Павел Данилов - Хакинг и антихакинг

Адресное пространство сети может быть разделено на непересекающиеся части – «подсети», с каждой из которых можно работать, как с обычной сетью TCP/IP. Таким образом, единая IP-сеть организации может строиться как объединение подсетей.

Как правило, подсеть соответствует одной физической сети, например одной сети Ethernet. Использование подсетей необязательно. Можно просто назначить для каждой физической сети свой сетевой номер, например номер класса «С». Однако такое решение имеет два недостатка. Первый заключается в пустой трате сетевых номеров. Более серьезный недостаток состоит в том, что если ваша организация имеет несколько сетевых номеров, то машины вне ее должны поддерживать записи о маршрутах доступа к каждой из этих IP-сетей. Таким образом, структура IP-сети организации становится видимой для всего мира. При каких-либо изменениях в IP-сети информация о них должна быть учтена в каждой из машин, поддерживающих маршруты доступа к данной IP-сети.

3.4. Порты

Взаимодействие между прикладными процессами в сети осуществляется через так называемые порты. Порты нумеруются начиная с нуля. Прикладной процесс, предоставляющий какие-либо услуги другим прикладным процессам (сервер), ожидает поступления сообщений в порт, выделенный специально для этих услуг.

Сообщения должны содержать запрос на предоставление услуг. Они отправляются процессами-клиентами. Например, сервер SMTP всегда ожидает поступлений сообщений в порт 25. Если клиент SMTP желает получить услугу, он посылает запрос в порт 25 на машину, где работает сервер. Данный номер порта является общеизвестным, т. е. фиксированным номером, официально выделенным для услуг SMTP. Подобные общеизвестные номера определяются стандартами Интернета.

Никто не станет спорить, что Интернет прочно вошел в нашу жизнь. Он предоставляет в наши руки огромные возможности по передаче информации. Но Интернет стал также и полигоном для испытания самых грозных форм компьютерной заразы, местом, откуда можно попросту украсть интересующую информацию. Через Интернет стал возможным и взлом компьютеров, находящихся на данный момент в сети.

Для доступа к информации компьютера, находящегося в сети, используется множество способов, но все их можно подразделить условно на две большие группы:

– взлом «снаружи». Взлом с использованием удаленного доступа;

– взлом «изнутри». Взлом с помощью какого-либо ПО, находящегося на взламываемом компьютере.

Для того чтобы понять, что такое взлом «снаружи», нужно иметь понятие о так называемых портах (см. выше). Для обнаружения уязвимостей применяется сканирование портов. Обычно вы можете определить факт сканирования портов вашей системы путем простого анализа регистрационных журналов. Большинство сканеров сканируют сеть в поисках какой-то определенной уязвимости. Если вы замечаете в регистрационных журналах записи, указывающие на попытку установить соединение на один и тот же порт большинства ваших систем с одного адреса, это указывает на такое специализированное сканирование.

Вероятнее всего, злоумышленник имеет готовый экс-плойт для какой-то определенной уязвимости и обследует сеть в ее поисках. Если поиск будет удачным, он попробует применить эксплойт.

После того как вы определили факт сканирования, следующий вопрос, которым вы задаетесь: «Смогли ли они проникнуть внутрь?» Большинство современных экс-плойтов основано на переполнении буфера (известном также как срыв стека). Говоря простым языком, переполнение буфера возникает, когда программа (как правило, демон) получает на вход данные большего размера, чем ожидалось, перезаписывая критичные области памяти. В результате выполняется некоторый код, дающий права привилегированного пользователя (Администратора).

Взлом «изнутри» использует несколько иные механизмы. Для его осуществления на взламываемый компьютер нужно внедрить некое ПО, которое должно быть хоть раз запущено. С помощью таких программ можно получить доступ к управлению или информации на компьютере.

Обычно такие файлы либо внедряются в состав обычных пользовательских программ, либо побуждают пользователя запустить полученный из сети файл. Файл может быть получен по электронной почте или скачан из Интернета. Суть от этого не меняется. Основная цель злоумышленников после внедрения такого ПО на компьютер пользователя – запуск этого файла. И тут пользователь чаще всего сам помогает хакеру, запуская непонятный файл, благо, способов обмануть его, наивного, очень много. Таким же образом часто распространяются и вирусы (хакерские программы – по сути тоже вирусы, называемые троянами).

Вот с такими противниками нам придется столкнуться. Главное, что нужно сделать для защиты информационной системы от внешних и внутренних угроз, – выработать корпоративную политику. Обдумайте, чего вы хотите добиться и как можно достичь поставленной цели; составьте ясный документ, посвященный политике защиты. Регулярно проводите занятия с сотрудниками, повышая их образовательный уровень и степень информированности обо всех аспектах информационной безопасности компании. Поверьте, это окупится.

Периодически проводите тестирование и оценку системы защиты, чтобы проверить, насколько внешняя и внутренняя защиты соответствуют корпоративной политике. Работайте только с теми консультантами, которые придерживаются структурированного подхода и не заинтересованы напрямую в результатах тестирования.

Не забывайте и о простых способах физической защиты. Следите за доступом к распределительным шкафам, серверам, комнатам телефонной связи и кроссам точно так же, как вы следите за доступом к вычислительным центрам. Стоит рассмотреть вопрос об использовании услуг сторонних компаний, специализирующихся в области защиты данных; они должны работать в контакте с отделом автоматизации. Эти компании могут оказаться лучше подготовленными к тому, чтобы следить за защитой ваших данных 24 ч в сутки без выходных. Тогда вам придется передать в чужие руки управление определенной частью своего бизнеса. Стоит ли оно того и как именно это сделать – решать вам.

Несколько советов по защите серверов и машин, использующих сеть.

1. Следует ограничить число людей, имеющих удаленный доступ к управлению вашим Web-сервером, и тщательно следить за этим доступом. Дистанционное администрирование (как и доступ к корневому каталогу) - хороший подарок хакеру.

2. Проверьте, правильно ли сконфигурированы списки доступа и вносятся ли в них каждодневные изменения (такие, например, как добавление новых пользователей и клиентов, удаление старых).