Фальсификация электронной почты

Подделать электронную почту довольно несложно. SMTP - не слишком защищенный протокол в основном из-за того, что в нем нет надежной процедуры аутентификации. Каждый, подключившийся к почтовому серверу, обычно находящемуся на порту 25, сможет послать любому из пользователей сообщение, которое будет казаться пришедшим с вашего сервера.

Можно даже не тратить время на изучение работы протокола SMTP - чтобы разослать сообщения от имени другого пользователя, достаточно просто перенастроить почтовый клиент. Сегодня ни в коем случае нельзя быть уверенным на 100% в том, что известно, откуда пришло принятое почтовое сообщение. Поэтому фальсификация электронной почты грозит большими неприятностями. Попробуйте разослать пользователям письма с просьбой прислать вам копию пароля. Если вам удастся узнать таким образом действующие пароли, то что помешает сделать то же самое и нарушителю? Именно фальсификация электронной почты может оказаться средством, которое позволит постороннему добыть информацию о вашей сети или поместить в нее свои файлы.

Устранить проблему идентификации автора электронного сообщения помогает цифровая подпись (digital signature). Вы получите следующие преимущества:

О аутентификацию автора сообщения;

О гарантию целостности содержимого сообщения.

При использовании цифровой подписи сообщение шифруется секретным ключом, а чтобы прочитать его обязательно требуется соответствующий открытый ключ.

Более подробную информацию о работе цифровой подписи вы найдете в главе 9.

Взлом

Если локальная сеть физически находится под вашим контролем, то доступ к ней обычно полностью контролируем. Даже если для доступа пользователей в сеть требуются модемы, их можно настроить так, чтобы разрешить доступ

Некоторые межсетевые экраны предусматривают ограниченную защиту от подобных программ, позволяя выполнять проверку «отпечатков пальцев» известных вирусов и «троянских коней». Но для того, чтобы подобная функция работала, следует постоянно обновлять базы данных антивирусной программы.

Не полагайтесь только на возможности межсетевого экрана. Продолжайте неусыпно следить за безопасностью отдельных компьютеров и устанавливайте антивирусное ПО на всех компьютерах сети.

Кража пароля

Простейший способ проникнуть в сеть - ввести имя и пароль существующего пользователя. При этом нарушитель вряд ли будет пойман до тех пор, пока кто-либо не заметит, что данный пользователь выполняет действия, не связанные с его рабочими обязанностями. Злоумышленник может угадать пароль или подобрать его при помощи таких программ, как Crack, расшифровывающих информацию в файле паролей.

Хорошая политика безопасности обязывает пользователей выбирать пароли, которые сложно угадать, - длиной более 6 символов, состоящие из цифр, прописных и строчных букв. Но все же не следует чрезмерно усложнять пароли. Пароли, слишком трудные для запоминания, пользователи часто записывают на бумаге, компрометируя саму идею аутентификации посредством пароля.

В настоящее время хакеры располагают инструментами, позволяющими направить на расшифровку паролей всю вычислительную мощь компьютера. Другие программы автоматизируют процесс подбора пароля из словаря во время многократных попыток входа в систему.

При подключении к Internet одна только проверка пароля не обеспечивает надежной защиты. Существует слишком много средств для ее взлома. Поэтому в качестве первого барьера на пути посторонних должен стоять межсетевой экран, а в сетях с повышенными требованиями к безопасности следует прибегать к более мощным методам аутентификации, например к одноразовым паролям или физическим ключам.

Более подробная информация о мощных методах аутентификации представлена в главе 9.

.....J

Социальный аспект проблемы безопасности

При реализации стратегии безопасности часто упускается из виду подготовка пользователей. Слишком часто пользователи просто подписывают в отделе кадров бумагу, в которой говорится о том, что они знакомы с политикой безопасности компании и обязуются следовать ей. На самом деле, многие даже не вполне понимают то, что написано в этом документе, и тем более не представляют себе всего значения политики безопасности. Простая тактика получения информации о сети заключается в том, чтобы спросить об этом кого-либо, кто уже работает в ней.

только в определенные часы и применять обратный вызов для защиты от проникновения в сеть посторонних. Но при подключении к Internet вы оказываетесь перед лицом миллионов потенциальных хакеров, управлять которыми вы не в силах. Любое доверие к другим узлам в Internet чревато ослаблением защиты, поскольку хакер может взломать доверенную систему с целью получить больше информации о вашей.

Черный вход

После того, как нарушителю удается получить хотя бы элементарный доступ к сети, его следующий шаг обычно заключается в формировании некой точки входа, облегчающей проникновение в сеть в будущем. Организация черного входа (backdoor) в сети иногда сводится просто к созданию новой учетной записи пользователя на сервере. Черный вход можно сделать при помощи «троянского коня», путем эксплуатации ошибки в операционной системе либо в приложении и даже изменением конфигурации брандмауэра или узлов в «демилитаризованной зоне». Поэтому я снова хочу напомнить о том, что после установки межсетевого экрана не следует забывать о защите индивидуальных компьютеров или отодвигать эту проблему на второй план.

Мониторинг сетевого трафика

Для перехвата сетевого трафика в локальной сети бывает достаточно подключить компьютер к сети и воспользоваться сетевым адаптером в promiscuous mode (режиме перехвата всех кадров). От этого удается защититься при помощи мониторинга сети и ограничения типов устройств, которые могут быть к ней подключены. В Internet пакет может перехватываться в любом сегменте, по которому он проходит. Поэтому не следует устанавливать незащищенные версии сетевых утилит, таких как РТР или Telnet. Эти приложения пересылают по сети имя пользователя и пароль в незашифрованном виде.

Internet не защищает и другую информацию в IP-пакетах. Единственный способ гарантировать надежную защиту Internet-соединения - либо применить технологию шифрования для отдельных передаваемых файлов, либо передавать пакеты обычных сетевых протоколов через закрытую частную сеть (VPN).

Вы сможете больше узнать о технологии шифрования из главы 10.

Выше уже отмечалось, насколько просто фальсифицировать сообщение электронной почты. Доверчивые пользователи обычно выдают информацию, если запрос исходит от лица, облеченного полномочиями. Следует разъяснять пользователям, что нельзя выдавать свой пароль даже начальнику. Если необходимо получить доступ к учетной записи пользователя, пароль может быть изменен администратором. Для временных сотрудников лучше создавать временные учетные записи. Но очень редко возникает необходимость в том, чтобы несколько пользователей применяли одну учетную запись или один пароль доступа к ресурсу.

Объясните пользователям, что надо обязательно проверять любые запросы, поступившие по небезопасным каналам, таким как электронная почта, прежде чем отвечать на них. Пользователи должны усвоить также, что информацию об их компьютере, сетевых серверах или вопросах безопасности нельзя обсуждать по телефону.