Защита информации при межсетевом взаимодействии
Появление локальных и глобальных сетей передачи данных предоставило пользователям удивительные возможности для оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узкоиаправленных целях (академические сети, сети военных ведомств и т.д.), то развитие Internet и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.
Повсеместное распространение Internet привело к необходимости применять в телекоммуникационном оборудовании и информационных услугах открытые и универсальные решения. Сама жизнь требовала обеспечить совместимость и интегрируемость предоставляемых продуктов и услуг в рамках Internet, но для реализации такого подхода пришлось пожертвовать безопасностью создаваемых систем. Недостатки в защите отправляемых по Internet данных являются неизбежным следствием недоработанности вопросов сохранения конфиденциальности в базовом стеке протоколов Internet - TCP/IPv4. Поскольку существующая версия стека протоколов TCP/IP была разработана в 70-х годах, соответственно его создатели даже предположить не могли, что через некоторое время их детище получит статус международного промышленного стандарта. Первые нарушения безопасности в сети Internet были зафиксированы в 1987 году. С тех пор и по сегодняшний день их число стремительно растет. Дело в том, что количество хостов в сети Internet имеет экспоненциальную зависимость, и уже в 1996 году их было порядка 12 млн, но одновременно с этим возрастает и число атак, которым ежедневно подвергаются компьютеры. По статистике института CSI (Computer Security Institute), каждая пятая машина уже подвергалась тому или иному виду подобных атак. С 1991 года число незаконных вторжений возросло на 498%, а число пострадавших узлов на 781%. По результатам опроса, проведенного CSI среди 500 наиболее крупных организаций, компаний и университетов, потери, вызванные этими атаками, оцениваются в 66 млн долларов, и все это происходит несмотря на то, что существует большое количество средств защиты информации различного уровня: межсетевые экраны, средства шифрования трафика, криптографические протоколы и т.д. Так, специалисты компании Internet Security Systems считают, что в любой сети, основанной на протоколе TCP/IP, насчитывается примерно 135 потенциальных лазеек для нарушителей.
В этом разделе особое внимание уделяется вопросам обеспечения информационной безопасности, возникающим при построении информационно-телекоммуникационных систем на основе сети Internet, поскольку стек протоколов TCP/IP является на сегодняшний день наиболее распространенным. Более того, основные принципы обеспечения безопасности, рассмотренные применительно к TCP/IP, могут быть перенесены на другие протоколы (например, DECnet и др.).
Для начала проведем анализ уязвимостей стека протоколов TCP/IP, угроз, возникающих при использовании Internet в качестве транспортной среды, и основных принципов противодействия атакам. Следует заметить, что все существующие атаки в сети Internet можно условно разделить на два типа:
• атаки на стек протоколов TCP/IP. Internet в данном случае выступает как пример распределенной системы, а основным и самым опасным типом атак на подобные системы являются удаленные;
• атаки на телекоммуникационные службы, предоставляемые в рамках сети Internet. К данному типу атак относятся и учитывающие уязвимости реализации стека протоколов TCP/IP в конкретных ОС, а также атаки, направленные на прикладные телекоммуникационные службы. Этот вид осуществляемых угроз, очевидно, связан прежде всего с ошибками и уязвимостями в реализации сетевого программного обеспечения и сетевых частей современных ОС.
В рамках этой книги рассматриваются только атаки первого типа, поскольку именно они носят общий и, если выразиться точно, базовый характер.
Очевидно, что атаки второго типа имеют частный характер, их качественный состав постоянно меняется как в общем смысле, так и применительно к отдельным решениям. Например, обнаруженные ошибки и уязвимости ОС Windows NT постоянно устраняются с выходом новой версии Service Pack, но при этом обнаруживаются все новые и новые, вот почему рассмотрение атак на телекоммуникационные службы может носить исключительно частный, прикладной характер. Атаки данного типа и связанные с ними уязвимости постоянно освещаются в Internet на специализированных сайтах, к примеру на CERT.
Необходимо отметить, что в последнее время активно развивается и находит применение идея распределенных вычислений. К сожалению, рамки одной книги не позволяют в полном объеме осветить проблемы использования и безопасности распределенных вычислений, поэтому рекомендуется посетить, например, сайт destributed.net.