Павел Данилов - Хакинг и антихакинг
На данный момент все выявленные абоненты продолжают гулять по коммерческим сетям через Интернет, чаще всего совершенно не подозревая, что они уже на контроле. В любом случае, для того чтобы бороться с хакерством и его последствиями, надо понять, что в руках и хакеров, и обычных пользователей находится, в принципе, одно и то же оружие. Надо лишь правильно его применять.
3.3. Протокол TCP/IP
Семейство протоколов TCP/IP широко применяется во всем мире для объединения компьютеров в сеть Интернет. Более подробную информацию о протоколах TCP/IP можно найти в RFC (Requests For Comments) – специальных документах, выпускаемых Сетевым Информационным Центром (Network Information Center – NIC).
Каждая машина в сети, работающей по протоколу TCP/IP (IP-сети), имеет уникальный адрес, который присваивается администратором, и все данные передаются и получаются машиной с использованием этого уникального адреса. Вторым, не менее важным параметром, характеризующим машину, является маска подсети – величина, определяющая максимальное число машин, которые могут находиться в одном локальном сегменте сети.
Администратор присваивает IP-адреса машинам в соответствии с тем, к каким IP-сетям они подключены. Старшие биты 4-байтного IP-адреса определяют номер IP-сети. Оставшаяся часть IP-адреса – номер узла (хост-номер). Существуют 5 классов IP-адресов, отличающиеся количеством бит в сетевом номере и хост-номере. Класс адреса определяется значением его первого байта. Из этих 5 классов широко используются только первые три.
Адреса класса «А» предназначены для использования в больших сетях общего пользования. Они допускают большое количество номеров узлов. Адреса класса «В» используются в сетях среднего размера, например в сетях университетов и крупных компаний. Адреса класса С используются в сетях с небольшим числом компьютеров.
Внутри диапазона адресов каждого класса существуют так называемые «фиктивные» или «зарезервированные» диапазоны адресов, данные из которых в глобальную сеть не передаются, и вы можете использовать их для своих целей.
Класс Начало диапазона Конец диапазона Маска А 10.0.0.0 10.255.255 255.255.0.0.0 В 172.16.0.0 172.31.255 255.255.255.0.0 С 192.168.1120 192.168.112.255 255.255.255.0Прежде чем вы начнете использовать сеть с TCP/IP, вы должны получить один или несколько официальных сетевых номеров. Выделением номеров (как и многими другими вопросами) в Интернете занимается DDN Network Information Center (NIC). Выделение номеров производится бесплатно и занимает около недели. Вы можете получить сетевой номер вне зависимости от того, для чего предназначена ваша сеть. Даже если ваша сеть не имеет связи с объединенной сетью Интернет, получение уникального номера желательно, так как в этом случае есть гарантия, что в будущем при включении в Интернет или при подключении к сети другой организации не возникнет конфликта адресов. Адрес для вашей сети может предоставить ваш провайдер. Чаще всего так и делается.
Адресное пространство сети может быть разделено на непересекающиеся части – «подсети», с каждой из которых можно работать, как с обычной сетью TCP/IP. Таким образом, единая IP-сеть организации может строиться как объединение подсетей.
Как правило, подсеть соответствует одной физической сети, например одной сети Ethernet. Использование подсетей необязательно. Можно просто назначить для каждой физической сети свой сетевой номер, например номер класса «С». Однако такое решение имеет два недостатка. Первый заключается в пустой трате сетевых номеров. Более серьезный недостаток состоит в том, что если ваша организация имеет несколько сетевых номеров, то машины вне ее должны поддерживать записи о маршрутах доступа к каждой из этих IP-сетей. Таким образом, структура IP-сети организации становится видимой для всего мира. При каких-либо изменениях в IP-сети информация о них должна быть учтена в каждой из машин, поддерживающих маршруты доступа к данной IP-сети.
3.4. Порты
Взаимодействие между прикладными процессами в сети осуществляется через так называемые порты. Порты нумеруются начиная с нуля. Прикладной процесс, предоставляющий какие-либо услуги другим прикладным процессам (сервер), ожидает поступления сообщений в порт, выделенный специально для этих услуг.
Сообщения должны содержать запрос на предоставление услуг. Они отправляются процессами-клиентами. Например, сервер SMTP всегда ожидает поступлений сообщений в порт 25. Если клиент SMTP желает получить услугу, он посылает запрос в порт 25 на машину, где работает сервер. Данный номер порта является общеизвестным, т. е. фиксированным номером, официально выделенным для услуг SMTP. Подобные общеизвестные номера определяются стандартами Интернета.
Глава 4. Глобальная сеть — место больших возможностей
Никто не станет спорить, что Интернет прочно вошел в нашу жизнь. Он предоставляет в наши руки огромные возможности по передаче информации. Но Интернет стал также и полигоном для испытания самых грозных форм компьютерной заразы, местом, откуда можно попросту украсть интересующую информацию. Через Интернет стал возможным и взлом компьютеров, находящихся на данный момент в сети.
Для доступа к информации компьютера, находящегося в сети, используется множество способов, но все их можно подразделить условно на две большие группы:
– взлом «снаружи». Взлом с использованием удаленного доступа;
– взлом «изнутри». Взлом с помощью какого-либо ПО, находящегося на взламываемом компьютере.
Для того чтобы понять, что такое взлом «снаружи», нужно иметь понятие о так называемых портах (см. выше). Для обнаружения уязвимостей применяется сканирование портов. Обычно вы можете определить факт сканирования портов вашей системы путем простого анализа регистрационных журналов. Большинство сканеров сканируют сеть в поисках какой-то определенной уязвимости. Если вы замечаете в регистрационных журналах записи, указывающие на попытку установить соединение на один и тот же порт большинства ваших систем с одного адреса, это указывает на такое специализированное сканирование.
Вероятнее всего, злоумышленник имеет готовый экс-плойт для какой-то определенной уязвимости и обследует сеть в ее поисках. Если поиск будет удачным, он попробует применить эксплойт.
После того как вы определили факт сканирования, следующий вопрос, которым вы задаетесь: «Смогли ли они проникнуть внутрь?» Большинство современных экс-плойтов основано на переполнении буфера (известном также как срыв стека). Говоря простым языком, переполнение буфера возникает, когда программа (как правило, демон) получает на вход данные большего размера, чем ожидалось, перезаписывая критичные области памяти. В результате выполняется некоторый код, дающий права привилегированного пользователя (Администратора).
Взлом «изнутри» использует несколько иные механизмы. Для его осуществления на взламываемый компьютер нужно внедрить некое ПО, которое должно быть хоть раз запущено. С помощью таких программ можно получить доступ к управлению или информации на компьютере.
Обычно такие файлы либо внедряются в состав обычных пользовательских программ, либо побуждают пользователя запустить полученный из сети файл. Файл может быть получен по электронной почте или скачан из Интернета. Суть от этого не меняется. Основная цель злоумышленников после внедрения такого ПО на компьютер пользователя – запуск этого файла. И тут пользователь чаще всего сам помогает хакеру, запуская непонятный файл, благо, способов обмануть его, наивного, очень много. Таким же образом часто распространяются и вирусы (хакерские программы – по сути тоже вирусы, называемые троянами).
Вот с такими противниками нам придется столкнуться. Главное, что нужно сделать для защиты информационной системы от внешних и внутренних угроз, – выработать корпоративную политику. Обдумайте, чего вы хотите добиться и как можно достичь поставленной цели; составьте ясный документ, посвященный политике защиты. Регулярно проводите занятия с сотрудниками, повышая их образовательный уровень и степень информированности обо всех аспектах информационной безопасности компании. Поверьте, это окупится.
Периодически проводите тестирование и оценку системы защиты, чтобы проверить, насколько внешняя и внутренняя защиты соответствуют корпоративной политике. Работайте только с теми консультантами, которые придерживаются структурированного подхода и не заинтересованы напрямую в результатах тестирования.