Читаем Атака на Internet полностью

Единственное, что можно предложить для повышения надежности работы системы, подвергаемой данной атаке, – использовать как можно более мощные компьютеры. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный шторм ложных запросов на создание соединения. Кроме того, необходимо использование соответствующих вашим вычислительным мощностям операционных систем с внутренней очередью, способной вместить большое число запросов на подключение. Ведь если вы, например, установите на суперкомпьютер операционную систему Windows NT, у которой средняя длина очереди для одновременно обрабатываемых запросов около 50, а тайм-аут очистки очереди равен 9 секундам, то, несмотря на все вычислительные мощности компьютера, ОС будет полностью парализована атакующим (см. главу 4).

Общий вывод по противодействию данной атаки в существующем стандарте IPv4 следующий: просто расслабьтесь и надейтесь на то, что вы ни для кого не представляете интереса, или купите мощный компьютер с соответствующей сетевой ОС.

Защита от подмены одной из сторон

Как отмечалось ранее, единственным базовым протоколом семейства TCP/ IP, в котором изначально предусмотрена функция обеспечения безопасности соединения и его абонентов, является протокол транспортного уровня – протокол TCP. Что касается базовых протоколов прикладного уровня (FTP, TELNET, r-служба, NFS, HTTP, DNS, SMTP), то ни один из них не предусматривает дополнительной защиты соединения на своем уровне, и решение всех проблем по обеспечению безопасности соединения останется за протоколом более низкого транспортного уровня – TCP. Однако, вспомнив о возможных атаках на TCP-соединение, рассмотренных в разделе «Подмена одного из субъектов TCP-соединения в сети Internet», несложно сделать вывод: при использовании базовых протоколов семейства TCP/IP обеспечить безопасность соединения практически невозможно. Это происходит из-за того, что, к сожалению, все базовые протоколы сети Internet сильно устарели с точки зрения обеспечения информационной безопасности.

Единственное, что можно порекомендовать сетевым администраторам для защиты только от межсегментных атак на соединения, – в качестве базового «защищенного» протокола использовать протокол TCP и сетевые ОС, в которых начальное значение идентификатора TCP-соединения действительно генерируется случайным образом (неплохой псевдослучайный алгоритм генерации используется в последних версиях ОС FreeBSD). Подчеркнем, что здесь говорилось только о базовых протоколах семейства TCP/IP, а все защищенные протоколы типа SSL, S-HTTP, Kerberos и т. д. не являются базовыми.

Программно-аппаратные методы защиты от удаленных атак

К программно-аппаратным средствам обеспечения информационной безопасности средств связи в вычислительных сетях относятся:

• программно-аппаратные шифраторы сетевого трафика;

• методика Firewall, реализуемая на базе программно-аппаратных средств;

• защищенные сетевые криптопротоколы;

• программные средства обнаружения атак (IDS – Intrusion Detection Systеms) (см. главу 9);

• программные средства анализа защищенности (см. главу 9);

• защищенные сетевые ОС.

Существует огромное количество литературы, посвященной средствам защиты для использования в сети Internet (за последние несколько лет практически в любом номере компьютерного журнала встречаются статьи на эту тему).

Эти средства мы опишем по возможности кратко, чтобы не повторять хорошо известную всем информацию. При этом мы преследуем следующие цели: во-первых, еще раз вернуться к мифу об «абсолютной защите», которую якобы обеспечивают системы Firewall; во-вторых, сравнить существующие версии криптопротоколов, применяемых в Internet, и дать оценку критическому, по сути, положению в этой области.

Методика Firewall

В общем случае методика Firewall как основное программно-аппаратное средство осуществления сетевой политики безопасности в выделенном сегменте IP-сети реализует следующие основные функции.

1. Многоуровневая фильтрация сетевого трафика

Фильтрация обычно происходит на четырех уровнях OSI:

1. Канальном (Ethernet).

2. Сетевом (IP).

3. Транспортном (TCP, UDP).

4. Прикладном (FTP, TELNET, HTTP, SMTP и т. д.).