Защита информации в Internet

 В Web-серверах объектами доступа  выступают универсальные локаторы  ресурсов (URL - Uniform (Universal) Resource Locator). За этими локаторами могут стоять различные сущности - HTML-файлы, CGI-процедуры и т.п.

Как правило, субъекты доступа идентифицируются по IP-адресам и/или именам компьютеров  и областей управления. Кроме того, может использоваться парольная аутентификация пользователей или более сложные схемы, основанные на криптографических технологиях.   

 В большинстве Web-серверов  права разграничиваются с точностью  до каталогов (директорий) с применением  произвольного управления доступом. Могут предоставляться права на чтение HTML-файлов, выполнение CGI-процедур и т.д.   

 Для раннего выявления попыток  нелегального проникновения в  Web-сервер важен регулярный анализ  регистрационной информации.  

 Разумеется, защита системы,  на которой функционирует Web-сервер, должна следовать универсальным рекомендациям, главной из которых является максимальное упрощение. Все ненужные сервисы, файлы, устройства должны быть удалены. Число пользователей, имеющих прямой доступ к серверу, должно быть сведено к минимуму, а их привилегии - упорядочены в соответствии со служебными обязанностями.

 

 

3. World wide web серверы и проблема безопасности информации.

Среди WWW серверов отличаются отсутствием известных проблем  с безопаcностью  Netscape серверы, WN и apache.

WN сервер. 

Это свободно распространяемый сервер, доступный для множества UNIX платформ. Основными целями при  его создании были безопасность и  гибкость. WN сервер содержит в каждой директории маленькую базу данных (список) документов содержащихся в ней. Если документ не перечислен в базе данных, клиент получить его не может. Базы данных либо генерируется специальной программой автоматически для всех файлов в дереве директорий, либо другой программой создаются из текстовых описаний, которые создаются вручную. В эти файлы, кроме перечисления документов можно вставлять HTML текст, т.к это аналог index.html в этом сервере.  

Администратору web узла разбираться  в сгенерированных файлах особой необходимости нет, но в принципе они аналогичны .cache файлам gopher. Сам сервер имеет разновидность для одновременной обработки gopher и http запросов к одним и тем же документам. 

Безопасность выполнения CGI приложений обеспечивается выставлением uid/gid для нужного файла этой базы данных. Безо всякого программирования и особой настройки WN сервер обеспечивает 8 возможностей поиска внутри документов, имеет интерфейс к WAIS серверу. Вы можете включать одни документы внутрь других на серверной стороне (например стандартные сообщения вначале и в конце документа ) Можете применять фильтры к любому документу, для получения необходимого документа на выходе ( например подстановка слов ). Для обращения к документу можно использовать URL типа <http://host/dir/foo;lines=20-30, чтобы получить строки с 20 по 30. Документация к серверу очень хорошая, устанавливается он быстро, обнаруженные ошибки исправляются в течении нескольких дней. 

Apache сервер - это свободно  распространяемый WWW сервер для различных UNIX платформ и Windows NT, один из самых популярных в мире. Сейчас apache работает на 36 процентах от общего количества всех HTTP серверов в мире. Это быстрый и стабильный сервер. В сервер можно встроить SSL протокол, рассмотренный ниже на примере Netscape сервера.

Netscape Enterprise сервер.

Netscape Enterprise Server - это высокопроизводительный, защишенный World Wide Web сервер для создания, распространения, публикации информации  в Интернете и выполнения сетевых  интернетовских приложений, используя средства, базирующиеся на языках Java и JavaScript.

Netscape FastTrack сервер.

Netscape FastTrack сервер - это  решение для тех, кого не  устраивает цена и сложность  Netscape Enterprise сервера. Он прост в  использовании, разработанного чтобы  позволить новичкам создавать и администрировать WWW сервер. 

Серверы Netscape имеют встроенные средства безопасности коммерческой информации и коммуникаций. Гибкая авторизация  пользователя контролирует доступ к  отдельным файлам и директориям, используя имя пользователя и пароль, имя домена, имя машины, IP адрес, клиентские сертификаты (client-side certificates ), именованные группы. Дополнительные черты безопасности обеспечиваются протоколом Secure Socket Layer 3.0 (SSL 3.0) и механизмом открытых ключей. 

SSL 3.0 - это последняя версия широко распространенного в Интернете стандарта, разработанного Netscape Communications corporation. 

SSL протокол обеспечивает  конфиденциальность, целостность и  аутентичность информации. 

Конфиденциальность и  целостность информации обеспечивается посредством шифрования с открытым ключом. Аутентификация обеспечивается посредством цифровых сертификатов, которые почти невозможно подделать. Сертификат необходимо получать от третьей стороны, которой обе стороны доверяют.

SSL протокол - это схема шифрования низкого уровня, используемая для шифрования транзакций в протоколах высокого уровня, таких как HTTP, NNTP и FTP. SSL протокол содержит методы для идентификации сервера для клиента, шифрование данных при передаче и дополнительно, верификации клиента для сервера. Из коммерческих систем SSL протокол сейчас реализован в Netscape навигаторах и Netscape серверах. ( Реализованы шифрование данных и авторизация сервера, авторизация клиента нет). 

Существует также свободно распространяемая версия SSL, называемая SSLeay. Она содержит исходный код на C, который может быть встроен в такие приложения, как Telnet и FTP. Поддерживаются также свободно распространяемые Unix Web серверы Apache и NCSA httpd и несколько Web клиентов, включая Mosaic. Этот пакет может быть использован бесплатно для коммерческих и некоммерческих приложений.

Механизм открытых ключей обеспечивает шифрование данных при  помощи открытого ключа(public key). В  традиционных системах шифрования один и тот же ключ использовался для  шифрования и дешифрования. В новом открытом или асимметричных системах шифрования ключи идут парами: один ключ используется для кодирования, другой для декодирования. Один из этих ключей, называемый открытым ключом, свободно распространяемый и используется для кодирования сообщений. 

3.1. Java, JavaScript и проблема безопасности.

Java и JavaScript - это тот  раздел безопасности Web, который  касается не администраторов  и создателей Web серверов, а пользователей  и администраторов пользовательских  сетей. 

Несмотря на сходство в именах Java и JavaScript это две различных продукта. Java - это язык программирования разработанный SunSoft. Java программы прекомпилируются в компактную форму и хранятся на сервере. HTML документы могут ссылаться на миниприложения, называемые Java аплетами. WWW клиенты, которые поддерживают Java апплеты, загружают откомпилированные Java приложения и выполняют их на машине клиента. JavaScript это набор расширений к HTML, интерпретируемых WWW клиентом. В принципе, несмотря на то что JavaScript имеет более длинную историю проблем, связанных с безопасностью, хакерская программа на Java может активно и успешно вывести пользовательскую систему из строя, про JavaScript до сих пор известны только случаи передачи конфиденциальной информации клиента на Web сервер. Java апплеты выполняются на клиентской стороне, а не на серверной, и поэтому увеличивают риск атаки со стороны сервера. Нужно ли беспокоится об этом? 

В Java встроены средства для  ограничения доступа к клиентской машине. Апплетам не разрешается выполнять системные команды, загружать системные библиотеки, или открывать системные устройства, такие как диски. Апплетам, в зависимости от WWW клиента или запрещены все дисковые операции ( Netscape ), или почти все ( HotJava ).Апплетам разрешается устанавливать соединение по сети только к серверу, откуда аплет был загружен. Но Drew Dean ( ddean@cs.princenton.edu ) обнаружил, что можно написать апплет, который будет устанавливать соединение к любому компьютеру в интернете, то есть аплет из Интернета, загруженный на вашу локальную машину WWW клиентом может подсоединиться по TCP/IP к любой машине на вашей локальной сети, даже если она защищена через firewall. Эта проблема связана с тем, что Java выполняет верификацию для соединения через Domain.

Name System (DNS). Взломщик используя свой собственный DNS сервер может создать некорректную ссылку в DNS, чтобы заставить Java систему считать, что апплету разрешено соединение с компьютером к которому у него нет права подсоединяться. Ошибка была исправлена в Netscape навигаторе 2.01 и JDK 1.0.1. 

David Hopwood обнаружил, что  загружая апплеты с 2 разных WWW серверов хэкер может нарушить  пространство имен Java Virtual Machine. Это  позволяет преобразовывать типы  переменных друг в друга, преобразовывать  целые в ссылки и т.д. В  результате апплет может читать и писать локальные файлы, выполнять машинный код. Безо всяких проблем в UNIX может быть создан файл .rhosts. Эта ошибка проявляется, как минимум на HotJava, код может быть написан целиком на Java и быть платформонезависимым.

В настоящих версиях Java возможны трюки с вызовом конструктора суперкласса, в результате чего этот вызов может быть пропущен. Это связано с алгоритмом, который сейчас использует интерпретатор Java. Возможные пути для этого:

-super внутри try.

-super внутри if.

-cathcer/thrower.

JavaScript - это встроен в Netscape навигатор. Периодически в Netscape навигаторе обнаруживались проблемы с безопасностью в связи с JavaScript, которые Netscape периодически устраняет в новых версиях навигатора. Andy Augustine в своем JavaScript FAQ описывает следующие проблемы: 1)Чтение пользовательской истории URL - исправлено в Netscape 2.0.

2)Чтение пользовательского  кэша URL - исправлено в Netscape 2.0.

3)Чтение пользовательского  e-mail адреса и передача его по  Интернету исправлено в Netscape 2.01.

4)Получение рекурсивного  оглавления файловой системы  - исправлено в Netscape 2.01.

5)Открытие окна размером 1 пиксел, получение URL открытых документов  и передача их удаленному серверу.  Эта общая проблема сетевых  графических систем, имеющая длинную историю. Пользователи x-windows, которые запускают команду `xhost +` без аргументов могут столкнуться с чужим невидимым окошком, которое передает ввод пользователя по Интернету хакеру.

Для того чтобы работать с Java и JavaScript приложениями без проблем с безопасностью рекомендуется:

-Не пользоваться старыми  версиями WWW клиентов, которые поддерживают Java и JavaScript. Производители web клиентов  исправляют свои программы, если  обнаруживается новая ошибка  в безопасности.

-Следить за текущим  состоянием дел с безопасностью Java и Javascript. Javasoft имеет страницу, посвященную Java и безопасности. У netscape есть аналогичная страница про JavaScript. Каждый производитель web клиента имеет на своем сервере страницу посвященную безопасности.

В заключение  несколько общих правил, которые помогут Вам избежать многих проблем.

1.При создании web сервера  используйте надежный продукт.  Используйте web сервер, который подходит  под ваши нужды, не обязательно  самый всеобъемлющий и модный.

2.Читайте документацию  сервера. Недостатки в настройке чаще создают проблемы с безопасностью, нежели ошибки в самом сервере.

3.Не забывайте про  SSL протокол, если речь идет о  коммерческой информации.

4.Заботьтесь о безопасности CGI приложений, так как это части  самого сервера. Не забывайте проверять и чужие CGI приложения, если у Вас многопользовательский сервер.

5.Не пользуйтесь старыми  версиями Web клиентов с поддержкой Java и JavaScript. Следите за обновлениями.

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ 

В данной работе  мною были рассмотрены проблемы защиты информации в глобальной сети Internet. Проблема эта была и остается актуальной по сей день, так как никто еще  не может гарантировать на сто процентов того, что ваша информация будет защищена или в ваш компьютер не попадет вирус. Актуальность этой проблемы подтверждает еще и то, что ей посвещено огромное количество страниц в Internet. Однако большая часть информации идет на английском языке, что затрудняет работу с ней.  Разумеется в данной работе рассмотрена лишь часть проблемы (не рассмотрена, например, защита информации при помощи брандмауэров(сетевых экранов)). Проведенные исследования показывают, что разработано множество способов защиты информации: разграничение доступа, защита при помощи паролей, шифрование данных и.т.п. Однако, несмотря на все это, до сих пор мы то и дело слышим о взломах хакерами различных серверов и компьютерных систем. Это говорит о том, что проблема защиты информации еще не решена и на ее решение будет потрачено множество сил и времени.

 

 

 

 

 

 

 

 

Список специальных  терминов

ARP (Address Resolution Protocol) - протокол  определения адреса, преобразует  адрес компьютера в сети Internet в его физический адрес.

ARPA (Advanced Research Projects Agency) - бюро проектов передовых исследований  министерства обороны США.

Ethernet - тип локальной сети. Хороша разнообразием типов проводов для соединений, обеспечивающих пропускные способности от 2 до 10 миллионов bps(2-10 Mbps). Довольно часто компьютеры, использующие протоколы TCP/IP, через Ethernet подсоединяются к Internet.

FTP (File Transfer Protocol) - протокол передачи файлов, протокол, определяющий правила пересылки файлов с одного компьютера на другой.

FAQ (Frequently Asked Qustions) - часто  задаваемые вопросы. Раздел публичных  архивов сети Internet в котором хранится  информация для "начинающих" пользователей сетевой инфраструктуры.

Gopher - интерактивная оболочка  для поиска, присоединения и использования  ресурсов и возможностей Internet. Интерфейс  с пользователем осуществлен  через систему меню.

HTML (Hypertext Markup Language)- язык для написания гипертекстовых документов. Основная особенность - наличие гипертекстовых связей между документами находящимися в различных архивах сети; благодаря этим связям можно непосредственно во время просмотра одного документа переходить к другим документам.

Internet - глобальная компьютерная  сеть.

IP (Internet Protocol) - протокол  межсетевого взаимодействия, самый  важный из протоколов сети Internet, обеспечивает маршрутизацию пакетов  в сети.

IР-адрес - уникальный 32-битный адрес каждого компьютера  в сети Internet.

Telnet - удаленный доступ. Дает возможность абоненту работать на любой ЭВМ сети Internet как на своей собственной.

TCP\IP - под TCP\IP обычно  понимается все множество протоколов  поддерживаемых в сети Internet.

TCP (Transmission Control Protocol) - протокол  котроля передачи информации  в сети. TCP - протокол транспортного уровня, один из основных протоколов сети Internet. Отвечает за установление и поддержание виртуального канала (т.е. логического соединения), а также за безошибочную передачу информации по каналу.

UDP (User Datagram Protocol) - протокол транспортного уровня, в отличие от протокола TCP не обеспечивает безошибочной передачи пакета.

Unix - многозадачная операционная  система, основная операционная  среда в сети Internet. Имеет различные  реализации: Unix-BSD, Unix-Ware, Unix-Interactive.

UUCP - протокол копирования  информации с одного Unix-хоста  на другой. UUCP - не входит в состав  протоколов TCP/IP, но тем не менее  все-еще широко используется в  сети Internet. На основе протокола  UUCP - построены многие системы  обмена почтой, до сих пор используемые в сети.

WWW (World Wide Web) - всемирная  паутина. Система распределенных  баз данных, обладающих гипертекстовыми  связями между документами.