Перед тем как приобрести привлекательно упакованный продукт для обеспечения безопасности, проверьте, не выпустила ли компания Microsoft аналогичное средство, за которое не нужно платить. Например, программа Microsoft Windows 2000 Internet Server Security Configuration Tool осуществляет сбор информации о том, какие службы необходимо обеспечить, каким образом должен функционировать сервер, после чего генерирует и применяет политику для соответствующей настройки сервера. Другие стандартные базовые средства Windows помогут определить возможные уязвимые места. Ниже приведены примеры таких средств.

• Netstat.exe. Отображает статистику протокола, текущие подключения TCP/IP, все соединения и порты в режиме ожидания.
• Nbstat.exe. Отображает статистику протокола и текущие подключения TCP/IP, использующие NetBIOS через TCP/IP (NBT).
• Net Share. Создает, удаляет или отображает каталоги, к которым открыт общий доступ на сервере.

Эти программы расположены в папке WINNT\System32, но вы могли переместить их на диск с утилитами, о котором говорилось в лекции 3. В разделе "Утилиты Windows 2000" в справке Windows 2000 объясняется использование этих средств. Например, простым способом проверки открытого состояния только необходимых портов является ввод команды Netstat –a в командной строке. Будут отображены все открытые соединения и порты, находящиеся в режиме ожидания на компьютере. Если обнаружится, что открыт порт, приведенный в списке по адресу www.doshelp.com/trojanports.htm, то, скорее всего, на компьютере есть "троянский конь".

Совет. Пакет Windows 2000 Server Resource Kit поставляется с программой System Scanner от Internet Security Systems (ISS), он содержит тесты трехсот уязвимых мест для Windows. Этот компонент не устанавливается автоматически, поэтому запустите файл Sysscansetup.exe в папке Apps\Systemscanner на компакт-диске пакета программ.

К сожалению, несмотря на наличие большого количества функций, этот бесплатный пакет придется дополнить некоторыми средствами безопасности для обеспечения защиты сервера IIS.

Опасайтесь демонстрационных файлов и образцов

Перед приобретением новых программ для обеспечения безопасности примите к сведению следующее. Чтобы понять, как работает продукт, необходимо ознакомиться со справочной документацией, прилагаемой к нему. В ней часто содержатся примеры и демонстрационный исходный код. Эти примеры являются лишь примерами, и не более, их ни в коем случае нельзя устанавливать на создаваемый сервер. Это относится и к демонстрационным файлам, доступным на http://localhost.

Будьте в курсе событий

Необходимо оставаться в курсе новых событий, связанных с IIS и средствами безопасности, приобретаемых для защиты сервера, так как программное обеспечение постоянно обновляется в результате открытия новых уязвимых мест.

Крупнейшие производители программного и аппаратного обеспечения предоставляют на своих сайтах техническую поддержку и помощь в конкретных ситуациях (эти справочные данные не всегда легко найти). Создайте закладки для таких сайтов и подпишитесь на все рассылки новостей и форумы, в которых идет речь об интересующих вас продуктах.

Всем пользователям продуктов Microsoft имеет смысл работать с материалом NTBugTraq, расположенным по адресу www.ntbugtraq.com. Сразу после выпуска новой надстройки или обновления изучите этот компонент перед установкой на сервер, так как даже в новых версиях сохраняется риск присутствия ошибок. Сопоставьте риск немедленного применения продукта с последствиями в виде отключения защиты служб или их самих, прежде чем утверждать, что новое программное обеспечение не окажет негативного влияния на работу сервера.

Управление надстройками состоит из множества процессов, поэтому оно требует создания журнала аудита, анонсирования и предварительного просмотра, создания тестовых процедур и хорошо продуманного плана возврата к исходному состоянию. Необходимо знать также, какие версии программных продуктов поддерживаются, так как, скорее всего, вы не сможете получить надстройки для неподдерживаемых версий программного обеспечения. Старайтесь находить техническую поддержку и обновлять политику перед выполнением каких-либо действий. Например, Microsoft предоставляет уведомления об окончании поддержки продукта или версии продукта за шесть месяцев по адресу support.microsoft.com/directory/discontinue.asp.

Сетевые экраны

Первое существенное повышение безопасности веб-сервера IIS – это защита с помощью сетевого экрана. В лекции 6 обсуждалась роль сети в защите веб-сайта и других информационных ресурсов, а также говорилось о важности сетевого экрана как периметрового средства защиты. Сетевой экран, как правило, является системой, усиливающей политику контроля доступа между двумя сетями, обеспечивая защиту доверенной сети от сети без доверия с помощью контроля потока данных. Интернет всегда является сетью без доверия, однако и области внутренней сети могут требовать защиты (например, совершенно не обязательно предоставлять всем сотрудникам компании доступ к файлам счетов отдела). Сетевые экраны часто называются шлюзами, так как они представляют собой входы и выходы внутренней и внешней сети. Так как сетевой экран является точкой фильтрации данных, он усиливает политику безопасности и обеспечивает работу дополнительных служб, таких как шифрование и дешифрование проходящего через него трафика.

Многие администраторы уверены, что для защиты веб-сервера и его ресурсов достаточно одного сетевого экрана, который зачастую используется без предварительных исследований конкретного сервера. Сетевой экран эффективен при правильном использовании, лишь в этом случае он обеспечивает необходимое управление и аудит, соответствующие политике безопасности. При правильном выборе сетевого экрана намного легче использовать виртуальные частные сети (VPN) и системы выявления вторжений IDS. При выборе сетевого экрана необходимо ознакомиться с его инструкцией, чтобы понять, как он устроен и какие использует технологии.

Технологии, используемые в сетевых экранах

Для работы сетевого экрана необходимы следующие условия.

• Весь исходящий и входящий трафик должен проходить через сетевой экран.
• Через сетевой экран должен проходить только санкционированный трафик, определенный политикой безопасности.
• Сама система должна быть непреодолима для вторжений.

Сетевые экраны подразделяются на три типа в зависимости от наличия истории соединений и поддерживаемого уровня протокола.

• Сетевые экраны пакетного уровня. Анализируют входящие и исходящие пакеты на сетевом и транспортном уровнях и фильтруют их по IP-адресам источника и пункта назначения.
• Сетевые экраны proxy. Устанавливают соединение с удаленным узлом со скрытием и защитой отдельных компьютеров в сети сетевым экраном, который выступает в роли этих компьютеров и выполняет все функции по дальнейшей передаче пакетов.
• Сетевые экраны, осуществляющие адаптивную проверку пакетов. Функционируют на сетевом уровне, отслеживая каждое подключение, проходящее через сетевой экран, для проверки его корректности. Посредством проверки не только информации заголовка, но и содержимого пакета, вплоть до уровня приложения, сетевой экран осуществляет фильтрацию по контексту, установленному предшествующими пакетами.

Современные сетевые экраны, называемые гибридными, объединяют в себе различные методы обеспечения безопасности. Давайте проведем обзор каждого метода, чтобы понять, каким образом они способствуют защите.

Фильтрация пакетов

Сетевые экраны выполняют различные виды фильтрации пакетов. Маршрутизатор отслеживает пакеты на уровне IP и фильтрует их при проходе между интерфейсами маршрутизатора согласно установленному набору правил. Фильтрация может осуществляться по типу протокола, IP-адресам источника и пункта назначения, а также по исходным и конечным портам. Это позволяет пропускать определенные типы сообщений, например, запросы HTTP, но задерживать другие пакеты. Фильтры пакетов не проверяют данные пакетов, не могут выполнять фильтрацию по содержимому, что означает возможность прохождения потенциально опасного трафика.

Фильтрация пакетов уязвима и к атакам с помощью фрагментированных пакетов. Пакеты не запоминаются после фильтрации, поэтому нельзя определить, была ли попытка соединения вредоносной. Как отдельная линия обороны фильтрация пакетов довольно слаба, поэтому во многих сетевых экранах используются прокси-службы для повышения контроля доступа к системе. Еще одним преимуществом комбинирования двух методов является то, что не требуется устанавливать сложные правила фильтрации, так как фильтру пакетов необходимо пропускать только трафик, направленный на прокси, и блокировать все остальные пакеты. Более простые правила легче применять и, следовательно, проще обеспечить их правильную настройку.

Прокси-службы

Главным различием между прокси-службами и фильтрами пакетов является то, что фильтры пакетов обрабатывают отдельные пакеты, в то время как прокси-служба контролирует весь сеанс соединения с сервером, направляя или выполняя фильтрацию подключений к запрошенным службам, таким как HTTP, FTP и Telnet. Прокси-службы работают на прокси-сервере, называемом шлюзом приложений, и выступают в роли сети, т.е. являются заместителями. Все запросы на доступ к службе фиксируются на шлюзе приложений, который открывает новый сеанс связи с запрошенной службой, чтобы все пакеты отправлялись и принимались от шлюза, а не от узлов, расположенных на сетевом экране. Со стороны внешнего узла это выглядит так, будто установлено соединение с сетевым экраном, и ничего не известно об узлах, расположенных внутри сетевого экрана. Так скрывается конфигурация внутренней сети.

Шлюз приложений определяет, для какого приложения выполняется прокси-служба, и осуществляет проверку проходящих данных. Это усиливает различные правила контроля доступа для аутентификации трафика перед отправкой к внутренним узлам, а также для более эффективного ведения журнала. Существует пять основных типов шлюзов приложений: шлюз сетевого уровня, шлюз отслеживания трафика, шлюз отслеживания команд, шлюз отслеживания типа содержимого и шлюз отслеживания политики. Устройства, отслеживающие команды и типы содержимого, обеспечивают наивысший уровень контроля и защиты. Устройства, отслеживающие команды, разделяют потоки данных на отдельные команды и ответы и могут, например, различать команды FTP GET и FTP PUT. Такое прокси-устройство ведет журнал имен файлов, передаваемых через шлюз. Шлюз, отслеживающий типы приложений, расширяет перечисленные возможности посредством проверки формата содержимого, что позволяет фильтровать трафик для блокировки вредоносного кода. Такое устройство блокирует передачу через HTTP документов Word и Excel, содержащих макросы. Вам потребуется программное обеспечение прокси для каждого типа приложения, поддержку которого нужно обеспечить, причем самостоятельно указывать нужно только нестандартные типы.

Адаптивная проверка или интеллектуальная фильтрация сеанса

В то время как шлюзы приложений имеют доступ только к уровню приложения, а маршрутизаторы – только к нижним уровням, адаптивная проверка объединяет информацию, собранную со всех уровней, для обеспечения контроля сеанса, а не отдельных пакетов. С помощью детализированных данных о правилах связи для каждого протокола адаптивная проверка фиксирует сведения об отправленных исходящих пакетах и позволяет преодолеть сетевой экран только пакетам, являющимся ответными на указанные отправленные пакеты. Сетевой экран проверяет пакеты на наличие симптомов атаки (например, IP-прослушивание, "смертельный ping" и др.). Любая попытка доступа во внутреннюю сеть, не являющаяся ответом на запрос сети, отклоняется. На такую фильтрацию уходит больше процессорного времени, нежели на фильтрацию пакетов, но меньший объем работы, чем для обработки приложений; не нужно создавать новое прокси каждый раз, когда требуется новая служба.

Какие элементы отслеживаются пакетными фильтрами

Для понимания принципов работы сетевых экранов необходимо иметь базовое представление о том, как данные передаются через интернет посредством TCP/IP, и как функционирует базовый сетевой экран с фильтрацией пакетов.

TCP/IP (Transmission Control Protocol/Internet Protocol) представляет набор протоколов, двумя из которых являются TCP и IP. Протоколом называется предопределенный метод связи. Каждый отдельный аспект связи или передачи данных через TCP/IP поддерживается соответствующим уровнем протокола TCP/IP. Например, сетевой уровень отвечает за способ доставки данных до пункта назначения.

При передаче через TCP/IP данные находятся в пакетах, являющимися базовыми единицами передачи информации. Пакеты содержат сами данные и информацию заголовка, состоящую из набора контрольных сумм, идентификаторов протокола, исходных и конечных адресов и информации о состоянии. Каждый уровень добавляет свою собственную информацию в заголовок пакета предыдущего уровня.

Фильтры пакетов работают на сетевом и транспортном уровнях стека протоколов TCP/IP. Каждый пакет и заголовки сетевого и транспортного уровней проверяется на следующие данные:

• протокол;
• исходный адрес;
• конечный адрес;
• исходный порт;
• конечный порт;
• состояние подключения.

Фильтрующее устройство сопоставляет значения этих полей с установленными правилами, после чего передает пакет дальше или отбрасывает его. Многие фильтры позволяют определять дополнительные критерии на канальном уровне, например, сетевой интерфейс, на котором должна происходить фильтрация.

Что же выбрать?

Перед приобретением сетевого экрана необходимо разработать политику доступа к службам, определяющую, какие службы разрешены и запрещены для доступа из сети без доверия, а также исключения из правил. Эта политика установит возможности сетевого экрана, например, шифрование и поддержку VPN. Необходимо, чтобы сетевой экран поддерживал политику безопасности и исключал ее нарушение из-за ограничений в устройстве. После выбора сетевого экрана политика его применения определит правила, необходимые для доступа к сетевым службам.

Важно. Политика безопасности доступа должна основываться на принципе: "Запрет всего, что не разрешено", соответствующем классической модели доступа, используемой в защите информации.

Скорость является одним из решающих факторов при выборе устройства, в особенности, если вы только что столкнулись с нарушением безопасности. Аппаратные сетевые экраны имеют большое преимущество над программными устройствами, так как их программное обеспечение установлено на аппаратной платформе, что позволяет быстро установить и использовать их. Они также обеспечивают высокую доступность и баланс загрузки (но не большую безопасность). Оба типа устройств должны быть настроены корректно!

Высокая доступность, присущая таким устройствам, как Nokia IP600, означает, что если сетевой экран утратит свои функциональные возможности, он станет прозрачным переходом ко второму сетевому экрану. Это, скорее всего, не будет критичным обстоятельством, если только вы не работаете в рамках крупного поставщика услуг интернета или в аналогичной среде. Для обеспечения высокой доступности с помощью программного экрана нужно приобрести два набора аппаратных и программных компонентов, после чего установить поверх них такой пакет, как, например, Stonebeat от Stonesoft (www.stonesoft.com).

Программные сетевые экраны полезны, когда главной целью является обеспечение гибкости и масштабируемости. Тем не менее, конфигурирование экранов с расширенными возможностями займет больше времени и, следовательно, может вам многого стоить.

Для обеспечения шифрования между сайтами нужен сетевой экран со встроенными функциями по обеспечению канала виртуальной частной сети (VPN) с поддержкой технологии IPSec и безопасным удаленным VPN-клиентом. VPN и потоковые данные влияют на производительность системы, поэтому сетевой экран должен иметь достаточный объем оперативной памяти для поддержки большого числа одновременных соединений. Корпоративные сетевые экраны высшего уровня, например, Cisco PIX, обеспечивают пропускную способность более 1 Гб/с с поддержкой до 500 000 одновременных соединений.

Лучшие сетевые экраны мира

Сейчас у вас на руках имеется перечень необходимых и желательных функций, которые должен обеспечивать сетевой экран. Невозможно сказать, какой сетевой экран является самым лучшим, ведь они применяются в различных средах, поэтому мы расскажем лишь о нескольких ведущих продуктах, имеющихся сегодня на рынке информационных технологий.

Совет. Ежегодное издание компании ICSA Labs "Справочник покупателя сетевого экрана" ("Firewall Buyer’s Guide"), расположенное по адресу http://www.icsalabs.com/html/communities/firewalls/index.shtml, познакомит вас с требованиями к сетевому экрану. (ICSA Labs является частью корпорации TruSecure Corporation, которая также публикует издание NT Bugtraq.)

Экран следующего поколения Check Point FireWall-1

Самый известный сетевой экран FireWall-1 (www.checkpoint.com) имеет интуитивно понятный пользовательский интерфейс, позволяющий администраторам легко устанавливать, изменять и просматривать правила политики безопасности.

FireWall-1 обеспечивает защиту сетевого экрана, VPN, трансляцию сетевых адресов, качество и класс предоставляемых услуг передачи данных (QoS), программное управление распределением и безопасность клиента VPN и работает с последними версиями Windows, Solaris и RedHat Linux. Каждому, кто столкнулся с задачей управления сетевым экраном, рекомендуется испытать работу с FireWall-1. Данным продуктом легко управлять (администратор корпоративной сети может централизованно контролировать политику безопасности), поэтому эффективность работы возрастет в несколько раз.

На рисунке 9.1 показана программа FireWall-1 Policy Editor, с помощью которой осуществляется доступ к определению объектов и параметрам безопасности.

Семейство экранов Cisco PIX

Сетевые экраны Cisco PIX (www.cisco.com) представляют собой сконструированные для специальных целей устройства, использующие собственную защищенную операционную систему, исключающую наличие признаков многоцелевых операционных систем.

Эти сетевые экраны варьируются от небольших настольных устройств для малых сетей до устройств высшей категории, предназначенных для защиты корпоративных сетей и сред поставщиков услуг связи. В последних используется больший спектр технологий, начиная с адаптивной проверки пакетов и заканчивая фильтрацией содержимого, встроенного обнаружения вторжений, поддержкой VPN через протоколы IPSec и L2TP. Управление осуществляется через веб-интерфейс, позволяющий составлять интерактивные отчеты и отчеты за определенный промежуток времени. Установка и настройка данных устройств не представляет особой сложности, если вы уже знакомы с другими продуктами Cisco.

CyberwallPLUS-SV от Network-1 Security Solutions

При небольшом количестве работающих серверов Windows NT или Windows 2000 и ограниченном бюджете рекомендуется использовать сетевой экран CyberwallPLUS-SV от компании Network-1 Security Solutions, Inc. (www.network-1.com). Это устройство применяется как расширение ядра операционной системы Windows посредством окружения ядра ОС барьером, защищающим его от сетевых атак. В основе CyberwallPLUS-SV лежит многоуровневая система адаптивной проверки. Документации по данному устройству не так-то много, и, кроме того, имейте в виду, что в конфигурации по умолчанию этого экрана открыты все порты! Тем не менее, его большим преимуществом является относительная дешевизна, а также простота установки, администрирования и обслуживания.

Internet Security and Acceleration Server 2000 от Microsoft

Microsoft Internet Security and Acceleration (ISA) Server 2000 (www.microsoft.com/ISAServer/) представляет собой комбинированный сетевой экран корпоративного класса и кэш-сервер интернета, интегрируемый с Windows 2000 для защиты на основе политики безопасности. Сетевой экран обеспечивает фильтрацию на пакетном, сетевом уровне и уровне приложения, адаптивную проверку, контроль политики доступа и маршрутизацию трафика. Кэш-сервер улучшает производительность сети. Сетевой экран и кэш-сервер можно установить раздельно на выделенных серверах либо на одном компьютере. Для настройки сервера ISA используется уже знакомая вам консоль Microsoft Management Console (см. рис. 9.2).

Для Windows-сети рекомендуем использовать именно это устройство. ISA обеспечивает простоту управления политикой, маршрутизацией трафика и публикацией сервера, а также действиями сотрудников, работающими в интернете.

Совет. Несмотря на то, что сетевой экран играет решающую роль в защите сервера, сети и расположенных в ней ресурсов, не следует полагаться только на него. При наличии любого типа периметровой защиты, если атака инициирована внутри сети, все средства безопасности окажутся бесполезными, т.к. не смогут предотвратить злоупотребление авторизованным доступом сотрудником компании. Некоторые сетевые экраны настраиваются на проверку входящих данных на наличие признаков вирусов и "троянских коней", но эта проблема решается при помощи соответствующего антивирусного программного обеспечения и сканера вирусов. Об этих системах речь пойдет далее.

Системы обнаружения вторжений

Для обеспечения хорошей защиты веб-сервера необходимо наличие нескольких уровней безопасности. В то время как сетевой экран обеспечивает контролируемую точку доступа к серверу IIS, целью систем обнаружения вторжений (IDS) является корректная идентификация несанкционированных действий. Системы IDS автоматизируют процесс обнаружения аномалий в сети посредством сбора информации из различных ее точек и анализа на наличие тревожных признаков. Данные устройства являются пассивными, и большинство из них не может блокировать сетевой трафик или контролировать доступ в сеть.

Принципы работы систем обнаружения вторжений

Система IDS проверяет пакеты сетевого трафика для идентификации угроз, разрушающих периметровую защиту, исходящих как от санкционированных, так и от несанкционированных пользователей. Данный процесс осуществляется при помощи сопоставления строк и анализа контекста согласно набору правил, определяющему искомые объекты. Эти правила варьируются в зависимости от роли пользователя и основываются на наборе следующих показателей и параметров.

• Защита входа. Определенные события, например, неудачный вход.
• Профили. Анализ непосредственного использования в сравнении с базовым профилем.
• Признаки известных атак. Обнаруживаемая сетевая активность, относящаяся к таким явлениям, как некорректные заголовки TCP или неожиданные массовые рассылки электронных сообщений.

Функция сравнения строк выполняет поиск последовательности символов для выявления возможных угроз. Анализ контекста, известный как анализ признаков, построен на аналитическом сценарии сравнения контекста строк. Сравнение строк осуществляется быстро, и оно склонно к выявлению ложных опасностей. Анализ контекста уменьшает количество ложных обнаружений, но занимает больше времени.

Системы IDS высшего класса полностью декодируют протоколы для выявления пакетов и их содержимого для всестороннего исследования с применением больших баз данных признаков атак. Можно настроить IDS на нужное соответствие скорости работы и качества, а также расширить базу данных признаков для идентификации любых уникальных сетевых характеристик. Настройка систем обнаружения вторжений на уменьшение ошибочных тревог предназначена для предотвращения большого количества ложных обнаружений, из-за которого возрастает объем лишней работы и обеспокоенность пользователей. Необходимо четко определить метод обработки всех тревог системы IDS для обеспечения действий по реагированию на возможную атаку. Это следует сделать до включения системы в работу.

Совет. Работа системы обнаружения вторжений основывается на правилах и заключается в распознавании и реагировании на бесчисленное множество возможных атак, поэтому система может пропустить атаку. Эту опасность можно снизить, обеспечив соответствие правил известным атакам и постоянное наблюдение за сетевой активностью. Ложное срабатывание представляет собой тревогу, сгенерированную системой IDS в результате событий, на самом деле не являющихся атакой. Примером такой ситуации может быть резервное копирование пользователем всей папки проекта на съемный носитель для вполне легальных целей.

Многие приложения IDS автоматически реагируют на нарушение правил, например, отправляют сообщение электронной почты администратору или отключают привилегии пользователя. Они ведут запись сведений об использовании сети для дальнейшего подробного анализа событий. Вследствие огромного объема фиксируемых данных многие системы IDS содержат анализаторы журналов, о которых пойдет речь далее.

Используются два типа IDS: узловые системы обнаружения вторжений (HIDS) и сетевые системы обнаружения вторжений (NIDS). В большой сети следует использовать оба типа устройств, а в малой – систему NIDS.

Узловая система обнаружения вторжений

Система HIDS представляет собой приложение, устанавливаемое на жизненно важные узлы демилитаризованной зоны, например, на веб-сервер, и отслеживающее события только на этом устройстве. Устройства HIDS фиксируют аутентификацию пользователей, процессы приложений, подключение и изменение файлов для обнаружения атак типа Back Orifice или атак замедленного действия. Для экономии процессорного времени эти системы настраиваются на отслеживание активности определенных программ, например, автоматическое выполнение макросов и активность признаков вирусов-червей.

Централизованные узловые IDS (CHIDS) являются разновидностью HIDS, в которой реализовано централизованное управление анализом посредством отправки отслеженных файлов, журналов и параметров реестра центральной консоли анализа. Это свойство повышает безопасность устройств, так как вся важная информация отправляется за пределы узла, что обеспечит анализ данных даже в случае нарушения его защиты. Гибридные IDS дополняют технологию HIDS отслеживанием сетевого трафика, входящего или исходящего от определенного узла. Технология NIDS, в отличие от HIDS, отслеживает весь сетевой трафик на предмет атак, использующих соединения между компьютерами сети.

Предупреждение. Помните, что необходимо принимать в расчет наличие персонала для установки и обслуживания продуктов, обеспечивающих комплексную безопасность. Многие из обсуждаемых продуктов предъявляют повышенные требования к системе. Например, система обнаружения вторжений (IDS) генерирует гигабайты данных журнала и отнимает большое количество аппаратных ресурсов. Может понадобиться обновление оборудования, которое по цене в некоторых случаях превышает стоимость самой системы IDS. Необходимо найти оптимальное соотношение между требованиями к системе и вашим бюджетом.

Сетевые системы обнаружения вторжений

Система NIDS представляет собой своеобразный щит перед сетью, обеспечивающий отслеживание входящего и исходящего трафика для выявления атаки до того, как она откроет доступ к ресурсам сети. Среди всех технологий IDS NIDS обеспечивает самый широкий спектр действий и обнаруживает наибольшее число атак, включая атаки на отказ в обслуживании.

NIDS следует применять в сегменте сети, расположенном с внешней стороны от демилитаризованной зоны, и затем непосредственно в сегменте DMZ. Это позволит отслеживать любую активность во внешней среде и в демилитаризованной зоне. Система NIDS состоит из набора приложений-агентов, стратегически расположенных внутри сети для отслеживания сетевой активности, и представляет собой как аппаратное, так и программное устройство.

Совет. Система обнаружения не только обеспечивает безопасность. Одной из наиболее серьезных проблем современного бизнеса является злоумышленное использование внутренней сети. Система IDS может собирать информацию об использовании сети сотрудниками, отслеживая выполняемые задачи, затраты ресурсов или превышение полномочий.

Выбор системы обнаружения вторжений

Индустриальные стандарты предусматривают использование как NIDS, так и HIDS. Если вы не можете себе позволить обе системы, для защиты сети сначала примените NIDS, а затем HIDS. Система NIDS обеспечит большую детализацию сетевого трафика, так как HIDS предоставляет информацию об определенном компьютере или сервере, а информация о трафике в этой системе не предусмотрена. Многие системы NIDS блокируют атаку и предотвращают несанкционированный доступ хакера.

Несмотря на то, что эти методы различны по своей эффективности, они выполняются в реальном времени и, следовательно, потенциально ограничивают ущерб, который может причинить атака. Так как системы HIDS основаны на анализе файлов журналов, они предоставляют информацию об атаке только после ее проявления. Гибридные IDS позволяют реагировать в реальном времени, однако обеспечивают защиту только определенного узла. Наконец, системы NIDS часто взаимодействуют с другими системами периметровой защиты посредством динамического обновления политик для обработки угроз в реальном времени.

Необходимо, чтобы выбранная система IDS удовлетворяла как настоящим, так и будущим требованиям. Важным аспектом является степень конфигурирования, так как настройка системы позволяет адаптировать IDS к вашей уникальной среде и повысить смысловое значение генерируемых данных. Так как IDS работает в качестве сигнализации проникновения, необходимо обеспечить соответствующее реагирование в случае тревоги. Для этого разработайте политику реагирования, заключающуюся в создании и всестороннем тестировании процедур на случай проявления вредоносной атаки.

Для обеспечения простоты IDS следует приобретать систему на отдельном аппаратном оборудовании, а не программный компонент, применение которого может занять больше времени. Можно создать систему IDS посредством комбинирования персональных и корпоративных сетевых экранов с журналами, их автоматизированными анализаторами и устройствами для прослушивания пакетов. В малой сети часто оказывается более разумным применение самостоятельно сконструированных устройств, если есть опыт собственных разработок.

Рекомендуемые продукты

Следующие продукты содержат весь спектр устройств IDS. Выбор нужного продукта зависит от вашей сети и вашего бюджета. Все они поддерживают автоматическое обновление признаков атак, удаленное управление, методы предотвращения злоумышленных действий и их обнаружение.

Важно. Смените все пароли по умолчанию (которые нередко попросту пусты), имеющиеся в устанавливаемых программах, в особенности в тех, которые создают учетную запись. Пренебрежение этой мерой предосторожности может привести к использованию хакерами хорошо известных паролей.

Сетевой экран с функциями маршрутизатора NETGEAR представляет собой хороший комбинированный сетевой экран начального уровня и NIDS для небольшой сети, а устройство RealSecure для Nokia является полнофункциональным программно-аппаратным устройством. Устройство LANguard Security Event Log Monitor & Reporter (S.E.L.M.) (см. рис. 9.3) использует журналы событий Windows 2000 в режиме реального времени для уведомления о событиях системы, связанных с безопасностью, поэтому его действие не ослабляется шифрованием IP-трафика или высокоскоростной передачей данных. Если сеть состоит из одного сервера и пяти рабочих станций, вы получаете все эти возможности совершенно бесплатно!

В таблице 9.1 приведено сравнение некоторых устройств IDS различных производителей.

Совет. Если ваш бюджет ограничен, в интернете найдется множество "самодельных" программ IDS, однако помните, что в этом случае их поддержка либо недостаточна, либо вовсе отсутствует. Хорошо известной бесплатной системой IDS является Snort; множество IDS и информация о них имеется в поисковой системе Google по адресу http://directory.google.com/Top/Computers/Security/Intrusion_Detection_Systems/.

IDS обеспечивают защиту от использования как новых, так и старых уязвимых мест, а также от любых пробелов в безопасности, присутствующих в используемом программном обеспечении. IDS рассматриваются многими специалистами в области безопасности компьютерных сетей как средства, реально обеспечивающие гибкую безопасность, так как они делают защиту сети менее зависимой от установки обновлений.

Многочисленные исследования показывают, что большинство атак выполняется посредством использования известных угроз, патчи для которых были доступны на протяжении месяцев, а то и лет. Постоянный мониторинг системы не обеспечит полной безопасности, однако появится больше шансов на обнаружение и пресечение действий хакера, независимо от того, какое слабое место использовалось для несанкционированного доступа.

Анализаторы журналов

Файлы журналов, генерируемые сетевыми экранами, маршрутизаторами, системами обнаружения вторжений, почтовыми серверами и веб-серверами, полезны только в том случае, если вы их изучаете, однако многие системные администраторы просматривают их лишь поверхностно. В действительности журналы являются ценнейшими источниками информации о трафике и сетевой активности.

Анализаторы журналов часто являются ключевыми компонентами систем IDS, однако в случаях с большими сетями требуется очень мощный анализатор. Как говорилось в лекции 5, функции IIS выходят за рамки ведения журналов событий или мониторинга производительности Windows 2000. Даже небольшой сайт может сгенерировать значительный объем информации, который невозможно обработать вручную. Как обнаружить в файле журнала, фиксирующего действия пользователей, наличие учетной записи начальника отдела продаж, используемой для доступа к записям о клиентах в то время, когда он находится в отпуске? В сетевой среде с десятками, сотнями или тысячами узлов даже специализированный персонал сетевых администраторов не сможет обработать гигабайты данных, сгенерированных во время использования сети. Анализаторы журналов представляют собой наилучший способ выполнения этой работы.

Сбор улик

Анализаторы журналов автоматизируют процесс аудита и анализа журналов сети и сообщают о том, что случилось или что происходит, посредством выявления несанкционированной активности или аномальных событий. Эта обратная связь используется для усовершенствования системы IDS или наборов правил сетевого экрана. Она представляет собой основу для целенаправленного обнаружения атак, уменьшения злоупотребления сетью и усиления политики безопасности. Некоторые анализаторы журналов включают интерактивное ведение базы данных, алгоритмы информационной проходки, графическое представление и искусственное интеллектуальное предупреждение атак.

Рекомендации и ресурсы

Если вы отвечаете за большую корпоративную сеть, анализатор журналов должен иметь возможность сбора и подсчета событий журналов с многочисленных сетевых устройств с сохранением их в одном централизованном месте. Он должен также защищать целостность данных журнала на тот случай, если они понадобятся в судебном процессе.

В таблице приведены сведения о продуктах, интегрирующих приложения и устройства безопасности от различных производителей.

Сканеры вирусов

19 июля 2001 г. более 350 000 компьютеров были заражены червем Code-Red в течение 13 часов. На пике активности червя за каждую минуту заражалось более двухсот новых узлов. Вирусы наносят огромный ущерб любой организации за счет резкого снижения производительности сети, нарушения конфиденциальности клиентов и падения морального духа ее сотрудников. Помочь в обнаружении опасных червей и вирусов могут сканеры вирусов.

Важно. Подавляющее большинство червей и вирусов за последние несколько лет было направлено на веб-браузеры и клиенты электронной почты. В процессе борьбы с вирусами необходимо обновлять эти два приложения с помощью соответствующих надстроек.

Как работают сканеры вирусов

Сканеры вирусов различными способами осуществляют попытки корректного обнаружения вирусов. Они используют сравнение признаков, просматривая содержимое файлов для поиска строки байтов, соответствующей аналогичному элементу в базе данных известных вирусов. Так обнаруживается большинство известных вирусов, но для вирусов, использующих полиморфизм для изменения своего кода, сканеры должны работать по более сложным алгоритмам проверки. Эти алгоритмы заключаются в обработке файлов в режиме эмуляции реального времени для отслеживания полиморфической машины и распознавания вируса.

Эвристическое или режимное сканирование анализирует файлы на наличие подозрительного, похожего на вирус кода, например, вызывающего в определенное время поиск файлов с расширениями .com и .exe, что позволяет выявлять неизвестные вирусы до того, как они заразят компьютер. Сканеры вирусов должны постоянно обновляться, чтобы соответствовать расширяющемуся диапазону потенциально подверженных инфицированию объектов и использовать при поиске признаки самых последних вирусов.

Альтернатива – блокировка

Некоторые антивирусные программы используют иной подход к обнаружению вирусов, заключающийся в отслеживании активности приложений. Например, программа StormWatch от Okena, Inc. (www.okena.com) располагается рядом с ядром операционной системы и в режиме реального времени перехватывает запросы на ресурсы для разрешения/запрета к ним согласно установленным правилам контроля доступа. Этот метод предотвращает запуск несанкционированных программ как пользователями, так и вирусами, и является эффективным способом предотвращения неизвестных атак. В отличие от традиционных программ-сканеров, обнаруживающих признаки вирусов, StormWatch не проверяет содержимое и, следовательно, не оказывает практически никакого влияния на производительность системы. В ней также содержатся политики по умолчанию для IIS, обеспечивающие готовую защиту от SYN-флудов, распределенного сканирования портов, сетевых червей и "троянских коней". Подход с применением блокировки весьма полезен, если сервер IIS установлен на отдельном сервере и точно известно, какие программы должны на нем выполняться.

Централизация и взаимодействие

При обеспечении защиты информации необходимо держать курс на слияние антивирусных средств с безопасностью сети. Многие поставщики выпускают продукты с централизованным контролем средств безопасности, даже если они защищают различные части сетевой инфраструктуры, например, шлюзы электронной почты и серверы. Все новые и новые вирусы, такие как червь Nimda, могут атаковать сети, проникая в систему в виде приложения к сообщению электронной почты или через веб-браузер. Распределяя информацию среди различных средств безопасности, можно обнаружить самые последние проявления вредоносного программного обеспечения.

Шагом вперед в области унифицированных средств является программа Web Security от Symantec, выполняющая сканирование электронной почты на некорректное содержимое, например, на наличие непристойностей, а также на вирусы. Еще одной подобной программой является ePolicy Orchestrator от McAfee, которая централизованно управляет и усиливает защиту антивирусных программ и политики для продуктов McAfee и Symantec. При планировании атаки хакеры изучают систему со всех сторон, поэтому антивирусные программы, выполняющие те же действия, являются шагом в правильном направлении.

Важные свойства антивирусного программного обеспечения

Ключевым фактором в оценке антивирусной программы является аккуратность поиска вирусов, заключающаяся в правильности отделения вирусов от безопасного содержимого, поэтому необходима точка централизованного управления для эффективной защиты сети и сервера IIS. Большая часть сканеров отличается друг от друга в возможностях сканирования не более чем на два процента, поэтому основными их различиями является масштабируемость, управляемость и простота использования. Важными свойствами сканеров также являются скорость сканирования, лечение зараженных объектов, автоматическое обновление и круглосуточная техническая поддержка.

Хороший сетевой антивирусный пакет программ поддерживает сканирование сжатых файлов, обнаруживает макровирусы, выявляет вирус в любом месте его проникновения в систему и останавливает его распространение с рабочих станций на серверы и наоборот. Для минимизации затрат ресурсов антивирусное программное обеспечение должно выполнять сканирование без существенного воздействия на операции с файлами, а также лечить большую часть файлов "на лету".

Популярные сканеры вирусов

Программа WebShield SMTP от McAfee (www.mcafee.com) представляет собой независимый от сетевого экрана шлюзовой сканер вирусов, останавливающий действие вирусов и блокирующий массовые рассылки электронной почты (спам) перед их проникновением в сеть. Эта программа автоматически отслеживает передачу сообщений электронной почты по сети для обнаружения активности, присущей новым вирусам. Среди других возможностей необходимо отметить фильтрацию содержимого, автоматические обновление, возможность удаленного управления, уведомления об опасных ситуациях и составление отчетов. Обеспечивая блокировку файлов на входе или выходе из сети в зависимости от их размера или имени, он осуществляет контроль над внутренними пользователями.

Программа Anti-Virus от компании Sophos (www.sophos.com) объединяет централизованное управление, контролирующее установку программ в сети, и автоматизированное обновление всех компьютеров из определенного места. Все проявления вирусов в сети учитываются в центральном журнале; кроме того, Sophos Anti-Virus осуществляет централизованное составление отчетов и вывод сообщений. Она отслеживает сообщения электронной почты, загрузку файлов из интернета, программы общего пользования и архивные файлы, дополняя шлюзовую защиту, обеспечиваемую компонентом Sophos MailMonitor, аналогичным McAfee WebShield.

Пакет программ Norton AntiVirus Corporate Edition от Symantec (www.symantec.com) предлагает централизованное управление политикой рабочих станций и серверов, позволяющее настраивать политики для обновления и правильного конфигурирования систем. Рекомендуем использовать этот пакет программ в небольших сетях в силу хорошего соотношения цены/качества и простоты применения. На рисунке 9.4 изображена консоль Symantec System Center для централизованного управления. Установка клиентов настраивается с использованием определенного набора параметров (опций сканирования) в режиме реального времени, которые могут быть заблокированы администратором. Клиентам можно запретить остановку запланированных действий по сканированию. Контроль версии файла с признаками вирусов используется на всех серверах и клиентах, что обеспечивает защиту каждого компьютера автоматически обновляемыми файлами баз данных вирусов.

Важно. Дважды убедитесь в том, что антивирусное программное обеспечение функционирует правильно. Используйте проверочный файл EICAR (безвредный файл, обнаруживаемый антивирусными программами, как если бы это был вирус) для проверки корректности работы антивирусного продукта и соответствующей политики. Этот файл можно загрузить с сайта любого поставщика антивирусного программного обеспечения.

Осведомленность как мера безопасности

В дополнение к техническим средствам необходимо обеспечить человеческий фактор защиты сервера IIS. Большие денежные затраты и самые современные технологии не смогут самостоятельно обезопасить систему. Если вы не обучите сотрудников своей организации признакам опасностей и необходимым мерам по их пресечению, то вложения в технические средства превратятся в пустую трату денег. Код и сценарии, написанные без обеспечения безопасности, представляют собой "бреши" даже в добросовестно спланированной политике безопасности. Предположим, большинство сотрудников знает о том, насколько опасно открывать вложения электронной почты, но осведомлены ли они о том, почему важно сохранять пароли в тайне и всегда иметь идентификационные карточки при себе? Без обеспечения культуры безопасности, введение которой заставляет пересмотреть текущие взгляды на работу в сети, будет очень трудно обеспечить безопасность сети и ее ресурсов.

Все сотрудники должны быть достаточно осведомленными в области безопасности, полностью осознавать важность данных и процессов защиты, обеспечивающих их безопасность. Все сотрудники должны понимать требования безопасности относительно своих действий, беспрекословно выполнять соответствующие задачи как часть своей повседневной работы. Ведь обеспечение безопасности – это долг каждого сотрудника. Таким образом, безопасность не хаотично накладывается на повседневные задачи, а аккуратно встраивается в структуру организации, если сотрудники заинтересованы в этом как в компоненте успешного бизнеса, а не только как в применении новых информационных технологий.

Руководящий персонал также должен иметь представление об основных проблемах и аспектах безопасности. Передача взглядов и навыков от старших сотрудников младшему персоналу очень существенна в любой политике безопасности такого рода.

Совет. Материал Human Firewall Council, расположенный по адресу www.humanfirewall.org, содержит ресурсы, которые помогут понять важность обучения аспектам безопасности старших сотрудников; на этом сайте имеется бесплатная программа от PentaSafe Security Technologies, предназначенная для проверки уровня осведомленности сотрудников компании в области безопасности.

Внутреннее обучение или сторонние обучающие курсы?

Ответ на вопрос, каким образом обучить персонал компании, зависит от ресурсов организации. При наличии собственных служб обучения можно легко преобразовать конкретные политики безопасности в обучающий материал. Однако этот способ, скорее всего, применим только к крупным организациям, и в большинстве случаев для обучения сотрудников придется прибегнуть к сторонним ресурсам.

Сторонние обучающие организации предлагают курсы, соответствующие профилю политики безопасности организации. При этом необходимо четко фиксировать, кто прошел эти курсы и успешно подтвердил свои знания, так как это может быть весомым аргументом в суде. Этим организациям необходимо предоставить курсы для руководящего состава компании, а также для сотрудников, имеющих непосредственный доступ к важным аспектам бизнеса. В зависимости от области, к которой относится компания, можно привлечь прочих сотрудников, имеющих доступ к сети (например, службы очистки данных или партнеров по бизнесу). Это легче сделать с помощью стороннего преподавателя, так как ему удобнее осуществлять обучение в различных местах.

Контроль изменений

Многие администраторы IIS допускают ошибку, изменяя параметры функционирующего сервера IIS без выполнения цикла "изучи и примени" и заблаговременного планирования обслуживания.

Предотвращение потенциального ущерба от атак из интернета

Что будет, если, несмотря на все старания, кто-то проникнет в сервер IIS, изменит содержимое и нанесет ущерб сайту? Если атака пройдет незамеченной, то первым, от кого вы узнаете об атаке, будет клиент или пресса, на что, как правило, и направлен расчет злоумышленника. В данном случае понадобится быстрый и простой способ восстановления сайта. Можно восстановить сайт с резервных накопителей, но это, разумеется, выполняется вручную.

Повреждение веб-сайтов отличается от атак других типов, так как высокая степень их видимости привлекает внимание средств массовой информации. При работе небольшого веб-сайта со статическим содержимым можно обслуживать страницы с компакт-диска (или других носителей с доступом только для чтения), однако для больших сайтов это не подходит. Полноценным решением проблемы будет использование разделенных операционных систем с фильтрацией входящего и исходящего трафика, подписью открытого ключа и динамического немедленного восстановления в дополнение к сетевому экрану, блокирующему все порты за исключением порта HTTP 80. Такой подход предназначен лишь для крупнейших организаций, располагающих большим бюджетом безопасности.

Формализованное тестирование, анализ атак и распределение функций являются ключевыми элементами в успешном применении изменений в системе. При четком контроле и фиксации изменений на сервере легче осуществлять восстановление после атак и выявлять проблемы, связанные с безопасностью.

Средства контроля за изменениями можно условно разделить по мерам защиты: предотвращение, быстрое восстановление и обнаружение, а также по способу применения – непосредственно на сервере, на выделенной аппаратной платформе или на отдельном компьютере.

Программы восстановления и резервирования данных

В процессе обслуживания веб-содержимого используется система удаленной проверки с возможностью автоматизированного восстановления или локальная криптографическая проверка.

Многочисленные программные продукты, имеющиеся на современном рынке, быстро восстановят сайт. Компания Lockstep Systems, Inc. (www.lockstep.com) производит программный продукт WebAgain (см. рис. 9.5), который автоматически обнаруживает факты взлома веб-сайта и восстанавливает содержимое. Другой продукт компании – программа SiteRecorder – защищает содержимое веб-сайта от случайных изменений сотрудниками организации посредством ведения всеобъемлющего журнала аудита и архивации всех изменений. Это позволяет легко осуществлять откат или восстановление веб-содержимого.

Программа CimTrak Web Security от компании CIMCOR (www.cim-cor.com) является аналогичным продуктом, обеспечивающим изоляцию всех измененных файлов для судебных целей.

Оборудование контроля доступа и производительности

Надеемся, что ваш веб-сайт будет иметь большой успех, однако слишком большой трафик, обрабатываемый сайтом, представляет отдельную проблему безопасности. Произойдет ли на сервере сбой, когда единовременно будет загружаться большое число файлов? Самым лучшим способом проверки сайта на "выносливость" является использование проверочного средства, которое покажет способность сайта к обслуживанию большого числа требовательных клиентов.

Загрузите бесплатную программу Web Application Stress (WAS) с сайта Microsoft по адресу http://webtool.rte.microsoft.com/download.asp или используйте программу Webserver Stress от компании Paessler (www.paessler.com/WebStress/webstress.htm) (см. рис. 9.6). Оба продукта симулируют трафик и загрузку сервера, соответствующую большому числу единовременных пользователей. Это позволяет определить уровень производительности и устойчивости веб-приложения, протестировать поддержку сервером различных уровней загрузки и обработку различных объемов информации.

Моделируя среду, максимально приближенную к реальной, можно обнаружить и исключить проблемы на сайте и сервере IIS перед непосредственной разработкой. Например, если сайт связан с электронной коммерцией, такие тесты выявят тот факт, что управление большим объемом задач через протокол Secure Sockets Layer (SSL) представляет собой сложную проблему. Оно может вызвать перегрузку даже самых мощных серверов, что, несомненно, отразится на общей производительности сервера.

Аппаратные средства поддержки производительности

Помимо увеличения объема оперативной памяти и мощности процессора основательно повысить производительность работы SSL можно за счет передачи управления процессами безопасности ускорителю, что сэкономит вычислительные ресурсы для обработки заказов и транзакций. Применение ускорителя позволит не тратить средства на добавление процессоров общего назначения или даже целых серверов, что выгодно в случае дефицита рабочего пространства. Большая часть ускорителей представляет собой либо карты PCI, либо внешние устройства; ускорители являются модульными устройствами, что позволяет наращивать производительность в нужное время в нужном месте. Некоторые устройства, например, CryptoSwift от компании Rainbow (www.rainbow.com), интегрируются в конкретные проекты посредством использования пакетов криптографической разработки.

Ускорители SSL

Число транзакций в секунду (Transactions Per Second, TPS) используется для определения производительности ускорителей SSL, однако имейте в виду, что не существует единого стандарта определения TPS. Большая часть производителей использует значение TPS для измерения числа операций RSA с секретным ключом, осуществляемых на ключе длиной в 1024 бита. Другой характеристикой является число запросов в секунду (Requests Per Second, RPS); запросом здесь является команда HTTP GET с полной процедурой рукопожатия SSL. Тем не менее, ни одно из этих значений не отображает реальной производительности, так как большей части запросов HTTP не будет предшествовать полное рукопожатие RSA. Пропускная способность и время ответа лучше отражают производительность при исследовании ускорителей.

Ниже приведены основные производители ускорителей SSL:

• nCipher – ускорители nForce Secure SSL (www.ncipher.com);
• Rainbow – ускорители CryptoSwift и NetSwift SSL (www.rainbow.com).

Аппаратные средства аутентификации

Иногда требуется ограничить доступ к областям веб-сайта или точно идентифицировать пользователя перед предоставлением ему важной информации. Это осуществляется указанием имени и пароля, соответствующих учетной записи в базе данных или в Active Directory, если сервер является частью домена Windows. Эти меры безопасности являются достаточными, если содержимое, к которому осуществляется аутентифицируемый доступ, не имеет особой важности, но что если пользователь захочет попасть в папку с котировками ценных бумаг или медицинской информацией? Парольную защиту принято считать слабой вследствие того, что пользователи могут обмениваться паролями и не соблюдать их секретность. Реализация удаленной аутентификации не обеспечивает должной уверенности в правильности идентификации пользователей и их прав доступа. Более основательная система аутентификации пользователей, запрашивающих данные с сервера, должна быть, по крайней мере, двухфакторной.

Под двухфакторной аутентификацией подразумевается комбинация любых двух элементов, перечисленных ниже:

• то, что вы знаете: имя пользователя, пароль или PIN;
• то, чем вы владеете: маркер доступа, карта или ключ;
• то, что подтверждает вашу личность: отпечаток пальца или подпись.

Применение двухфакторной аутентификации к сотрудникам, осуществляющим доступ к важной информации, например, к разработчикам, является еще одной мерой безопасности. В то время как биометрические методы идентификации (отпечатки пальцев и сканирование сетчатки глаза) по-прежнему остаются относительно дорогими, применение интеллектуальных устройств, таких как смарт-карты или USB-устройства, на сегодняшний день является выгодным решением с точки зрения цены, которое обеспечивает и высокий уровень аутентификации пользователей. Пользователь должен не только знать PIN для получения доступа к аутентификационным данным, хранимым на устройстве, но и иметь устройство аутентификации при себе. Большая часть устройств хранит цифровые сертификаты и открытые/секретные ключи для использования в инфраструктуре PKI или, как в случае с iKey, обеспечивает использование менее дорогого, но эффективного вида аутентификации пользователей. Как правило, ключи пользователей хранятся на жестком диске их компьютеров, что сразу же снижает уровень безопасности всей системы; сохраняя ключи на интеллектуальном устройстве, вы повышаете общий уровень безопасности и качество процесса аутентификации.

Маркеры доступа

Устройства безопасности USB подключаются к любому стандартному порту USB, объединяя свойства смарт-карты и считывателя, кроме этого, они имеют небольшой размер и помещаются в футляре для ключей (см. рис. 9.7). Эти устройства с технологической точки зрения идентичны смарт-картам, за исключением формы и интерфейса. Ведущими производителями интеллектуальных устройств являются следующие компании:

• Alladin (www.ealaddin.com);
• Eutron, Itema Group (www.eutron.com);
• Rainbow Technologies, Inc. (www.rainbow.com);
• SchlumbergerSema (www1.slb.com/cmartcards/).

Средства биометрической аутентификации не следует игнорировать, так как их стоимость становится все более приемлемой. Биометрические устройства делают безопасность менее обременительной для пользователей (это еще одно преимущество, так как пользователи в своем большинстве стараются избегать мер безопасности, затрудняющих работу). Если вы заинтересованы в биометрической аутентификации сотрудников, обладающих специальными привилегиями на сервере, можем порекомендовать использование оптической мыши MagicSecure с дактилоскопическим устройством от компании Eutron; это устройство обеспечивает удобную трехфакторную аутентификацию (см. рис. 9.8).

Рекомендуемые дополнительные средства повышения уровня безопасности

Мы рассмотрели основные технологии, необходимые для создания надежной и безопасной среды для сервера IIS. Теперь проведем короткий обзор некоторых средств и служб, облегчающих соблюдение безопасности сервера, а, следовательно, делающих его более эффективным.

Интернет-сканеры безопасности

При нынешних темпах появления новых угроз поддержка достойного уровня безопасности сайта IIS становится очень трудной задачей. Одним из полезных средств является сканер безопасности (или сканер уязвимых мест), который, помимо прочих функций, предотвращает действия потенциального злоумышленника, выявляя некоторые слабые места, используемые хакерами. Сканер уязвимых мест поможет вам оставаться в курсе всех угроз безопасности и возможных мер по их предотвращению. После выявления угрозы можно разобраться в ее сути и в том, как ее устранить. Хорошие сканеры уязвимых мест сопровождаются документацией о природе слабых мест со ссылками на другие источники информации и средства защиты от угроз.

Сканер располагается на узле, отправляя с него зондирующие пакеты, затем собирает результирующие данные, сопоставляя их с информацией базы данных признаков уязвимых мест. В этом смысле сканер безопасности аналогичен сканеру вирусов, однако является более интроспективным устройством, так как определяет, соответствуют ли устройства установленной политике безопасности. Как и сканер вирусов, хороший сканер безопасности должен содержать регулярно обновляемые признаки уязвимых мест.

Программа System Scanner (см. рис. 9.9) от компании Internet Security Systems (ISS) является самым известным продуктом в рассматриваемой категории. System Scanner осуществляет проверку безопасности и выполняет симулированные атаки на сервер-жертву для подтверждения эффективности проведенной блокировки. ISS содержит компонент отслеживания в режиме реального времени RealSecure, который обнаруживает любые "бреши" в безопасности и сообщает сотрудникам о типе вторжения, а также выдает рекомендации по устранению уязвимых мест. Для получения более подробной информации по ISS или Database Scanner (программа доступа к параметрам безопасности баз данных), посетите сайт www.iss.net.

Для получения информации о других сканерах безопасности обратите внимание на следующие продукты: CyberCop Scanner от Network Associates (www.pgp.com/products/cybercop-scanner/); Security Analystот Intrusion, Inc. (www.intrusion.com); WebTrends Security Analyzer от WebTrends, более известной по выпускаемому ей программному обеспечению для веб-анализа (www.webtrends.com). Стоимость наиболее дорогих сканеров уязвимых мест довольно велика, однако существуют общедоступные сканеры, например, ShieldsUP! на сайте www.grc.com или nmapNT на сайте www.eeye.com/html/Research/Tools/nmapNT.html.

При обеспечении безопасности системы нельзя полагаться только на патчи и обновления, необходимо использовать систему обнаружения вторжений, и хороший сканер безопасности, несомненно, поможет в этом. Даже если системы изначально установлены в идеально безопасном и неизвестном месте, с течением времени уровень их защищенности будет падать. Чем больше людей имеют доступ к этим системам, тем быстрее снижается уровень безопасности. Из этого следует, что чем больше у вас системных администраторов, тем чаще следует проводить аудит. Сканирование безопасности помогает осуществлять аудит системы для подтверждения того, что примененная изначально конфигурация не была изменена.

Совет. Группа разработки ICAT (сокр. от Internet Categorization and Analysis of Threats) отдела компьютерной безопасности NIST (http://icat.nist.gov/icat.cfm) создала базу данных уязвимых мест ICAT, предназначенную для общего пользования. Наиболее важной информацией в базе данных ICAT являются гиперссылки в Перечне общих уязвимых мест и опасностей (CVE), с помощью которых можно перейти к справочной информации других IT-производителей и компаний, занимающихся информационной безопасностью. CVE представляет собой список стандартизированных названий уязвимых мест и другие сведения. Для получения более подробной информации посетите сайт http://cve.mitre.org. На сайте ICAT имеется также список производителей программного обеспечения, имен продуктов и номеров версий для каждого уязвимого места.

Средства определения производительности

Право, замечательно было бы выяснить, как другие специалисты в области безопасности настроили свои веб-серверы IIS, и затем сравнить соответствие ваших настроек самым лучшим рекомендациям. Центр интернет-безопасности (CIS) (www.cisecurity.org/) определяет среднестатистические рекомендуемые настройки для компьютеров, подключенных к интернету. Имеющиеся на сайте средства измерения уровня безопасности Benchmark и Scoring для Windows 2000 (см. рис. 9.10) обеспечивают простой и быстрый способ определения мощности системы и сравнение ее уровня безопасности с минимальными требованиями CIS.

Различные отчеты объяснят вам, как повысить стойкость новых и уже работающих систем, а также проведут отслеживание параметров безопасности для проверки соответствия конфигурации, указанной в Benchmark. Покажите своему начальству уровень безопасности своей системы по сравнению со стандартом, тем самым защитив себя от наказания или финансовых санкций. Проверьте, соответствуют ли данные в отчете о безопасности ваших партнеров по бизнесу приемлемому уровню в программе Benchmark.

Измерители безопасности CIS

Измерители безопасности CIS собирают сведения о параметрах безопасности и действиях, укрепляющих систему. Многие организации, запускающие измерительные средства CIS, констатируют тот факт, что соответствие даже уровню измерений 1 CIS обеспечило значительное усиление системы безопасности на их компьютерах. Измерители CIS уровня 2 определяют разумный уровень безопасности, превышающий минимальные требования, однако требуют от администратора более обширных знаний в области безопасности для применения параметров к конкретной среде. Имеется измеритель CIS уровня 2 для веб-сервера Windows IIS 5.

Измерители безопасности разрабатываются с учетом среднестатистических сведений о глобальных процессах обеспечения безопасности. Они соответствуют знаниям и рекомендациям многих специалистов в области безопасности. Аналогичный подход используется в Национальном бюро страхования от преступлений США, сотрудники которого общими усилиями противостоят опасностям. Измерители безопасности постоянно обновляются после появления новых уязвимых мест, о которых становится известно из различных источников, например, из Interent Storm Center (www.incidents.org) и CERT Coordination Center (www.cert.org).

Программа оценки CIS

Средство CIS Benchmark and Scoring для Windows 2000 является централизованной программой для анализа и сканирования, доступной бесплатно на сайте CIS по адресу www.cisecurity.org/, содержащей руководство и пошаговые инструкции по оценке, анализу, настройке и конфигурации программы. Критерий оценки также включает в себя определение состояния "горячих" исправлений, выпускаемых Microsoft. Вам и вашему серверу IIS будут полезны знания, оценка и опыт, объединенные в этой бесплатной программе, поэтому советуем не упускать такой возможности.

Службы мониторинга веб-сайта

Многие компании для анализа безопасности прибегают к услугам таких компаний, как Counterpane Internet Security (www.counterpane.com). Преимущество привлечения сторонних компаний заключается в том, что вы получаете возможность общения с высококвалифицированными специалистами в области безопасности. Этот подход решает проблему дороговизны или нехватки сотрудников, так как позволяет уменьшить уровень знаний, необходимый персоналу вашего отдела безопасности. Аналогичными компаниями являются Loudcloud (www.loudcloud.com) и Cyber Attack Management Services (www.exodus.co.jp/managed_services/index_e.shtml); они обеспечивают узловое обнаружение вторжений и реагирование на атаки.

Важной частью договора с такой компанией будет соглашение об уровне предоставляемых услуг, поэтому определите для себя четкие требования, чтобы предоставляемые компанией услуги не были слишком "размытыми". В соглашении рекомендуется указать следующие пункты:

• служба 24/7;
• время ответов;
• отчеты о клиентах;
• уменьшение времени работы из-за изменения в политике;
• денежные штрафы за плохую производительность.

Многие широко известные веб-сайты привлекают так называемые "красные отряды" для проведения атак на систему с целью обнаружения уязвимых мест. Моделирование взлома представляет собой контролируемую симуляцию атаки против сети, направленную на достижение определенной цели. Целью может быть нахождение информации на серверах клиента, определение возможности нарушения на длительное время операций клиентов или изменения содержимого веб-сайта. Пробелы в безопасности после этого могут быть устранены, чтобы реальное подобное нападение не повлекло за собой серьезных последствий. Еще одним преимуществом симуляции атаки является то, что она является обучающей процедурой, максимально приближенной к реальным условиям, с помощью которой сотрудники отдела безопасности учатся противостоять атакам.

Сетевые документаторы

Задача по документированию веб-сервера является необходимой, но часто игнорируемой процедурой. Хорошо документируемая система значительно экономит время, когда речь идет об отслеживании проблемы, представляющей собой возможное слабое место системы, или восстановлении после атаки.

Документирование помогает при принятии решения о необходимости обновления или замены, т.е. операций, влияющих на общее состояние сервера. Каждый администратор IIS предпочитает работать с хорошо документированной системой, в которой вся относящаяся к делу информация сохраняется в одном структурированном документе, и не любит заниматься рутинной работой по сбору информации и документированию сервера, являющегося частью большой сети. Выполнение этой задачи вручную отнимает много ресурсов и времени, представляет собой "неблагодарную" работу.

При установке нового сервера IIS рекомендуется выполнить его каталогизацию при включении в работу, что сделает процесс документирования менее сложным и позволит создать грамотно составленный, подробный и эффективный отчет. Однако при документировании имеющегося сервера или сети, возможно, единственным способом создания стоящего документа является привлечение службы сетевой документации, которая выполнит все необходимые операции за соответствующую плату.

Утверждение сторонних программных продуктов

При заключении контракта с внешними разработчиками на построение или отслеживание интранет-сети (или веб-сайта), при использовании готовых библиотек DLL интерфейса программирования ISAPI нельзя быть уверенным в безопасности сторонних исполняемых компонентов. Например, библиотека ISAPI DLL может повысить свои привилегии и права доступа до уровня встроенной в систему учетной записи SYSTEM посредством вызова функции API с именем RevertToSelf(). Проверяйте каждый запускаемый исполняемый модуль с помощью средств анализа, которые выявят все включенные в компонент вызовы функций. Одной из таких программ является утилита Microsoft Binary File Dumper (DumpBin.exe), которая входит в состав средства разработки Windows Visual C++. Для проверки вызова файлом UntrustedISAPI.DLL функции RevertToSelf() используйте следующий синтаксис:

Если на экран не будет выведено никаких результатов, это значит, что библиотека UntrustedISAPI.DLL не вызывает функцию RevertToSelf() напрямую. Она может вызывать API через LoadLibrary(), поэтому нужно осуществить поиск и этой функции.

Обнаружение, документирование и диаграммы

Взвесьте временные и денежные ресурсы, которые понадобятся для составления хороших отчетов, относительно цены установки и запуска специализированной программы. Если изменения в сети происходят редко, рекомендуем выделить время для выполнения всех действия вручную; при большой, постоянно изменяющейся сети такой вариант не подходит.

Программа Configuration Reporter, доступная на сайте Ecora по адресу www.ecora.com, решает проблему документирования сетей. Эта программа обладает высокой скоростью работы, основывается на веб-браузере и обеспечивает сбор информации о сети, например, данных о конфигурации оборудования, настройках стека протоколов TCP/IP и файлах общего доступа. В дополнение к этому программа сортирует, сохраняет и представляет информацию в форматах HTML, Microsoft Word или Portable Document File (PDF). Она отображает отчеты в сжатом и расширенном виде. Сжатое представление включает в себя информацию о сетевых устройствах, такую как IP-адреса и число объединенных в сеть CPU, а расширенный формат содержит сведения о параметрах сервера с объяснением того, как тот или иной параметр может представлять собой пробел в системе безопасности. Отчеты могут быть не столь детализованными, как вам бы хотелось; кроме того, цена резко возрастает с увеличением числа серверов. Тем не менее, данная программа осуществляет более эффективное документирование систем Windows NT и Windows 2000, нежели уставший и измученный администратор.

Выбор оптимального решения по соотношению цена/качество

В данной лекции рассмотрен большой объем материала, и вы можете так и не понять, на что разумнее всего потратить деньги. Конечной целью при вынесении решения о привлечении сторонних структур для повышения уровня защищенности является обеспечение безопасности ресурсов сети. Не пытайтесь решить разом все проблемы, связанные с безопасностью; руководствуйтесь последовательным подходом, обрабатывая в первую очередь самые важные аспекты. Посмотрите, насколько качественно программа или служба решит ту или иную задачу, не приведет ли это действие к возникновению побочных проблем, к увеличению персонала для обслуживания какого-либо компонента. Если вы не знаете, как правильно вложить средства, отведенные для обеспечения безопасности, обратитесь за информацией к веб-сайту RiskWatch по адресу www.riskwatch.com. На этом сайте расположен пакет программ, осуществляющий анализ угроз и уязвимых мест, которые необходимо учитывать при определении эффективных мер безопасности, а также выдающий рекомендации по поводу того, на что следует потратить денежные средства. Посредством предположений "что-если" вы определите, какие потенциальные меры безопасности отвечают необходимому уровню защиты; этот подход используйте и для распределения бюджета. Сайт Insecure.org производителя программы nmap (утилиты сканирования портов больших сетей) содержит перечень пятидесяти наиболее эффективных средств защиты, составленный на основе мнений 1200 пользователей nmap о предпочитаемых ими утилитах безопасности. Этот перечень доступен по адресу www.insecure.org/tools.html.

ПРОБЛЕМА

Предположим, вы только что провели восстановление после вирусной атаки на сеть, и руководство компании выделило денежные средства на повышение уровня антивирусной защиты. Необходимо быстро предпринять какие-то действия, чтобы предотвратить следующий инцидент. Так что же именно следует сделать в первую очередь?

Перед покупкой нового антивирусного продукта следует провести обзор антивирусной политики, чтобы выяснить, требует ли она обновления в свете недавних событий. Если антивирусная политика в порядке, а причиной проникновения вредоносного программного обеспечения стало несоблюдение этой политики одним из сотрудников, тогда проведите дополнительную разъяснительную работу. Проведите семинары по безопасности, которые руководство сделает обязательными для посещения всеми сотрудниками. Это некоторым образом отразится на бюджете, зато повысит эффективность антивирусной политики, так как каждый будет понимать ее роль и важность.

Выясните, в каких местах требуется дополнительная антивирусная защита: на сетевом экране, веб-сервере, почтовом сервере или на рабочих станциях. В идеальном случае следует установить защиту на все типы серверов и рабочих станций. Программное обеспечение протокола Content Vectoring Protocol (CVP) на сетевом экране сканирует данные при входе в сеть, а программы коллективного пользования располагаются на почтовом сервере и осуществляют сканирование хранилища сообщений. Программы InterScan VirusWall компании Trend Micro и ScanMail на сайте www.antivirus.com обеспечивают сетевой экран и защиту программ группового пользования, соответственно. Обратитесь к разделу "Популярные сканеры вирусов" для получения информации о продуктах, предназначенных для защиты сервера и рабочих станций.

Сводный перечень рассмотренных процедур

• Используйте многочисленные бесплатные средства, выпущенные Microsoft, перед принятием решения о применении дополнительных продуктов безопасности на сервере IIS.
• Подпишитесь на группы новостей и форумы, в которых содержится информация о любых приобретаемых продуктах, чтобы быть в курсе событий и обновлений.
• Не устанавливайте образцы и демонстрационные файлы, поставляемые с новым продуктом, на разрабатываемый сервер.
• Замените все пароли по умолчанию для установленных продуктов на более мощные пароли.
• Сначала обеспечьте защиту самых важных ресурсов и удостоверьтесь в том, что выбранный продукт делает это на должном уровне.
• Разработайте политику доступа к сетевым службам, чтобы определить возможности сетевого экрана.
• Примените систему обнаружения вторжений для защиты от некорректных программ, а также защиты новых и старых уязвимых мест. Мониторинг системы поможет обнаружить хакера независимо от того, какое слабое место будет использоваться для получения доступа.
• Файлы журналов полезны только в том случае, если они регулярно изучаются, поэтому установите анализатор журналов или программу, содержащую этот компонент, для автоматизации аудита и анализа сетевых журналов.
• Выберите антивирусную программу, обеспечивающую централизованный контроль и взаимодействие с другими средствами безопасности.
• Примените политику контроля за изменениями и резервированием данных и дополните ее программным обеспечением, предназначенным для восстановления после атак из интернета.
• Привлеките руководство для реализации программы обучения мерам безопасности сотрудников, для неукоснительного соблюдения всех пунктов, предусмотренных этой программой.
• Проверьте сайт на устойчивость и выясните, сможет ли он поддерживать большое число одновременных соединений с высоким уровнем загрузки, рассмотрите возможность применения аппаратного ускорителя SSL для сайта электронной коммерции.
• Решите вопрос о надежной аутентификации клиентов и пользователей, которым необходим доступ к важной информации на сервере, при необходимости обеспечьте их соответствующими средствами доступа, такими как маркеры безопасности или смарт-карты.
• Осуществите поиск пробелов в системе безопасности, применив сканер уязвимых мест, прежде чем это сделают хакеры.
• Загрузите программу CIS Scoring Tool и проверьте, соответствует ли конфигурация IIS рекомендациям в рассматриваемой области.
• При отсутствии в организации квалифицированного персонала службы безопасности привлеките внешние службы, занимающиеся мониторингом сайта.
• Постоянно обновляйте сведения о сайте. При управлении большой корпоративной сетью используйте сетевой документатор.