Информационная безопасность

         

Avaya – первая и вторая попытки


Первая конфигурация, которую представила компания Avaya для проведения тестирования безопасности VoIP-сети, имела минимальный набор дополнительных сетевых элементов (см. рис.). Фактически в данной конфигурации полностью отсутствовала какая-либо сетевая инфраструктура третьего уровня.


Схема IP-телефонной сети компании Avaya

Все IP-подсети проходили через "плоскую" инфраструктуру коммутируемой Ethernet-сети второго уровня, при этом они, однако, были разделены на несколько изолированных виртуальных ЛВС (VLAN): одна – для голоса, другая – для данных.

Также в сети не были использованы межсетевые экраны. Несмотря на такую "аскетичную" сетевую инфраструктуру, VoIP-решение от Avaya имеет ряд встроенных механизмов безопасности, как-то: система управления вызовами (состоит из двух резервируемых медиасерверов S8700), которая подключается к специальной выделенной ЛВС, которая, в свою очередь, отделена и изолирована от "рабочей" ЛВС предприятия. Серверы подключаются только к специализированному системному IP-интерфейсу, находящемуся в шасси медиашлюза G650; система голосовой почты, которая подключается с помощью аналогового интерфейса. По утверждению компании Avaya, это является преимуществом – даже в случае полного выхода из строя IP-телефонной подсети, например, в результате хакерской атаки, вызовы из телефонной подсети общего пользования могут перенаправляться на систему голосовой почты вне зависимости от состояния IP-подсистемы; для удаленной диагностики и управления системой применяется безопасное выделенное модемное соединение, а не интернет-канал связи. Хоть это и значительно снижает число возможных IP-атак, последним достижением техники его сложно назвать; инсталляция системного программного обеспечения, состоящая из двух этапов. Первый этап заключается в том, что администратор загружает ПО на переносной ПК, а затем только – на систему управления вызовами.

Однако в решении от Avaya управляющая информация не шифруется, а систему паролей, используемую для аутентификации IP-телефонов, вряд ли можно назвать криптографически сильной.
Коммутатор Avaya Cajun P333 также предлагает некоторые средства обеспечения безопасности. Например, в данном случае использовались следующие: для обеспечения безопасности сетевых портов администратор может ограничить число MAC-адресов, подключаемых к нему одним, двумя или тремя. В нашем тестировании для каждого порта определялся только один MAC-адрес. При этом, если пользователя необходимо переключить с одного порта на другой, администратору приходится вручную переконфигурировать устройство. Однако хакерский компьютер может использовать поддельный MAC-адрес реального пользователя или IP-телефона, и коммутатор не почувствует никакой разницы; ограничение доступом к управлению – на коммутаторе можно запретить доступ к системной консоли через IP-сеть (вэб- и Telnet), разрешив управление только через последовательный порт консоли; SNMP-ловушки могут быть сконфигурированы для сигнализации нарушений VLAN или других изменений конфигурации коммутатора.

Команда "хакеров" не смогла получить информацию из SNMP-базы IP-телефонов Avaya, используя доступ с помощью стандартного имени public, к тому же телефоны не могут быть реконфигурированы, выключены или еще каким-то образом выведены из нормального режима работы посредством SNMP.

Два основных "трюка", проделанных командой "хакеров" с оборудованием Cisco, удались и на этот раз – атакующая сторона смогла установить пассивный зонд в соединение IP-телефона с сетью и производить сбор и анализ трафика. При этом VoIP-потоки от/к Avaya 4620 IP-телефонам были зашифрованы.

"Хакеры" также подключили свои ноутбуки к голосовой VLAN и далее производили "опрос" устройств в этой VLAN, однако они не смогли "подделать" IP-телефон или перевести в свою сторону IP-телефонное соединение. Атакующей стороне удалось также выявить две серьезные уязвимости, которые могут быть использованы для того, чтобы прервать нормальное функционирование телефонной сети. Первой эффективной атаке подверглись только IP-телефоны, она была достаточно сложной и включала в себя два этапа.



На первом этапе на IP- телефоны передавался специальный поток пакетов с высокой интенсивностью, что приводило к тому, что устройство перезагружалось, а затем следовала вторая фаза атаки. На последнем этапе телефон получал небольшую порцию IP-пакетов, после которой выходил из строя на 20 минут.

Таким способом можно выключать большое количество IP-телефонов один за одним, а повторно передавая специальный поток пакетов в течение 20-минутного промежутка, IP-телефоны могут быть выведены из строя на продолжительный период времени.

Другая обнаруженная уязвимость состояла в том, что дополнительный порт Ethernet на IPтелефонах Avaya пропускает пользовательские Ethernet-кадры с любыми установленными тегами VLAN. Это значительно упрощает задачу хакеров, так как в данном случае нет необходимости отключать IP-телефон от сети – нужно просто подключить к нему ноутбук и установить необходимый тег VLAN на сетевом адаптере. Кроме того, было выявлено, что определенный тип трафика, пересылаемый на оборудование установки вызовов, может значительно увеличить время установки соединения. Таким образом, хакер может просто "положить" IP-телефонную сеть.


Avaya: второй раунд


Компания Avaya предложила второй вариант своего решения с большим количеством средств обеспечения безопасности (рис. крайний справа). Специалисты компании заменили в IP-телефонной сети коммутаторы второго уровня Cajun P333 на более совершенные устройства третьего уровня от компании Extreme, партнера Avaya.

Новыми ключевыми элементами, вошедшими в состав сети, стали шлюз безопасности Avaya SG208 ($15,000), коммутаторы Extreme Summit 300-48 ($8,000) и Extreme Alpine 3804 ($10,000). При этом набор VoIP-оборудования и версии его ПО не изменились (включая шлюзы, модули и IPтелефоны). Модуль CLAN имел версию ПО под номером 9; модуль медиаобработки – 75, IP-телефоны – 2.0.

Коммутатор Avaya Cajun P333, который использовался в предыдущем тесте, был заменен на Summit 300-48. Таким образом, стоимость оборудования, призванного повысить уровень безопасности IP-телефонной сети от Avaya, составила около $30,000.

Поддержка в сети IP-маршрутизации позволила снизить число возможных хакерских атак. Основными средствами, обеспечивающими безопасность сети, стали: ограничение трафика: коммутатор Summit позволяет ограничить величину широковещательного TCP- или UDP-трафика значением 1 Мбит/с; индивидуальные VLAN: для каждого порта, к которому подключен IP-телефон, была создана своя собственная виртуальная ЛВС.



При этом один IP-телефон не может напрямую связываться с другим IP-телефоном, поскольку они находятся в различных ВЛВС. Естественно, трафик между ними должен маршрутизироваться. При этом он может дополнительно проверяться и блокироваться в зависимости от типа протокола и т.д.

Надо отметить, что настройка отдельной VLAN для каждого IP-телефона является сложной работой для системного администратора, особенно когда число IP-телефонов достигает нескольких сотен. Поэтому масштабируемость такого решения затруднительна.

Также в IP-телефонах была отключена возможность обмениваться напрямую RTP-трафиком, минуя модуль медиаобработки, что делает сеть централизированной и повышает безопасность ее работы.
Однако в этом случае модуль медиаобработки может стать "бутылочным горлышком" для производительности сети. По данным компании Avaya, модуль медиаобработки может обрабатывать до 64-х одновременных вызовов, что опять же снижает масштабируемость решения.

Коммутатор Extreme Alpine мог ограничивать трафик по MAC-адресу источника, и чтобы начать атаку, команде "хакеров" необходимо было "украсть" существующий MAC-адрес IP-телефона. Это было достигнуто опять-таки с использованием пассивного зонда.

Межсетевой экран SG208 был сконфигурирован таким образом, чтобы пропускать трафик только с определенных портов на контроллер вызовов. Только трафик с узкого диапазона UDPпортов мог поступать на модуль медиаобработки и только порты и протоколы, ответственные за передачу H.323-информации управления и сигнализации, могли поступать на CLAN-модуль. Однако команде "хакеров" не понадобилось много времени для того, чтобы определить номера открытых портов с помощью известной техники. Используя "украденные" идентификаторы IPтелефона, "хакеры" смогли установить контакт с контроллером вызовов и получить от него ответ. При этом не нужно эмулировать все аспекты работы реального IP-телефона или даже знать его пароль, для того чтобы получить доступ к контроллеру вызовов. Полная эмуляция работы IP-телефона и знание его пароля необходимы лишь для того, чтобы произвести неавторизированный вызов. Однако большинство хакеров преследует более простые цели.

Как и при первом тестировании сети Avaya, а также сети Cisco, атакующая сторона смогла применить пассивный зонд и подключить его к сетевой инфраструктуре для подключения IP-телефонов, чтобы таким образом производить сбор необходимых данных и мониторинг трафика, однако "разобрать" зашифрованный голосовой трафик не удалось.

Аналогично при помощи собранной информации "хакеры" смогли подключить собственный ноутбук вместо IP-телефона, установив необходимый MAC- и IP-адрес, а также номер VLAN реального IP-телефона, и так получить доступ к VoIP-инфраструктуре.



Многие атаки, которые были успешны в предыдущем случае, уже не работали в усовершенствованной сети, однако команда "хакеров" снова смогла выявить уязвимости. Передавая не большую по объему "пачку" пакетов к контроллеру вызовов и используя определенный тип протокола и номер tcp-порта, "хакеры" могли сорвать процедуры регистрации IP-телефонов. Однако реально это может повлиять на работу только очень небольшого числа IP-телефонов, поскольку процедура регистрации телефона происходит только при его первом подключении к сети. Поэтому если телефон не переключен в другой порт или выключен, ему не нужно проходить процедуру регистрации.

Компания Avaya заявила, что для ликвидации этой уязвимости необходимо установить программную заплату на ПО управления, которую она намерена выпустить в ближайшем будущем. Итоговая оценка безопасности для последнего решения компании от Avaya, учитывая сравнительно не большую опасность выявленных уязвимостей, – "Устойчивое".


Безопасность IP–телефонии — полевые зарисовки


Александр Веселов,

Вопрос сетевой безопасности сегодня достаточно актуален. Каковы же основные аспекты и проблемы безопасности, возникающие в IP+телефонных сетях таких ведущих производителей, как Avaya и Cisco?

Можно ли защитить IP-телефонную сеть от атак хакеров? Да, можно. По крайней мере, это показало тестирование систем IP-телефонии. Однако позитивный результат зависит и от того, IP-УАТС какого производителя используется, и от того, готовы ли вы вкладывать дополнительные средства в планирование, и, разумеется, обеспечение сетевой безопасности. Целью этого тестирования было установить, насколько оборудование IP-телефонии ведущих производителей защищено от преднамеренных атак хакеров. Принять участие в тестировании предложили пяти ведущим поставщикам IP-телефонных решений, однако на это согласились только компании Cisco и Avaya.

Максимально защищенная VoIP-конфигурация от Cisco включала в себя сервер управления вызовами и голосовой почты CallManager, коммутаторы третьего уровня Catalyst 4500 и 6500, a также дополнительно систему обнаружения вторжений (IDS) и межсетевой экран (PIX firewall). Эта конфигурация получила наивысшую оценку по надежности (критерии оценки приведены в таблице справа). Специальной команде "хакеров" не удалось приостановить или даже дестабилизировать работу IP-телефонной сети Cisco в течение трех дней непрерывных атак.

Компания Avaya представила две конфигурации – с минимальным набором средств защиты и соответственной стоимостью, а также максимально защищенное альтернативное решение, которое включало в себя межсетевой экран и коммутаторы третьего уровня производства компании Extreme Network. Уровень безопасности базового решения от Avaya можно оценить как "уязвимый" (см. таблицу справа), в то время как система, оснащенная дополнительными средствами защиты, получила более высокую оценку – "устойчивая". Правила тестирования при этом несколько ограничивали возможности команды "хакеров", состоящей из четырех человек.
Так, например, они могли использовать только хакерский инструментарий, доступный в интернете, атаки должны были осуществляться с сетевого интерфейса пользователя или IP-телефона, как если бы хакер имел возможный доступ к рабочему месту пользователя. При этом основной задачей "хакеров" было приостановить нормальную работу IP-телефонной сети. Команда "хакеров" использовала для этого различные средства сканирования и ряд других методов для определения топологии и конфигурации сети, поскольку не было никакой информации о конфигурации представленных производителями сетей. После проведения разведки на местности и определения целей удара, "хакеры" производили одновременно около десятка различных типов атак в различных комбинациях и последовательности.

Следует учитывать, что согласно нашим правилам тестирования и ограниченной длительности тестов, атаки, проведенные на оборудовании вышеуказанных производителей, не были такими жесткими, какие могли бы произвести настоящие хакеры. Специалисты по безопасности, участвовавшие в тестировании, также отметили, что данные атаки имели среднюю интенсивность и степень опасности.


Крепкий орешек


Компания Cisco в очередной раз доказала, что она способна построить VoIP-сеть, которая может серьезно противостоять изощренным хакерским атакам: они не смогли остановить и даже серьезно помешать ее работе.

Выбранная IP-телефонная сеть (рис.) с использованием сетевой инфраструктуры третьего уровня и дополнительных средств безопасности – наиболее совершенное решение на сегодняшний день, использующее все доступные средства защиты. Необходимо подчеркнуть, что представленная топология состоит из гораздо большего количества средств безопасности, чем используется большинством пользователей. Дополнительно оборудование включает в себя два отдельных межсетевых экрана PIX firewalls ($8,000 каждый), модуль межсетевого экрана для магистрального коммутатора Catalyst 6500 ($35,000), модуль системы IDS для шасси 6500 ($30,000), а также отдельную сеть управления и различные средства управления.


Схема IP-телефонной сети компании Cisco

При этом стоимость межсетевых экранов и системы IDS несколько превышает $80,000. По этому поводу представители компании Cisco говорят, что использовалось оборудование, которое оказалось под рукой, а вообще можно применять гораздо менее дорогостоящие межсетевые экраны и системы IDS от Cisco.

Использование межсетевых экранов значительно повышает безопасность VoIP-сети, поскольку они позволяют определить доверяемые и недоверяемые интерфейсы. При этом недоверяемые интерфейсы всегда были направлены в сторону хакеров. Использование фильтрации трафика с учетом состояния соединения (stateful) позволяет пропускать только необходимый VoIP-трафик и соединения, установленные в необходимом направлении (от сервера к клиенту или наоборот).

Среди других возможностей межсетевых экранов, которые использовались во время тестирования, можно назвать следующие: фильтрация трафика управления установкой VoIP-соединений и возможность передачи трафика управления через NAT и сетевые туннели; TCP-перехват, который обеспечивает проверку закрытия TCP-сессий, что позволяет защищаться от ряда атак типа отказа в обслуживании (DoS) на CallManager; поддержка протокола Secure SCCP (Secure Skinny Call-Control Protocol).
Этот протокол гораздо лучше защищен, чем протокол управления SCCP, ранее использовавшийся в оборудовании компании Cisco для построения VoIP-сетей. Протокол Secure SCCP использует TCP-транспорт вместо UDP и шифрует всю информацию управления.

Четвертая версия ПО 4.0 CallManager, которое управляет процедурой установки вызовов и является "сердцем" VoIP-решений компании Cisco, включает в себя ряд новых функций безопасности. Ключевой среди них можно назвать впервые реализованную в данном релизе CallManager возможность шифрования VoIP-трафика. В настоящее время возможность шифрования данных реального времени протокола RTP (Real-time Transfer Protocol) поддерживается только новыми IPтелефонами серии 7970.



В последних версиях CallManager и в поставляемой с ним специальной версии Windows 2000 также были усилены меры безопасности, что в нашем случае означает, что были отключены неиспользуемые порты и сервисы. Впечатляющий набор средств самозащиты был включен и в последние версии ПО коммутаторов Catalyst. Так, мы использовали IOS 12.2(17b)sxa на магистральном устройстве Catalyst 6500 и IOS 12.1(20)ew на входных Catalyst 4500. Из всего набора оборудования данные коммутаторы являлись основными средствами защиты от поступающих атак, поскольку они расположены на границе сети в первом эшелоне обороны.

В перечень функций защиты входят: ограничение и представление гарантируемой полосы пропускания, что позволяет эффективно подавлять DoS-атаки; Layer 2 port security (ограничивает число устройств с различными MAC-адресами, подключенными к одному порту); Layer 2 Dynamic Host Configuration Protocol snooping, предотвращающий атаки на исчерпание пула адресов DHCP-сервиса; Dynamic Address Resolution Protocol inspection (предотвращает засорение таблиц ARP и "воровство" адресов). Эта функция сорвала очень много запланированных атак; IP Source Guard, который предотвращает атаки с анонимных адресов; Virtual LAN ACL (access control lists), ограничивающий адреса узлов, которые могут передавать данные IP-телефонам.



Агент безопасности Cisco (CSA) – это ПО для обнаружения вторжений, устанавливаемое на отдельном узле, и сегодня оно является неотъемлемой частью CallManager IP-телефонных серверов. Также данное ПО устанавливается для сервера голосовой почты Ciscо Unity и ряда других серверов Win 2000. Агенты CSA после установки запускаются автоматически и постоянно отслеживают сетевые атаки.

Также они обеспечивают ряд мощных дополнительных возможностей: защиту от переполнения буферов сервера; определение приложений типа "троянский конь", "червь"; недопущение запуска незарегистрированных приложений; защиту от атак типа syn flood на стек протокола TCP-сервера; определение сканирования портов, которое обычно производится хакерами для обнаружения запущенных сервисов и их возможных уязвимостей перед началом атаки.

После трех дней непрерывных атак команда "хакеров" не смогла существенно нарушить работу IP-телефонной сети. При этом можно отметить лишь два слабых места в решении от Cisco.

Первое – это то, что "хакерам" удалось подключить пассивный зонд к соединению IP-телефона с сетью. С этого плацдарма они смогли собирать и анализировать поступающий трафик – типы протокола, адреса, а также захватывать RTP-трафик, с помощью которого в сети передаются речевые сообщения. Однако голосовой трафик для IP-телефонов Cisco 7970 может быть зашифрован с использованием 128-битного ключа, который атакующая сторона так и не смогла расшифровать.

Второй негативный момент заключается в том, что с помощью собранной информации "хакеры" смогли подключить свои собственные ПК к сети, получить доступ к голосовой ВЛВС и передавать трафик другим устройствам, находящимся в этой ВЛВС. При этом, однако, они не смогли перевести ни одного соединения или эмулировать IP-телефон. Также команде "хакеров" удалось выявить ошибки в конфигурации двух сетевых устройств, но это уже остается на совести персонала компании.


VoIP безопасен?


Итак, данное исследование выявило основные условия обеспечения сетевой безопасности: эффективными меры безопасности могут быть только тогда, когда они покрывают все уровни сетевой инфраструктуры.

Так, компания Cisco применяет такие средства защиты: на втором и третьем уровнях – модели ЭМВОС (коммутаторы Catalyst), четвертом и пятом – межсетевые экраны и системы обнаружения вторжений, шестом – шифрование RTPголосовых потоков (пока, правда, только для определенных моделей телефонов), и на седьмом уровне – с помощью серверных приложений Cisco Security Agent.

В то же время решения компании Avaya имеют ограниченный набор средств безопасности на втором-третьем уровнях и выше, за исключением шестого уровня. К своей чести, компания Avaya предлагает надежную схему шифрования RTPтрафика (уровень 6) и поддерживает его для всех своих IP-телефонов. Решения компании с максимально задействованными средствами безопасности имеют более эффективные средства защиты на третьем, четвертом и шестом уровнях, хотя при этом не лишены ряда уязвимостей. Следует отметить, что безопасность IP-телефонных решений в связи с их растущей популярностью станет решающим фактором при выборе оборудования того или иного производителя помимо таких стандартных факторов, как цена, производительность, функциональность и т.д.

Подготовлено по материалам "ComputerWorld Украина"



IPSec: панацея или вынужденная мера?


Евгений Патий,

Мало-помалу мы все же пришли к тому, к чему должны были прийти еще лет десять назад, - уважительному отношению к обеспечению безопасности. Имеются в виду не только "режимность", административные меры и прочие механизмы влияния на человеческий фактор, но и вполне обоснованные и логически оправданные технические средства.

Однако, безопасность безопасности рознь. С одной стороны, дискеты (утрирую, конечно, где ж их сейчас встретишь) выносить из офиса запрещается, а с другой - подключение региональных филиалов нередко производится в "открытом" виде... Как-то незаметно коммуникационные технологии стали нормой, редкая компания, ну разве что самая начинающая, не подключена к Интернету стационарным каналом, а слова "эксплойт", "хакеры" и "эпидемия" из комиксных ужастиков перекочевали в обыденную жизнь. И на сообщения новостных сайтов типа "взломана сеть компании Ericsson" или "эпидемия червя Mytob принимает катастрофические масштабы" рядовой пользователь если и обращает внимание, то реагирует довольно вяло. К такому положению вещей все привыкли.

К счастью, подобного рода апатия обусловлена не столько привычкой, сколько существованием эффективных средств противодействия. Новый вирус? В браузере скрипты отключить, подозрительные вложения не открывать. И так далее, каждая ситуация, как известно, требует индивидуального подхода.

К великому удовольствию продвинутых пользователей, имеются весьма действенные, я бы сказал, фундаментальные механизмы, которые пригодятся всегда, несмотря на появление новых технологий и стандартов. В качестве конкретного примера приведем все тот же Wi-Fi, при всех неоспоримых преимуществах и удобствах имеющий колоссальный недостаток: безопасность этого вида связи практически равна нулю. Невзирая на наличие алгоритмов шифрования, скрытия идентификатора сети и прочих средств, опытный взломщик способен проникнуть в сеть максимум за один час. Помнится, на начальном этапе массового распространения Wi-Fi в Сети появились "рецепты приготовления" направленной антенны для перехвата данных, в основе которой лежала алюминиевая пивная банка.
А уж за программным обеспечением и подробнейшими инструкциями по взлому дело не стало.

Но, как уже говорилось, существуют проверенные в боях методы защиты. На фоне их многообразия краеугольными камнями безопасности выглядят IPSec и SSL: два разных подхода, соответственно две сферы применения. Об одном из них и пойдет речь - это IPSec, завоевавший заслуженную популярность у специалистов и рядовых пользователей.

Итак, IPSec (Internet Protocol Security) - набор стандартов, разработанных специально для создания защищенных соединений "точка-точка" (как раз к вопросу о подключении региональных филиалов). Стандарты были разработаны Internet Engineering Task For (IETF) для организации защищенных соединений в публичных или частных сетях TCP/IP. Конечно же, наибольшая выгода появляется при создании защищенного соединения сквозь публичную сеть. Постараемся раскрыть основы и принципы, на которых базируется IPSec, приведем практические примеры его применения и перечислим некоторые продукты, использующие в своей работе IPSec.


Конкуренты IPSec


Многие продукты, которые могут использовать IPSec, взаимодействуют с альтернативной технологией шифрования, именуемой "Уровень защищенных сокетов" (Secure Sockets Layer, SSL). Основное различие между IPSec и SSL в том, что IPSec работает на уровне сети, обеспечивая зашиту сетевого соединения от начала и до конца. SSL же действует на уровне приложений, обеспечивая защиту лишь выбранному приложению, например веб-браузеру или программе для работы с электронной почтой. Хотя как IPSec, так и SSL призваны обеспечить конфиденциальность обмена информацией, что достигается совершенно различными способами. SSL был разработан компанией Netscape для защиты трафика HTTP, проходящего через программу-браузер. SSL - протокол уровня отдельной сессии, и в этом отношении он, несомненно, проигрывает IPSec, который позволяет построить постоянный туннель, не зависящий от проходящего сквозь него сетевого трафика.

Протокол SSL основан на клиент-серверной модели и обычно используется для защиты на отрезке "хост-хост". В связи с тем, что IPSec взаимодействует на сетевом уровне, возможны такие варианты, как "подсеть-подсеть", "сеть-сеть" или "сеть-хост". Это наводит на мысль, что IPSec допускает маршрутизацию, а SSL - нет.

Хотя многие пользователи считают SSL и IPSec конкурирующими разработками, данное утверждение не совсем точно, поскольку IPSec и SSL призваны решать различные проблемы. Если для развертывания IPSec требуется предварительное планирование инфраструктуры, то с SSL все намного проще. Как правило, если и клиент, и сервер изначально способны работать с SSL, то процедура настройки защищенной сессии сводится к крайне тривиальному набору действий, доступному даже начинающему пользователю.



Основы IPSec


В глобальном смысле IPSec - это "каркас", который является частью продуктов, требующих следующей функциональности: организация защищенного соединения между точкой А и точкой В. Используя мощное шифрование и криптование на основе публичных ключей, IPSec может обеспечить защиту соединений от несанкционированного доступа.

IPSec представляет собой набор алгоритмов и протоколов с достаточно гибкой внутренней структурой, что позволяет производителям различных устройств, поддерживающих IPSec, самостоятельно выбирать оптимальные с их точки зрения ключи, алгоритмы и методы аутентификации.

Набор протоколов и алгоритмов шифрования включает следующие позиции: IKE (Internet Key Exhange protocol) ISAKMP (Internet Security Association and Key Management Protocol) AH (Authentication Header protocol) ESP (Encapsulating Security Payload protocol) STS (Station-to-Station protocol) HMAC (Hash Message Authentication Code) MD5 (Message Digest 5) SHA-1 (Security Hash Algorithm) 3DES (Triple Data Encryption Standard) XAUTH (Extended Authentication) AES (Advanced Encryption Standard)

Два важнейших протокола применительно к IPSec - AH (Authentication Header) и ESP (Encapsulating Security Payload). Как ясно из названия, AH используется для аутентификации отправителя информации и обеспечения целостности данных - с целью убедиться, что данные не были изменены в процессе связи. AH не шифрует данные и не обеспечивает конфиденциальности, этот протокол лишь "подписывает" целый пакет данных.

В отличие от AH, ESP способен обеспечить конфиденциальность информации, так как непосредственно шифрует данные совместно с проверкой подлинности и целостности. Отличие от AH состоит и в том, что ESP не подписывает каждый пакет, оперируя лишь данными.

IPSec способен функционировать в двух режимах: транспортном и туннельном, которые представляют собой два разных подхода к обеспечению безопасности. В транспортном режиме шифруются только полезные данные сообщения - непосредственно информация, подлежащая передаче в процессе сеанса связи.
В туннельном - шифрованию подлежат данные, заголовок и маршрутная информация. Нет необходимости говорить, что применение IPSec в транспортном режиме гораздо более рискованно, нежели в туннельном.

Туннельный режим, как правило, используется при построении различных вариаций виртуальных частных сетей (VPN), предоставляя защиту всего трафика от отправителя к получателю. Виртуальные частные сети с IPSec представляют собой сетевые соединения, построенные с использованием криптографии на основе публичных и приватных ключей. Пользователи IPSec VPN генерируют публичные и приватные ключи, которые ассоциируются лишь с ними. Когда сообщение уходит от отправителя к получателю, оно автоматически подписывается приватным ключом пользователя, а получатель использует публичный ключ отправителя для того, чтобы дешифровать принятое сообщение. Конечные точки виртуальной частной сети действуют как базы данных, которые управляют и распространяют ключи и прочую служебную информацию подобно тому, как это делает Certificate Authority (CA).


Преимущества и недостатки IPSec


Наиболее типично применение IPSec для достижения конфиденциальности и целостности данных при их транспортировке по незащищенным каналам. Изначально IPSec предназначался для защиты данных в публичных сетях, однако его различные практические реализации нередко используются для увеличения безопасности частных сетей, так как компании не всегда могут быть уверены, что их корпоративные сети изначально не подвержены вторжениям извне.

Хотя IPSec наиболее популярное и, пожалуй, наилучшее решение для создания виртуальных частных сетей, имеются и некоторые ограничения. В случае его применения в транспортном режиме не исключается возможность атак со стороны, что вызвано некоторыми ограничениями протокола ISAKMP.

Взлом сессии IPSec вполне вероятен, если не используется заголовок аутентификации AH. При таком типе атаки данные злоумышленника могут быть вставлены в полезную передающуюся информацию, например, в случае Unix-систем достаточно вставить в поток команду rm -R, чтобы получатель в итоге недосчитался многих, а то и всех файлов на жестком диске.

Поскольку трафик IPSec маршрутизируем, различные практические реализации IPSec могут подвергнуться более "изящной" атаке - подмене изначального маршрута. Оговоримся, что данный вид атаки возможен лишь при использовании IPSec в транспортном режиме, если же он применяется для построения туннеля, вся роутинговая информация в этом случае шифруется и подобный вид атаки успеха иметь не будет.

Специалисты компании AT&T Research отмечают, что многие потенциально слабые места IPSec являются следствием определенных недостатков алгоритмов шифрования, использованных в конкретной реализации IPSec. Следовательно, с увеличением надежности этих алгоритмов IPSec может стать намного более защищенным.

В настоящее время IPSec - это часть IPv6, но не IPv4. Хотя, конечно же, имеются и реализации IPSec для протокола IP четвертой версии. В реализации для IPv6 некоторые слабые места IPSec, которые все же присутствуют в версии для IPv4, устранены. Так, например, поля фрагментации в заголовке пакета IPv4 потенциально могут быть изменены, поэтому при функционировании IPSec в транспортном режиме злоумышленник может перехватить пакет и изменить поле фрагментации, а затем вставить необходимые данные в передаваемый поток. В IPv6 же промежуточные маршрутизаторы не допускают изменения полей фрагментации.



Типичные применения IPSec


С распространением корпоративных беспроводных сетей компаниям имеет смысл озаботиться развертыванием виртуальных частных сетей VPN. Сегодня организация VPN поверх имеющейся беспроводной сетевой инфраструктуры признана лучшим способом обеспечить конфиденциальность информационного обмена.

Так как беспроводные точки доступа являются устройствами второго уровня, организация VPN-over-Wireless является столь же несложной задачей, как и развертывание VPN на базе проводной сети. Ниже мы рассмотрим пример построения такой виртуальной частной сети с помощью типичного оборудования: ноутбука с Windows XP и программного роутера под управлением популярной операционной системы FreeBSD.

Исходные данные таковы:

Ноутбук Samsung V30 с беспроводной PCMCIA-картой Gigabyte WLMR-101 (802.11b), Windows XP Professional SP2. Точка доступа D-Link DWL-700AP. Коммутатор 3Com OfficeConnect DualSpeed 8 ports. Программный маршрутизатор (Intel Pentium 233MMX, RAM 160 Мбайт SDRAM, SCSI HDD 2 Гбайт), FreeBSD 5.2.1-RELEASE.

Компоненты соединены по схеме, приведенной ниже.

Задача: создать VPN на базе шифрованного туннеля между ноутбуком, имеющим IP-адрес 192.168.1.253, и сервером (192.168.1.1). Предпосылки к этому таковы: имеющиеся средства, которыми производитель предлагает защитить конфиденциальность данных, недостаточны. WEP-шифрование может быть без труда разрушено, а MAC-адрес беспроводной карты - "подслушан" и подменен злоумышленником. В этом случае, естественно, ни о какой безопасности речи быть не может - весь беспроводной трафик попадет к злоумышленнику, а уж последствия зависят от его фантазии и намерений. Поэтому единственный выход - подняться на более высокую ступень эволюции, создав VPN на основе IPSec, ну а взлом такой конфигурации - задача гораздо более сложная. В операционной системе FreeBSD технология IPSec реализована на уровне ядра - то есть, чтобы полноценно ею пользоваться, необходимо собрать ядро с поддержкой IPSec и протокола ESP:

options IPSEC #IP security options IPSEC_ESP #IP security (crypto; define w/ IPSEC) options IPSEC_DEBUG #debug for IP security


После компиляции ядра активизируем эту поддержку в основном конфигурационном файле /etc/rc.conf:

ipsec_enable="YES" ipsec_file="/файл правил"

Описанные выше процедуры уже позволяют организовать VPN на базе IPSec, но для этого нужно еще определить правила в указанном файле, на основе которых будет строиться защищенный туннель. Обычно это файл /etc/ipsec.conf.

Важно учитывать, что мы создаем туннель от ноутбука к серверу, другими словами, трафик будет шифроваться лишь на этом участке; если же сервер является еще и шлюзом для выхода в Интернет (как в описываемом примере), то за пределами сервера трафик окажется уже нешифрованным.

IPSec использует базу данных для того, чтобы решить, как обращаться с трафиком. Эта база данных содержит правила: какой трафик и как именно его шифровать. Правила делятся на два типа: Policy и Association; Security Policy Database (SPD) определяет, какой трафик шифровать, а Security Association Database (SAD) - методы шифрования этого трафика.

Основной инструмент в FreeBSD для управления этими базами данных называется setkey. Определим правила ipsec.conf для нашего случая и рассмотрим их подробнее:

add 192.168.0.1 192.168.1.253 esp 691 -E rijndael-cbc "1234567890123456"; add 192.168.1.253 192.168.0.1 esp 693 -E rijndael-cbc "1234567890123456";

spdadd 192.168.1.0/24 0.0.0.0/0 any -P in ipsec esp/tunnel/192.168.1.253-192.168.0.1 /require; spdadd 0.0.0.0/0 192.168.1.0/24 any -P out ipsec esp/tunnel/192.168.0.1 192.168.1.253 /require;

Первые два правила add - это вхождения SAD, последние два (spdadd) - SPD. Пункты add устанавливают ключи шифрования между двумя компьютерами, а spdadd непосредственно описывают сам туннель. Необходимо четко прописывать правила для каждого направления трафика, так как применительно к IPSec понятия "первый компьютер" и "второй компьютер" слишком расплывчаты, а значит, описание механизма взаимодействия должно быть максимально точным - иначе туннель просто не будет функционировать. Правило 1 определяет индекс 691 и алгоритм шифрования rijndael-cbc с публичным ключом 1234567890123456 между компьютерами 192.168.0.1 и 192.168.1.253. Правило 2 описывает аналогичные требования для обратного направления: от 192.168.1.253 к 192.168.1.1, но с индексом 693. Правило 3: все сетевые соединения внутри 192.168.1.0/24 и "наружу" (0.0.0.0/0) обязательно проходят сквозь туннель. Правило 4: то же, что и правило 3, но в обратном направлении.

Итак, мы выбрали и описали следующую стратегию: ни одного байта мимо туннеля, весь трафик шифруется. После описания правил перезагружаемся с ядром, поддерживающим IPSec, - при этом правила, описанные в /etc/ipsec.conf, загружаются автоматически. Сервер готов к "поднятию" туннеля, но необходимо описать его на ноутбке. Для этого нужно запустить службу IPSec, если она не запущена по умолчанию, и воспользоваться мастером установки сетевых соединений Windows.

Весьма желательно установить на сервере и программное обеспечение для автоматического обмена ключами шифрования - Racoon, иначе на клиентских машинах придется вручную прописывать ключи в дебрях управляющих консолей Windows.


Проста ли настройка IPSec? Пожалуй,


Проста ли настройка IPSec? Пожалуй, проста. Стоит ли внедрять эту технологию вместо ненадежного WEP-шифрования беспроводных сетей? Несомненно, стоит. А тем временем технология IPSec получает крайне неоднозначные оценки специалистов в области безопасности. С одной стороны, отмечается, что протокол IPSec является лучшим среди всех других протоколов защиты передаваемых по сети данных, разработанных ранее (включая разработанный Microsoft PPTP). С другой стороны, присутствует чрезмерная сложность и избыточность протокола - это в принципе не так уж страшно, если овчинка стоит выделки, но некоторые ортодоксально настроенные сетевики отмечают, что имеются серьезные проблемы безопасности практически во всех главных компонентах IPSec.
Соответственно, ответ на вопрос, панацея ли IPSec или вынужденная мера, по нашему мнению, выглядит так: это панацея, потому что вынужденная мера.

Девять мифов о незащищённости ip-телефонии


© ,

IP-телефонию все чаще начинают применять в компаниях. Она повышает эффективность ведения бизнеса, позволяет осуществить многие прежде невозможные операции (например, интеграцию с CRM и другими бизнес-приложениями, создание эффективных call-центров и т. п.), а также снизить издержки на построение и эксплуатацию телекоммуникационной инфраструктуры и совокупную стоимость владения системой.

Более того, ведущие производители рынка телефонии перестали вкладывать деньги в исследования традиционной телефонии - только в IP-телефонию. Однако ее активное развитие сдерживается слухами об ее низкой безопасности. Попробуем развенчать некоторые сложившиеся мифы о незащищенности IP-телефонии.

Архитектура инфраструктуры IP-телефонии состоит из нескольких компонентов:

IP-телефоны, подключаемые к локальной сети и предоставляющие помимо самих звонков широкий спектр дополнительных сервисных возможностей. Например, с телефона на своем рабочем месте я могу принять одновременно несколько звонков, получить доступ к корпоративному и персональному телефонному справочнику, узнать расписание поездов и самолетов или прогноз погоды, уточнить персональное расписание встреч, а также просмотреть электронную и прослушать голосовую почту. Надо отметить, что IP-телефоны могут быть выполнены и в виде программного решения, устанавливаемого на компьютер пользователя (например, на ноутбук); сервер управления, отвечающий за установление телефонных соединений и обеспечивающий ряд дополнительных административных функций; голосовой шлюз, решающий задачу интеграции инфраструктуры IP-телефонии с имеющимися в компании системами традиционной телефонии и выход в телефонные сети общего пользования (ТфОП); голосовые приложения, облегчающие пользователям решение бизнес-задач, - голосовая почта, голосовые меню, система управления звонками для секретарей и операторов, персональная система управления звонками, связанная с личным расписанием сотрудника, система проведения аудиоконференций, интеллектуальные центры обработки вызовов и т. п.

Каждый из этих компонентов может стать мишенью для хакеров, и поэтому каждый из компонентов должен содержать в себе развитые механизмы защиты. Учитывая, что разные производители по-разному подходят к решению этого вопроса, я

остановлюсь на подходе только одного из них - компании Cisco Systems и ее архитектуры AVVID (Architecture for Voice, Video and Integrated Data). И этот выбор не случаен. По данным отчета "WorldWide Enterprise Voice Market: Q2 CY2004" консалтинговой фирмы Synergy Research Group, компания Cisco захватила четыре первых места по продаже различных компонентов IP-телефонии.

Итак, начнем развенчание мифов.



Миф 1. IP-телефония не защищает от подслушивания


"Продвинутые" решения IP-телефонии используют несколько технологий и механизмов, обеспечивающих конфиденциальность телефонных разговоров. Во-первых, это направление голосового трафика в выделенный сегмент сети и разграничение доступа к голосовому потоку путем использования правил контроля доступа на маршрутизаторах и межсетевых экранах. Во-вторых, весь голосовой трафик может быть защищен от несанкционированного прослушивания с помощью технологии построения виртуальных частных сетей (VPN). Протокол IPSec позволяет обезопасить телефонный разговор, осуществляемый даже через сети открытого доступа, например Интернет.

И наконец, некоторые компании реализовали в своих IP-телефонах специально разработанный для обеспечения конфиденциальности голосового потока протокол SecureRTP (SRTP), не позволяющий посторонним проникнуть в тайну телефонных переговоров.



Миф 2. IP-телефония подвержена заражению червями, вирусами и троянцами


Для защиты инфраструктуры IP-телефонии от заражения различными вредоносными программами используется целый ряд защитных мер, позволяющих построить эшелонированную оборону, препятствующую не только внедрению, но и распространению червей, вирусов, троянских коней и других типов вредоносной "фауны".

Первой линией обороны является применение наряду с антивирусами межсетевых экранов и систем обнаружения и предотвращения атак, разграничивающих доступ к инфраструктуре IP-телефонии. Вторая линия обороны строится на использовании систем предотвращения атак и антивирусов на оконечных узлах, участвующих в инфраструктуре IP-телефонии.

Последняя по счету, но не последняя по важности линия обороны - инициатива Network Admission Control. В рамках этой инициативы все не соответствующие политике безопасности (в том числе с неустановленными или неактуальными антивирусным ПО, "заплатками" и т. п.) рабочие станции и серверы не смогут получить доступ к корпоративной сети и, в частности, к сегменту IP-телефонии и нанести ущерб ее ресурсам.

Для незащищенных узлов будет доступен только специально выделенный карантинный сегмент сети, в котором они смогут получить последние обновления для своего антивируса, "заплатки" для ОС и т. п.



Миф 3. IP-телефония не защищает от подмены телефонов и серверов управления


Для защиты от устройств, пытающихся замаскироваться под авторизованные IP-телефоны или несанкционированно подключенных к сетевой инфраструктуре, можно и нужно использовать не только уже упомянутые выше правила контроля доступа на маршрутизаторах и межсетевых экранах, но и развитые средства строгой аутентификации всех абонентов инфраструктуры IP-телефонии (включая сервер управления телефонными соединениями), для подтверждения подлинности которых используются различные стандартные протоколы, включая 802.1x, RADIUS, сертификаты PKI X.509 и т. д.



Миф 4. Злоумышленник с административными


В "серьезных" серверах управления предусмотрены расширенные возможности по наделению системных администраторов только теми правами, которые им нужны для выполнения своих обязанностей. К таким правам могут быть отнесены: доступ к конкретным настройкам только на чтение, полное отсутствие доступа к ним, доступ на изменение и т. д.

Кроме того, все производимые администратором действия должны фиксироваться в специальном журнале регистрации и могут быть проанализированы в любой момент в поисках следов несанкционированной активности.

Поскольку инфраструктура IP-телефонии является достаточно разветвленной, то управление конфигурацией IP-телефонов и взаимодействие их с сервером управления должно осуществляться по защищенному от несанкционированного доступа каналу, позволяющему предотвратить любые попытки прочтения или модификации управляющих команд. Для защиты канала управления могут использоваться различные протоколы - IPSec, SSL, TLS и т. д.



Миф 5. IP-телефонию легко вывести из строя


Несмотря на то что различные компоненты IP-телефонии потенциально подвержены атакам типа "отказ в обслуживании", компании, уделяющие серьезное внимание вопросам сетевой безопасности, предлагают целый ряд защитных мер, предотвращающих как сами DoS-атаки, так и их последствия. Для этого можно использовать встроенные в сетевое оборудование механизмы обеспечения информационной безопасности и дополнительные решения, например:

разделение корпоративной сети на непересекающиеся сегменты передачи голоса и данных, что предотвращает появление в "голосовом" участке распространенных атак, в том числе и DoS; специальные правила контроля доступа на маршрутизаторах и межсетевых экранах, защищающих периметр корпоративной сети и отдельные ее сегменты; системы предотвращения атак на узлах; специализированные системы защиты от DoS- и DDoS-атак; специальные настройки на сетевом оборудовании, предотвращающие подмену адреса, часто используемую при DoS-атаках, и ограничивающие полосу пропускания, не позволяющую вывести из строя атакуемые ресурсы большим потоком бесполезного трафика.



Миф 6. К IP-телефонам можно осуществить несанкционированный доступ


Сами IP-телефоны содержат целый ряд специальных настроек, препятствующих несанкционированному доступу к ним. К таким настройкам можно отнести, в частности, доступ к функциям телефона только после предъявления идентификатора и пароля или запрет локального изменения настроек и т. д.

С целью предотвращения загрузки на IP-телефон несанкционированно модифицированного ПО и конфигурационных файлов их целостность контролируется электронной цифровой подписью и сертификатами X.509.



Миф 7. Сервер управления можно перегрузить большим числом звонков


Максимальное число звонков в час на один сервер управления составляет от 100 000 (в зависимости от конфигурации) до 250 000 при использовании кластера управляющих серверов. При этом администратор может использовать специальные настройки, ограничивающие число входящих звонков необходимым значением.

И наконец, в случае потери связи с одним из серверов управления возможна автоматическая перерегистрация IP-телефона на резервном сервере.



Миф 8. В IP-телефонии легко совершить мошенничество


Сервер управления инфраструктурой IP-телефонии содержит ряд возможностей, позволяющих снизить вероятность телефонного мошенничества, таких, как кража услуг, фальсификация звонков, отказ от платежа и т. п.). Так, для каждого абонента можно:

заблокировать звонки на определенные группы номеров и с них; заблокировать возможность переадресации звонков на различные типы номеров - городские, мобильные, междугородные, международные и т. д.; отфильтровывать звонки по различным параметрам и т. д.

Все эти действия осуществляются независимо от того, с какого телефонного аппарата абонент звонит. Это реализуется путем аутентификации каждого абонента, получающего доступ к IP-телефону. Если пользователь не проходит процесс подтверждения своей подлинности, то он может звонить только по заранее определенному списку телефонных номеров, например в скорую помощь, милицию или внутренний отдел поддержки.



Миф 9. Традиционная телефония более защищена, чем IP-телефония


Это самый распространенный миф в области телефонии. Традиционная телефония, разработанная десятилетия назад, обеспечивает более низкий уровень защищенности, чем новая и более совершенная технология IP-телефонии.

В традиционной телефонии гораздо легче подключиться к чужому разговору, подменить номер, "наводнить" звонками и произвести множество других угроз, даже не имеющих аналогов в IP-телефонии (например, war dialing). Защита традиционной телефонии обеспечивается гораздо более дорогими средствами и механизмами, чем в IP-телефонии, в которой эти средства встроены в сами компоненты этой технологии.

Например, для защиты от прослушивания традиционная телефония использует специальные устройства - скремблеры, централизованное управление которыми невозможно; не говоря уже о дороговизне их приобретения и установки перед каждым телефонным аппаратом.

Вопросы безопасности новых информационных технологий (а к ним относится и IP-телефония) сейчас находятся в центре внимания многих. Никто не хочет, внедряя у себя новомодное решение, помогающее бизнесу, привносить в компанию и новые угрозы. Поэтому сейчас информационная безопасность становится во главу угла при выборе новых ИТ-систем. Этой теме посвящаются и различные публикации.

Например, совсем недавно известный журнал NetworkWorld совместно с независимой тестовой лабораторией Miercom провели полномасштабное исследование защищенности ряда известных решений для построения сетей IP-телефонии. С его результатами можно ознакомиться на сайте . В заключение хочу отметить, что, несмотря на слухи, циркулирующие в среде ИТ-специалистов, насчет низкой защищенности IP-телефонии, на самом деле эта технология гораздо более защищена, чем ее традиционная "сестра". При этом стоимость защиты существенно ниже, а управление намного удобнее и эффективнее, чем в привычной нам телефонии.

Отсюда можно сделать вывод: переход к IP-телефонии, предоставляющей гораздо более привлекательные для бизнеса услуги и функции, - всего лишь вопрос времени. И первый, кто поймет это и осуществит его, станет лидером в своем сегменте рынка.



Что общего между шифрованием и линией Мажино?



Научно-инженерное предприятие "Информзащита"
Опубликовано в журнале"PCWeek/RE"

В 1929-34 гг., опасаясь военного вторжения со стороны Германии, французский военный министр А. Мажино предложил построить систему неприступных укреплений по всему периметру северо-восточной границы Франции от Швейцарии до Бельгии. Эта система оборонительных укреплений, протянувшаяся на 380 километров и состоящая из 5600 долговременных огневых сооружений, врытых на глубину до 30 метров, получила название "линия Мажино". Охранял этот, считавшийся неприступным, рубеж гарнизон, насчитывающий около 200 тысяч солдат. Однако в 1940 после того как генерал-фельдмаршал немецкой армии фон Бок обошел данные укрепления через Бельгию и взял Париж, "линия Мажино" пала, лишний раз подтвердив поговорку "не все то золото, что блестит". К сожалению, такая же ситуация складывается в настоящий момент и с шифрованием, которое преподносится многими как панацея от всех бед. И на первый взгляд, может показаться, что это действительно так. Почему-то считается, что шифрование - спасает от неусыпного ока государства, хакеров и им подобных любителей заглянуть в замочную скважину. Если данные скрыты от посторонних глаз и согласно математическим расчетам на вскрытие шифра потребуется сотни лет, то многие закономерно считают, что этого достаточно для безопасности своих данных. Но, как поется в художественном детском фильме "Айболит-69" и как продемонстрировал германский генерал фон Бок: "Нормальные герои всегда идут в обход".

Многие видели на городских улицах банковские бронированные КАМАЗы, перевозящие деньги от одной точки к центральному хранилищу. Закованные в броню КАМАЗы, в недрах которых могут находится баснословные ценности, - это точная аналогия шифрования информации. Кстати, а вы уверены, что эти КАМАЗы перевозят огромные ценности? Может быть они перевозят обеды для сотрудников удаленного офиса? Однако оставим вопрос соизмеримости стоимости защитных мер со стоимостью защищаемой информации за рамками данной статьи и вспомним любой гангстерский боевик, в котором грабители нападают на грузовики, перевозившие ценности.
Как они это делали? Случаи грубого взрыва автомобиля или его угона с последующей безрезультатной тратой не одного месяца на вскрытие бронированной двери автогеном практически не встречаются. А если они и происходят, то только по причине неопытности нападавших. Более "продвинутые" грабители идут другим путем. Они или заставляют сидевших в грузовике инкассаторов самим открыть двери фургона, либо совершают свои опустошительные набеги в момент загрузки или выгрузки мешков с деньгами. В других фильмах, в которых бездарные злоумышленники безуспешно пытались проникнуть за бронированную перегородку, перебирая все возможные вариации или крутя диск на дверце сейфа, "продвинутые" грабители подсматривали в подзорную трубу нужную комбинацию. Эти фильмы и подсказывают нам все слабые места шифрования.

Слышали ли Вы о случаях взлома каких-либо шифров по причине слабой математики? И не просто о гипотетической возможности взлома, а о реально произошедшей в каком-либо банке или военном ведомстве примере? Я - нет (если не брать в расчет слухи о том, что Кучма взломал шифры посольств стран НАТО, о чем повествовала "Новая газета" 30 сентября 2002 года). Все о чем мне доводилось слышать - это о различных попытках полного перебора возможных ключей шифрования для распространенных алгоритмов шифрования (например, DES и RC5). Наиболее известный проект - distributed.net, направленный на привлечение свободных сетевых компьютеров для участия в распределенных вычислениях ключа шифрования. Даже для алгоритмов с длиной ключа 64 бит время перебора составляет не менее 3 лет, а современные алгоритмы используют ключи длиной 128 и больше бит. Немного забегая вперед, скажу, что почти все известные случаи взлома шифров были осуществлены другими способами. Например, чтение засекреченных данных немецких военных во время второй мировой войны стало возможным благодаря тому, что в руки союзников попала шифровальная машина Энигма. В других случаях, ключи шифрования попадали в руки военных агентурными или иными (но, как правило, не математическими) методами.



Однако это только так кажется, что шифр ломается только специалистами-математиками, и только используя сложные алгоритмические преобразования. На практике все гораздо прозаичнее и ореол таинственности, которым себя окружают различные спецслужбы, сквозит прорехами, через которые мы и заглянем в эти "тайны". Можете ли вы запомнить ключ "cю}БТфР9" (0x63DE7DC154F4D039)? А ведь именно такой ключ использовался в проекте distributed.net по взлому 64-битного алгоритма RC5. А можете ли вы сами создать такой ключ? Скорее всего, для ключа шифрования вы воспользуетесь гораздо лучше запоминаемым словом. Понимая это, злоумышленники концентрируются на совсем иных способах проникновения за завесу тайны, чем обычный метод "грубой силы". Во-первых, на человеческом факторе. Зная, КАК пользователи выбирают себе пароли, злоумышленник может существенно сэкономить себе время. А как происходит такой выбор? Пользователь, как существо по природе своей ленивое, не хочет утруждать себя процедурой выработки правильного ключа шифрования и тем более заниматься тестированием качества созданного им пароля. Мало того, даже если кто-то побеспокоился о пользователе и создал для него стойкий ключ, пользователь не захочет напрягать свои мозговые клетки для запоминания сложной комбинации цифр и букв в верхнем и нижнем регистрах. В большинстве случаев пользователь выберет для такого ключа свое имя, название своей компании, имя жены или любимой рыбки, номер телефона или автомобиля и т.п. В "лучшем" случае пользователь для ключа выбирает какое-то осмысленное слово, но и здесь его подстерегает ловушка. Несмотря на то, что всех возможных комбинаций букв русского языка очень много, 17-томный "Словарь современного русского литературного языка" включает в себя всего 120480 слов (кстати, 4-хтомный "Словарь живого великорусского языка" В.И. Даля содержит около 200000 слов). Но где вы встречали человека, который оперирует таким многообразием слов? Даже Пушкин оперировал всего 22000 словами ("Словарь языка А.С.


Пушкина" включает 21 290 разных слов), а словарный запас современного взрослого образованного человека, по данным ученых, не превышает 10-12 тысяч слов. Осуществить их полный перебор не составляет большого труда даже для персонального компьютера средней мощности. А зная область интересов человека, ключ или пароль которого необходимо узнать, число возможных вариантов сокращается еще больше. Известен анекдотичный случай, когда при запросе "Введите пароль:" около трети американских военных вводили… "пароль". Еще больше число возможных вариантов сокращается, если знать, что большинство паролей вводится только в нижнем регистре без применения цифр, знаков препинания и иных символов. Ну и, наконец, в Internet можно найти уже готовые файлы, содержащие 200 самых распространенных паролей", "1000 самых распространенных паролей" и т.п. Таким образом, спецслужбам нет нужды заниматься сложными алгоритмическими преобразованиями, направленным на взлом того или иного шифра. Достаточно знать основы человеческой психологии в применении к информационной безопасности.

Другой способ обойти все шифровальные препоны - проникнуть в устройство, осуществляющее шифрование. Другими словами, достаточно внедрить на ваш компьютер троянца и все, "ваше дело в шляпе". Злоумышленники смогут получить доступ ко всей важной информации, в т.ч. к паролям и ключам шифрования. Так, например, поступили в 1999 году агенты ФБР, пытавшиеся получить доказательства преступной деятельности мафиози Никодемо Скарфо, делающего деньги на нелегальном игровом бизнесе в Нью-Джерси. Этот субъект шифровал все компрометирующие себя файлы (по некоторым данным с помощью известной программы PGP). Однако агенты ФБР оказались тоже "не лыком шиты", - они внедрили на компьютер Скарфо клавиатурного шпиона, который регистрировал все нажатия клавиш, в т.ч. и в момент ввода пароля доступа к засекреченным данным. После этого ФБР смогло собрать все необходимые доказательства и улики, и в феврале 2002 года Скарфо был осужден американским правосудием.Именно поэтому в инструкциях ко многим средствам криптографической защиты написано, что пользователь обязан обеспечить защиту своего компьютера и ключей. Но кто из, считающих себя продвинутыми, пользователей читает документацию?

Эти два примера лишний раз показывают, что шифрование само по себе не решает никаких проблем. Без применения дополнительных мер защиты (технических и организационных) использование шифрования лишь введет вас в заблуждение по поводу вашей защищенности. А нет ничего хуже чувства ложной безопасности. Вы будете думать, что ваши данные надежно скрыты от любопытных глаз, а на самом деле к ним смогут получить доступ все желающие.

В заключение хочу только привести слова известного во всем мире специалиста по информационной безопасности Юджина Спаффорд о шифровании: "это эквивалентно применению бронированного автомобиля для перевозки кредитной карты от кого-то, живущего в картонной коробке, кому-то, живущему на скамейке в парке".


Альтернативная ОС надежнее Windows?


В Windows 2000 и XP Professional есть функция шифрования отдельных файлов и папок, благодаря которой злоумышленник, даже скопировав важный документ, не сможет его прочесть Часто приходится слышать, что другие операционные системы обеспечивают лучшую безопасность, чем Windows. Однако все три основные ОС без дополнительной настройки защищены одинаково слабо, а Windows XP страдает еще и от своей популярности: желающие дурной славы хакеры обращают мало внимания на менее распространенные Linux и Mac OS X.

ОС Достоинства Недостатки
Windows XP Professional Защищенная регистрация пользователя; шифрование файлов; простейший защитный экран; автоматический, полуавтоматический и ручной режимы обновления; обилие коммерческих и бесплатных программных защитных экранов (см. "Безоговорочная безопасность сети: установка межсетевого экрана для отдельного хоста", "К+П" N2/2004) и антивирусов (см. "Сам себе антивирус", "К+П" N2/2004) Возможности встроенного защитного экрана ограничены: он блокирует только входящие соединения и по умолчанию отключен (в SP2 будет включен). Патчи для обнаруживаемых недостатков в системе защиты появляются через несколько дней или месяцев. Огромное количество вирусов и интернет-червей предназначено специально для этой ОС
Linux (ядро 2.4) Защищенная регистрация пользователя; управления доступом к файлам на уровне пользователя; двунаправленный защитный экран; в некоторых дистрибутивах предусмотрены автоматический, полуавтоматический и ручной режимы обновления; есть много коммерческих и бесплатных защитных экранов; необходимость в антивирусе возникает редко; недостатки системы защиты обычно устраняются в тот же день Шифрование файлов требует глубоких знаний операционной системы; то же самое в некоторых дистрибутивах касается защитного экрана; в большинстве дистрибутивов защитный экран отключен
Mac OS X Защищенная регистрация пользователя; управления доступом к файлам на уровне пользователя; шифрование файлов методом drag-and-drop; двунаправленный защитный экран; автоматический, полуавтоматический и ручной режимы обновления; много защитных экранов и антивирусов; вирусов и интернет-червей для этой ОС меньше, чем для Windows Защитный экран с GUI- интерфейсом блокирует только входящие соединения и по умолчанию отключен. Настройка двунаправленного защитного экрана выполняется вручную или посредством приобретаемых дополнительно утилит. Известные недостатки системы защиты Патчи для обнаруживаемых недостатков в системе защиты появляются через несколько дней или недель



Автоматическое обновление основных программ


Независимо от того, сколько сил вы прилагаете к защите ПК, вас могут подвести "дыры" в операционной системе и приложениях, через которые на компьютер из интернета попадает всякая нечисть.

Некоторые специалисты рекомендуют отказаться от автоматической загрузки и установки обновлений, приводя довольно веский аргумент: что, если патч окажется несовместим с важной программой или компонентом операционной системы? Другие считают, что риск не так велик и игра стоит свеч, ведь слишком многие пользователи попросту ленятся самостоятельно скачать и установить обновление, и однажды у них на руках оказывается компьютер, взломанный через "дыру", патч к которой вышел на прошлой неделе.

Операционные системы Windows 2000, на которых установлен Service Pack 3, допускают автоматическое обновление, однако активируется эта функция несколько сложно. Microsoft подробно объясняет процедуру настройки. Что же касается Windows XP, то для того чтобы компьютер стал получать автоматические обновления, щелкните правой кнопкой мыши на пиктограмме My Computer, выберите команду Properties, перейдите на вкладку Automatic Updates, включите режим Keep my computer up to date, выберите в разделе Settings один из трех режимов загрузки и установки обновлений и щелкните на кнопке OK.

Современные антивирусные программы обычно задерживают вирусы, интернет-червей и "троянские" программы из интернета, при условии регулярного обновления базы данных вирусных сигнатур. Многие (но не все) антивирусные программы загружают и устанавливают собственные обновления и обновления вирусной базы автоматически, по умолчанию. Проверьте настройки программы (и загляните в документацию), чтобы убедиться, что программа поставлена на максимально высокую степень защиты.



Безопасность без проводов


Беспроводные сети - привлекательная новинка, которая только начала вступать в свои права. Но в отношении безопасности это сущий кошмар. Если не изменить стандартную настройку беспроводной локальной сети, то в такую сеть может с ногами влезть всякий желающий, кто так или иначе попал в пределы ее радиодиапазона - любой сосед, прохожий или проезжий. Вот некоторые простейшие мероприятия, которые повысят безопасность беспроводной сети. Настройте точку беспроводного доступа или беспроводной маршрутизатор так, чтобы они не рассылали свой SSID (имя точки доступа). Большинство точек доступа по умолчанию каждые несколько секунд рассылает короткие сообщения всем компьютерам, находящимся в зоне досягаемости. Если отключить эту функцию, все проходящие мимо вашей Wi-Fi именно пройдут мимо. Замените стандартный SSID. Даже если маршрутизатор не рассылает SSID, стандартное имя, предлагаемое ведущими производителями, обычно хорошо известно заинтересованным людям. Достаточно заменить в этом имени всего один символ - и посторонним станет гораздо труднее проникнуть в вашу сеть. Шифруйте соединения с помощью нового кода WPA или более старой, но все еще применимой схемы WEP. Это самый высокий уровень защиты точки доступа, трудноугадываемый пароль, который остановит если не всех, то большинство взломщиков. Если точка доступа не поддерживает WPA, можно получить у производителя и установить новую программную прошивку, поддерживающую шифрование. Включите фильтрацию MAC-адресов. Каждый сетевой адаптер - для кабельной или беспроводной сети - имеет уникальный MAC-адрес. Можно настроить точку доступа таким образом, чтобы она предоставляла доступ к беспроводной сети только компьютерам с определенными MAC-адресами. Будьте осторожны, пользуясь общественной беспроводной сетью - такие сети начинают появляться в аэропортах, гостиницах и офисах высокого класса. Другие пользователи такой сети могут без особого труда узнать ваш пароль, когда вы будете проверять почту, а также прочитать ваши электронные сообщения и другие данные, которые вы получаете или передаете. Если в офисе есть виртуальная частная сеть (Virtual Private Network, VPN), всегда используйте ее при доступе через общественную сеть Wi-Fi. Если же VPN отсутствует, попросите вашего провайдера предоставить вам защищенные параметры почтового сервера или используйте для электронной почты защищенный веб-интерфейс. Включая режим совместного использования файлов в Windows, вы откроете доступ к ним любому, кто сидит за соседним столом. Так что лучше отключить эту функцию или заблокировать доступ с помощью программного защитного экрана.



Биометрическая защита


В очень серьезных случаях вряд ли стоит доверять паролю - его не так уж сложно подобрать. Тогда можно воспользоваться устройством чтения биометрических данных, таких как отпечатки пальцев. В состав многих биометрических устройств входит программный менеджер паролей, отслеживающий пароли доступа к сети, веб-сайтам и даже к приложениям. После обучения таких устройств, то есть когда они будут отличать ваши пальцы от других, для доступа к веб-сайту, Windows, а также шифрования и дешифрования файла вам будет достаточно буквально пальцем пошевелить.



Физическая безопасность


Самые лучшие, схемы шифрования, сложнейшие пароли, жесточайшая система обеспечения безопасности не скроют данные от любопытного сотрудника, если держать компьютер открытым. (Да и дома многие не прочь закрыть некоторые каталоги от любопытных отпрысков, которые слишком рано узнали, откуда берутся файлы.) По данным Федерального бюро расследований, в США 45% случаев несанкционированного доступа виновниками оказываются "свои" - постоянные сотрудники или работники по контракту. Задача обнаружения вторжения в этом случае осложняется тем, что обнаружить таких злоумышленников и закрыть им доступ сложнее, чем неизвестному хакеру, который ломится в сеть через защитный экран. Тем не менее, следует принять хотя бы элементарные меры безопасности - возможно, они не спасут от злого умысла, но преградят путь праздному любопытству (см. также "Безопасность информации: защищаться нужно грамотно", "К+П" N7/2003, "Строим забор своими руками, или создание отдела информационной безопасности", "К+П" N11/2003)



Какая программа "стучит"?


Бывает так, что на компьютере ничего не делается, а модем мигает лампочками. Возможно, это загружается и устанавливается обновление какой-нибудь программы или выполняется другая обслуживающая процедура. Но иногда такое поведение компьютера является свидетельством того, что ПК захвачен извне и общается c новым хозяином.

В WindowsXP можно просмотреть список всех программ и выяснить, с кем они ведут "разговор". Для этого, подключившись к интернету, выберите команду Start > Run, введите в поле Open команду cmd, щелкните на кнопке OK и введите еще одну команду:

netstat -no

В ответ Windows выдаст список всех активных сетевых соединений, указав в том числе IP-адрес вашего компьютера, IP-адрес приемника данных и идентификатор процесса (PID) той программы, которая, работая на вашем компьютере, установила это соединение. Любая программа, даже фоновая, имеет уникальный PID. Для того чтобы определить, какая программа соответствует тому или иному PID, необходимо обратиться к списку процессов в Task Manager. Для того чтобы открыть это окно, нажмите <Секд+Alt+Del> и щелкните на кнопке Task Manager. Затем перейдите на вкладку Processes и найдите в столбце PID интересующий вас номер. Есть и более удобные способы получения той же информации - с помощью бесплатных утилит, таких как , а также из журналов, которые ведутся программными защитными экранами.

Если в одном из таких списков вам встретится программа с незнакомым именем, не спешите тревожиться: многие компоненты Windows имеют очень замысловатые названия. Обратитесь к WinTasks Process Library или проконсультируйтесь с Google. Если выяснится, что "незнакомец" - это "червь" или "троянский конь", обновите антивирусный пакет, отключитесь от интернета (на всякий случай выдерните кабель из разъема) и как следует просканируйте жесткий диск. В самом худшем случае - от чего храни вас Дух интернета! - придется переформатировать жесткий диск и установить Windows "с нуля". Надеемся, вы заблаговременно создали резервную копию важных файлов…



Компьютер на замке


Елена Полонская,

Хакеры, спамеры, недобросовестные сотрудники и коллеги… Плохишам и просто праздным любопытным вход в компьютер должен быть заказан. Как и важным данным - выход оттуда

Вместе с распространением новых компьютерных технологий - портативных и карманных ПК, беспроводных сетей и устройств для них - появляются новые методы взлома компьютеров и похищения информации. Впрочем, старые методы, рассчитанные не столько на технику, сколько на слабости человеческие, тоже исправно работают - как говаривал г-н Воланд, люди не изменились. И многое делают по привычке, не раздумывая. Разумеется, привычки эти люди заинтересованные знают наизусть и успешно используют. Мы не берем на себя смелость полагать, что после прочтения этой статьи вы заживете как-то иначе. Мы только надеемся, что некоторые из высказанных здесь соображений приведут вас к мысли изменить привычку.



Нет данных - нет риска


Настолько ли важны данные, что их потеря или повреждение стали бы настоящим бедствием?

Если сверхсекретный файл списывается на ноутбук без шифрования, и ноутбук затем вывозится из офиса, вряд ли стоит особенно удивляться, если однажды содержимое этого файла станет известно тем, кому вам меньше всего хотелось бы его сообщать. Вместо того чтобы повсюду носить с собой подобную ценность, не лучше ли оставить ее на сервере или на компакт-диске в надежном сейфе, и удалить все важное с жесткого диска, которым вы пользуетесь каждый день (см. "Центр восстановления информации", "К+П" N6/2003)?



Нет - спаму!


Вероятно, одним из главных рассадников "заразы" на компьютере является папка для входящей электронной почты. Именно отсюда начинают свой путь вирусы, "черви" и "рыболовные" программы, обманом заставляющие пользователя раскрыть свой пароль, номер кредитной карточки и другие персональные данные. Вот несколько способов навести порядок в "злачном месте", каким подчас является почтовая программа. Используйте встроенный в почтовый клиент или внешний фильтр спама (см. "Фильтры спама", "К+П" N11/2003), чтобы отсеять большую часть спама. Никогда не запускайте файл, прикрепленный к сообщению электронной почты, не "пропустив" его через антивирусную программу. Настройте Windows так, чтобы вирусные вложения не маскировались под обычные файлы. Для этого откройте Control Panel, выберите команду View > Folder Options, перейдите на вкладку View, отключите режим Hide extensions for known file types в разделе Advanced settings и щелкните на кнопке OK.



Ноутбук - бумажник для файлов


Специалисты по безопасности и просто опытные люди советуют всегда держать ноутбук, КПК или электронную записную книжку при себе, как кошелек или паспорт, не забывая при этом регулярно удалять с них важные файлы и шифровать все остальное.

Сегодня все чаще встречаешь в библиотеках, вузовских коридорах, кафе, залах ожидания и других общественных и полуобщественных местах людей с ноутбуками. Оставлять такую вещь с незашифрованными файлами в подобном месте - не просто рискованно, а безрассудно.

Конечно, можно поступить на манер владельцев велосипедов и прикрепить компьютер проводом к чему-нибудь неподвижному - к полу, стене, ножке стола (если он закреплен неподвижно). Но, разумеется, такое срабатывает ненадолго и только на достаточно открытой местности. Где-нибудь в гостиничном номере у злоумышленника будет достаточно времени, чтобы отсоединить провода. Многие ноутбуки, некоторые настольные ПК и даже ЖК-мониторы имеют встроенные стандартные слоты для такой кабельной блокировки.



Пароль на BIOS


Большинство типов BIOS допускает парольный вход при запуске системы. Такой администраторский пароль не даст злоумышленнику изменить параметры BIOS (например, отключить пароль загрузки). О том, как запускается программа настройки BIOS, можно узнать из справочного руководства к компьютеру или из его электронной справочной системы. Как правило, для настройки BIOS нужно перезапустить компьютер и, пока на экране светится первая заставка, нажать <Delete>, <Esc>, <F1> или другую клавишу или комбинацию клавиш - часто эта комбинация сообщается в заставке. Некоторые новые модели компьютеров поставляются с конфигурационной программой, позволяющей изменять настройку BIOS из Windows. Когда программа настройки запустится, найдите раздел паролей или безопасности, внимательно прочтите экранные инструкции, введите пароль, сохраните измененные параметры и перезапустите систему.

Пароль, который вы введете, очень важен. Поэтому некоторые рекомендуют записать его (очень внимательно, с учетом регистра букв) где-нибудь в таком месте, где вы его найдете, но любой другой человек - нет. Однако предупреждаем: многие места хранения, которые нам представляются надежными, в сущности, достаточно тривиальны, и любой заинтересованный человек быстро раскроет наш секрет. Поэтому, если вы хоть сколько-нибудь сомневаетесь в собственной изобретательности, лучше полагаться на память и никогда не доверять пароль бумаге.

И, конечно же, следует помнить, что пароль BIOS остановит далеко не каждого. В конце концов, нужно же предусмотреть что-то для спасения данных на случай, если пользователь забудет свой пароль? В некоторых системах для этого есть "мастер-пароли", списки которых встречаются в интернете. На других моделях можно обойти пароль с помощью определенных комбинаций клавиш или манипуляций мышью.

Наконец, если у злоумышленника появится возможность вскрыть системный блок, то он просто отменит пароль, изменив положение переключателей на материнской плате или удалив батарейку питания на чипе памяти BIOS. Если такое может произойти, просто поставьте замок на корпус.



Пароль на Outlook


Часто наиболее важные данные хранятся в папке входящей или исходящей почты. К счастью, есть ряд программ для шифрования и дешифрования почты.

Например, для шифрования писем в Outlook2000 и 2003 нужно выбрать команду File > Data File Management > Settings > Change Password, ввести пароль в поля New password и Verify password и щелкнуть на кнопке OK. После этого только тот, кому известен пароль, сможет просмотреть полученные сообщения, хранящиеся в основных и созданных вами дополнительных папках Outlook.

В Outlook Express можно защитить паролем только идентификаторы электронной почты (файл, в котором хранятся имя пользователя и пароль учетной записи). Для этого нужно выбрать команду File > Identities > Manage identities, выбрать учетную запись, которую вы хотите защитить, щелкнуть на кнопке Preferences, включить режим Require a password и щелкнуть на кнопке OK. Тогда злоумышленник не сможет воспользоваться вашим почтовым ящиком, чтобы получить новую почту. Однако при наличии определенных навыков это не помешает ему импортировать ваши сообщения в другую программу. Вообще, специалисты советуют по возможности не использовать браузер и почтовый клиент Microsoft, так как слишком многие хулиганы интернета направляют свои усилия на взлом именно этих программ.



Программная безопасность


Если физически все устройства защищены, пора подумать о том, чтобы программное обеспечение - и операционная система, и приложения - не допускали взлома, похищения или повреждения данных. Прежде всего, следует закрыть все программные лазейки, которые разработчики ПО по умолчанию оставляют открытыми. Необходимо также использовать дополнительные функции, такие как парольная защита, которые не позволят совать нос в ваши файлы кому попало.



Шифрование файлов


Если вам все-таки приходится хранить на рабочем ПК важные файлы, возможно, их стоит зашифровать, особенно если ПК портативный. В Windows 2000 и XP Professional (но не XP Home) есть встроенные функции шифрования для отдельных файлов и папок. Впрочем, если они вам не понравятся, можно установить специальное программное обеспечение для шифрования.

Шифрование значительно затруднит злоумышленнику запуск компьютера с загрузочного или аварийного диска, подбор паролей и получение контроля над операционной системой.

Длят ого чтобы зашифровать папку в Windows 2000 или XP Professional, щелкните правой кнопкой мыши в окне Explorer (Проводник), выберите команду Properties, щелкните на кнопке Advanced, включите режим Encrypt contents to secure data и два раза щелкните на кнопке OK. Затем еще раз щелкните на кнопке OK, чтобы принять предлагаемое по умолчанию условие - Apply changes to the selected items, subfolders, and files.

Однако все хорошо в меру: шифрование всего диска займет много времени, снизит скорость работы системы и повысит вероятность того, что однажды вы тоже потеряете доступ к файлам. В общем, если только диск не забит сведениями чрезвычайной важности, подобная мера - все равно что пушка против воробьев.



Шпионские штучки


Если на панели задач или браузера неожиданно появляются новые пиктограммы, возможной причиной этого может оказаться "шпионская" или рекламная программа, незаметно проникшая на компьютер. Для того чтобы такого не случилось, нужно следить за тем, какие компоненты устанавливаются при инсталляции различных бесплатных программ, и использовать антишпионоские утилиты, такие как PepiMM Software Spybot или . Хуже обстоит дело с "разрешенными" шпионскими программами, установленными начальником или ревнивой супругой (ссылка на статью в том же номере).



Убить вирус


Из всех опасностей, подстерегающих компьютер в интернете, больше всего неприятностей приносят, пожалуй, вирусы и их вариации - "троянские кони" и "черви". Использование антивирусной программы со свежей базой предотвратит большинство вирусных атак, но если вирус поразит компьютер до того, как вы обновите базу, компьютер и сам пострадает от инфекции, и другие машины заразит. Для того чтобы защититься от неизвестных атак, необходимо предупредить действия хакеров и закрыть от вируса наиболее уязвимые места компьютера прежде, чем атака случится. Вот несколько таких профилактических мер.

Резервное копирование. Интернет-червь MyDoom, поразивший в свое время тысячи компьютеров, к счастью, оказался сравнительно безвредным - он не разрушал файлы и не похищал информацию. Представьте себе, что было бы, если бы это произошло… но вы заблаговременно создали резервную копию важных данных. А ведь следующий червь может оказаться н таким безвредным.

Своевременное обновление. От нашествия червя Blaster пострадало много народу… но только те, кто не установил патч, выпущенный несколько месяцев



Уходя, заприте дверь


Всегда, всегда одно и то же: пароль не должен быть датой, именем или словом, которое есть в словаре. Пароль обязательно должен содержать большие и маленькие буквы, цифры и хотя бы один специальный символ. Пароль не должен быть логичным - и тем не менее, лучше его запомнить. Если же потеря данных может обойтись очень дорого, можно потратиться на биометрическое устройство.

Отходя от компьютера даже "на минутку", сделайте так, чтобы вашим отсутствием никто не воспользовался. Проще всего придумать хороший пароль и закрывать на него компьютер, куда бы вы ни отлучались - на обед или в уборную. Для этого в Windows2000 выберите команду Start > Shutdown > Log off <имя пользователя>, а в Windows XP - StartрLog off. Для того чтобы сеанс завершался автоматически, щелкните правой кнопкой мыши на рабочем столе Windows, выберите команду Properties и перейдите на вкладку Screen Saver. Затем в Windows 2000 выберите хранитель экрана, включите режим Password protected и щелкните на кнопке OK, а в Windows XP - введите в поле Wait достаточно короткий период простоя (некоторым хватает 3-5 мин, но если вы любите сидеть за экраном, задумавшись, то лучше увеличить это время до 15 мин), включите режим On resume, password protect и щелкните на кнопке OK.



Вход - только по паролю


Система регистрации в Windows2000 или XP сильно затрудняет доступ к вашим файлам другим людям, даже если они пользуются тем же компьютером - в отличие от паролей Windows 98 и Me, обойти которые до смешного легко. Проблема заключается в том, что ни одна из операционных систем Windows не требует использования пароля - это только одна из функций, которой можно воспользоваться, а можно и нет. По умолчанию в Windows 2000 и XP Home Edition пользовательские учетные записи создаются без пароля и пользователь регистрируется автоматически, даже если его учетная запись принадлежит к всесильной администраторской группе. При отсутствии пароля учетной записи любой может украсть ПК, получить доступ ко всем данным и ввести свой пароль, который не даст вам сделать то же самое, или создать свою запароленную учетную запись, с помощью которой он сможет делать все, что угодно. То же самое касается "пустых" паролей, который только делают систему более уязвимой через интернет.

Для того чтобы создать пароль для учетной записи в Windows 2000, нужно открыть Control Panel (команда Start > Settings > Control Panel), дважды щелкнуть на пиктограмме Users and Passwords и поставить "птичку" против надписи Users must enter a username and password to use this computer. Затем нажмите <Ctrl+Alt+Del> и щелкните на кнопке Change Password. Если до того пароля не существовало, поле Old Password будет недоступно; если же пароль был, введите оба варианта - старый и новый - в соответствующих полях и щелкните на кнопке OK. Для того чтобы выполнить аналогичную операцию в Windows XP, откройте User Accounts Control Panel, выберите учетную запись, которую хотите защитить паролем, и щелкните на кнопке Create a password.



Загрузка с паролем


Максимальная длина пароля Windows - 26 символов, среди которых могут быть буквы, цифры и специальные символы. Казалось бы, достаточно, чтобы у хакера закипели мозги. Но что пользы в пароле, если жесткий диск можно прочесть и не запуская Windows? Для этого достаточно загрузочной дискеты или компакт-диска, знания команд DOS или хотя бы Volkov Commander.

Для того чтобы закрыть эту дверь, запретите в BIOS запуск компьютера с любых устройств, кроме жесткого диска (или, если это невозможно, поставьте жесткий диск в качестве первого загрузочного устройства). Если компьютер стоит в людном месте, где сложно уследить за доступом к нему, возможно, стоит вообще удалить из него дисковод, привод CD (DVD), а также отключить или удалить порты USB и FireWire, чтобы кто-нибудь не запустил ПК в DOS или Linux с диска, IPod, флэш-памяти USB или жесткого диска FireWire.



Защищенный интернет


Internet Explorer - самый распространенный веб-браузер. В том числе у хакеров и спамеров. Поэтому на бедного пользователя буквально дождем сыплются рекламные объявления, спам и прочий мусор, создатели которого досконально изучили возможности IE. Дело может зайти далеко, от непрошеных "всплывающих окон" и "хелперов" до установки рекламного ПО, замены информации на домашней странице и даже кражи данных.

Многих опасностей можно избежать, просто усилив режим безопасности самого Internet Explorer, отказавшись от установки элементов управления ActiveX, которые предлагается загрузить на некоторых веб-страницах. Для этого нужно, открыв Internet Explorer, выбрать команду Tools > Properties, перейти на вкладку Advanced и включить соответствующие режимы в разделе Security.

Но еще лучше отказаться от IE в пользу другого браузера, не поддерживающего ActiveX, - например, или .



Защита администратора прежде всего


Главная учетная запись, которую необходимо защитить паролем, - это учетная запись администратора. Простое переименование будет малоэффективным. Кроме того, напоминаем еще раз: пользоваться этой учетной записью следует только для обновления системы, установки новых программ или конфигурирования оборудования.



Защита сети


Наибольшей опасности компьютер подвергается тогда, когда подключается к интернету. Учитывая невероятное количество изощренных интернет-червей и спама, остается только удивляться, почему так сравнительно мало компьютеров превратилось в зомби, подчиняющиеся командам хакеров. Впрочем, вот несколько способов уменьшить угрозу.



Защитный экран - на каждый ПК


На любой компьютер, подключенный к интернету, независимо от типа соединения - телефонное, широкополосное или беспроводное - следует установить защитный экран (firewall), который оградил бы ПК от сетевых атак и программ-мошенников, передающих данные с вашего компьютера кому-то в сеть. На самом деле лучше всего использовать два защитных экрана: внешний, (аппаратный) например, встроенный в маршрутизатор, и программный, установленный на самом ПК и следящий за деятельностью приложений.

Помимо блокировки нежелательного входящего и исходящего трафика, аппаратные защитные экраны выполняют трансляцию сетевых адресов (Network Address Translation, NAT). В сочетании со встроенным в маршрутизатор DHCP-сервером (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста) при трансляции адресов истинные IP-адреса компьютеров маскируются и не выходят за пределы локальной сети, отчего ПК становится практически недоступным. Поскольку аппаратные защитные экраны находятся на первой линии обороны от сетевых атак, очень важно правильно настроить их в соответствии с документацией, предоставляемой производителем. В частности, необходимо обеспечить надежный администраторский пароль, чтобы никто, кроме вас, не смог контролировать защитный экран.

Программные защитные экраны воюют против внутренних врагов - вирусов, "троянских" и шпионских программ, если таковым все-таки удастся проникнуть в ПК (см. также "Самооборона от "троянцев"", "К+П", N2/2004).