Захист інформації в Internet. p>
Зміст. p>
1. Введення. P>
2. Проблеми захисту інформації. P>
3. Захист Web-серверів: p>
3.1 Обмеження доступу в WWW-серверах. p>
3.2 WWW-сервер і проблеми безпеки. p>
3.3 Java, Javascript і проблеми безпеки. p>
4. Висновок. P>
5. Спеціальні терміни. P>
6. Список літератури. P>
1.Вступ p>
Internet - глобальна комп'ютерна мережа, що охоплює весь світ. Сьогодні Internet має
близько 15 мільйонів абонентів у більш ніж 150 країнах світу. Щомісяця розмір мережі збільшується на 7-10%. Internet утворює як би ядро, що забезпечує
зв'язок різних інформаційних мереж, що належать різним установам в усьому світі, одна з іншою. p>
Якщо раніше мережа використовувалася винятково в якості середовища передачі файлів і
повідомлень електронної пошти, то сьогодні вирішуються більш складні задачі розподіленого доступу до ресурсів. Близько двох років тому були створені оболонки,
що підтримують функції мережного пошуку і доступу до розподілених інформаційних ресурсів, електронним архівам. p>
Internet, що служила колись винятково дослідницьким і навчальним групам, чиї
інтереси тягнулися аж до доступу до суперкомп'ютерів, стає все більш популярною в діловому світі. p>
Компанії спокушають швидкість, дешевий глобальний зв'язок, зручність для проведення
спільних робіт, доступні програми, унікальна база даних мережі Internet. Вони розглядають глобальну мережу
як доповнення до своїх власних локальних мереж. p>
Фактично Internet складається з безлічі локальних і глобальних мереж, що належать різним компаніям та підприємствам,
пов'язаних між собою різними лініями зв'язку. Internet можна уявити собі у вигляді мозаїки складеної з невеликих мереж різної величини, які активно
взаємодіють один з іншого, пересилаючи файли, повідомлення і т.п. p>
При низькій вартості послуг (часто це тільки фіксована щомісячна плата за
використовувані лінії або телефон) користувачі можуть одержати доступ до комерційних і некомерційних інформаційних служб США, Канади, Австралії і
багатьох європейських країн. В архівах вільного доступу мережі Internet можна знайти інформацію практично по всіх сферах людської діяльності, починаючи
з нових наукових відкриттів до прогнозу погоди на завтра. p>
Крім того Internet надає унікальні можливості дешевого, надійного і конфіденційного глобального зв'язку по всьому світу. Це виявляється дуже зручним
для фірм мають свої філії в усьому світі, транснаціональних корпорацій і структур управління. Звичайно, використання інфраструктури Internet для
міжнародного зв'язку обходиться значно дешевше прямого комп'ютерного зв'язку через супутниковий канал або через телефон. p>
Електронна пошта - найпоширеніша послуга мережі Internet. В даний час свою
адреса електронної пошти мають приблизно 20 мільйонів чоловік. Посилка листа по електронній пошті обходиться значно дешевше посилки звичайного
листа. Крім того лист, надісланий по електронній пошті дійде до адресата за кілька годин, у той час як звичайний лист може добиратися до адресата
кілька днів, а то і тижнів. p>
В даний час Internet відчуває період підйому, багато в чому завдяки активній підтримці з боку урядів європейських країн і США. Щорічно в
США виділяється близько 1-2 мільйонів доларів на створення нової мережевої інфраструктури. Дослідження в області мережних комунікацій фінансуються також
урядами Великобританії, Швеції, Фінляндії, Німеччини. p>
Однак, державне фінансування - лише невелика частина вступників коштів, тому що
все більш помітною стає "комерціалізація" мережі (80-90% засобів надходить із приватного сектора). p>
2. Проблеми захисту інформації p>
p>
Internet і інформаційна безпека несумісні по самій природі Internet. Вона народилася як чисто корпоративна
мережу, проте, в даний час за допомогою єдиного стека протоколів TCP/IP і єдиного адресного простору поєднує не тільки корпоративні і
відомчі мережі (освітні, державні, комерційні, військові і т.д.), що є, по визначенню, мережами з обмеженим доступом, але і рядових
користувачів, які мають можливість одержати прямий доступ у Internet зі своїх домашніх комп'ютерів за допомогою модемів і телефонної мережі загального
користування. p>
Як відомо, чим простіше доступ у Мережу, тим гірше її інформаційна безпека, тому з повною підставою можна сказати,
що споконвічна простота доступу в Internet - гірше злодійства, тому що користувач може навіть і не дізнатися, що в нього були скопійовані - файли і
програми, не кажучи вже про можливість їхнього псування і коректування. p>
Бурхливе зростання Internet разом з істотним набором нових можливостей і послуг приносить і ряд нових проблем, найбільш
неприємною з яких, безумовно є проблема безпеки. Навіть побіжний аналіз комп'ютерної преси показує, що проблема безпеки й схоронності
інформації, що поміщається в Internet або у внутрішні корпоративні Intranet-системи, стоїть досить гостро. Тому не дивно, що всі
компанії-виробники ПЗ для Internet вводять в свої продукти все більш досконалі засоби захисту інформації. p>
Що ж визначає бурхливий ріст Internet, що характеризується щорічним подвоєнням числа користувачів? Відповідь проста --
"Халява", тобто дешевизна програмного забезпечення (TCP/IP), яке в даний час включено в Windows 95, легкість і дешевизна доступу в Internet
(або за допомогою IP-адреси, або за допомогою провайдера) і до всіх світових інформаційних ресурсів. p>
Платою за користування Internet є загальне зниження інформаційної безпеки, тому для запобігання
несанкціонованого доступу до своїх комп'ютерів усі корпоративні і відомчі мережі, а також підприємства, що використовують технологію intranet,
ставлять фільтри (fire-wall) між внутрішньою мережею і Internet, що фактично означає вихід з єдиного адресного простору. Ще велику безпеку дасть
відхід від протоколу TCP/IP. p>
Цей перехід можна здійснювати одночасно з процесом побудови всесвітньої інформаційної мережі загального користування, на
базі використання мережних комп'ютерів, які за допомогою мережної карти 10Base-T і кабельного модему забезпечують високошвидкісний доступ (10 Мбіт/с) до
локального Web-сервера через мережу кабельного телебачення. p>
Безпека даних є однією з головних проблем у Internet. З'являються все нові
і нові страшні історії про те, як комп'ютерні зломщики, які використовують все більш витончені прийоми, проникають у чужі бази даних. Зрозуміло, все це не
сприяє популярності Internet у ділових колах. Одна тільки думка про те, що якісь хулігани або, що ще гірше, конкуренти, зможуть одержати доступ
до архівів комерційних даних, змушує керівництво корпорацій відмовлятися від використання відкритих інформаційних систем. Фахівці стверджують, що
подібні побоювання безпідставні, тому що в компаній, що мають доступ і до відкритих, і приватним мережам, практично рівні шанси стати жертвами
комп'ютерного терору. p>
Що ж може статися з вашою інформацією, якщо не піклуватися про її безпеку? p>
По-перше, це втрата конфіденційності. p>
Ваша особиста інформація може залишитися в цілісності, але конфіденційна більше не
буде, наприклад хто-небудь в Інтернеті отримає номер вашої кредитної картки. p>
По-друге, це Модифікація. p>
Ваша інформація буде модифікована, наприклад ваше замовлення в on-line магазині або ваше
резюме. p>
По-третє, підміна інформації, яка може бути 2 типів. p>
1) WWW сервер може видавати себе за іншого, яким він не є. p>
2) WWW сервер може дійсно існувати під цим ім'ям і заявляти, наприклад,
що це online магазин, але насправді ніколи не посилати жодних товарів, а тільки збирати номери кредитних карток. p>
Атака на інформацію може бути здійснена кількома шляхами. p>
По-перше, це атака на систему клієнта з боку сервера. p>
Хакер, у якого є свій WWW сервер, може постаратися за допомогою Java некоректних
аплетів і JavaScript додатків, вбудованих в HTML документ, вивести з ладу систему для користувача, або отримати інформацію про неї, яка дозволить йому
зламати машину користувача. p>
По-друге, атака на сервер з боку клієнта. p>
Хакер може через www клієнта може спробувати вивести призначену для користувача систему або
www сервер з ладу, або отримати доступ до інформації, доступу до якої у нього немає. Для цього він може використати дірки в безпеці в CGI додатках,
погану налаштування сервера, спробувати підмінити CGI додаток. p>
І нарешті, інформація може бути украдена третьою стороною при її передачі. p>
Кожна організація, що має справу з якими б то не було цінностями, рано чи пізно зіштовхується з зазіханням на них.
Завбачливі починають планувати захист заздалегідь, непередбачливо-після першого великого "проколу". Так чи інакше, постає
питання про те, що, як і від кого захищати. p>
Зазвичай, перша реакція на погрозу-прагнення сховати цінності в недоступне місце і приставити до них охорону. Це
відносно нескладно, якщо мова йде про такі цінності, які вам довго не знадобляться: забрали і забули. Куди складніше, якщо вам необхідно постійно
працювати з ними. Кожне звернення в сховище за вашими цінностями зажадає виконання особливої процедури, відніме
час і створить додаткові незручності. Така дилема безпеки: приходиться робити вибір між захищеністю вашого майна і його доступністю
для вас, а значить, і можливістю корисного використання. p>
Все це справедливо і щодо інформації. Наприклад, база даних, що містить конфіденційну інформацію, лише тоді
повністю захищена від зазіхань, коли вона знаходиться на дисках, знятих з комп'ютера і прибраних в охороняється місце. Як тільки ви установили ці диски в
комп'ютер і почали використовувати, з'являється відразу кілька каналів, по яких зловмисник, в принципі, має можливість одержати до ваших таємниць доступ без
вашого відома. Іншими словами, ваша інформація або недоступна для всіх, включаючи і вас, або не захищена на сто відсотків. p>
Може здатися, що з цієї ситуації немає виходу, але інформаційна безпека те саме що безпеки мореплавання: і те,
і інше можливо лише з урахуванням деякої допустимої ступеня ризику. p>
В області інформації дилема безпеки формулюється наступним чином: необхідно вибирати між захищеністю системи і
її відкритістю. Правильніше, утім, говорити не про вибір, а про баланс, так як система, що не володіє властивістю відкритості, не може бути використана. p>
p>
3.ЗАЩІТА WEB-СЕРВЕРІВ p>
Сервер Web організації забезпечує її присутність в Internet. Однак поширювані цим сервером дані можуть
містити відомості приватного характеру, не призначені для чужих очей. На жаль, сервери Web являють собою ласу приманку для зловмисників.
Широкого розголосу отримали випадки "нападу" на сервери Міністерства юстиції і навіть ЦРУ: зловмисники підміняли домашні сторінки цих організацій
на непристойні карикатури. Поборники прав тварин проникли на сервер Kriegsman Furs і замінили домашню сторінку посиланням на вузли, присвячені захисту
братів наших менших. Схожа доля спіткала сервери Міністерства юстиції США, ЦРУ, Yahoo! і Fox. Ден Фармер, один з творців програми SATAN, для пошуку
проломів в захисті мереж використовував ще не завершеної офіційно версію свого сканера для зондування Web-серверів Internet і встановив, що майже дві третини
з них мають серйозні вади в захисті. p>
Очевидно, що сервери Web захищені далеко не так надійно, як хотілося б. У деяких простих випадках вся справа в
непомітних, але небезпечних огріхи в сценаріях CGI. В інших ситуаціях загрозу представляє брак захисту операційної системи хоста. P>
Найпростіший спосіб зміцнити захист сервера Web полягає в розміщенні його за брандмауером. Однак, діючи таким чином,
користувач як би переносить проблеми захисту під внутрішньокорпоративну мережу, а це не найвдаліший вихід. Поки сервер Web розташовується "по інший
сторону "брандмауера, внутрішня мережа захищена, а сервер - ні. Побічним ефектом від такого кроку є ускладнення адміністрування сервера Web. p>
Кращим виходом було б компромісне рішення: розміщення сервера Web в його власній мережі, заборона зовнішніх з'єднань або
обмеження доступу до внутрішніх серверів. p>
Поряд із забезпеченням безпеки програмного середовища, найважливішим буде питання про розмежування доступу до об'єктів
Web-сервісу. Для вирішення цього питання необхідно усвідомити, що є об'єктом, як ідентифікуються суб'єкти і яка модель керування доступом --
примусова чи довільна - застосовується. p>
У Web-серверах об'єктами доступу виступають універсальні локатори ресурсів (URL - Uniform (Universal) Resource Locator).
За цими локаторами можуть стояти різні сутності - HTML-файли, CGI-процедури і т.п. p>
Як правило, суб'єкти доступу ідентифікуються по IP-адресах і/чи іменам комп'ютерів і областей керування. Крім того, може використовуватися парольна
аутентифікація користувачів або більш складні схеми, засновані на криптографічних технологіях. p>
У більшості Web-серверів права розмежовуються з точністю до каталогів (директорій) із застосуванням
довільного керування доступом. Можуть надаватися права на читання HTML-файлів, виконання CGI-процедур і т.д. p>
Для раннього виявлення спроб нелегального проникнення в Web-сервер важливий регулярний аналіз реєстраційної інформації. p>
Зрозуміло, захист системи, на якій функціонує Web-сервер, повинна випливати універсальним рекомендаціям, головної
з яких є максимальне спрощення. Усі непотрібні сервіси, файли, пристрої повинні бути вилучені. Число користувачів, що мають прямий доступ до
серверу, має бути зведене до мінімуму, а їхні привілеї - упорядковані у відповідності зі службовими обов'язками. p>
Ще один загальний принцип полягає в тому, щоб мінімізувати обсяг інформації про сервер, що можуть одержати користувачі.
Багато серверів у випадку звертання по імені каталогу і відсутності файлу index.HTML в ньому, видають HTML-варіант змісту каталогу. У цьому змісті
можуть зустрітися імена файлів з вихідними текстами чи CGI-процедур з іншою конфіденційною інформацією. Такого роду "додаткові можливості"
доцільно відключати, оскільки зайве знання (зловмисника) множить суму (власника сервера). p>
3.1. Обмеження доступу в WWW серверах b> p>
Розглянемо два з них: p>
• Обмежити доступ по IP адресами клієнтських машин; p>
• ввести ідентифікатор одержувача з паролем для даного виду документів. p>
Такого роду введення обмежень став використовуватися досить часто, тому що багато хто прагне в Internet, щоб використовувати його комунікації для
доставки своєї інформації споживачеві. За допомогою такого роду механізмів з розмежування прав доступу зручно проводити саморассилку інформації на
одержання якої існує договір. p>
Обмеження за IP адресами p>
Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи IP
адреси конкретних машин або сіток, наприклад: p>
123.456.78.9 p>
123.456.79. p>
У цьому випадку доступ буде вирішена (або заборонений в залежності від контексту) для
машини з IP адресою 123.456.78.9 і для всіх машин подсеткі 123.456.79. p>
Обмеження за ідентифікатором одержувача p>
Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи
присвоєне ім'я та пароль конкретного користувача, причому пароль у явному вигляді ніде не зберігається. p>
Розглянемо такий приклад: Агентство друку надає свою продукцію, тільки своїм
передплатникам, які уклали договір і сплатили підписку. WWW Сервер знаходиться в мережі Internet і
загальнодоступний. p>
Малюнок 2.2.7 p>
p>
Малюнок 2.2.7 Приклад списку вісників видавництва. p>
Виберемо Вісник наданий конкретному передплатника. На клієнтському місці передплатник отримує повідомлення: p>
Малюнок 2.2.8 p>
p>
Малюнок 2.2.8 Вікно введення пароля. p>
Якщо він правильно написав своє ім'я і пароль, то він допускається до документа, в іншому випадку - отримує повідомлення: p>
Малюнок 2.2.9 p>
p>
Малюнок 2.2.9 Вікно неправильного введення пароля. p>
3.2 World wide web сервери і проблема безпеки інформації. b> p>
Серед WWW серверів відрізняються відсутністю відомих проблем з безопаcностью Netscape сервери, WN і apache. p>
WN сервер. p>
Це вільно розповсюджується сервер, доступний для безлічі UNIX платформ. Основними цілями при його створенні були
безпека і гнучкість. WN сервер містить в кожній директорії маленьку базу даних (список) документів містяться в ній. Якщо документ не зазначений в
базі даних, клієнт отримати його не може. Бази даних або генерується спеціальною програмою автоматично для всіх файлів в дереві директорій, або
іншою програмою створюються з текстових описів, які створюються вручну. У ці файли, крім перерахування документів можна вставляти HTML текст, так як це
аналог index.html в цьому сервері. p>
Адміністратору web вузла розбиратися в згенерованих файлах особливої необхідності немає, але в принципі вони аналогічні
. cache файлів gopher. Сам сервер має різновид для одночасної обробки gopher і http запитів до одних і тих же документів. P>
Безпека виконання CGI програм забезпечується виставлянням uid/gid для потрібного файлу цієї бази даних. Без
всякого програмування та особливої налаштування WN сервер забезпечує 8 можливостей пошуку всередині документів, має інтерфейс до сервера WAIS. Ви
можете включати одні документи всередину інших на стороні сервера (наприклад стандартні повідомлення на початку і в кінці документа) Можете застосовувати фільтри до
будь-якого документу, для отримання необхідного документа на виході (наприклад підстановка слів). Для звернення до даного документу можна використовувати URL типу