Kompiuterinių tinklų saugumas darosi aktuali problema vis platesniam žmonių ratui. Kuo labiau plinta Internetas, kuo daugiau žmonių ir ištisų kompanijų prisijungia prie jo, tuo aktualesnė darosi vietinio kompiuterių tinklo apsauga, jei jis prijungtas prie Interneto.
Informacija šiais laikais yra viena iš brangiausių prekių. Įsilaužimai pasinaudojant Internetu jau realybė. Paprastai išskiriamos dvi įsilaužimų klases:
• Nelegalus priėjimas prie duomenų.
• Serviso sutrukdymas.
Viena saugumo spraga dažniausiai sudaro sąlygas įvykdyti tik vieną iš šių įsilaužimų. Serviso sutrukdymas paprastai laikomas mažesne problema nei nelegalus priėjimas prie duomenų. Tačiau spragų, leidžiančių sutrukdyti serviso darbą, randama daugiau.
Įsilaužimas sukelia ne tik tiesioginius nuostolius įsibrovėliui nelegaliai priėjus prie duomenų. Daug gali kainuoti duomenų auditas – ar nepakeisti, nesugadinti, neištrinti duomenys. Taip pat – ar įsilaužėliai nepaliko sau „atsarginio įėjimo“ ateičiai.
Įsilaužimai galimi dėl dviejų priežasčių:
• Serverio konfigūravimo ir priežiūros klaidos.
• Klaidos serverio programose.
Pirmosios problemos sprendimas priklauso praktiškai tik nuo sistemos administratoriaus. Antroji – nuo visos grupės programų, bibliotekų bei operacinės sistemos branduolio. Interneto serviso vartotojas bendrauja su taikomaja programa, kuri savo ruožtu kviečia funkcijas iš įvairių bibliotekų bei kreipiasi į branduolį.
Interneto servisas – tai interneto serveryje dirbanti programa, kuri pagal nustatytą protokolą, bendraudama TCP/IP protokolu (naudodama jį duomenų su klientu apsikeitimui), pateikia ir gauna iš kliento duomenis. Kaip Interneto servisų pavyzdžius galima pateikti: WWW serveris (naudojamas tam, kad pateikti vartotojui įvairialypę informaciją: tekstą, iliustracijas, audio/video medžiagą.); FTP serveris (naudojamas failų perdavimui ir priėmimui); pašto (SMTP) serveris (elektroninio pašto transportas). Interneto serveris savo ruožtu tai kompiuteris, kuris yra prijungtas prie Interneto. Jame dirbančiais Interneto servisais gali pasinaudoti vartotojai iš Interneto.
Kai įsilaužimai gali įvykti dėl klaidų programose, sprendimai kaip išvengti klaidos pasekmių (galimo įsilaužimo) gali būti dvejopi:
• Ištaisyti klaidą.
• Bandyti taikyti prevencines priemones, kurie apribotų galimybes potencialiam įsilaužėliui iš Interneto pasinaudoti šia klaida.
Pirmas variantas aišku yra tiesioginis problemos sprendimas. Tai yra saugumo spraga užtaisoma ten, kur ji ir atsirado. Tačiau interneto serverio bendro saugumo požiūriu šis būdas turi keletą trūkumų:
• Klaida pataisoma tik po jos suradimo.
• Dažnai laisvai prieinamuose informacijos šaltiniuose pirmiausia paskelbiama apie surastą klaidą, o jos ištaisymas pateikiamas vėliau.
• Reikia atidžiai sekti daug informacijos šaltinių.
• Bet kuriuo atveju tarp klaidos pataisymo paskelbimo ir to momento, kada ji ištaisoma mūsų serveryje praeina laiko tarpas, kuriuo gali pasinaudoti įsilaužėliai.
Nors visų lygių TCP/IP protokolų šeimos protokolai standartizuoti, tačiau standartuose apibrėžta pakankamai plati veiksmų aibė. Vidutinio serverio normaliam darbui pakanka gerokai mažiau. Konkrečiam serveriui su ribotų servisų skaičiumi – dar mažiau.
Daug protokolų buvo sukurta, kai Internetas buvo žymiai mažesnis ir daugiau akademinis. Dėl to kai kurios tais laikais, saugesniame, mažesniame ir ne plačiai prieinamame, tinkle, standartizuotos galimybės šiais laikais jau laikomos saugumo spragomis.
Žinodami serverio struktūra mes galime žymiai sumažinti potencialių įsilaužėlių veiksmų laisvę, nepažeisdami serverio funkcionalumo. Apriboti veiksmų laisvę galima visuose trijuose viršutiniuose (interneto, transportinis, programų) sluoksniuose. Apsaugos priemonių viename sluoksnyje nepakanka, nes tuomet dažnai tokią apsaugą galima apeiti pasinaudojant kitų sluoksnių teikiamais servisais.
Interneto sluoksnis. Informacijos vienetas šiame sluoksnyje – IP paketas. Paketus filtruoti galima pagal šaltinio bei tikslo adresus. Taip pat reikia išmesti IP paketus, kuriuose įjungta vėliavėlė „source routing“. Pastarasis atvejis yra puikus pavyzdys to, kaip standartizuota naudinga galimybė nesaugioje aplinkoje (šiuolaikinis Internetas) tampa saugumo spraga.
Neribojant serverio funkcionalumo galima taikyti tokius apribojimus:
• Nepriimti IP paketų iš Interneto su tam tikrais šaltinio adresais. Tai šaltinio adresai, kurie normaliomis sąlygomis negali ateiti iš Interneto. Tokia adresai yra: adresai iš mūsų vidinio tinklo, adresai iš adresų erdvės skirtos vidiniams tinklams (10.0.0.0, 192.168.0.0). Tokius paketus gali atsiųsti įsilaužėliai, bandydami įsilaužti, pasinaudodami interneto servisais, prieinamais tik vidinio tinklo vartotojams arba bandydami nuslėpti tikrają savo buvimo vietą.
• Neišleisti paketų į Internetą su vidinio tinklo tikslo adresais. Atsargumo priemonė prieš tai, kad kokia nors vidinė informacija netyčia nenuteketų už vidinio tinklo ribų.
• Neišleisti paketų į Internetą su šaltinio adresais ne iš savo tinklo. Čia daugiau vidinės drausmės užtikrinimui. Taip sistemos administratorius gali užtikrinti, kad vidinio tinklo vartotojai nebandys laužyti svetimų sistemų IP paketais su padirbtais
šaltinio adresais.
Transportinis sluoksnis. Šiame sluoksnyje apribojimai vykdomi pagal TCP bei UDP paketų šaltinio arba dažniausiai pagal tikslo portus. Jeigu neužsiimti kruopščiu tikslo portų atrinkinėjimu, tai galima bent uždrausti kreipinius į portus, naudojamus kreipiniams į potencialiai pavojingus servisus. Tai būtų servisai, per kuriuos įsilaužus būtų galima padaryti daug žalos (telnet 23/TCP portas, login 513/TCP portas) ir servisai su silpnu saugumo mechanizmu (tftp 69/UDP portas).