IP-безопасность

Сети TCP/IP при отсутствии системы защиты могут быть подвергнуты многочисленным атакам, выполняемым как изнутри локальной сети, так и извне, если локальная сеть имеет соединение с глобальной сетью, например, Интернетом. Некоторые атаки носят пассивный характер и сводятся к мониторингу информации, циркулирующей в сети, другие - активный, направленный на повреждение или нарушение целостности информации или самой сети. Перечислим наиболее широко распространенные типы вторжения на сети TCP/IP.

• Подслушивание. Эти атаки используют уязвимость сети к перехвату сетевых пакетов специальными аппаратными и программными средствами. Если передаваемая информация не зашифрована, ее конфиденциальность будет нарушена. На компьютерном сленге прослушивание называют «сниффингом» (от англ, «sniffing» - вынюхивание).

• Искажение данных. В зависимости от своих целей, злоумышленник, перехвативший сетевые данные, может модифицировать их и отправить по назначению, причем сделать это скрытно от отправителя и получателя.

• Фальсификация IP-адреса. В сети TCP/IP хост идентифицируется своим IР-адресом, указанным в IP-пакете (см. раздел «Протокол IP» выше), который, в принципе, несложно подделать. Такая подмена IР-адресов может выполняться с различными целями, например, сокрытия источника сообщения, или для некорректной идентификации отправителя, позволяющей получить доступ к сетевым ресурсам.

• Подбор паролей. Пароли - это основное средство управления доступом к сетевым ресурсам. Получив пароль любой учетной записи, злоумышленник получает все права доступа легитимного пользователя и, если эти права достаточны, может сделать с системой что угодно. Поэтому получение пароля - это заветная цель любого хакера. Основными способами похищения паролей, о которых мы еще поговорим далее в этой книге, - это словарная атака, прослушивание сети, взлом хранилищ паролей в компьютерах - базы данных SAM и системного реестра.

• Атака DoS (Denial of Service - Отказ в обслуживании). Заключается в создании препятствий в работе системы, что приводит к отказу от обслуживания обычных пользователей сети. Примером можно назвать направление на атакуемый сервер большого числа пакетов, перегружающих сетевой трафик. Целью злоумышленника может быть простой вандализм, либо такое вторжение может прикрывать другую атаку, проводимую под прикрытием хаоса, вызванного сбоями в работе сети.

• Компрометация ключей. Шифрование передаваемых по сети данных компьютеры выполняют с помощью ключей, зависящих от применяемых криптографических средств. Поэтому раскрытие ключа шифрования означает потерю конфиденциальности передаваемой по сети информации. При этом хакер сможет знакомиться с передаваемыми сообщениями и/или модифицировать их для достижения своих целей.

• Атака на прикладном уровне. Такие атаки выполняются с целью получения контроля над приложением, запущенным на сетевом компьютере. Например, хакер может попытаться получить доступ к приложению удаленного администрирования компьютера (например, pcAnywhere). Если ему это удастся, хакер может сделать с компьютером что угодно - нарушить целостность хранимых данных или файлов операционной системы, ввести вирус, клавиатурного шпиона, запустить сетевой анализатор для отслеживания трафика и так далее.

Для защиты от всех этих атак были разработаны средства IP-безопасности, обеспечиваемые протоколом IPsec (Internet Protocol Security - Протокол безопасности Интернета), представляющим собой набор открытых стандартов защиты соединений по IP-сетям средствами криптографии. Протокол IPsec нацелен на защиту пакетов, передаваемых по сетям TCP/IP, и защиту сетей TCP/IP от перечисленных выше атак. Обсудим возможности, предоставляемые протоколом IPsec.