5.1. Основні цілі мережевої безпеки
Безпека комп’ютерної мережі – особлива комбінація
як технічних, так і адміністративних заходів. Адміністративні заходи також
включають в себе не тільки папери, рекомендації, інструкції, а й людей.
Неможливо вважати локальну мережу «безпечною», якщо є сумніви у персоналі, що
працює з цією мережею.
Ідеальна безпека – недосяжний міф, який можуть реалізувати, в
кращому випадку, лише кілька професіоналів. Є один фактор, який неможливо
подолати на шляху до ідеальної безпеки – це людина. Цілі мережевої безпеки
можуть змінюватися в залежності від ситуації, але основних цілей зазвичай три:
ü Цілісність даних.
ü Політика
приватності.
ü Доступність
даних.
Розглянемо більш докладно кожну з них.
Цілісність даних
Одна з основних цілей мережевої безпеки –
гарантованість того, щоб дані не були змінені, підмінені або знищені.
Цілісність даних повинна гарантувати їх збереження як в разі зловмисних дій,
так і випадковостей. Забезпечення цілісності даних є зазвичай однією з
найскладніших завдань мережевої безпеки.
Конфіденційність
даних
Другою головною метою мережевої безпеки є
забезпечення конфіденційності даних. Не всі дані можна відносити до
конфіденційної інформації. Існує досить велика кількість інформації, яка
повинна бути доступна всім. Але навіть в цьому випадку забезпечення цілісності
даних, особливо відкритих, є основним завданням. До конфіденційної інформації
можна віднести наступні дані:
ü Особиста
інформація користувачів.
ü Облікові записи (імена і паролі).
ü Дані про кредитні
картки.
ü Дані розробки і різні внутрішні документи.
ü Бухгалтерська
інформація.
Доступність
даних
Третьою метою безпеки даних є їх доступність.
Марно говорити про безпеку даних, якщо користувач не може працювати з ними
через їх недоступність. Ось приблизний список ресурсів, які зазвичай повинні
бути «доступні» в локальній мережі:
ü Принтери.
ü Сервери.
ü Робочі станції.
ü Дані
користувачів.
ü Будь-які критичні дані, необхідні для роботи.
Розглянемо загрози і перешкоди, що стоять на шляху
до безпеки мережі. Всіч їх можна розділити на дві великі групи: технічні
загрози і людський фактор.
Технічні
загрози:
ü Помилки в
програмному забезпеченні.
ü Різні DoS- і DDoS-атаки.
ü Комп’ютерні
віруси, черв’яки, троянські коні.
ü Аналізатори
протоколів і прослуховуючі програми («сніффери»).
ü Технічні засоби
знімання інформації.
ü Помилки в
програмному забезпеченні.
Помилки в
програмному забезпеченні
Програмне забезпечення серверів, робочих станцій,
маршрутизаторів і т. д. ПЗ написано людьми, отже, воно практично завжди містить
помилки. Чим вище складність подібного ПЗ, тим більша ймовірність виявлення в
ньому помилок і недоліків. Більшість з них не представляє ніякої небезпеки,
деякі ж можуть привести до трагічних наслідків, таких, як отримання
зловмисником контролю над сервером, непрацездатність сервера, несанкціоноване
використання ресурсів (зберігання непотрібних даних на сервері, використання в
якості плацдарму для атаки тощо). Більшість таких вразливостей усувається за
допомогою пакетів оновлень, що регулярно випускаються виробником ПЗ. Своєчасна
установка таких оновлень є необхідною умовою безпеки мережі.
DoS- і
DDoS-атаки
Denial Of
Service (відмова в
обслуговуванні) – особливий тип атак, спрямований на виведення мережі або
сервера з робочого стану. При DoS-атаках можуть використовуватися помилки в програмному
забезпеченні або легітимні операції, але в більших масштабах (наприклад,
посилка величезної кількості електронної пошти). Новий тип атак DDoS
(Distributed Denial Of Service) відрізняється від попереднього наявністю
величезної кількості комп’ютерів, розташованих у великій географічній зоні.
Такі атаки просто перевантажують канал трафіком і заважають проходженню, а
часто і повністю блокують передачу по ньому корисної інформації. Особливо
актуально це для компаній, що займаються будь-яким online-бізнесом, наприклад,
торгівлею через Internet.
Комп’ютерні
віруси, троянські коні
Віруси – стара категорія небезпек, яка останнім часом в
чистому вигляді практично не зустрічається. У зв’язку з активним застосуванням
мережевих технологій для передачі даних віруси все тісніше інтегруються з
троянськими компонентами і мережними черв’яками. В даний час комп’ютерний вірус
використовує для свого поширення або електронну пошту, або уразливості в ПЗ, а
часто і те, і інше. Тепер на перше місце замість деструктивних функцій вийшли
функції віддаленого управління, викрадення інформації та використання зараженої
системи як плацдарм для подальшого поширення. Все частіше заражена машина стає
активним учасником DDoS-атак. Методів боротьби досить багато, одним з них є все
та ж своєчасна установка оновлень.
Аналізатори
протоколів і «сніффери»
У цю групу входять кошти перехоплення переданих
мережею даних. Такі кошти можуть бути як апаратними, так і програмними.
Зазвичай дані передаються мережею у відкритому вигляді, що дозволяє зловмиснику
всередині локальної мережі перехопити їх. Деякі протоколи роботи з мережею
(POPS, FTP) не використовують шифрування паролів, що дозволяє зловмисникові
перехопити їх і використовувати самому. Під час передачі даних глобальними
мережами ця проблема постає найбільш гостро. За можливістю слід обмежити доступ
до мережі неавторизованих користувачів і випадковим людям.
Технічні засоби
несанкціонованого копіювання інформації
Сюди можна віднести такі засоби, як клавіатурні
жучки, різні міні-камери, звукозаписуючі пристрої і т. д. Дана група
використовується в повсякденному житті набагато рідше перерахованих вище, так
як, окрім наявності спецтехніки, вимагає доступу до мережі та її складових.
Людський фактор:
ü Звільнені або
незадоволені співробітники.
ü Промислове
шпигунство.
ü Халатність.
ü Низька кваліфікація.
ü Звільнені і незадоволені
співробітники.
Дана група людей найбільш небезпечна, так як
багато хто з працюючих співробітників можуть мати дозволений доступ до
конфіденційної інформації. Особливу групу складають системні адміністратори,
зазвичай незадоволені своїм матеріальним становищем або незгодні зі
звільненням, вони залишають «чорні ходи» для подальшої можливості коректного
використання ресурсів, викрадення конфіденційної інформації і т. д.
Промислове
шпигунство
Це найскладніша категорія. Якщо дані цікаві
будь-кому, то цей хтось знайде способи дістати їх. Злом добре захищеної мережі
– не найпростіший варіант.
Халатність
Найбільша категорія зловживань: починаючи з
невстановлених вчасно оновлень, незмінених налаштувань «за замовчуванням» і
закінчуючи несанкціонованими модемами для виходу в Internet, – в результаті
чого зловмисники отримують відкритий доступ в добре захищену мережу.
Низька
кваліфікація
Часто низька кваліфікація не дозволяє
користувачеві зрозуміти, з чим він має справу; через це навіть хороші програми
захисту стають справжньою морокою системного адміністратора, і він змушений
сподіватися тільки на захист міжмережевого екрана. Більшість користувачів не
розуміють реальної загрози від запуску виконуваних файлів і скриптів і
вважають, що виконувані файли, тільки файли з розширенням «ехе». Низька
кваліфікація не дозволяє також визначити, яка інформація є дійсно
конфіденційною, а яку можна розголошувати. У великих компаніях часто можна
зателефонувати користувачеві і, представившись адміністратором, дізнатися у нього
облікові дані для входу в мережу. Вихід тільки один – навчання користувачів,
створення відповідних документів та підвищення кваліфікації.