Безопасность Web-технологий

Размещено на http://www.allbest.ru/

Безопасность Web-технологий

Введение

На современном этапе развития общества появился новый ресурс, называемый информацией. Информация становится сегодня главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Чем больше и быстрее внедряется качественной информации в народное хозяйство и специальные приложения, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны. Яркий пример: развитие глобальной сети Internet. Уже принято говорить о новом витке в развитии общественной формации - информационном обществе.

Любая деятельность связана с получением, накоплением, хранением, обработкой и использованием разнообразных информационных потоков. Поэтому возникает масса проблем, связанных с защитой информации.

Одним из самых распространенных на сегодня источником получения информации являются компьютерные сети. Множество компаний имеют свои собственные официальные страницы в Internet, подразделения компаний используют компьютерные сети для оперативного обмена коммерческой информацией, тысячи рядовых граждан используют сеть для получения важных для них данных (лент новостей, курсов валют и т.д.). В Internet стала храниться и передаваться действительно важная информация.

Кроме того, в последние годы всемирная компьютерная «паутина» становится эффективным средством совершения финансовых сделок.

Постоянные изменения в технологии и растущий спрос на компьютерную технику означают, что и преступность этого рода будет расти. Компьютерная преступность - это противоправная и осознанная деятельность образованных людей и, следовательно, наиболее опасная для общества.

Поэтому в своем докладе я ставлю цель рассмотреть основные угрозы информации в сетях и защиту от этих угроз. Но сначала следует рассмотреть строение сети.

1. Сети TCP/IP

Основа основ сетевых технологий - это протокол. Компьютерный протокол - это набор правил обмена информацией, реализованных в программном обеспечении, предназначенном для управления связью и передачей данных между двумя компьютерами. Операционные системы поддерживают множество сетевых протоколов. И такое разнообразие может затруднить выбор одного или нескольких сетевых протоколов. Поэтому разработчики сетевых технологий придумали классификацию всех этих протоколов, разделив их по уровням, каждый из которых отвечает за определенный аспект функционирования сети.

Международная организация по стандартизации (ISO - International Standards Organization) предложила стандартную классификацию. Эта классификация называется моделью OSI (Open System Interconnection - Взаимодействие открытых систем).

1.1 Модель OSI

Международная организация ISO, находящаяся в Женеве, в качестве стандартной модели взаимодействия открытых систем определила семиуровневую модель OSI, которую признают все ведущие разработчики компьютерных технологий. В модели OSI принят принцип слоистой архитектуры, в которой все функции сети разделены на уровни таким образом, что вышележащие уровни используют услуги по переносу информации, предоставляемые нижележащими уровнями, т.е. взаимодействуют через интерфейс, который должен сохраняться, а сами уровни могут быть заменены в любой момент. Модель OSI состоит из следующих уровней:

* Физический.

* Канальный.

* Сетевой.

* Транспортный.

* Сеансовый.

* Представления данных.

* Прикладной.

Каждый уровень представляет один из семи аспектов сетевой организации.

Первый уровень - физический - наиболее очевиден: он состоит из компонентов оборудования. Седьмой уровень - прикладной - наиболее абстрактный: он состоит из программного обеспечения, с которым работают пользователи сетевых компьютеров.

1.2 IP-aдpeca и имена

Сети TCP/IP предназначены для передачи информации из пункта А в пункт В. При этом немаловажную роль играет и человеческий фактор. Компьютеры должны передавать и принимать данные с максимальной точностью и скоростью, а человеку нужен простой инструментарий для управления процессом и для анализа результатов.

Люди и компьютеры используют разные системы имен для обозначения элементов сети. С точки зрения компьютера, каждый компонент сети должен иметь уникальный адрес. Людям тоже нужно как-то различать компьютеры, особенно в сетях с общими ресурсами; однако им привычнее использовать имена.

В результате возникает одна из основных проблем сетей TCP/IP - распознавание адресов компьютеров по их именам, и наоборот. Для людей предназначены три типа имен, для компьютеров, операционных систем и программ - два типа адресов. В процессе выполнения сетевых программ необходимо четко установить соответствие конкретного имени компьютера конкретному адресу. Используются следующие типы имен и адресов:

* Адрес машины, или адрес сетевой карты. В сетях Ethernet его также называют МАС-адресом (Media Access Control - Управление доступом к среде передачи), который жестко «зашивается» в сетевую карту ее производителем. Это гарантированно уникальный адрес, состоящий из 6 байтов, причем старшие три байта идентифицируют фирму-производителя. Фирма-производитель, в свою очередь, следит, чтобы остальные три байта не повторились на производственном конвейере. МАС-адрес обычно записывается в виде 12 шестнадцатеричных цифр, например, 00 03 ВС 12 5D 4Е. Менее распространенные сетевые архитектуры (например, сети ATM или Token Ring) используют другие схемы физической адресации.

* IP-адрес используется в сетях TCP/IP. IP-адрес состоит из четырех октетов, разделенных точками. Каждый октет принимает значения от 1 до 254 (значения 0 и 255 зарезервированы для особых случаев. Адрес состоит из двух частей - номера сети и номера компьютера. Номер сети должен быть одинаков для всех компьютеров сети или подсети и отличаться от номеров всех остальных сетей и подсетей. Номер компьютера должен быть уникален в данной сети или подсети.

* Имя компьютера в сетях TCP/IP представляет собой «удобное» для человека обозначение машины. Если имя содержит описание домена, его называют полным доменным именем (Fully Qualified Domain Name - FQDN).

Пр: webserver - webserver.company.com. Имя компьютера можно применять в программах, часто использующих утилиты TCP/IP.

* Доменное имя - разновидность имени компьютера. Последняя часть иерархической структуры имени (пр: company.com) называется именем первого уровня и предназначена для идентификации домена в Интернете.

* Имя NetBIOS используется сетевыми командами системы Windows, такими как net use и net view. Имя может содержать не более 15 символов и должно быть нечувствительным к регистру букв.

Все имена и адреса используются в сетевом взаимодействии компьютеров согласно сетевым протоколам.

1.3 Протокол TCP/IP

Для построения современных глобальных сетей наиболее широко используется набор протоколов под общим названием TCP/IP (Transmission Control Protocol/Internet Protocol - Протокол управления передачей / протокол Интернета), который также весьма удобен для построения локальных сетей. Он используется на протяжении десятилетий в сети Интернет и других сетях - предшественницах Интернета, доказав свою эффективность для организации сверхкрупных сетей.

Гибкость протокола TCP/IP позволяет вначале установить его в локальной сети небольшого размера, а затем расширить эту сеть до сотен и тысяч пользователей. Управление TCP/IP требует знаний и опыта, однако если число устройств, подсоединенных к локальной сети TCP/IP, не превышает сотни, управление сетью с помощью средств, встроенных в ОС, не составляет труда. К сети TCP/IP может быть подключено множество устройств с сетевым доступом, например, персональный компьютер, брандмауэр, маршрутизатор, концентратор, сетевой принтер. Каждое такое устройство называется хостом, и все хосты в сети TCP/IP имеют собственный уникальный адрес, называемый IP-адресом, по названию протокола Интернета IP.

Важнейшее свойство протокола TCP/IP - маршрутизируемость. Маршрутизатор - устройство, связывающее друг с другом локальную и глобальную сети или две локальные сети. Если пакеты, отправленные одним из сетевых компьютеров, предназначены для компьютера данной локальной сети, маршрутизатор перехватывает их и направляет в эту же сеть, в противном случае пакеты направляются в другую сеть. Для эффективной маршрутизации сетей TCP/IP разработана специальная структура сетевых IP-адресов.

1.3.1 IP-aдpeca

При подключении хоста к сети TCP/IP ему присваивается IP-адрес, который состоит из идентификатора сети и идентификатора хоста.

* Идентификатор сети, или сетевой адрес, определяет хосты, подсоединенные к одной локальной сети, связанной с глобальной сетью посредством маршрутизаторов.

* Идентификатор хоста, или адрес хоста, уникальным образом определяет каждый хост локальной сети.

Каждый IP-адрес представляет собой 32-разрядную величину, включающую четыре октета - поля из восьми битов; для представления IP-адреса в удобочитаемой форме каждый октет преобразуется в десятичное число, лежащее в диапазоне от 0 до 255. Полученные четыре числа представляются точечно-десятичной нотацией, т.е. записываются в порядке старшинства октетов, разделенных точками, например, 204.209.43.2.

Когда какая-либо локальная сеть подключается к Интернету, ей при регистрации присваивается уникальный сетевой адрес, а компьютерам - уникальные адреса хостов. Следует учесть, что идентификаторы сети и хостов не могут содержать все биты равными 1 или 0, поскольку такие IP-адреса зарезервированы для специальных целей.

Группы связанных IP-адресов объединяют в классы, обозначенные буквами А, В, С, D и Е.

Во всех этих классах для использования доступно только ограниченное подмножество значений компонентов. Например, фактически существует не более 50 адресов класса А, принадлежащих, в основном, создателям Интернета.

Для адресов класса В доступны значения первых компонентов 128 - 191, а для класса С доступны значения 191 - 223. Значения первых компонентов выше 223 зарезервированы. Если машине требуется единственный IP-адрес, он предоставляется поставщиком услуг Интернета из его адресов класса В или С.

Структура IР-адреса упрощает маршрутизацию. Например, если компьютер, подключенный к локальной сети, имеет адрес класса С, трафик, направленный на IP-адрес, у которого первые три октета отличаются от первых трех октетов данной локальной сети, направляется в Интернет. Трафик же с одинаковыми тремя первыми октетами остается в локальной сети.

С помощью IР-адресов любую сеть можно разделить на подсети, связанные между собой маршрутизаторами. Для этого каждой подсети присваивается уникальный идентификатор подсети, образуемый из части битов, отведенных под идентификатор хоста. Чтобы маршрутизатор знал, какая часть идентификатора хоста отведена под идентификатор подсети, используется так называемая маска подсети. Маска подсети - это двоичное 32-х разрядное значение, позволяющее отличить в любом IP-адресе идентификатор сети от идентификатора хоста. Каждый бит в маске подсети определяется так: все биты, соответствующие идентификатору сети, устанавливаются в 1, а все биты, соответствующие идентификатору хоста, устанавливаются в 0.

1.3.2 Уровни модели TCP/IP

По существу, протокол TCP/IP представляет собою множество протоколов, помещенных в стек протоколов один поверх другого. Каждый из этих протоколов имеет собственное предназначение. Для упрощения работы с этими протоколами они подразделяются на четыре уровня.

* Прикладной уровень, объединяющий сеансовый уровень, уровень представления и прикладной уровень модели OSI.

* Транспортный уровень, совпадающий с транспортным уровнем модели OSI.

* Межсетевой уровень, соответствующий сетевому уровню модели OSI.

* Уровень сетевого интерфейса, объединяющий канальный и физический уровень модели OSI.

Прикладной уровень

Прикладной уровень стека протоколов ТСР/IР обеспечивает приложениям доступ к службам других уровней и определяет протоколы обмена данными между приложениями по сети ТСР/IР. Таким образом, этот уровень определяет метод подключения компьютера к сети TCP/IP, а также службы, используемые для предоставления доступа к общим ресурсам взаимодействующих сетевых компьютеров. Прикладной уровень собирает всю информацию, а затем передает ее на транспортный уровень.

Базовыми протоколами прикладного уровня являются следующие:

* HTTP (Hypertext Transfer Protocol - Протокол передачи гипертекста) - обеспечивает передачу файлов Web-страниц.

* FTP (File Transfer Protocol - Протокол передачи файлов) - реализует загрузку файлов из сети Web.

* SMTP (Simple Mail Transfer Protocol - Простой протокол передачи почты) - применяется для передачи сообщений и вложений электронной почты.

* Telnet - протокол эмуляции терминала, используемый для регистрации на удаленных хостах.

* DNS (Domain Name System - Система имен доменов) - обеспечивает преобразование имен хостов в IP-адреса.

* RIP (Routing Information Protocol - Протокол маршрутной информации) - применяется для обмена информацией между маршрутизаторами.

* SNMP (Simple Network Management Protocol - Простой протокол сетевого управления) - обеспечивает сбор информации от сетевых устройств для управления сетью.

Для передачи данных по протоколу TCP/IP в OC Windows реализованы два основных средства: Windows Sockets (Сокеты Windows), или просто Winsock, и протокол NetBT (NetBIOS поверх TCP/IP). Выбор средства определяется типом приложения.

Транспортный уровень

Транспортный уровень модели TCP/IP выполняет следующие функции.

* Отвечает за установление связи между компьютерами, а также за прием и отсылку данных.

* Добавляет к передаваемым данным заголовок, идентифицирующий протокол передачи данных (TCP или UDP), а затем отсылает и принимает IP-адрес компьютера.

* Добавляет к заголовкам TCP некоторую дополнительную информацию.

Транспортный уровень протокола TCP/IP может использовать как заголовки TCP, так и UDP, которые обсуждаются в следующих разделах.

Протоколы TCP

Протокол TCP (Transmission Control Protocol - Протокол управления передачей) принадлежит семейству протоколов установления логического соединения.

Такие протоколы еще до отсылки данных должны установить связь и формализовать процесс обмена информацией. По протоколу TCP данные передаются в виде байтового потока, разбитого на сегменты, причем никакие ограничения на данные не налагаются. Каждый сегмент данных снабжается полями, содержащими порядковый номер сегмента и другие данные, гарантирующие надежную передачу и прием данных, а также указывают методы отправки и приема данных.

Для обеспечения надежной отсылки и приема данных в протоколе TCP используются так называемые подтверждения приема сообщения (квитирование) и контрольные суммы. Некоторые основные поля заголовков TCP:

* Исходный порт - номер порта передающего компьютера.

* Порт назначения - номер порта компьютера-получателя.

* Порядковый номер - первый байт данных в сегменте TCP. Размер сегмента TCP определяется параметром, называемым размер окна TCP.

* Номер подтверждения - порядковый номер сегмента, который передающий компьютер ожидает принять от принимающего компьютера.

* Управляющие биты. Флаги-указатели, используемые для отсылки особых типов данных (Пр: флаг FIN, который указывает, что передача закончена и компьютер отключился).

* Окно - число байтов, которое может вместиться в буфер принимающего компьютера. Это поле указывает размер окна TCP для приема данных.

* Контрольная сумма. Число, указывающее контрольную сумму для проверки ошибок. Контрольная сумма позволяет установить целостность отосланных данных.

Прежде чем отослать данные, компьютер-получатель и компьютер-отправитель должны установить связь. С этой целью используется процесс трехстороннего подтверждения связи, предназначенный для синхронизации порядковых номеров и подтвержденных порядковых номеров при обмене сегментами TCP между двумя компьютерами. Процесс трехстороннего подтверждения задает также размеры окон каждого компьютера. Процесс выполняется в три этапа.

1. Компьютер-отправитель посылает сегмент TCP, который содержит начальный порядковый номер отправляемых сегментов и размер окна TCP для приема данных.

2. Компьютер-получатель возвращает сегмент TCP, в который входят его начальный порядковый номер, размер окна TCP для приема данных и подтверждение на готовность к приему сегмента TCP от компьютера-отправителя.

3. Компьютер-отправитель отсылает сегмент TCP, который подтверждает достоверность порядкового номера компьютера-получателя.

В итоге каждый компьютер знает порядковый номер и размер окна TCP другого компьютера. После того, как компьютер-отправитель узнает размер окна TCP для приема данных компьютера-получателя, он устанавливает точно такой же размер своего окна.

Порты TCP

Номер TCP-порта	Назначение
20	Канал передачи данных по протоколу FTP
21	Управляющий канал FTP
23	Telnet
80	Передача данных с Web-сайтов по протоколу HTTP
139	Служба сеансов NetBIOS

Протокол UDP

Протокол пользовательских дейтаграмм (UDP User Datagram Protocol) обеспечивает ненадежную доставку данных, передаваемых в виде дейтаграмм (пакета данных с адресной информацией). При отсылке данных по протоколу UDP соединение не устанавливается и размер окна не задается. Поэтому заголовки UDP намного короче заголовков TCP; но данные пересылаются значительно быстрее, поскольку компьютеру не приходится ожидать подтверждения приема.

Протокол UDP используется приложениями, не требующими подтверждения приема данных и передающих данные небольшими порциями. Протокол UDP применяют, например, службы имен NetBIOS и службы дейтаграмм NetBIOS и SNMP.

Порты протокола UDP

Номер UDP-порта	Назначение
53	Запросы имен DNS
137	Служба имен NetBIOS
138	Служба дейтаграмм NetBIOS
161	Протокол SNMP

Meжceтeвoй уровень

Межсетевой уровень отвечает за адресацию пакетов и их маршрутизацию при передаче по сети TCP/IP. Средства межсетевого уровня адресуют и упаковывают данные в дейтаграммы IР, а также управляют маршрутизируемой передачей пакетов между компьютерами.

К межсетевому уровню относятся следующие базовые протоколы.

* Протокол IP (Internet Protocol - Протокол Интернета) - отвечает за IP-адресацию и маршрутизацию пакетов, а также за фрагментацию и восстановление пакетов.

* Протокол ARP (Address Resolution Protocol - Протокол разрешения адресов) - обеспечивает преобразование адресов межсетевого уровня в адреса уровня сетевого интерфейса.

* Протокол ICMP (Internet Control Message Protocol - Протокол контроля сообщений Интернета) - поддерживает выполнение диагностики сети и сообщает об ошибках передачи IP-пакетов. Также протокол ICMP используется утилитами сканирования сети ping и tracert, входящими в пакет W2RK.

* Протокол IGMP (Internet Group Management Protocol - Межсетевой протокол управления группами) * управляет участием хоста в группах хостов.

Входящие в группу хосты слушают трафик, направленный на один адрес, и каждый хост регистрируется в группе с помощью IGMP.

Рассмотрим подробнее некоторые протоколы межсетевого уровня.

Протокол IP

Протокол IP в основном предназначен для адресации и маршрутизации данных между хостами сети TCP/IP. В IP-пакет входит информация, необходимая для маршрутизации, отсылки и приема данных компьютером-получателем.

В заголовок IP-пакета включаются следующие поля.

* IP-адрес отправителя. IP-адрес компьютера-отправителя IP-пакета.

* IP-адрес получателя. IP-адрес компьютера-получателя ГР-пакета.

* Идентификация. Если дейтаграммы IР разбиваются на фрагменты меньшего размера, эти фрагменты перечисляются в этом поле, что позволяет компьютеру-получателю собрать их заново.

* Время жизни (TTL). Максимальное время существования фрагмента в сети.

Это число уменьшается на единицу и более после прохождения каждого маршрутизатора, что предотвращает бесконечную циркуляцию IP-пакетов по сети.

* Протокол. Указывает получателю, какому протоколу верхнего уровня следует передать IP-пакет - TCP, UDP, ICMP и др.

* Контрольная сумма. Используется для контроля целостности IР-заголовка.

Маршрутизация по протоколу IP представляет собой процесс отсылки данных компьютеру-получателю через маршрутизаторы, которые для определения наилучшего маршрута передачи данных используют таблицы маршрутизации.

В таблицах маршрутизации содержатся записи о сетях, которые либо присоединены непосредственно к данному маршрутизатору, либо доступны через другой маршрутизатор.

При прохождении IP-пакета через маршрутизатор выполняется просмотр таблицы маршрутизации и выбор направления передачи IP-пакета на другой маршрутизатор или на компьютер-получатель. Если значение TTL равно нулю, IP-пакет отбрасывается. Для создания и обновления таблиц маршрутизации применяется протокол PJP, с помощью которого маршрутизаторы каждые 30 секунд рассылают свои таблицы маршрутизации и получают эти таблицы от других маршрутизаторов. Полученные новые данные пополняют таблицу маршрутизации, а устаревшие данные отбрасываются.

Протокол ICMP

Этот протокол обеспечивает работу средств диагностики и передает сообщения об ошибках. В набор сообщений протокола ICMP входит эхо-запрос возможности подключения к хосту и соответствующий эхо-ответ. Также протокол ICMP позволяет маршрутизаторам управлять отправкой данных, передавая уведомления хоста-отправителя о наиболее эффективном маршруте к IP-адресу получателя или сообщения об отсутствии пути («пробке») и недоступности адресата.

Протокол IGMP

Имеются прикладные программы, которым для эффективной работы необходимо одновременно связываться с более чем одним компьютером. Для этого они используют многоадресную передачу данных, поддерживаемую протоколом IGMP. Протокол IGMP позволяет хостам в любой момент подключаться к группе и покидать ее, обеспечивает работу с хостами, расположенными в разных локальных сетях, и поддерживает группы любого размера. Хост может поддерживать групповую рассылку либо на уровне 1 - только передача, либо на уровне 2 - как передача, так и приём.

Протокол ARP

При обращении к любому сетевому компьютеру программа или OC должна точно знать адрес машины. В качестве этого адреса используется адрес MAC (Media Access Control - Управление доступом к среде передачи). Адрес MAC (или МАС-адрес) - это уникальное 48-разрядное число, присваиваемое сетевому адаптеру производителем. Именно МАС-адрес используется на подуровне MAC канального уровня, задающего формат кадров, методы доступа и способы адресации в сетях TCP/IP. Поскольку пользователи никогда не указывают МАС-адрес, должен существовать механизм преобразования имени машины, имени NetBIOS или IР-адреса в МАС-адрес. Этот механизм обеспечивает протокол ARP (Address Resolution Protocol - Протокол определения адресов), описанный в RFC 826.

Протокол ARP входит в состав основного набора протоколов TCP/IP. Он используется только в пределах одной физической сети или подсети.

Уровень сетевого интерфейса

Средства уровня сетевого интерфейса (или сетевого доступа) обеспечивают отправку и прием TCP/IP пакетов в/из сетевой среды. Протокол TCP/IP независим от сетевой среды и может быть использован для сетей любых типов - Ethernet, Token Ring, X.25 и Frame Relay. Сердцевиной средств этого уровня являются группы битов в кадрах платы сетевого адаптера, посылаемые через сетевого посредника на принимающий их компьютер или компьютеры.

1.4 IР-безопасность

Сети TCP/IP при отсутствии системы защиты могут быть подвергнуты многочисленным атакам, выполняемым как изнутри локальной сети, так и извне, если локальная сеть имеет соединение с глобальной сетью, например, Интернетом. Некоторые атаки носят пассивный характер и сводятся к мониторингу информации, циркулирующей в сети, другие - активный, направленный на повреждение или нарушение целостности информации или самой сети. Перечислим наиболее широко распространенные типы вторжения на сети ТСР/ЕР.

* Подслушивание. Эти атаки используют уязвимость сети к перехвату сетевых пакетов специальными аппаратными и программными средствами. Если передаваемая информация не зашифрована, ее конфиденциальность будет нарушена. На компьютерном сленге прослушивание называют «сниффингом» (от англ, «sniffing» - вынюхивание).

* Искажение данных. В зависимости от своих целей, злоумышленник, перехвативший сетевые данные, может модифицировать их и отправить по назначению, причем сделать это скрытно от отправителя и получателя.

* Фальсификация IP-адреса. В сети TCP/IP хост идентифицируется своим IP-адресом, указанным в IP-пакете, который, в принципе, несложно подделать. Такая подмена IP-адресов может выполняться с различными целями, например, сокрытия источника сообщения, или для некорректной идентификации отправителя, позволяющей получить доступ к сетевым ресурсам.

* Подбор паролей. Пароли - это основное средство управления доступом к сетевым ресурсам. Получив пароль любой учетной записи, злоумышленник получает все права доступа легитимного пользователя и, если эти права достаточны, может сделать с системой что угодно. Поэтому получение пароля - это заветная цель любого хакера. Основные способы похищения паролей - это словарная атака, прослушивание сети, взлом хранилищ паролей в компьютерах - базы данных SAM и системного реестра.

* Атака DoS (Denial of Service - Отказ в обслуживании). Заключается в создании препятствий в работе системы, что приводит к отказу от обслуживания обычных пользователей сети. Примером можно назвать направление на атакуемый сервер большого числа пакетов, перегружающих сетевой трафик.

Целью злоумышленника может быть простой вандализм, либо такое вторжение может прикрывать другую атаку, проводимую под прикрытием хаоса, вызванного сбоями в работе сети.

* Компрометация ключей. Шифрование передаваемых по сети данных компьютеры выполняют с помощью ключей, зависящих от применяемых криптографических средств. Поэтому раскрытие ключа шифрования означает потерю конфиденциальности передаваемой по сети информации. При этом хакер сможет знакомиться с передаваемыми сообщениями и / или модифицировать их для достижения своих целей.

* Атака на прикладном уровне. Такие атаки выполняются с целью получения контроля над приложением, запущенным на сетевом компьютере. Например, хакер может попытаться получить доступ к приложению удаленного администрирования компьютера (например, pcAnywhere). Если ему это удастся, хакер может сделать с компьютером что угодно - нарушить целостность хранимых данных или файлов операционной системы, ввести вирус, клавиатурного шпиона, запустить сетевой анализатор для отслеживания трафика и так далее.

Для защиты от всех этих атак были разработаны средства IP-безопасности, обеспечиваемые протоколом IPsec (Internet Protocol Security Протокол безопасности Интернета), представляющим собой набор открытых стандартов защиты соединений по IP-сетям средствами криптографии. Протокол IPsec нацелен на защиту пакетов, передаваемых по сетям TCP/IP, и защиту сетей TCP/IP от перечисленных выше атак. Обсудим возможности, предоставляемые протоколом IPsec.

1.4.1 IPsec

Протокол IPsec опирается на концепцию защиты, исходящую из предположения, что среда передачи данных не защищена. Сетевые компьютеры, пересылающие пакеты IPsec от источника к получателю, не имеют никаких сведений об использовании протокола IPsec и могут, в принципе, вообще его не поддерживать.

Таким образом, протокол IPsec может быть использован в локальных сетях с одноранговой и клиент-серверной организацией для передачи данных между маршрутизаторами и шлюзами глобальных сетей или в удаленных соединениях и частных сетях Интернета.

Протокол IPsec позволяет преодолеть ограниченность обычных средств защиты, полагающихся, как правило, на защиту периметра локальной сети - брандмауэры, защищенные маршрутизаторы, средства аутентификации пользователей удаленного доступа. Защиту от внутренних атак указанные средства не обеспечивают, поскольку основаны на именах и паролях учетных записей пользователей. Ясно, что защита периметра сети никак не воспрепятствует злоумышленнику, имеющему локальный доступ к компьютеру, с помощью различных программ извлечь из него все пароли учетных записей и далее использовать для своих целей.

С другой стороны, ограничение физического доступа к оборудованию локальной сети часто невозможно, поскольку кабели локальной сети могут иметь большую протяженность и располагаться в местах, препятствующих их эффективной защите. Протокол IPsec позволяет преодолеть все эти проблемы - при его использовании компьютер шифрует все отправляемые данные, а получатель - дешифрует. Поэтому при условии построения многоуровневой системы защиты, включающей ограничение физического доступа к компьютерам (но не к линиям передачи данных), защиту периметра и корректную настройку пользовательского доступа - протокол IPsec обеспечит всестороннюю защиту сетевых данных.

Протокол IPsec защищает не сам канал передачи информации, а передаваемые по нему пакеты.

2. Протокол HTTP

Все информационные ресурсы Интернета организованы в виде гипертекстовой информационной системы, более известной как сеть Web, хранящей документы HTML, связанные между собой гиперссылками. Для взаимодействия клиентских компьютеров с серверами Web используется протокол HTTP (Hypertext Transfer Protocol - Протокол передачи гипертекстовых файлов). Протокол HTTP обеспечивает загрузку на клиентский компьютер документа по указанному адресу и переходы на другие документы по гиперссылкам.

2.1 Общая структура сообщения HTTP

Взаимодействие клиентского компьютера с сервером Web протекает следующим образом. Пользователь указывает браузеру адрес нужного ему документа Web, браузер посылает серверу запрос, на который он через какое-то время получает ответ и отображает его пользователю. Протокол HTTP определяет структуру данных, передаваемых серверу (запрос) и получаемых с сервера (ответ, или ответное сообщение). Эти сообщения представляют собой последовательности байтов двоичного кода, называемых потоками, путешествующими от сервера к клиенту и обратно. И запрос, и ответ имеют одинаковую структуру, или формат этих потоков информации. Формат запроса (ответа) определяется стандартом RFC 822. Сообщения HTTP состоят из начальной строки, совокупности полей заголовков, разделенных символами возврата каретки (CR) и перевода строки (LF) - CRLF, и необязательного тела сообщения.

Начальная строка

{Заголовок_сообщения_№1 CRLF Заголовок_сообщения_№2 CRLF…}

CRLP

[Тело сообщения]

Начальные строки в запросных и ответных сообщениях различаются между собой. В запросных сообщениях начальная строка включает в себя метод обработки ресурса, запрашиваемого по указанному далее в строке адресу ресурса, а также номер версии протокола HTTP. В ответных сообщениях начальная строка играет роль строки состояния, содержащей трехзначный числовой код, фиксирующий итог выполнения запроса. Каждая цифра этого кода означает определенное состояние процесса выполнения запроса; например, значение строки состояния 200 означает успешное выполнение запроса, 402 - указывает на необходимость оплаты за загрузку ресурса, и т.д. Тело сообщения содержит те сведения, которые передаются в сообщении (например, документ HTML).

Заголовки сообщений являются полями данных, также называемых полями заголовков. Они состоят из имени поля (состоящего из набора букв, причем регистр букв не учитывается) и необязательного значения поля, разделенных символом двоеточия (:).

Заголовок сообщения=Имя__поля»:» [Значение поля]

Назначение полей заголовков в запросных и ответных сообщениях различно, но все они подразделяются на общие заголовки, заголовки ответов, заголовки запросов и информационные заголовки.

* Общие заголовки содержат информацию, одинаково применимую как в запросах, так и ответах, например, дату запроса или параметры соединения.

* Заголовки запросов передают серверу дополнительную информацию о клиенте, например, его идентификационные данные, требуемые для доступа к запрашиваемому ресурсу.

* Заголовки ответов, наоборот, передают клиенту информацию о сервере, например, информацию о программе (включая ее название и краткое описание), используемой для обработки запроса.

* Информационные заголовки включают сведения о самой информации, передаваемой в запросе или ответе.

Запросное сообщение HTTP

Запросное сообщение HTTP имеет ту же самую структуру, что и ответное (см. выше), за исключением начальной строки. Эта строка в случае запросных сообщений называется строкой запроса, и она имеет такой вид.

Строка запроса=Метод SP Запрашиваемый_адрес_URL SP Версия_протокола_НТТР CRLF.

Здесь SP - это символ пробела ASCII (код 32), Метод - это название метода HTTP, который должен быть применен к ресурсу, указанному запрашиваемым адресом URL, a CRLP - это код возврата каретки (CR) и перевода строки (LF).

3. Взлом и защита

3.1 Социальная инженерия

сетевой протокол взлом защита

Если в один прекрасный день вы обнаружили в вашем электронном почтовом ящике письмо примерно такого содержания:

«Уважаемый пользователь!!!

К сожалению, на Вашем счету был обнаружен факт двойного доступа к нашему серверу, т.е. в одно и то же время, используя Ваш аккаунт, в систему вошли 2 (два) пользователя. Вследствие чего возникла необходимость в смене Вашего текущего пароля доступа к нашей сети.

Вам необходимо ответить на это письмо, используя следующий формат:

log: ваш логин

ор: ваш старый пароль

пр1: ваш новый пароль

пр2: ваш новый пароль

em: ваш e-mail

Эти сведения должны находиться в начале Вашего сообщения. Обратите внимание на то, что новый пароль должен быть повторен дважды! Это необходимо для точной идентификации Вашего аккаунта. Рекомендуется прислать свои сведения до…, «т.к. по истечении этого срока возможно отключение Вашего аккаунта.

Желаем Вам успехов!!!

С уважением, администрация сервера http://www.super-internet-provider.ru»

- Знайте, вы подверглись атаке хакера и можете стать жертвой социальной инженерии или просто собственной глупости. И Ваши дальнейшие действия определят ваш статус в том мире, которой называют терминами «киберпространство» или «виртуальная сеть».

Социальная инженерия - самое мощное оружие хакера. С его помощью происходило большинство наиболее громких взломов и создавались самые известные вирусы. Вспомните вирус Анны Курниковой, когда пользователям приходило письмо с вложением и предложением посмотреть фотографию обнаженной Анны. Это тоже социальная инженерия, которая играет на слабостях человека.

Социальная инженерия основана на психологии человека и использует его слабые стороны. С ее помощью хакеры заставляют жертву делать то, что им нужно: заражают компьютеры, получают пароли.

Пользователь получает письмо с просьбой сообщить свой пароль, потому что база данных банка порушилась из-за погодных условий, проказ хакера или неисправности оборудования. Ничего не подозревающие пользователи всегда сообщают данные, потому что боятся потерять информацию.

В последнее время снова начинает набирать ход метод взлома через смену пароля. Приходят письма с просьбой обновить свои реквизиты на Web-странице банка, и при этом ссылка из письма указывает совершенно на другой Web-сайт, где введенные пользователем данные попадают в руки хакеру.

3.1.1 Нигерийская афера

В 80-х годах тысячи американцев находили в своих почтовых ящиках письма такого типа:

«К вам обращается Mr. George Kabila, брат последнего президента Республики Конго Лорента Кабилы. Информацию о вас я нашел в …. Будьте информирован, что мой осведомитель не знает о природе бизнеса, у которого я спрашиваю вашу помощь. У меня есть выгодное предложение для вас. После убийства моего брата, бывшего президента, Лорента Кабилы, и перехода власти к его сыну Джозефу, мы обнаружили, что некоторая сумма денег (…) теперь помещена на банковский счет в Швейцарии для нашего личного использования.

К сожалению, я не имею средств для перевода денег в другой банк и разморозки счета… именно поэтому я обращаюсь к вам. Если вы согласны компенсировать мои расходы по переводу счета, вы можете получить до 30% имеющейся на счете суммы».

3.1.2 Фишинг и «полный доступ»

Фишинг

Представьте себе, что вы пользуетесь нелицензионной копией Windows. И однажды, в ваш почтовый ящик падает письмо от рекламного отдела Microsoft, где вам предлагается зарегистрировать вашу копию и стать владельцем абсолютно легальной программы всего за… один доллар. Только сделать это можно только в течении одного часа - таковы условия рекламной акции.

Вы щелкаете по приложенной ссылке и попадаете на сервер Microsoft, где вам предлагается немедленно оплатить покупку и вы вбиваете в специальную форму данные вашей кредитки.

Секрет мошенников прост - подобрать внушающий доверие адрес и полностью скопировать дизайн сайта-оригинала. Во всех браузерах нового поколения появились специальные фишинг-фильтры.

«Полный доступ»

Для создания такого сайта нужно пара десятков фотографий или мукальных произведений и простая форма покупки «полного доступа». Несколько человек просмотрев материал решат купить доступ к всему архиву. После заполнения регистрационной формы (где есть поле номер кредитной карты) покупатель перебрасывается на другой бесплатный сайт или в никуда.

3.1.3 FreeGSM, генераторы карт

Появление этих двух типов мошенничества связано с распространением сотовых телефонов и жадностью сотовых компаний.

В сети появились сайты с предложениями сэкономить на сотовой связи посредством взлома сим-карты через прошивку телефона (FreeGSM) или через «генераторы номеров» карт оплаты. Позднее появились «генераторы» виртуальных кошельков WebMoney и Яндекс. Деньги.

На рисунке представлен пример такого сайта.

3.1.4 «Обменник» виртуальных денег

В виртуальном пространстве существует более десятка платежных систем и, соответственно, несколько видов «киберденег». Необходимость обменять один вид «электронной валюты» на другой возникает довольно часто.

Поскольку виртуальными деньгами пользуются многие, то появились желающие заработать на проблемах обладателей «виртуальной наличности».

Сайт типа «виртуальный обменник» может предложить вам быструю конвертацию одного вида валюты в другой. На сайте можно найти таблицу комиссионных. Покупателям товаров на аукционах предлагается выслать номер лота, адрес продавца и цену.

После первого письма клиенту предлагается перевести сумму авансом на «виртуальный кошелек» WebMoney или аналогичной системы. Дальнейшее предугадать нетрудно.

3.1.5 Заработок в интернете

Мошенничество с продажей информации - один из самых любимых приемов российских жуликов как в реальном, так и в виртуальном мире.

За рецепт обогащения обычно просят небольшие деньги. Уплатив сумму, вы получите небольшой файл-архив, в котором, в зависимости от профиля продавца, может оказаться следующее:

1. Заготовка по созданию типового сайта, посвященному FreeGSM или другим аферам, с подробной инструкцией по обману.

2. Архив общедоступного сайта, посвященного интернет-торговли.

3. Совет типа «опубликуй такое же сообщение и получай деньги».

Возможны и другие варианты, но ничего более того, что вы сами могли бы найти за пару минут в сети.

Несколько более щадящий вариант - «сетевые пирамиды». Вначале в различных вариантах предлагалось читать рекламную почту и привлекать к этому высокоинтеллектуальному занятию друзей. Позже появился менее безобидный вариант, их участники предлагали заниматься рассылкой рекламной почты (спама), получая доход от каждого откликнувшегося на послание с личным номером участника.

Сейчас процветает торговля «виртуальными акциями», обладателям которых обещаны фантастические проценты дохода.

3.2 Вирусы

Прежде всего, вирусы - саморазмножающиеся программы. Именно такое определение дал вирусам Фред Коэн, один из первых исследователей этого феномена. Программы, умеющие по собственной воле, независимо от желания пользователя, создавать свои собственные копии и распространять их на другие компьютеры. Это - одна сторона деятельности вируса.

Вирус - это фрагмент кода, который копирует себя в программу и активизируется при ее выполнении. Вирус может не проявляться до тех пор, пока не произойдет определенное событие, например наступление какой-нибудь даты, удаление из базы данных определенного имени и т.д. Он может модифицировать и другие программы.

Результаты действий компьютерного вируса могут быть просто слегка раздражающими, такие как выполнение большого числа избыточного кода, что приводит к понижению работоспособности системы. Но вирус может производить существенные разрушения. Некоторые специалисты определяют вирус как программу, которая вызывает потерю или порчу данных или программ.

Обнаружение вируса в системе может быть довольно трудной задачей. Вирус может в какой-то момент самоликвидироваться. Другими словами, он может выполниться и уничтожить себя.

3.3 Червь

Червя иногда путают с вирусом. Но червь - независимая программа, которая не модифицирует другие программы, а воспроизводит сама себя, что приводит к снижению производительности, а то и полной остановке компьютера или сети. Название «червь», в частности, появилось благодаря двум исследователям из PARC - John Schoch и Jon Hupp, описавшим червя как программный код, существующий на компьютере. Программа-червь может разделиться с тем, чтобы заразить компьютера, соединенные с данным.

3.4 Трояны и руткиты

Трояны

Изначально под троянами подразумевались программы, которые помимо своей основной работы решали еще какую-то скрытую от взора пользователя задачу. Классическим примером троянца можно считать неоднократно описанную в различных (полу) фантастических рассказах ситуацию, когда какая-то корпоративная программа, не обнаружив в платежной ведомости фамилию программиста, ее написавшего, начинала всячески «шалить».

В старые времена трояны писались как некие дополнительные функции программы. Например, чтобы получить привилегированный доступ в университетскую машину, писалась игрушка по мотивам «Пикника» Стругацких, которая в процессе игры имитировала сбой, выводила окно для входа в систему и сохраняла введенных пароль в файл.

Сегодняшние троянцы чаще всего занимаются тем, что воруют пароли для доступа в Интернет и другую «секретную» информацию (например, номера кредитных карточек) и пересылают ее «хозяину». Этим же занимаются и «кей-логгеры» - программы, которые втихаря отсылают своему хозяину информацию, по каким клавишам вы щелкали в течении дня. Нетрудно догадаться, что из этой мешанины легко выудить пароли, номера кредитных карточек и прочее.

Руткиты

Другой распространенный вариант - это установка различных удаленных серверов для удаленного управления и открытие «черных ходов» для доступа к вашей системе. Этим занимаются самые опасные разновидности вредительских программ - «руткиты», «трояны-невидимки», присутствие которых почти невозможно обнаружить. Если такая программа оказалась у вас в компьютере, то ее хозяин сможет работать на вашей машине почти как на совей собственной. Существуют и другие виды руткитов, которые могут, к примеру, заброкировать запуск определенных программ.

Стандартным способов распространения троянов является рассылка писем от имени известных серверов, причем в письме указывается, что прикрепленный файл - это новая заплатка, программа и т.д.

Другой способ - письмо, якобы по ошибке попавшее не туда. Основная задача таких писем - заинтересовать и заставить запустить прикрепленный файл. Даже прикрепленная картинка может оказаться трояном.

Не менее распространенный способ - маскировка троянов под новые версии известных программ (в том числе антивирусов) и… других троянов. Так что если вы решите подсунуть знакомому трояна, то не исключено что и сами окажетесь жертвой злоумышленника.

Бывает и по-другому - к примеру, заходите вы на «хакерский» сайт с ломалками-крэками для популярных программ. И тут вам предлагают загрузить какой-то навороченный download-менеджер, так как ничем другим программки с сайта утянуть нельзя. Вы покупаетесь - и получаете вместо «качалки» прекрасный экземпляр троянской программы.

Троян должен быть запущен на вашем компьютере. Первый раз его запускаете вы, но троянец должен позаботиться о том, что каждый раз запускаться после перезагрузки компьютера. В Windows есть тир места, из которых может программа автоматически загрузится: папка Автозагрузка, win.ini и реестр. Если периодически проверять эти места, то вы сможете с большой уверенностью обезвредить троянов. Уже запущенного трояна определить сложнее, но тоже возможно. Можно просмотреть список процессов на вашем компьютере, с кем и на каком порту ваш компьютер устанавливает связь. Также можно обнаружить трояна с помощью антивирусника.

Трояна нужно удалить, но Windows не позволяет удалять запущенные программы, поэтому нужно посмотреть откуда запускается процесс, удалить эту запись, перезагрузить компьютер и после этого удалить программу. Еще один способ - блокировать связь трояна с автором. С этим вполне справляются файрволлы.

3.5 Закупорка или затопление

Закупорка или затопление (flogging или flooding) является разновидностью программы-червя, которая вызывает пересылку большого объема информации на узел, такой как сервер или маршрутизатор. В результате принимающий компьютер перегружается и не может обслуживать своих пользователей из-за перегрузки своих вычислительных ресурсов. Это подходит и под описание атаки «отказ в обслуживании» (DoS).

3.6 Бомба

Бомба - еще один вид угрозы системы безопасности. Она может принимать форму троянского коня и производить такие же разрушения, как вирус или червь. Бомба характерна тем, что приводится в действие часовым или логическим «взрывателем». У местно вспомнить одну из разновидностей бомб, «взрывателем» для которой служит дата: после того как проходит некоторый срок, бомба не позволяет выполняться программе, в которой она находится.

Логический «взрыватель» основан на том, что бомба реагирует на событие, происходящее в ходе нормальной работы программного обеспечения. В качестве примера можно назвать удаление записи из базы данных. Служащего увольняют и его данные удаляются из базыданных персонала. Предположим, бывший служащий был программистом и имел дело с программой для работы с данными о персонале. Поэтому рассерженный программист удаляет программу, которую он создал. «Взрывателем» является подпрограмма, которая, обнаружив отсутствие записи о данном программисте, инициирует действия, направленные на повреждение системы.

3.7 Лазейка

Лазейка - это механизм, посредством которого можно пробраться в систему. Источник такой возможности кроется в ошибках в организации системы безопасности. Но эта «дверь» сознательно может быть включена в текст программы самим программистом. Такие лазейки удобны, они дают доступ в программное обеспечение, которое стало коммерческим продуктов, но в определенных случаях требует вмешательства.

Для обеспечения безопасности хорошей практикой является удаление лазеек после того, как программа отлажена. Если лазейки необходимо сохранить, то вход через них должен быть сильно затруднен. Один из методов состоит в том, чтобы вход в лазейку осуществлялся через другую, более скрытую лазейку, требующую, например, знание пароля. Обеспечить безопасность в случае лазеек очень непросто, так как исходный код может попасть в чужие руки.

3.8 Салями

Пакость заключается в небольшом изменении цифр в файле. Примером может служить округление вверх или вниз десятичных дробей в банковском счете или небольшое увеличение числа в инвентаризационной системе для искажения количества товара на складе. Такие изменения, в конце концов, приводят к большому количеству небольших дыр.

3.9 Повторение

Повторение (replay) - активная атака на сетевой ресурс, вызывает перехват данных, модифицирование их (не обязательно) и дальнейшую их пересылку. Пример повторения - это посылка изменений в базу данных более чем один раз, когда предполагается, что такое изменение должно иметь место только один раз. Такая транзакция в случае, к примеру, накопительного счета в банке может быть даже повторена без изменений, но конечный результат - нарушение точности накопительного счета в пользу того, кто совершает атаку, и убыток держателю накопительного счета. Атака повторением может использоваться вместе с атакой салями.

3.10 «Шпионское» ПО и реклама

«Шпионские» рекламные модули, которые втихаря снабжают своих создателей информацией о вашей работе - а заодно и «подкармливают» вас изрядной порцией ненавязчивых (а иногда - и очень даже навязчивых) советов и заманчивых предложений.

Заходите вы на сайт, который тут же предлагает вам установить на компьютер программу для …. Вы щелкаете кнопку «Установить» - и программа устанавливается, и антивирус молчит… Все вроде бы нормально, но при открытии браузера программа заставляет вас все время переходить на ее сайт, который начинает засыпать вас рекламой.

А «шпионский модуль» - тот же троянец, но прирученный хозяином того или иного сайта или разработчиком программы. Вреда вроде и нет, но неприятно осознавать, что за тобой постоянно наблюдает недремлющее око Большого Брата.

Информация о программах-шпионах имеет под собой реальную почву. Однако на деле все оказывается не так страшно и не так опасно. Программы отслеживают на какую рекламу вы купились. Бывает, программа начинает наглеть и следит за тем, какие страницы вы открываете в браузере. Хотя и это реальной опасности не представляет.

Но больше всего человек начинает беспокоиться, когда обнаруживает утечку того, что именуется «персональной» информацией. То бишь милых сердцу фамилии-имени-отчества, электронного адреса… и прочей мелкой ерунды, которую каждый человек наивно считает своей главной магической тайной.

Но это максимум того, что может позволить себе честная «рекламно-оплачиваемая» программа, «шпионская» начинка которой сработана серьезной компанией. Если же коварная «софтина» решается на большее, то она тут же переходит в статус трояна.

3.11 Dos (Denial of Service)

Одна из атак, которую используют хакеры - это DoS (Denial of Service, отказ в обслуживании). Заключается в том, чтобы заставить сервер не отвечать на запросы пользователей. Часто такого результата можно добиться с помощью зацикливания работы. Например, если сервис не проверяет корректность входящих пакетов, то можно сделать такой запрос, который будет обрабатываться вечно, а на работу с остальными соединениями не хватит времени, тогда клиенты получат отказ обслуживания.