Безопасный Интернет
Часть 1. Теория и немного практики
Интернет — это всемирная сеть, которая использует для взаимодействия стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol).
Интернет был создан для облегчения взаимодействия между организациями, выполняющими правительственные заказы. В 80-е годы к нему подключились учебные заведения, правительственные агентства, коммерческие фирмы и международные организации.
В 90-е годы Интернет переживает феноменальный рост. Сейчас к Интернету присоединены миллионы пользователей, приблизительно половина из которых — коммерческие.
Интернет несомненно дает огромные преимущества при поиске информации, при ее размещении. Благодаря Сети при минимальных затратах средств ваша информация может стать доступна миллиону человек.
Но не стоит забывать о злоумышленниках, у которых так и чешутся ручки что-нибудь поломать и украсть. Именно на этом этапе и вводиться понятие политика безопасности. Это понятие в равной мере относится ко всем пользователям Сети: и к тем, кто размещает информацию, и к тем, кто ее использует.
Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они различны в различных ситуациях. Использование некоторых решений влечет за собой уменьшение функциональности, другие же сильно усложняют процесс работы в Сети, а некоторые требуют значительных капитальных вложений.
Давайте вспомним, сколько потерь и крахов потерпели фирмы и пользователи из-за пренебрежения основными правилами пользования Сетью. Возникает вопрос: почему же такая огромная структура не защищена от атак и вандализма? Но Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:
• Легкость перехвата данных и фальсификации адресов машин в Сети. Основная часть трафика Интернета — это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены с использованием легкодоступных программ.
• Уязвимость средств TCP/IP. Многие средства TCP/IP не были спроектированы как защищенные и могут быть скомпрометированы квалифицированными злоумышленниками. Средства, используемые для тестирования, особенно уязвимы.
• Отсутствие политики. Многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможности злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы, и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.
• Сложность конфигурирования. Средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.
Что же может случиться при пользовании Сетью? Основной задачей злоумышленника обычно является запуск на компьютере жертвы программы, которая соберет данные о пользователе, пароли и логины для доступа в Интернет и другую полезную информацию.
Как запускаются на компьютере пользователя такие вредоносные программы? Злоумышленники рассылают потенциальным жертвам по электронной почте файлы, содержащие "троянских коней" — программы, которые запускаются на компьютере и после передают информацию злодею.
Памятка:
1. Бесплатный сыр — только в мышеловке. Насторожитесь, если вам что-то предлагают бесплатно.
2. Файлы, которые вам предлагают загрузить под тем или иным предлогом, могут быть заражены различными вирусами. Если вы все-таки скачали файл из Сети, перед запуском лучше его проверить по возможности последней версией антивирусной программы, чтобы быть точно уверенным в том, что никакой опасности скачанное не представляет.
3. Не доверяй! Убедитесь, что очередное письмо от службы технической поддержки, в котором убедительно просят выслать логин и пароль для доступа в Сеть, действительно от провайдера.
4. Победи лень! Не сохраняйте пароли на диске — не ленитесь вводить их каждый раз при входе в сеть или сервисы.
Если вы все же заподозрили, что кто-то пользуется Интернетом за ваш счет под вашими учетными данными, стоит немедленно зайти на сервер статистики и поменять себе пароль. После этого злоумышленник более не сможет работать в Сети. Правда, перед сменой пароля надо быть уверенным, что на вашем компьютере не установлена "троянская" программа, в противном случае новый пароль также достаточно быстро станет известен злодею.
E-mail
Основными почтовыми протоколами в Интернете являются SMTP (Simple Mail Transport Protocol), POP (Post Office Protocol) и IMAP (Internet Mail Access Protocol).
SMTP — это почтовый протокол хост-хост. SMTP-сервер принимает письма от других систем и сохраняет их в почтовых ящиках пользователей. Сохраненные письма могут быть прочитаны несколькими способами. Пользователи с интерактивным доступом на почтовом сервере могут читать почту с помощью локальных почтовых приложений. Пользователи на других системах могут загрузить свои письма с помощью программ — почтовых клиентов по протоколам POP3 и IMAP.
POP — это самый популярный протокол приема электронной почты. POP-сервер позволяет POP-клиенту загрузить письма, которые были получены им от другого почтового сервера. Клиенты могут загрузить все сообщения или только те, которые они еще не читали. Он не поддерживает удаление сообщений перед загрузкой на основе атрибутов сообщения, таких, как адрес отправителя или получателя. POP версии 2 поддерживает аутентификацию пользователя с помощью пароля, но пароль передается серверу в открытом (незашифрованном) виде.
POP версии 3 предоставляет дополнительный метод аутентификации, называемый APOP, который прячет пароль. Некоторые реализации POP могут использовать Kerberos для аутентификации.
IMAP — это самый новый, и поэтому менее популярный протокол чтения электронной почты.
IMAP более удобен для чтения почты в путешествии, чем POP, так как сообщения могут быть оставлены на сервере, что избавляет от необходимости синхронизировать списки прочитанных писем на локальном хосте и на сервере.
MIME — это сокращение для Многоцелевых расширений интернетовской почты (Multipurpose Internet Mail Extensions).
Как сказано в RFC 2045, он переопределяет формат сообщений электронной почты, чтобы позволить:
1.) передачу текстов в кодировке, отличной от US-ASCII;
2.) передачу в письме нетекстовой информации в различных форматах;
3.) сообщения из нескольких частей;
4.) передачу в заголовке письма информации в кодировке, отличной от US-ASCII.
Он может использоваться для поддержки таких средств безопасности, как цифровые подписи и шифрованные сообщения. Он также позволяет посылать по почте выполняемые файлы, зараженные вирусами, или письма с РПС.
Как и веб-браузеры, программы чтения почты могут быть сконфигурированы с целью автоматически запускать приложения-помощники для обработки определенных типов MIME-сообщений.
Основные протоколы передачи почты (SMTP, POP3, IMAP4) обычно не осуществляют надежной аутентификации, что позволяет легко создать письма с фальшивыми адресами. Ни один из этих протоколов не использует криптографию, которая могла бы гарантировать конфиденциальность электронных писем.
Хотя существуют расширения этих протоколов, решение использовать их должно быть явно принято как составная часть политики администрации почтового сервера. Некоторые такие расширения используют уже имеющиеся средства аутентификации, а другие позволяют клиенту и серверу согласовать тип аутентификации, который будет использоваться в данном соединении.
Адрес отправителя в электронной почте может быть указан фальшивый, так что не верьте глазам своим. Самый надежный способ защиты от этого — использование шифрования для присоединения к письмам электронных подписей.
Однонаправленная хэш-функция письма шифруется используя секретный ключ отправителя. Получатель использует открытый ключ отправителя для расшифровки хэш-функции и сравнивает его с хэш-функцией, рассчитанной по полученному сообщению. Это гарантирует, что сообщение на самом деле написано отправителем и не было изменено в пути.
Ну, а далее я расскажу о настройке фильтров для борьбы со спамом и о многом другом.
Будьте бдительны.
Павел Кучинский, pawelk@tut.by
Интернет — это всемирная сеть, которая использует для взаимодействия стек протоколов TCP/IP (Transmission Control Protocol/Internet Protocol).
Интернет был создан для облегчения взаимодействия между организациями, выполняющими правительственные заказы. В 80-е годы к нему подключились учебные заведения, правительственные агентства, коммерческие фирмы и международные организации.
В 90-е годы Интернет переживает феноменальный рост. Сейчас к Интернету присоединены миллионы пользователей, приблизительно половина из которых — коммерческие.
Интернет несомненно дает огромные преимущества при поиске информации, при ее размещении. Благодаря Сети при минимальных затратах средств ваша информация может стать доступна миллиону человек.
Но не стоит забывать о злоумышленниках, у которых так и чешутся ручки что-нибудь поломать и украсть. Именно на этом этапе и вводиться понятие политика безопасности. Это понятие в равной мере относится ко всем пользователям Сети: и к тем, кто размещает информацию, и к тем, кто ее использует.
Существует много технических решений для борьбы с основными проблемами безопасности Интернета. Тем не менее, все они различны в различных ситуациях. Использование некоторых решений влечет за собой уменьшение функциональности, другие же сильно усложняют процесс работы в Сети, а некоторые требуют значительных капитальных вложений.
Давайте вспомним, сколько потерь и крахов потерпели фирмы и пользователи из-за пренебрежения основными правилами пользования Сетью. Возникает вопрос: почему же такая огромная структура не защищена от атак и вандализма? Но Интернет при проектировании и не задумывался как защищенная сеть. Некоторыми его проблемами в текущей версии TCP/IP являются:
• Легкость перехвата данных и фальсификации адресов машин в Сети. Основная часть трафика Интернета — это нешифрованные данные. E-mail, пароли и файлы могут быть перехвачены с использованием легкодоступных программ.
• Уязвимость средств TCP/IP. Многие средства TCP/IP не были спроектированы как защищенные и могут быть скомпрометированы квалифицированными злоумышленниками. Средства, используемые для тестирования, особенно уязвимы.
• Отсутствие политики. Многие сайты по незнанию сконфигурированы таким образом, что предоставляют широкий доступ к себе со стороны Интернета, не учитывая возможности злоупотребления этим доступом; многие сайты разрешают работу большего числа сервисов TCP/IP, чем им требуется для работы, и не пытаются ограничить доступ к информации о своих компьютерах, которая может помочь злоумышленникам.
• Сложность конфигурирования. Средства управления доступом хоста сложны; зачастую сложно правильно сконфигурировать и проверить эффективность установок. Средства, которые по ошибке неправильно сконфигурированы, могут привести к неавторизованному доступу.
Что же может случиться при пользовании Сетью? Основной задачей злоумышленника обычно является запуск на компьютере жертвы программы, которая соберет данные о пользователе, пароли и логины для доступа в Интернет и другую полезную информацию.
Как запускаются на компьютере пользователя такие вредоносные программы? Злоумышленники рассылают потенциальным жертвам по электронной почте файлы, содержащие "троянских коней" — программы, которые запускаются на компьютере и после передают информацию злодею.
Памятка:
1. Бесплатный сыр — только в мышеловке. Насторожитесь, если вам что-то предлагают бесплатно.
2. Файлы, которые вам предлагают загрузить под тем или иным предлогом, могут быть заражены различными вирусами. Если вы все-таки скачали файл из Сети, перед запуском лучше его проверить по возможности последней версией антивирусной программы, чтобы быть точно уверенным в том, что никакой опасности скачанное не представляет.
3. Не доверяй! Убедитесь, что очередное письмо от службы технической поддержки, в котором убедительно просят выслать логин и пароль для доступа в Сеть, действительно от провайдера.
4. Победи лень! Не сохраняйте пароли на диске — не ленитесь вводить их каждый раз при входе в сеть или сервисы.
Если вы все же заподозрили, что кто-то пользуется Интернетом за ваш счет под вашими учетными данными, стоит немедленно зайти на сервер статистики и поменять себе пароль. После этого злоумышленник более не сможет работать в Сети. Правда, перед сменой пароля надо быть уверенным, что на вашем компьютере не установлена "троянская" программа, в противном случае новый пароль также достаточно быстро станет известен злодею.
Основными почтовыми протоколами в Интернете являются SMTP (Simple Mail Transport Protocol), POP (Post Office Protocol) и IMAP (Internet Mail Access Protocol).
SMTP — это почтовый протокол хост-хост. SMTP-сервер принимает письма от других систем и сохраняет их в почтовых ящиках пользователей. Сохраненные письма могут быть прочитаны несколькими способами. Пользователи с интерактивным доступом на почтовом сервере могут читать почту с помощью локальных почтовых приложений. Пользователи на других системах могут загрузить свои письма с помощью программ — почтовых клиентов по протоколам POP3 и IMAP.
POP — это самый популярный протокол приема электронной почты. POP-сервер позволяет POP-клиенту загрузить письма, которые были получены им от другого почтового сервера. Клиенты могут загрузить все сообщения или только те, которые они еще не читали. Он не поддерживает удаление сообщений перед загрузкой на основе атрибутов сообщения, таких, как адрес отправителя или получателя. POP версии 2 поддерживает аутентификацию пользователя с помощью пароля, но пароль передается серверу в открытом (незашифрованном) виде.
POP версии 3 предоставляет дополнительный метод аутентификации, называемый APOP, который прячет пароль. Некоторые реализации POP могут использовать Kerberos для аутентификации.
IMAP — это самый новый, и поэтому менее популярный протокол чтения электронной почты.
IMAP более удобен для чтения почты в путешествии, чем POP, так как сообщения могут быть оставлены на сервере, что избавляет от необходимости синхронизировать списки прочитанных писем на локальном хосте и на сервере.
MIME — это сокращение для Многоцелевых расширений интернетовской почты (Multipurpose Internet Mail Extensions).
Как сказано в RFC 2045, он переопределяет формат сообщений электронной почты, чтобы позволить:
1.) передачу текстов в кодировке, отличной от US-ASCII;
2.) передачу в письме нетекстовой информации в различных форматах;
3.) сообщения из нескольких частей;
4.) передачу в заголовке письма информации в кодировке, отличной от US-ASCII.
Он может использоваться для поддержки таких средств безопасности, как цифровые подписи и шифрованные сообщения. Он также позволяет посылать по почте выполняемые файлы, зараженные вирусами, или письма с РПС.
Как и веб-браузеры, программы чтения почты могут быть сконфигурированы с целью автоматически запускать приложения-помощники для обработки определенных типов MIME-сообщений.
Основные протоколы передачи почты (SMTP, POP3, IMAP4) обычно не осуществляют надежной аутентификации, что позволяет легко создать письма с фальшивыми адресами. Ни один из этих протоколов не использует криптографию, которая могла бы гарантировать конфиденциальность электронных писем.
Хотя существуют расширения этих протоколов, решение использовать их должно быть явно принято как составная часть политики администрации почтового сервера. Некоторые такие расширения используют уже имеющиеся средства аутентификации, а другие позволяют клиенту и серверу согласовать тип аутентификации, который будет использоваться в данном соединении.
Адрес отправителя в электронной почте может быть указан фальшивый, так что не верьте глазам своим. Самый надежный способ защиты от этого — использование шифрования для присоединения к письмам электронных подписей.
Однонаправленная хэш-функция письма шифруется используя секретный ключ отправителя. Получатель использует открытый ключ отправителя для расшифровки хэш-функции и сравнивает его с хэш-функцией, рассчитанной по полученному сообщению. Это гарантирует, что сообщение на самом деле написано отправителем и не было изменено в пути.
Ну, а далее я расскажу о настройке фильтров для борьбы со спамом и о многом другом.
Будьте бдительны.
Павел Кучинский, pawelk@tut.by
Компьютерная газета. Статья была опубликована в номере 27 за 2003 год в рубрике интернет :: безопасность
