Интрасеть как основной объект нападений из Internet

Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

2. ИНТРАСЕТЬ КАК ОСНОВНОЙ ОБЪЕКТ НАПАДЕНИЙ ИЗ INTERNET

2.1. Понятие интрасети и задачи ее защиты

Функциональные возможности интрасети охватывают очень широкий спектр - начиная от работы со статическими Web-страницами, которые заменяют корпоративные печатные документы или обеспечивают новый способ совместного использования информации, и кончая сложными клиентскими интерфейсами для офисных серверных приложений [14-17].

Технологии, необходимые для создания интрасети и реализующие их средства, широко распространены. К ним относятся: протокол TCP/IP, сетевая файловая система NFS (Network File System), Web-браузер (программа поиска и просмотра системы WWW), Web-сервер, HTML-редактор, электронная почта и т. п. Доступ к информации осуществляется на основе IP-соединений. Интрасеть состоит из нескольких компонентов:

1) сетевой инфраструктуры,

2) серверов,

3) документов,

4) браузеров,

5) приложений.

Сетевая инфраструктура. Сеть является основой интрасети, обеспечивая необходимые соединения, предоставляющие доступ к информации из любого места организации. Как и Internet, для осуществления соединения и обмена данными интрасеть использует сетевой протокол TCP/IP. TCP/IP дает возможность уникального именования компьютеров в сети (эти имена называют IP-адресами). Этот протокол также обеспечивает механизм, при помощи которого компьютеры могут находить друг друга и соеди-

няться. Интрасеть использует еще один протокол — HTTP (Hypertext Transfer Protocol). Он применяется для передачи текстов, изображений и гиперссылок (то есть связей с другими электронными документами), указывающих на Web-страницы. Можно сказать, что TCP/IP — это основной способ, при помощи которого компьютеры связываются в сети, a HTTP — некий верхний уровень, дающий им возможность обмениваться информацией.

Серверы. Информация чаще всего находится на компьютерах, которые обычно называют Web-серверами. Сервер хранит документы и выполняет запросы пользователей о поиске и просмотре данных. В Internet каждый Web-узел располагается на отдельном сервере, а сами серверы разбросаны по всему миру. В интрасети корпоративная информация может находиться на одном или нескольких серверах, расположенных по всей организации. Web-сервер может также предоставлять доступ к информации, хранящейся на других" типах серверов. Например, он может быть объединен с серверами базы данных, электронной почты или источником данных на мэйнфрейме.

Документы. Содержимое интрасети — то есть просматриваемая информация — хранится в документах. По умолчанию они имеют формат HTML (Hypertext Makeup Language) — текстовый формат, состоящий из собственно текста, тегов, управляющих форматированием, и гиперссылок, указывающих на другие документы. Язык HTML имеет успех по нескольким причинам:

• документы HTML имеют небольшие размеры, что облегчает их передачу по сети;

• язык HTML является текстовым и не зависит от какой-либо платформы, так что серверы и клиенты могут быть установлены на любых компьютерных платформах;

• формат HTML является более или менее открытым стандартом, и средства разработки для него создаются множеством компаний.

Хотя документы HTML являются ключевым компонентом любой интрасети, документы других типов также могут играть важную роль.

47

Браузеры. Для работы в интрасети и просмотра документов, хранящихся на серверах, применяют приложения, называемые браузерами. Они выполняют несколько функций:

• поиск информации и подключение к Web-серверу;

• загрузка, форматирование и вывод на экран документов на языке HTML;

• распознавание гиперссылок и переход к соответствующим документам;

• обеспечение таких стандартных средств работы, как кнопки Back (Назад) и Next (Далее), папки Favorites (Избранное) и History (Журнал).

Помимо основных функций, браузер также может выводить такие элементы мультимедиа, как звук, видео или трехмерные изображения. Браузер также поддерживает использование управляющих элементов, что существенно расширяет его возможности.

Приложения. Приложения пишутся разработчиками для решения определенных задач бизнеса. Существует множество средств, предназначенных для написания приложений для интрасети. Они включают управляющие элементы, сценарии и серверные компоненты. Управляющие элементы являются частью приложений, которые могут выполняться в браузере. Расширяя возможности последнего, они дают возможность использовать решения, по природе более близкие к обычным приложениям, не ограничиваясь функциями просмотра документов, 1акне управляющие элементы создаются с помощью языков C+-r, Java или даже Microsoft Visual Basic. После напг-.а^ия их помешают прямо в документы HTML. Языки сценариев прочно связаны с управляющими элементами и используются для управления последними или для динамического изменения содержания документа. Это простые языки программирования, способные взаимодействовать с управляющими элементами, реагировать на события и работать с базой данных на сервере. Microsoft Visual Basic, Scripting Edition (VBScript) и JavaScript являются примерами таких языков. Сценарии тоже помещаются в документы HTML и могут выполняться как на сервере, так и в браузере.

48

Кроме разнообразного сетевого оборудования, интрасеть состоит из следующих программных компонент:

1 ) программного обеспечения (ПО) внутреннего Web-сервера организации, содержащего сведения о деятельности фирмы (товары, цены, распоряжения руководства, документы для согласования и обсуждения и т. п.) и соединенного с имеющимися базами данных ("Склад", "Фонды", "Бухгалтерия" и т. д.);

2) программных средств для проведения конференций внутри организации для обсуждения предложений по улучшению работы, сообщения о различных мероприятиях и т. п.; 3) ПО, реализующих работу электронной почты. Создание интрасети означает не просто замену ранее созданных локальных сетей. В интрасети расширена модель клиент/сервер, которая обычно применяется для доступа к базам данных и обеспечивает единое средство коммуникации для приложений типа электронных досок объявлений, видеоконференц-связи и дискуссионных форумов. При использовании интрасети не нужно разрабатывать еще одно специализированное средство доступа в среде клиент/сервер — для этого уже есть программа просмотра и поиска информации, называемая Web-браузер. Также на рынке имеется множество пакетов промежуточного уровня, обеспечивающих интерфейс между языком для представления информации в виде гипертекста (HTML) и базами данных. Из сказанного следует, что интрасеть является локальной сетью, дополненной Web-технологиями. Web-сервер в интрасети является удобным и экономичным инструментом для публикации однократно составленный и многократно используемых документов (write-once, read-many) внутри организации, доступных любому пользователю с браузером. Процесс создания интрасети включает следующие этапы:

• постановка задачи;

• определение круга пользователей;

• выбор технических стандартов;

• выработка принципов подготовки информационного наполнения Web-узлов и его обновления;

49

• разработка рабочих процедур. Выбор стандартов при создании интрасети определяется зада' чами. которые решает организация. Если интрасеть нужна для получения информации, этот вопрос сводится к выбору множества поддержиааемых браузеров, типов информационного наполнения, схем адресации и серверных интерфейсов прикладного программирования (Application Programmimg Interface, API). Если интрасеть предназначена для распределенных вычислений, то должен быть принят ряд решений, и наиболее важное из них — какой прикладной протокол будет применяться для связи программ и ресурсов. Существует, по крайней мере, четыре конкурирующих протокола: Netscape internet Inter-ORB Protocol (iiOP) для программного доступа к серверу, использующий простейший интерфейс Common Object Request Broker Architecture (CORBA); Distributed Component Object Model (DOOM) компании Microsoft; расширенный HTTP (HyperText Transport Protocol); CGI (Common Gateway interface). Каждый из них имеет свои достоинства и недостатки. То же самое относится и к работе с базами данных, для которой можно выбрать интерфейс Open Database Connectivity (ODBC) компании Microsoft, Java Database Connection (JDBC) компании JavaSoft или более специализированный интерфейс, такой как Data Access Object (DAO) или Remote Data Objects (RDO) компании Microsoft.

Стандартизация браузеров, серверов и спецификаций HTML упрощается по мере того, как характеристики разных продуктов и API становятся примерно одинаковыми. Однако некоторые тонкие различия все же остаются — даже в том, каким образом браузеры поддерживают основные возможности HTML, такие как таблицы и фреймы.

Укажем четыре основных вида интрасетей, рассматривая их от простейшим моделей до тех, которые только прогнозируются к появлению.

1). Базовая сетевая инфраструктура организации дополняется браузерами и Web-серверами с базовым информационным наполнением. Значимость этого наполнения способствует тому, что различные подразделения компании присоединяются к системе^ и до-

50

бавляют информацию, а, следовательно, значимость интрасети экспоненциально увеличивается. Когда сеть начинает широко использоваться и появляется возможность доступа к "критической" массе данных, внимание администратора переключается на структуру и организацию информации.

В такой интрасети обеспечивается статический доступ к статическим данным. Термин "статический доступ" указывает на способ поиска информации пользователями. В рассматриваемом случае он осуществляется с помощью имеющихся связей или известных адресов. Данные являются статическими: они однажды созданы и могут быть изменены только владельцем информации.

2). В дополнение к первой модели вводятся поисковые средства информации. Механизмы поиска информации и путеводители по Web упрощают пользователям нахождение документов, однако приводят к усложнению системы, поскольку нуждаются в управлении индексами поиска. Кроме того, они заставляют администраторов с повышенным вниманием относиться к системной и сетевой производительности. При этом пользователи получают динамический доступ к статическим данным.

3). В дополнение ко второй модели реализуются интерфейсы между системой и существующими базами данных и приложениями. Это позволяет связать с интрасетью финансовые, кадровые, инженерные, коммерческие и другие приложения и базы данных, чтобы обеспечить к ним более широкий доступ с помощью простого в использовании клиентского интерфейса.

Для того чтобы обеспечить интерфейс с внешними ресурсами, требуется специализированный программный код. Во многих случаях необходим дополнительный код для интеграции информации из множества источников в единое представление.

Пользователи получают средства доступа нового поколения, которые базируются на "выталкивающей" (push) модели предоставления информации. Вместо осуществления запросов и поиска (по системе "вытягивания" информации), пользователи создают свои профили по интересам, на которые ориентируется система, принимая решение, какую информацию выдать данному пользова-

51

телю. Пользователь получает сообщение, когда интересующие его данные поступают в интрасеть или когда происходят определенные изменения элемента базы данных. Теперь интрасеть обеспечивает динамический доступ к динамическим данным.

В такой интрасети корпорация может строить приложения, обеспечивающие интеграцию данных из множества источников.

4). Имея доступ ко всей корпоративной информации, организации настраивают его в соответствии с задачами бизнеса, потребностями своих клиентов или отдельных служащих. В этой модели интрасети обеспечивается персонифицированный доступ к персонифицированным данным внутри и — при соответствующих условиях — вне корпорации.

Пока интрасети четвертого вида — это архитектура корпоративной информации будущего, обеспечивающая плодородную почву для разработки и развертывания приложений.

Под информационными ресурсами интрасети, согласно определению Гостехкомиссии РФ, будем понимать совокупность данных и программ, задействованных при обработке информации техническими средствами. Специфика защиты информационных ресурсов интрасети обуславливается, в частности, тем, что они чаще всего находятся в различных подсетях или сегментах. При этом в защищаемой интрасети могут существовать сегменты с разной степенью защищенности:

• свободно доступные (различные серверы);

• с ограниченным доступом;

• закрытые для доступа.

Разделение интрасети на сегменты осуществляется установкой таких защитных средств, как межсетевые экраны (МЭ).

Интрасети могут быть изолированы от внешних пользователей Internet с помощью МЭ или проста функционировать как автономные сети, не имеющие доступа извне (второй случай не представляет интереса для данного учебного пособия). Обычно компании создают интрасети для своих сотрудников, однако полномочия на доступ к ним иногда предоставляются деловым партнерам и другим группам пользователей.

52

Другим способом обеспечения совместного доступа деловых партнеров к информации, хранящейся в интрасети, является создание экстрасети (extranet). Этим термином обычно называют часть интрасети, предназначенную для доступа извне. Деловые партнеры часто создают экстрасети, обеспечивающие ограниченный доступ к отдельным частям своих интрасетей. Деловым партнерам доступны только те части интрасети, на которые они имеют соответствующие права доступа. Для конкурентов же любой доступ к такой интрасети закрыт. Экстрасети подключаются к корпоративной интрасети через сервер дистанционного доступа или выделенную линию с маршрутизатором.

Поскольку протокол TCP/IP дает кому угодно в Internet потенциальный доступ к серверам интрасети, то МЭ становится важнейшей ее частью. МЭ служит для защиты серверов, он анализирует адрес назначения и содержимое входных сетевых пакетов. Средства защиты могут быть частью готового аппаратного решения, функцией автономного маршрутизатора или программой, выполняемой на специальном сервере.

Идеальная интрасеть разделена, по крайней мере, на три компонента. Соединение internet с МЭ должно быть выполнено через выделенный сетевой адаптер, что обеспечит МЭ полный контроль над маршрутизацией входящих пакетов. На компьютере с установленным МЭ допускается размещение второго адаптера, с помощью которого пользователи подключаются к другим корпоративным сетям (образуя экстрасеть). Компьютер с МЭ вместе с внешними соединениями называется периметром.

Третий сетевой адаптер служит для связи МЭ с защищаемой частью интрасети. МЭ можно настроить на запрет доступа к многочисленным типам данных, например, запретить передачу файлов FTP. Данная функция обеспечивает более совершенную защиту и позволяет устранить потенциальные бреши в МЭ, которыми могут воспользоваться злоумышленники.

(Схемы подключения интрасетей с различным количеством МЭ приведены в главе 6.)

53

Наибольшую опасность для интрасетей представляют "неофициальные" (и соответственно незащищенные) Web-серверы, но даже санкционированные и правильно установленные серверы и другое оборудование и ПО интрасетей потенциально уязвимы. Системные администраторы могут случайно оставить "лазейки": при настройке таблиц маршрутизации МЭ, при создании приложений на HTML или при установке на сервере защиты уровня межпрограммного взаимодействия.

Существенно, что защита интрасети организации складывается из внешней защиты (защиты периметра), защиты транзакций и целостности данных и систем, что должно быть дополнено системой административного контроля, оповещения и реакции на несанкционированные вторжения в интрасеть.

Один из привлекательных технических подходов к обеспечению безопасности интрасети - создание централизованной схемы управления на базе защитного сервера. Хороший защитный сервер организации должен обеспечивать прозрачное представление информации обо всех доступных пользователю ресурсах. Какую бы ОС клиент ни использовал, графическая информация о доступных ему приложениях, системах и ресурсах должна предоставляться с учетом соображений безопасности. Информация на защитном сервере периодически обновляется, при этом с точки зрения пользователя ничего не меняется.