Опубликован: 16.10.2006 | Доступ: свободный | Студентов: 1973 / 253 | Оценка: 4.44 / 4.23 | Длительность: 26:41:00
Лекция 1:

Угрозы безопасности в интернете

Стратегии взломщиков

Если знать методы хакеров и использование ими недостатков систем, то можно реализовать разумные решения по обеспечению безопасности. Большая часть атак направлена на слабые места оборудования, программно-аппаратных средств, операционных систем, сетевых служб и приложений. Компоненты, так или иначе связанные с интернетом, подвергаются угрозам из-за недостатков в устройствах.

В таблице 1.1 приведен краткий перечень целей хакеров и типов атак. Как видите, в каждой из категорий могут использоваться DoS-атаки или крекинг для доступа к сайту, нарушения его конфиденциальности, повреждения его содержимого. Этот перечень не является исчерпывающим, но дает представление о степени серьезности описываемых угроз.

Совет. Для получения подробной информации об уязвимости программного обеспечения интернета и оборудования обратитесь к книге "Hacking Exposed: Network Security Secrets and Solutions" S. McClure, J. Scambray, G.Kurtz, McGraw-Hill/Osborne.

Таблица 1.1. Основные цели и методы атак
Цель Тип атаки Метод
Основные цели и методы атак Взлом таблиц маршрутизаторов Сканирование файлов маршрутизатора для получения информации о сети, необходимой для реализации атак, или изменение записей в файлах маршрутизатора для нарушения работы сети.
Флудинг (перегрузка) узлов, маршрутизаторов или сетевых экранов Перегрузка сетевых экранов или серверов для замедления их работы или полной остановки из-за обработки огромного количества информации.
Сниффинг (прослушивание) Использование программного обеспечения для прослушивания сетевого интерфейса клиента, сервера или канала передачи пакетов, интересующего злоумышленника.
Спуфинг (подмена пользователя) Осуществление действий под видом пользователя (как правило, используется применительно к IP-адресам).
Атаки на серверы Взлом учетных записей и паролей операционной системы Использование учетных записей, оставленных открытыми для доступа из интернета, в операционной системе веб-сервера и/или осуществление попыток угадывания пароля учетной записи для получения доступа к сетевым ресурсам узла.
Переполнение буфера Возникновение переполнения системной памяти и реализация возможности хакера передать системе инструкции для запуска другой программы, позволяющей осуществить доступ в систему.
Расшифровка URL Получение информации о настройках веб-сервера с помощью ошибки, генерирующей некорректный URL, для идентификации и проникновения в директории с файлами.
Маскарад Разновидность подмены пользователя, основанная на имитации его поведения.
Захват "Похищение" соединения пользователя после его легального входа в систему.
Атаки на содержимое и информацию Повреждение отображаемого на веб-сайте содержимого Получение доступа к веб-содержимому с его последующим изменением и повреждением.
Нарушение конфиденциальности Получение доступа к частной или конфиденциальной информации, представляющей государственную тайну, коммерческие секреты или личные данные.
Удаление файлов Нарушение безопасности файловой системы и удаление информации с накопителя.
Атаки на финансовые средства Мошенничество Проникновение посредством незаконной аутентификации в одной учетной записи для перемещения финансовых средств в другую учетную запись.
Аннулирование транзакции Получение несанкционированного доступа к системе и удаление записи о подтверждении коммерческой транзакции.

Сегодня информация о многочисленных методах атак и их целях доступна каждому. Основной трудностью, с которой сталкиваются пользователи при разработке методов защиты, является то, что в любой технологии, программном или аппаратном продукте, предназначенном для работы в сети или для поддержки веб-сайта, имеются потенциально уязвимые места.

Взаимосвязь аспектов безопасности

Многие атаки направлены на сетевые маршрутизаторы и операционные системы, а не только на приложение веб-сервера. Internet Information Server 5 полностью интегрирован с Windows 2000, и если речь идет о его безопасности, подразумевается также и безопасность самой операционной системы Windows 2000. Имеют место атаки на сетевые устройства и на инфраструктуру сети, например, на сетевые экраны, маршрутизаторы, серверы или клиенты. Уязвимость этих устройств представляет собой брешь в периметровой защите, открывающей доступ к важной информации сайта.

Важно. Мощность систем безопасности измеряется стойкостью их уязвимых мест. Веб-содержимое не является единственным ресурсом, подвергаемым риску в случае слабой системы защиты. В сети лучше всего применять различные меры и средства обеспечения безопасности. В "Особенности процесса разработки" будет рассказываться об усилении безопасности сервера с помощью средств периметровой защиты.

Примеры уязвимых мест

Все компьютерные системы зависят друг от друга, и это обстоятельство обуславливает высокий уровень безопасности сети. Сеть становится уязвимой из-за дефекта, ошибки или недосмотра в настройках веб-сервера IIS. На рисунке 1.1 показана конфигурация сети, объясняющая некоторые сценарии развития подобных событий.

Открытый порт равносилен открытой двери

Сетевые экраны (firewalls) или брандмауэры защищают внутренние ресурсы, маскируя реальные IP-адреса компьютеров и блокируя попытки доступа к сети, инициированные извне, если только внешний пользователь не является законным и авторизованным сотрудником организации. Возможно нарушение безопасности веб-сервера при работе в интернете. В этом случае брандмауэр настраивается на предоставление канала для проникновения трафика только на веб-сервер. К сожалению, при слабой защите операционной системы Windows или веб-сервера открытие порта позволит опытному хакеру получить информацию о сетевых адресах, пользователях и директориях, которая позволит ему атаковать другие компьютеры сети.

Типичная конфигурация сети с веб-сайтом, имеющим базу данных

увеличить изображение
Рис. 1.1. Типичная конфигурация сети с веб-сайтом, имеющим базу данных

Проблема. Веб-приложения влияют на уровень безопасности базы данных

Еще раз обратите внимание на рис. 1.1. Веб-сайт подключен к базе данных организации (этот подход применяется на серьезных сайтах, что позволяет клиентам искать товары в каталогах или отправлять личные данные по запросу компании). Следовательно, веб-сайт подвергает базу данных риску, если он недостаточно защищен. Веб-сайты IIS нередко обеспечивают взаимодействие базы данных и клиента в интерактивном режиме посредством страниц Active Server Page (ASP). Эти страницы содержат программы для отображения полей поиска или форм для заполнения, которые преобразуют введенные данные в формат структурированного языка запросов SQL, используемого при отправке сообщений в базу данных или запросов на получение информации. Если хакер получит доступ к этой программе, он сможет создавать SQL-сообщения для просмотра или изменения записей в базе данных.

Совет. Будьте внимательны! Не оставляйте на сайте уязвимые места, через которые будут атакованы другие системы. Изучите как можно больше информации, связанной с потенциальными угрозами, для построения достойной системы защиты.

Политика безопасности

Помимо веб-сервера в сети присутствуют другие компьютеры, поэтому обеспечение безопасности включает в себя совместные действия всех сотрудников организации, управляющих различными системами.

Нет никакого сомнения в том, что ни одна организация, обладающая большими информационными ресурсами, не обеспечит безопасность своей сети без применения политики безопасности, профилактических процедур и контрольных таблиц. В качестве защитника веб-безопасности вы должны обеспечить стабильность своей части этой политики, сделать ее руководством к действию для сотрудников и пользователей веб-платформы.

Игорь Хан
Игорь Хан
Узбекистан, Ташкент, Ташкентский педагогический институт иностранных языков, 1990
Сергей Мороз
Сергей Мороз
Беларусь