Анализ данных файла syslog, фрагмент которого приведен выше, см. в таблице 1.

Таблица 1. Анализ файла syslog.

Следует отметить, что небольшая длина проанализированного файла вызвана возросшей нагрузкой при включении отладочного режима как на маршрутизатор, так и на сервер, записывающий файл syslog, при которой часть сообщений начинает теряться. Тем не менее можно отметить, что сканирование указанной сети составляет значительную часть зарегистрированного потока пакетов ICMP – ответных пакетов, используемых в Интернете для определения состояния ip-соединения.

При рассмотрении адресатов сканирования выяснилось, что за это время были обращения к 19 ip-адресам из сети 193.232.193.0/24; источники сканирования составляют за этот период 13 ip-адресов, расположенных как в RUNet (России), так и во всем мире (см. табл. 2.).

Таблица 2. Источники сканирования сети ЦЭМИ РАН

Из всех адресов выделяется лишь один, помеченный как Unknown, о котором можно достаточно уверенно предположить наличие умысла; прочие, по-видимому, представляют собой адреса ПК–жертв вирусной эпидемии и в ряде случаев принадлежат различным провайдерам удаленного доступа (например. Attitude Interactive Communication AB; France Telecom Interactive/Wanadoo; Provider Local Registry).

Совершенствование механизма ограничения доступа из Интернета

В целях совершенствования существующего механизма ограничения доступа были рассмотрены варианты настройки уже существующих списков управления доступом, установленных на маршрутизаторе и телекоммуникационных серверах. Для этого было проведено изучение рекомендаций по закрытию доступа по определенным портам, в частности, рассматривались те порты, которые используют для собственных целей сетевые вирусы. Некоторая часть результатов исследований, по состоянию на 3 марта 2003 г., отражена в Приложении. Как видно из приведенной таблицы, отсортированной по номерам используемых портов, эти номера разбросаны от 20 (порт ftp) до 65004 (неиспользуемый порт, присваиваемый динамически различным приложениям).

Данная таблица представляет собой небольшую выборку из базы данных «Вирусная энциклопедия» компании Symantec [6], содержащую наиболее свежие данные, а также инфекции, отмеченные как наиболее активные и опасные. Разные производители антивирусного программного обеспечения насчитывают различное количество вирусов и несколько варьируют их названия. Список, приведенный в Приложении 1, непрерывно пополняется все новыми вирусами и дополнительными номерами портов; база Symantec содержит (по состоянию на 3 марта 2003 г.) 63155 определений (вирусов, троянских коней, сетевых червей и комбинированных инфекций); большинство определений имеет описания различной степени детализации, в зависимости от степени его опасности и распространенности в Интернете. Из общего количества зарегистрированных определений по признаку «open port» выбирается 2649 значений; по признаку «Disables firewall» - 2325 значений. Прирост указанной базы данных составляет 572 определения за 75 дней (в среднем около 8 определений в день).

Особого внимания заслуживают несколько новых «троянских коней» (выделены в Приложении жирным шрифтом), которые открывают для доступа порт с произвольно конфигурируемым номером, так что в момент использования конкретной версии «троянского коня» открытый порт для доступа в ПК может оказаться любым.

Дополнительной функциональностью данных разработок является свойство деактивизации антивирусных мониторов (практически любого производителя антивирусного ПО), антивирусного и регламентирующего доступ программного обеспечения.

С конца 2002 г. механизмы действия, аналогичные упомянутым, распространяются все шире в новых версиях сетевых вирусов, особенно вирусах типа «троянский конь», обеспечивающих доступ извне к пораженному ПК.

В результате был сделан вывод, что совершенствование существующего механизма ограничения доступа, действующего по «запретительному принципу», путем настройки ACL - списков управления доступом, представляется трудоемким и недостаточным: с появлением новых вирусов требуется дополнение и переделка списков (к тому же и составить ACL с таким разбросом номеров портов – задача не слишком простая). Кроме того, новые сетевые вирусы и методы несанкционированного доступа распространяются еще до того, как разработаны методы их опознания и обезвреживания.

В настоящее время атаками все чаще являются не только целенаправленные действия (хотя именно они лежат в основе и собственно атак, и всех вирусных эпидемий), но также и многие результаты вирусных эпидемий, когда сетевые атаки происходят во время нормальной (с виду) работы обычного (но инфицированного!) ПК. Таким образом, ограничение доступа пользователей в Интернет реализуется не только в соответствии с общепринятой концепцией защиты Интернета от умышленных действий, но и новыми реалиями сетевой жизни, когда все чаще происходит маскировка различных сетевых атак вполне разрешенными протоколами, исходящими от ПК пользователя (примеры взяты из базы описаний вирусов [6]).

Среди них:

1. Совместное использование ресурсов(file-sharing networks):

KaZaA - W32.HLLW.Genky, W32.Hawawi.Worm, 32.HLLW.Wanor@mm, W32.Alco.AB@mm, W32.HLLW.Cydog@mm и несколько других, (причем многие могут придти по электронной почте);

Bearshare - 32.HLLW.Wanor@mm, W32.Alco.AB@mm, W32.HLLW.Cydog@mm;

eDonkey2000,Grokster,Morpheus, - W32.Alco.AB@mm, W32.HLLW.Cydog@mm;

2. Серверы обмена информацией (чаты):

ICQ - W32.Hawawi.Worm, W32.HLLW.Wanor@mm;

IRC - W32.Alco.AB@mm;

MIRC - W32.HLLW.Oror@mm, VBS.Hart@mm, VBS.Vbsvg2b@mm; W97M.Timret, W97M.Blackout.Worm (два последних макровируса приходят с файлом документов);

PalTalk, Yahoo Messenger - W32.Hawawi.Worm.

По данным Лаборатории Касперского, сетевые черви ответственны за 89,1% всех зарегистрированных данной организацией инцидентов. Кроме того, обнаруживается рост числа новых сетевых червей, вплоть до еженедельного появления серьезных атак, которые привели к двум глобальным и четырем локальным эпидемиям в январе 2002 г. [4].

Одна из последних сетевых атак, проявившая эпидемический характер, была вызвана сетевым червем W32.SQLExp.Worm [7,8], который вообще не использует для распространения набор кодов, опознаваемый антивирусными средствами. При атаке выполняется программа, заключенная в теле запроса к SQL-серверу, после чего SQL-сервер переходит из режима ответа на запросы в режим рассылки аналогичных запросов к другим SQL-серверам, образуя атаку типа DDoS. Данный червь не может быть опознан и уничтожен до его активизации – можно лишь не допустить его проникновения на SQL-сервер.

Исходя из вышеизложенного, возникла необходимость перехода к новому механизму, действующему по разрешительному принципу внешнего доступа к внутренним ресурсам сетей ЦЭМИ РАН по видам обеспечиваемых сервисов (доступ по разрешенным портам).

Данный принцип, уже давно использующийся в Интернете (известный из описаний операционных систем Cisco Systems как “deny all” – ip-пакеты пропускаются только к портам, явно перечисленным в списке управления доступом), недавно был декларирован компанией Microsoft на семинаре «Безопасность информационных систем в современном мире», прошедшем в ноябре 2002 г. как основополагающий при разработке новых версий серверного программного обеспечения и его инсталляции на ПК. Согласно данному принципу, установка новых операционных систем производства Microsoft будет производиться с полностью деактивизированными сетевыми сервисами. Каждый сервис должен настраиваться и открываться для использования отдельно и осознанно, что приведет к отсутствию ненужных открытых серверных портов.

Проблемы регламентации доступа приходится решать в двух аспектах: организационно-административном и техническом. К организационно-административной части относятся задачи выработки политики регламентации доступа, включающие:
• определение круга защищаемых ресурсов, что тесно связано с организационной структурой сетей узла ЦЭМИ РАН;
• очередность внедрения принятых решений;
• обеспечение поддержки принятых решений со стороны пользователей-администраторов информационных серверов.

Так называемый «хороший обычай» ("best practices") определяет, что информационные ресурсы следует защищать: как внутренние – от внешних атак, так и ресурсы Интернета – от атак, направленных из защищаемой сети вовне.

Это послужило основанием для выделения двух задач:

1) регламентации доступа к информационным сервисам узла ЦЭМИ РАН из внешнего Интернета и 2) регламентации доступа к сервисам Интернет пользователей сети ЦЭМИ РАН. В зависимости от важности различных направлений мер ограничения доступа они реализуются в следующей очередности:
• изучение информационных сервисов узла ЦЭМИ РАН и регламентация доступа к ним из внешнего Интернета (ограничение доступа извне);
• изучение потребностей пользователей в сервисах Интернета и регламентация доступа к ним пользователей сети ЦЭМИ РАН (ограничение доступа в Интернет).

На этапе решения первой из задач рассматриваются только те информационные сервисы узла ЦЭМИ РАН, которые должны быть доступны из Интернета для внешних пользователей. Эти сервисы в целом делятся на две большие группы:
• служебные сервисы, которые обеспечивают поддержку структуры Интернета и функции сетевого администрирования;
• информационные сервисы, которые обеспечивают доступность для пользователей Интернета содержания серверов ЦЭМИ РАН.

Служебные сервисы узла ЦЭМИ РАН

Служебные сервисы прежде всего представлены DNS-серверами, обеспечивающими систему доменных имен - внутреннюю и внешнюю. Кроме DNS-сервера ЦЭМИ РАН, на узле представлена доменная служба независимых доменов Интернета (nir.ru, nes.ru, ecfor.ru и несколько других), которые поддерживаются собственными внешними и внутренними серверами. Внутренние серверы ЛВС в целях информационной безопасности не должны быть видны из Интернета, как это описано в документации по конфигурированию и поддержке серверов Windows NT/2000.

Кроме DNS-серверов, доступ к которым осуществляется по стандартным портам 53 TCP/UDP, на узле ЦЭМИ РАН используются различные функции удаленного администрирования основных серверов ЛВС.

Использование открытых портов служебных сервисов Интернет представлено в табл. 3..

Таблица 3. Использование портов служебными сервисами узла ЦЭМИ РАН

В данной таблице не указаны конкретные номера портов для функции удаленного администрирования, так как они могут быть изменены в любое время при очередном конфигурировании данного сервиса. Более того, это обычно рекомендуется из соображений безопасности, хотя многие и предпочитают пользоваться значениями «по умолчанию».

Информационные сервисы узла ЦЭМИ РАН

Некоторые, привычные для пользователей информационные сервисы Интернета используются наиболее активно, другие начинают использоваться по мере появления опыта работы с информационными ресурсами и приобретения современных технических и программных средств, на которые ориентированы последние программные приложения.

В качестве основных информационных сервисов можно выделить:
• использование электронной почты – как «почтового отделения» (mail relay) для отправки почты, так и «почтовых ящиков» (mail host) - для получения писем;
• предоставление гипертекстовой и мультимедийной информации, а также баз данных посредством веб-серверов;
• предоставление файлов больших объемов при помощи ftp-серверов.

Электронная почта является самым распространенным видом сервиса, а также и источником потенциальной опасности [4], и объектом внимания со стороны сетевых служб ЦЭМИ РАН. Почтовый трафик на узле ЦЭМИ РАН образован двумя составляющими:
• потоками типа «сервер – сервер» (пересылка писем с узла ЦЭМИ вовне другим серверам Интернета и получение писем с серверов Интернета для последующей доставки пользователям);
• потоками типа «клиент – сервер» (отправка и получение писем непосредственно броузерами пользователей – MS Outlook, Outlook Express, The Bat, Eudora, и т.д.).

Сводная таблица сервисов, предоставляемых электронной почтой узла ЦЭМИ РАН, отображена в таблице 4.

Первоначальная схема регламентации входной электронной почты предусматривала единственный вход из Интернета – через официальный почтовый сервер ЦЭМИ РАН, на котором установлен антивирусный шлюз компании Symantec “Norton AntiVirus for Gateways 2.5.2”, работающий в среде Sun Solaris 2.6. В ЦЭМИ РАН имеется несколько исключений из изложенной схемы, которые включают в себя перечисленные в табл. 4 серверы, причем на всех установлены антивирусные почтовые пакеты различных производителей.

Таблица 4. Серверы электронной почты узла ЦЭМИ РАН и перечень их портов

Информационные веб-серверы ЦЭМИ РАН предоставляют для всех пользователей Интернета распределенные информационные ресурсы, включающие как сайт ЦЭМИ РАН, так и сайты некоторых других организаций, связанные перекрестными ссылками. Эти веб-серверы открыты для внешнего Интернета, в отличие от внутренних веб-серверов, которые могут быть использованы только из сети ЦЭМИ РАН. Информация для внешних пользователей Интернета включает в себя:
• официальный сайт ЦЭМИ и страницы научных и некоммерческих организаций (Института проблем рынка, журналов экономического направления, Научного совета, ряда аналитических центров);
• сайт Российской экономической школы;
• сайт Государственного университета гуманитарных наук;
• сайт проекта «Исследование операций в экономике»;
• сайт проекта «Микроэкономика»;
• сайт NIR.Ru (Наука Интернет Россия);
• сайт «Moscow MS Access User Group»;
• сайт «Welcome to Microsoft® Windows NT® 4.0 Option Pack»;
• сервер sphera;
• личные сайты некоторых сотрудников ЦЭМИ РАН.

Каждый из этих веб-серверов представлен стандартным портом http (80); кроме того, некоторые из них требуют для своего функционирования дополнительные номера портов, связанные с различными кодировками предоставляемой информации (8010, 8080, 8081, 8082, 8101, 8102, 8103, 8104). Общее количество открытых портов на информационных веб-серверах достигает 23, однако используются они в различном объеме: основной поток запросов на обслуживание поступает на стандартный http-порт 80, некоторое количество приходится на порты, за которыми стоят другие ресурсы, в то же время зарезервированные порты для иных кодировок за время опытной эксплуатации (март-ноябрь 2002 г.) не использовались ни разу.

Сервис FTP не получил очень широкого распространения на узле ЦЭМИ РАН в связи с тем, что он предоставляет наибольшее количество возможностей для несанкционированного доступа к внутренним сетям. Предоставление данного сервиса во всем мире реализуется чаще всего на базе веб-серверов и выполняется по протоколу http; именно так устроено получение длинных файлов с сайта ЦЭМИ – дистрибутивы пакетов с сайта CyrTUG, электронные версии статей и препринтов, которые содержатся на сайте ЦЭМИ. Однако в ЛВС ЦЭМИ РАН все же существуют несколько ftp-серверов, использующихся в основном для функций удаленного администрирования и поддержки других серверов.

Следует отметить, что доступ пользователей узла ЦЭМИ РАН к ftp-сервису в Интернете со стороны ЦЭМИ не ограничен, так же как и доступ ко всем другим сервисам, инициированный клиентскими программами пользователей ЛВС ЦЭМИ.

Реализация разрешительного принципа доступа к сервисам узла ЦЭМИ РАН

На основании собранной информации о наличии сервисов, к которым должен быть открыт доступ из внешнего Интернета, были составлены списки управления доступом (ACL). Кроме портов информационных сервисов, в этих списках присутствуют строки:
• разрешающие пропуск пакетов, поступающих в ответ на запросы, обращенные из сети ЦЭМИ РАН к сервисам внешнего Интернета;
• разрешающие любые сервисы в сети ИНП РАН;
• разрешающие передачу по протоколу ftp данных, запрошенных из сети ЦЭМИ РАН;
• разрешающие информационные протоколы ICMP и IDENT.

Все остальные порты запрещены по умолчанию.

Данные списки были готовы и введены в эксплуатацию в марте 2002 г. Они приложены к внешним интерфейсам маршрутизатора CS7206 – основному каналу (субинтерфейс АТМ, соединяющий ЦЭМИ РАН и ИКИ РАН) и резервному каналу (виртуальный интерфейс, реализованный через коммутатор Catalyst2924M XL и соединяющий ЦЭМИ РАН с ЮМОС). Аналогичный список, откорректированный в соответствии с адресацией, приложен к интерфейсу маршрутизатора CS7206, отделяющему сеть ЦЭМИ РАН от сети ИНП РАН.

Исследование влияния разрешительного принципа доступа на работу узла ЦЭМИ РАН

Все проходящие через маршрутизатор CS7206 ip-пакеты проверяются на соответствие ACL и учитываются в счетчиках по каждой строке данного списка, условиям которой они отвечают. Все пакеты, которые не отвечают ни одному из условий, добавляются к последней строке, формулирующей разрешительный принцип доступа (согласно Cisco Systems “deny all”) – «deny ip any any».

Таким образом, результаты работы CS7206 по фильтрации входного трафика, и как результат, – регламентации доступа к сервисам ЦЭМИ РАН могут быть оценены с определенной точностью по подсчету пропущенных/отвергнутых пакетов. Пример списка со счетчиками приведен ниже (это один из списков, использовавшихся для анализа сетевой обстановки и запрещающий доступ в Интернет зараженного вирусом W32.Nimda сервера ИАС ПЭИ):

Согласно результатам работы этого ACL, отказано в пропуске пакетов к портам snmp и bootps, разрешено вещание сервера ЛВС на другие сети (netbios-ns, netbios-dgm и netbios-ss), запрещено оно же всем остальным ПК, запрещен любой трафик с ПК 193.232.194.97 и http трафик с ПК 193.232.194.77. Разрешен любой трафик с 3-х ПК сети 193.232.193.0 и всех ПК сети 193.232.194.0 (кроме вышеуказанных). Все прочее запрещено.

Полный список управления доступом, реализованный и использующийся в настоящее время, не приводится по причине его длины и соображений безопасности. Собранные с марта по ноябрь 2002 г. данные счетчиков обработаны; результаты и выводы приведены ниже.

Общий результат регламентации доступа из Интернета, рассчитанный по вышеприведенному методу, выражается снижением входного трафика на 18% (см. рис.2). Все цифры приведены в «пакетах» - единицах передачи информации по протоколам высшего уровня; размеры пакетов различны и зависят от конкретных протоколов.

Обращение к сервисам ЦЭМИ РАН из Интернета по отдельным протоколам отражено в табл. 5 и на рис.3. На рисунке не отражены объемы информации, поступающие из Интернета по запросам пользователей ЦЭМИ.

Можно отметить, что наибольшее количество пакетов, как пропущенных, так и отфильтрованных (суммарно 11,6%), приходится на систему доменных имен; однако, ее реальная роль становится наглядной только при анализе результатов.

Рис.2. Общий трафик из Интернет в ЦЭМИ РАН за март-ноябрь 2002 г.

Таблица 5. Использование различных сервисов ЦЭМИ РАН по портам

Рис.3. Доля обращения к сервисам ЦЭМИ РАН из Интернет (по данным март-ноябрь 2002 г.)

Служба доменных имен наиболее важна и наиболее активно используется для работы сети; и, как показал анализ результатов ограничения доступа, она же наиболее подвержена атакам (см. табл. 5 и рис.4). Это вполне объяснимо, так как подмена истинных имен или ip-адресов поддельными, анонсирование нелегальных DNS-серверов позволяет и подменять ресурсы электронной почты (спам), и проводить атаки «отказ в обслуживании» (открытие множества сессий с некорректными именами и адресами). В диаграмме (рис. 4) не отражены дополнительные типы атаки, уже непосредственно на DNS-серверы, при которых на их корректный запрос приходит некорректный ответ; данные атаки существуют, но исследования их источников достаточно затруднены.

Рис.4. Трафик системы доменных имен DNS за март-ноябрь 2002 г.

Дополнительно проведенный эксперимент по определению адресатов отказных пакетов, проходивший в течение 2-х часов, показал, что регистрация потока такой плотности при помощи записи в syslog не представляется возможной. Общее количество зарегистрированных отказных пакетов в несколько раз превосходит возможности записи в протокол конкретных данных об адресатах. Необходимо обновление службы доменных имен узла ЦЭМИ РАН как с точки зрения производительности сервера DNS, так и его программного обеспечения, который должен быть оснащен дополнительными средствами защиты от фальсификации.

Веб-серверы находятся на втором месте по активности использования Интернет-сообществом. Рассматривая табл. 5, можно отметить, что при обращении по http-протоколу происходит небольшое количество отказов (17%), которое связано с упомянутыми сетевыми вирусами типа W32.Nimda, сканирующими сети в поисках доступных для инфицирования веб-серверов. Распределение активности доступа к различным веб-серверам, зарегистрированным в ЦЭМИ РАН в результате проведенного изучения информационных сервисов, см. на рис.5. Суммарное количество пакетов приведено выше в табл. 5.

Рис.5. HTTP - трафик на серверы ЦЭМИ РАН за март-ноябрь 2002 г.

Выделяются использование домена nir.ru (серверы www.nir.ru, lab44exchange.cemi.rssi.ru, lab44websql.cemi.rssi.ru - суммарный процент составляет 39%=2%+8%+29%), серверов ЦЭМИ (www.cemi.rssi.ru - 20%) и Российской экономической школы (nes.cemi.rssi.ru - 19%). Все остальные серверы узла ЦЭМИ РАН дают суммарно около 5% обращений. В их числе находятся два личных веб-сервера (187.cemi.rssi.ru и support.cemi.rssi.ru, взятые для оценки влияния персональных страниц на http-трафик), показавшие за время опытной эксплуатации незначительность объемов использованных ресурсов сетевого трафика.

Трафик электронной почты типа «сервер – сервер», проходящий по протоколу SMTP, как разрешенный, так и запрещенный (к произвольно выбранным ip-адресам или же к установленным нелегальным почтовым серверам) см. в табл. 5 (строка smtp), составляет 0,4% от общего объема пакетов, поступающих из Интернета, и распределяется следующим образом (см. рис.6).

Рис.6. Почтовый трафик из Интернет в ЦЭМИ РАН за март-ноябрь 2002 г.

Было проведено исследование потока отказных пакетов; однако, как и в случае определения адресатов отказа в доступе DNS-пакетов, возникли трудности регистрации протокола в файле syslog, так что данное исследование почтового трафика, возможно, еще предстоит провести при условии, что поток отказов не уменьшится.

Рассматривая использование отдельных серверов электронной почты, перечисленных выше в табл. 4 (см. рис. 7), можно отметить, что основной трафик – 64% и 30% - направлен на два “Mail Relay” – почтовые серверы доменов cemi.rssi.ru и nes.cemi.rssi.ru. в то время как все прочие серверы суммарно получают около 6% пакетов.

Рис.7. Входной почтовый трафик из Интернет по серверам за 13.03.2002-13.05.2002 (в пакетах)

В связи с этим одной из важнейших задач в условиях возникновения периодических вирусных эпидемий было оснащение (по возможности) всех серверов антивирусными почтовыми шлюзами, что и было выполнено. На сервере ЦЭМИ в ноябре 2001 г. был установлен “Norton AntiVirus for Gateways 2.5.2” компании Symantec, на сервере РЭШ – «AVP monitor» Лаборатории Касперского. На прочих почтовых серверах также установлены антивирусные средства: «AVP monitor» Лаборатории Касперского на сервере nir.ru; McAfee NetShield на серверах ЛВС ЦЭМИ и сервере escort.

Трафик электронной почты типа «клиент – сервер» представляет собой лишь некоторую часть потока обращений (запросов), направленного к почтовым ящикам, расположенным на серверах (перечисленных в табл. 4). Основной поток запросов на чтение электронной почты, вероятно, приходит из ЛВС со стационарных ПК или с домашних ПК, соединенных с сетью ЦЭМИ РАН по телефонным каналам через сервер удаленного доступа. Однако, некоторая часть пользователей соединяется с серверами ЦЭМИ РАН через различные коммерческие каналы или домашние сети. Этот процесс для Интернета является вполне обычным явлением, развивается и глобализируется – ноутбуки и прочие переносные (portable) ПК в настоящее время могут быть использованы из любой точки Интернета для включения непосредственно в корпоративную сеть, не говоря уже о таком сервисе, как возможность обращаться к своему почтовому ящику из другой сети. Тем не менее для сети ЦЭМИ все эти запросы являются внешними и проходят ту же фильтрацию, что и пакеты прочих пользователей Интернета.

Общие объемы внешнего почтового трафика по пользовательским портам POP2/IMAP, как разрешенного, так и запрещенного (к произвольно выбранным ip-адресам или же к выведенному из эксплуатации серверу ЛВС serv2) см. в табл. 5 (строка pop/imap); они составляют 0,1% от общего объема пакетов, поступающих из Интернет, и распределяются, как показано на рис. 8.

Можно отметить, что больше всего запросов адресовано серверу nir.ru; вместе с сервером ЛВС ЦЭМИ РАН — это 98% всех запросов. Остальные серверы получают незначительное количество запросов. Если при этом обратить внимание на входной трафик электронной почты, то становится понятно, что почтовый сервер nir.ru в основном используется из внешнего Интернета. Вопрос о происхождении запросов не исследовался ввиду незначительности трафика по данному протоколу.

Рис.8. Обращение пользователей за почтой к серверам ЦЭМИ РАН из Интернет (без учета локальной сети) за 13.03.2002-29.11.2002

Ftp-сервис разрешен на серверах домена nir.ru, а также на двух серверах ЛВС ЦЭМИ РАН. Безусловно разрешено получение данных пользователями по протоколу ftp с любых серверов Интернета. Общие объемы ftp-трафика, как разрешенного, так и запрещенного, суммарно составляют 0,3% от общего объема пакетов, поступающих из Интернета (см. табл. 5, строка “ftp”), и распределяются следующим образом (рис.9).

Рис.9. FTP - трафик из Интернет на узел ЦЭМИ РАН за март-ноябрь 2002 г.

На данном рисунке и в табл. 5 не отражен трафик, соответствующий ответам на запросы пользователей, присланные из Интернета на серверы узла ЦЭМИ РАН, так как ответы образуют сессию ftp-data, инициированную сервером узла ЦЭМИ РАН в ответ на запрос. Трудно объяснить относительно большое количество отказных пакетов, кроме возможного сканирования сетей в поисках открытого неиспользуемого сервиса или же в поисках ранее установленного некоторым вирусом (например, «троянскими конями» Backdoor.IRC.Yoink, Backdoor.Sdbot.D, Backdoor.CHCP [6]) нелегального ftp-сервера, который является распространенным средством для воздействия на чужой ПК со стороны владельца «троянского коня».

Заключение

Анализ результатов внедрения разрешительного принципа доступа к сетевым ресурсам показал, с одной стороны, необходимость и возможность использования данного метода для обеспечения защиты информации в комплексе с прочими методами защиты. С другой стороны, существует ряд направлений, по которым предстоит развивать начатые исследования.

Необходимо внедрить разрешительный принцип доступа к сетевым ресурсам по всему периметру корпоративной сети ЦЭМИ РАН – на сервере удаленного доступа, на котором коммутируемые каналы представляют собой возможный источник несанкционированного доступа или сетевой вирусной атаки.

Необходимо провести обновление службы доменных имен узла ЦЭМИ РАН как с точки зрения производительности сервера DNS, так и его программного обеспечения, которое должно быть оснащено дополнительными средствами защиты от фальсификации.

Необходимо разработать и внедрить разрешительный принцип доступа из сети ЦЭМИ РАН к сетевым ресурсам Интернета с целью обеспечения безопасности пользователей других сетей от возможных последствий инфицирования ПК сети ЦЭМИ РАН. Следует рассмотреть методы реализации данного принципа как при помощи Cisco Firewall Features, так и при помощи прокси-серверов и оценить их необходимость по обычной методологии определения необходимых мер безопасности – определению соотношения ценности защищаемых ресурсов и стоимости реализации защиты.

Литература

1. CERT/CC Statistics 1988-2002 http://www.cert.org/stats/cert_stats.html
2. Терентьев А.М. Антивирусная защита ПК в Windows 95/98/NT: Справочное пособие по антивирусным средствам ЗАО “ДиалогНаука”. 2-е издание. — М.: Перспектива — М, 2000. — 104с.: ил. (Рус.)
3. Glossary. Type: Worm http://securityresponse.symantec.com/avcenter/refa.html#worm
4. Есауленко А. INTERNET как всеобщая угроза. — М.: Сети, №3 (140), февраль 2003, сс.10-11.
5. Кочетова Н.А., Ляпичева Н.Г. Методы и средства защиты магистральных маршрутизаторов и серверов удаленного доступа производства Cisco Systems /Вопросы информационной безопасности узла Интернет в научных организациях. Сборник статей под ред. М.Д.Ильменского - М: ЦЭМИ РАН, 2001. - с.10-42 (Рус.)
6. Expanded Threat List and Virus Encyclopedia http://www.symantec.com/avcenter/vinfodb.html
7. CERT Advisory CA-2003-04 MS-SQL Server Worm http://www.cert.org/advisories/CA-2003-04.html
8. W32.SQLExp.Worm http://www.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html

Приложение
Примеры портов TCP/IP, используемых вирусами для сетевых атак

Статья опубликована в 2003 г.