Иногда ненадежность защиты - результат проектных недостатков или ошибок программного обеспечения. Бизнес хакеров основан на том, чтобы быть в курсе таких просчетов. Обнаруженные ошибки в защите быстро распространяются по Интернету, поэтому лучше сохранять в тайне данные о своем сервере и его программном обеспечении. Если хакеру известно, какую конкретную систему использует администратор узла для поддержки своего присутствия в Интернете, то он, раздобыв дополнительную информацию, сможет атаковать сервер.
Обычно защита заключается в ограничении доступа к своим компьютерам посредством аутентификации, основанной на использовании паролей. Это выглядит весьма надежным, и при правильном пользовании так и есть. Однако не существует совершенно надежной системы. У хакеров есть средства и инструменты для узнавания паролей, например словарная атака(dictionary attack). При этом программа его компьютера последовательно пытается зарегистрироваться на целевом сервере, используя в качестве пароля все слова из словаря. В конце концов она может наткнуться на нужное слово. Другой метод - изучение всей информации о владельце узла, доступной в сети: многие используют в качестве пароля имена или даты рождения детей и супругов.
Информацию крадут и посредством анализатора пакетов (packet analyser, sniffer). Этот инструмент позволяет определять проблемы маршрутизации и производительности в Интернете. Хакеры используют его для просмотра содержимого пакетов, передаваемых по сети, в надежде извлечь из него полезную информацию. Следует иметь в виду, что всякий “открытый” текст, пересылаемый через Интернет, может быть перехвачен. Это аналогично риску при использовании радиотелефона: подслушивать может кто угодно и когда угодно. И хотя вероятность этого невелика, лучше не сообщать номера своих кредитных карточек по радиотелефону.
Одна из причин, по которым защита в Интернете так сложна, - отсутствие единого руководящего центра. В результате человеку, имеющему соответствующие знания, очень легко обмануть систему, заставив ее думать, что он тот, кем на самом деле не является. Такой метод атаки называется имитацией (spoofing). Кроме того, зачастую невозможно отследить местонахождение хакера в Интернете.
Рекомендации по выбору пароля.
· не разрешайте изменять пароль через Интернет: новый пароль может быть легко перехвачен;
· не допускайте пустых паролей - это делает аутентификацию бессмысленной;
· не используйте в качестве пароля Ваше имя, имя супруги/супруга и детей, даты рождения или любую другую общедоступную информацию о Вас;
· применяйте для пароля не обычные слова, а набор букв, цифр, знаков препинания: это затруднит взлом;
· чем длиннее пароль, тем лучше: используйте не менее 6 символов;
· изменяйте свой пароль регулярно, по крайней мере через каждые 60 дней, даже если система защиты Вашей системы этого не требует;
· никогда не записывайте свои пароли и не сообщайте их кому-либо другому: если Вы не в состоянии запомнить свой пароль, не записывая его, то не помечайте его как “пароль” и не храните рядом с компьютером;
· никогда не пересылайте пароли по Интернету: их могут перехватить.
Очень трудно сделать имена пользователей и пароли и недоступными для взлома и запоминаемыми, то есть защитить систему, не слишком затруднив ее нормальное использование.
К выбору имен учетных записей (оригинальный идентификатор пользователя или группы пользователей - Administrator, Backup operators, Guests и др.) применимы те же правила, что и к выбору паролей. Любому, кто захочет проникнуть в систему, обязательно придется обозначить в качестве цели некоторую учетную запись, поэтому не надо назначать ей очевидные имена. Если, например, хакеру известно, что некий Bill Smith имеет на некоем сервере учетную запись, то он попытается начать атаку с учетных записей Bsmith или BillS. Поэтому лучше задать имя BillS1. Это не избыточная предосторожность, но действенная мера защиты.
Брандмауэры.Брандмауэры (firewall) нужны только для сети компьютеров, но не для одиночной машины. Это устройство, размещаемое между сетью пользователя и Интернетом, служит для защиты от несанкционированного доступа из Интернета. Он сравнивает все поступающие пакеты со списком типов пакетов и мест отправления и назначения, чтобы определить степень их безопасности. Этот полупрозрачный барьер эффективно блокирует доступ потенциальных хакеров. Критерии доступа устанавливает администратор.
Данный метод также абсолютно ненадежен. Так как в основе работы брандмауэров лежит аутентификация, то, узнав пароль, можно проникнуть и за брандмауэр. Для увеличения надежности защиты не стоит использовать протокол TCP/IP на внутренних серверах, особенно если на них хранится важная информация. В результате, проникнув сквозь брандмауэр в сеть, чужак не получит доступ к внутренним серверам, так как они “говорят” не на общем языке.
Сценарии и защита. Сценарии (scripts) расширяют функциональные возможности сервера Интернета. Это небольшие программы, которые применяют для часто повторяемых действий, например: для записи данных в форму HTML и в базу данных SQL Server или для отправления последней информации о ценах. К некоторым распространенным формам сценариев относятся программы, использующие средства CGI (Common Gateway Inter-face), ISAPI (Internet Server API), и сценарии PERL (Practical Extraction and Report Language). Так как сценарий - это процесс или программа, выполняющиеся на сервере Интернета, то его неправильное поведение вызывает проблемы.
Защита линий связи. Для большинства владельцев простых узлов Интернета вряд ли имеет значение, что их данные увидят посторонние. Однако, при передаче электронных транзакций или какой-нибудь конфиденциальной информации, необходимо обязательно учесть возможность их перехвата. Дабы этого не случилось, надо применять либо шифрование, либо альтернативные методы обмена важными данными типа клирингового центра.
Шифрование и сертификаты. Шифрование не предотвращает перехват и просмотр пакетов, но делает данные нечитаемыми и, таким образом, бесполезными для постороннего. Адресат же, используя специальный ключ, может дешифровать информацию. Применение шифрования, осуществляемого сложными математическими алгоритмами, требует соответствующего программного обеспечения и согласованного метода кодирования информации и на сервере и у клиента
Протокол SSL. Протокол SSL (Secure Sockets Layer) используется для шифрования данных, пересылаемых по Интернету, и поддерживается IIS. Защита SSL замедляет передачу данных, поэтому ее применяют, как правило, не для всего сервера, но лишь для некоторых каталогов. Все ссылки из общедоступных данных на область, защищенную SSL, начинаются с https://, а не с http://. Чтобы воспользоваться SSL, необходимо получить сертификат в компании VeriSign.
Протокол PCT. Расширенный протокол PCT (Private Communications Technology) очень похож на SSL. Главное преимущество PCT в том, что его алгоритм шифрования информации, аутентифицирующей пользователя, весьма сложен и отличается от алгоритма шифрования данных. Это гарантирует защиту не только данных, но и аутентифицирующей информации, которая должна быть секретной. Но следует учесть, что защиту PCT используют не так часто, потому что она замедляет работу системы.
Протокол SET. Протокол защиты SET (Secure Electronic Transactions) - это скорее метод безопасной обработки финансовых транзакций. Многие не покупают товары через Интернет либо из-за боязни обнародовать номера своих кредитных карточек и адреса, либо из-за того, что им не знакомы поставщики. При покупке чего-либо, протокол SET посылает банку покупателя данные об объеме транзакции и номер поставщика товара. Далее банк уведомляет поставщика о совершении транзакции и перечислении денег. “Используя SET, Вы никогда не передаете продавцу номер своей кредитной карточки”, - пишет Лаура Логан, один из авторов книги “Мой узел Web”. Следует заметить, что IIS сам по себе не поддерживает SET.
Борьба с вирусами. Вирус - это нежелательная саморепродуцирующаяся программа, способная приписывать весь свой код (или участок кода) к другим программам (т.е. “заражать” их), проникающая в вычислительную систему с гибкого диска или через сеть, и способная выполнять различные нежелательные действия на компьютере. Вирусы создают люди, по некоторой непостижимой причине получающие удовольствие от инфицирования посторонних компьютеров. При некоторых условиях вирус активизируется. Некоторые из них крайне разрушительны (вирус “666” может убить человека). По сети вирусы распространяются, как ветрянка по детскому саду.
Лучшее средство борьбы с вирусами - профилактика: контроль доступа к системе. Не надо использовать гибкий диск, который побывал вне дома. В связи с совершенствованием технологии создания вирусов некоторые большие компании не разрешают сотрудникам приносить гибкие диски “с улицы”.
Другая хорошая мера - антивирусные программы. Конечно, они со временем устаревают и могут не заметить новые вирусы, поэтому их надо постоянно обновлять.
Защита интрасети. С одной стороны, интрасеть закрыта для Интернета, но, с другой стороны, существует опасность внутри организации, в которой данная интрасеть установлена, в том числе из-за типа содержащейся в ней информации. По большей части, защита интрасети и Интернета одинакова. Необходимо лишь проанализировать аудиторию пользователей и сделать соответствующие выводы. Как уже говорилось выше, рассерженный сотрудник может причинить большой вред, например, проникнув в область интрасети с ограниченным доступом. Большинство сотрудников должны быть достаточно порядочны, чтобы риск этого был невелик. Но чем секретней информация, тем больше риск: кто-нибудь просто по ошибке установит не те права доступа к файлу и обнародует закрытую информацию.
Для защиты некоторой информации в интрасети следует применять шифрование. Может показаться странным и излишним шифровать информацию, передаваемую только внутри фирмы. Но по мере роста интрасети и замещения ею старых систем некоторых служб потребуется защищать данные при пересылке с одного компьютера на другой.