внешнего мира. Если сеть АБС имеет выход в Internet, то задача организации ее защиты существенно усложняется. Это обусловлено тем, что в этом случае любой пользователь Internet имеет физический доступ к защищаемой сети. Если в системе защиты сети АБС имеется ошибка (в программном обеспечении или политике безопасности), воспользоваться ей может любой пользователь Internet. Если изолировать защищаемую сеть от Internet невозможно, администраторы защищаемой сети должны уделять особое внимание ограничению доступа к сети пользователей Internet. Шифрование сетевого трафика. Эта мера защиты позволяет полностью устранить угрозу перехвата пакетов. С другой стороны, шифрование трафика несколько снижает производительность сетевого программного обеспечения. Цифровая подпись сетевых пакетов. Все пакеты, передаваемые по сети, должны быть подписаны криптографически стойкой цифровой подписью. Данная мера позволяет полностью устранить угрозу навязывания пакетов и большинство угроз, связанных с отказом в обслуживании. Однако, для того, чтобы эта мера защиты принесла реальную пользу, необходимо, чтобы цифровая подпись пакета была обязательна и неподписанные пакеты игнорировались. В противном случае цифровая подпись защищает только от искажения легально отправленных пакетов, но не от навязывания пакетов хакером. Обязательное применение цифровой подписи пакетов возможно только в том случае, когда программное обеспечение, необходимое для подписывания пакетов, установлено на каждом компьютере сети. Если защищаемая сеть имеет выход в Internet, цифровая подпись пакетов малоэффективна. Межсетевые экраны (firewalls). Межсетевые экраны фильтруют передаваемые через маршрутизатор пакеты, не пропуская через маршрутизатор потенциально опасные пакеты, которые, возможно, были отправлены в сеть в ходе атаки сети хакером. Среди администраторов сетей распространено мнение, что межсетевые экраны позволяют надежно защитить локальные сети от атак хакеров из Internet, и являются

в некотором роде панацеей. Однако это мнение в корне неверно. Дело в том, что задача фильтрации пакетов является задачей искусственного интеллекта. Программа, не обладающая интеллектом, не всегда способна отличить потенциально опасный пакет от абсолютно безвредного. В результате при использовании межсетевых экранов типичной является ситуация, когда межсетевой экран, с одной стороны, не защищает от некоторых атак, и, с другой стороны, препятствует нормальной работе сетевого программного обеспечения. Межсетевые экраны могут рассматриваться только как дополнительное средство защиты, которое целесообразно использовать, если защищаемую сеть невозможно изолировать от других сетей. При этом должны выполняться следующие требования: все пути передачи пакетов через межсетевые экраны должны быть статическими. Другими словами, сеть должна быть отконфигурирована так, что пакеты, относящиеся к одному сетевому соединению, проходили через один и тот же межсетевой экран. В противном случае невозможна корректная фильтрация фрагментированных пакетов. Если защищаемая сеть не очень велика, целесообразно организовать связь защищаемой сети с внешним миром через единственный маршрутизатор, оснащенный межсетевым экраном; политика фильтрации пакетов должна быть основана на принципе “все, что явно не разрешено, то запрещено”; количество сетевых протоколов, используемых при взаимодействии защищаемой сети с внешним миром, должно быть максимально ограничено. Несколько полезных советов (вместо заключения). Выше были перечислены наиболее типичные подходы к взлому защищенных компьютерных систем, которые могут быть применены к автоматизированным банковским системам. Все перечисленные методы атаки и защиты АБС описаны в наиболее общей форме. Применения этих методов в конкретных ситуациях могут заметно отличаться от приведенных здесь описаний. Тем не менее, даже в самом общем случае существуют определенные правила, которых целесообразно придерживаться при организации защиты. Эти правила сформулированы ниже в виде практических советов. Всегда будьте в курсе последних новинок науки и техники в области компьютерной безопасности. Регулярно просматривайте материалы хакерских серверов Internet, подпишитесь на хакерские телеконференции (newsgroups). Подпишитесь на несколько журналов по компьютерной безопасности. Будьте образованнее вашего противника. Не старайтесь организовать абсолютно надежную защиту – чем мощнее защита системы, тем труднее пользователям с ней работать. Храните в тайне информацию о реализации защиты АБС. Чем меньше хакер знает об атакуемой системе, тем труднее ему осуществить атаку. Не пренебрегайте административными мерами защиты. Постарайтесь максимально ограничить объем защищаемой сети. Не подключайте защищаемую сеть к Internet без крайней необходимости. Перед тем, как приобрести новое программное обеспечение, почитайте о нем на хакерских серверах Internet. Размещайте серверы БД в охраняемом помещении. Никто не должен иметь доступ к базам данных иначе чем через сеть. Не допускайте хранения конфиденциальной информации на рабочих станциях сети. Ни один сервер БД не должен предоставлять услуги файлового сервера. Все без исключения пакеты, передаваемые по открытым каналам связи, должны шифроваться. Все без исключения пакеты должны подписываться цифровой подписью независимо от того, по какому каналу связи передается пакет. Все пути передачи пакетов в защищаемой сети должны быть статическими. Если защищаемая сеть физически связана с другими сетями, все пакеты, приходящие извне или уходящие вовне, должны проходить через межсетевые экраны. При этом должны осуществляться шифрование и подписывание пакетов. Не пренебрегайте аудитом. Любая атака АБС должна быть зафиксирована в журнале аудита. Просматривайте журнал аудита не реже одного раза в день. Если в журнале аудита зафиксировано необычно много событий, изучите новые записи этого журнала особо внимательно. Не исключено, что хакер подсовывает вам ложный след. Регулярно проверяйте целостность программного обеспечения АБС. Регистрируйте все изменения политики безопасности в специальном журнале (неэлектронном). Программная закладка, внедренная хакером, не сможет изменить данные в бумажном журнале. Регулярно сравнивайте текущую политику безопасности с той, которая описана в этом журнале. Создайте в системе несколько ловушек для хакеров. В роли ловушки может выступать, например, документ с заманчивым именем, прочитать который невозможно без использования программной закладки. Если система аудита зафиксировала успешное обращение к этому документу, значит, хакер сумел внедрить закладку в защищаемую систему. Регулярно необходимо тестировать политику безопасности, принятую в системе, специальными программами (satan, с2test и т.д.). Результаты работы этих программ нужно рассматривать как информацию к размышлению. Если программа тестирования говорит, что защищенность системы очень низка, необходимо посмотреть, к каким угрозам уязвима ваша система по мнению этой программы. Возможно, для данной системы эти угрозы неактуальны. Если же программа тестирования, наоборот, сообщает, что с защитой в вашей системе все в порядке, это еще не повод успокаиваться.