Существует и более жестокий вариант такой атаки. Если сетевому хулигану уже удалось взломать несколько сотен компьютеров, расположенных по всему миру, он может приказать им всем забивать запросами один и тот же сервер. Тем самым не только повышается «убойная сила», но и уменьшаются шансы на обнаружение негодяя, так как пакеты приходят с самых разных компьютеров, ничем плохим себя ранее не зарекомендовавших. Этот тип атаки носит название DDoS (Distributed Denial of Service — распределенный отказ в обслуживании). С этой напастью бороться трудно. Даже если атакуемая машина сможет быстро распознать поддельный запрос, на его обработку и отвержение потребуется некоторое время, в течение которого придут другие запросы, и в итоге центральный процессор будет постоянно занят их обработкой.

8.6.3. Виртуальные частные сети

Многие компании владеют множеством подразделений, расположенных в разных городах, иногда даже в разных странах. До появления общедоступных сетей передачи данных обычным делом было арендовать выделенную телефонную линию для организации связи между некоторыми или всеми парами подразделений. В некоторых компаниях такой подход применяется до сих пор. Сеть, состоящая из компьютеров, принадлежащих компании, и выделенных телефонных линий, называется частной сетью.

Частные сети работают хорошо и обладают высокой защищенностью. Если бы были доступны только выделенные линии, то отсутствовала бы проблема утечки трафика, и взломщикам пришлось бы физически подключаться к линиям, чтобы перехватить данные, а это не так просто. Беда в том, что стоимость аренды одного выделенного канала T1 между двумя точками составляет тысячи долларов (в месяц!), а аренда линии T3 во много раз дороже. Когда появились общедоступные сети передачи данных, а позднее и Интернет, у многих компаний возникло естественное желание воспользоваться ими для передачи данных (а может, и голоса). При этом, правда, не хотелось терять свойства защищенности, присущие частной сети.

Это соображение вскоре привело к изобретению виртуальных частных сетей (VPN — Virtual Private Networks), которые являются оверлейными сетями, работающими поверх обычных общедоступных сетей, но обладающими свойствами частных сетей. Они называются «виртуальными», потому что такие сети — это почти иллюзия; аналогичным образом, виртуальные каналы — это не реальные каналы, а виртуальная память — это не реальная память.

Все более популярным становится организация VPN прямо в Интернете. В общем случае, каждый офис оборудуется межсетевым экраном, и создаются туннели через Интернет между всеми парами офисов, как показано на рис. 8.26, а. Еще одно преимущество использования Интернета для связи состоит в том, что туннели могут быть созданы по требованию и включать, например, компьютер работника, который находится дома или путешествует, пока он имеет соединение с Интернетом. Гибкость выше, чем у выделенных линий, но с точки зрения компьютеров с VPN данная топология выглядит как частная сеть, что показано на рис. 8.26, б. При запуске системы каждая пара межсетевых экранов должна договориться о параметрах защищающей связи, таких как набор услуг, режимов, алгоритмов и ключей. Если используется IPsec в режиме туннелирования, можно собрать весь трафик между любыми двумя парами офисов в один надежный поток и установить защищающую связь, обеспечив тем самым контроль целостности, секретности и даже определенный иммунитет против анализа трафика. Во многие межсетевые экраны встроен специальный инструментарий для работы с виртуальными частными сетями. Можно построить систему и на некоторых обычных маршрутизаторах, но поскольку межсетевые экраны — это почти неотъемлемая часть систем сетевой безопасности, вполне естественно начинать и заканчивать туннели именно на межсетевых экранах, проводя четкую границу между компанией и Интернетом. Таким образом, естественная и наиболее распространенная комбинация — это межсетевые экраны, виртуальные частные сети и IPsec с ESP в режиме туннелирования.

После установки защищающей связи начинается передача данных. С точки зрения маршрутизатора, работающего в Интернете, пакет, проходящий по туннелю VPN, — это самый обычный пакет. Единственное, что его отличает от остальных, это наличие заголовка IPsec после заголовка IP. Но поскольку дополнительные заголовки на процесс пересылки никак не влияют, маршрутизаторы не сильно беспокоит заголовок IPsec.

Рис. 8.26. а. Виртуальная частная сеть. б. Топология, видимая изнутри сети

Другая возможность, приобретающая популярность, — это реализация VPN с помощью интернет-провайдера. За счет использования MPLS (как обсуждалось в главе 5), пути для трафика VPN между офисами компании могут быть установлены через сеть интернет-провайдера. Эти пути отделяют трафик VPN от другого интернеттрафика и могут гарантировать определенную пропускную способность или другое качество обслуживания.

Основное преимущество VPN состоит в том, что она совершенно прозрачна для всего пользовательского ПО. Установкой и управлением защищающих связей занимаются межсетевые экраны. Единственный человек, которому есть дело до настройки сети, — это системный администратор, который обязан сконфигурировать и поддерживать сетевые шлюзы, или администратор интернет-провайдера, который поддерживает пути MPLS. Для всех остальных виртуальная частная сеть мало чем отличается от частной сети на основе выделенной линии. Более подробно про VPN написано в (Lewis, 2006).

8.6.4. Безопасность в беспроводных сетях

Оказывается, удивительно просто создать систему, которая логически полностью надежна, то есть состоит из VPN и межсетевых экранов, и при этом на практике протекает, как решето. Такая ситуация может возникнуть, если в сети есть беспроводные машины, передающие данные с помощью радиосигнала, проходящего прямо над межсетевым экраном в обе стороны. Радиус действия сетей типа 802.11 может составлять несколько сотен метров, поэтому шпион, желающий перехватить информацию, может просто приехать на автостоянку перед зданием фирмы, оставить в машине ноутбук с приемопередатчиком 802.11, записывающим все, что слышно в эфире, и пойти гулять по городу. К вечеру на жестком диске он обнаружит массу ценной информации. Теоретически такого происходить не должно. Правда, теоретически ограбления банков тоже не должны происходить.

За многие проблемы безопасности стоит сказать спасибо производителям беспроводных базовых станций (точек доступа), пытающихся сделать свою продукцию дружественной по отношению к пользователю. Обычно, если пользователь вынимает свое устройство из сумки и вставляет в розетку, оно сразу начинает работать, и практически всегда все окружающие в зоне действия радиопередатчика смогут услышать любые секреты, о которых он проболтается. Если же затем это устройство подключить к Ethernet, весь трафик, проходящий по локальной сети, может быть перехвачен ноутбуком, стоящим в припаркованной неподалеку машине. Беспроводная связь — это мечта шпиона, ставшая реальностью: информация сама идет в руки, только успевай ее ловить. Очевидно, что вопрос безопасности в беспроводных сетях стоит куда острее, чем в проводных. В этом разделе мы рассмотрим некоторые методы, позволяющие в какой-то мере обезопасить системы такого рода. Дополнительную информацию можно найти в (Nichols и Lekkas, 2002).

Безопасность в сетях 802.11

Часть стандарта 802.11, называемая 802.11i, описывает протокол безопасности канального уровня, не позволяющий беспроводному узлу читать или другим образом вмешиваться в сообщения, посланные другой парой беспроводных узлов. Он проходит под торговым названием WPA2 (WiFi Protected Access 2 — защищенный доступ к WiFi, версия 2). Простой WPA — это промежуточная схема, которая реализует подмножество стандарта 802.11i. Ей следует предпочитать WPA2. Мы коротко опишем 802.11i, но сначала отметим, что он заменяет WEP (Wired Equivalent Privacy — секретность, эквивалентная проводным сетям), первое поколение протоколов безопасности 802.11. WEP был разработан комитетом по сетевым стандартам, что отличается от того способа, которым, предположим, NIST выбрал AES. Результаты были разрушительны. Так что же было не так? Как оказалось, практически все с точки зрения безопасности. Например, WEP зашифровывал конфиденциальные данные с помощью XOR с выходом поточного шифра. К сожалению, слабая работа с ключом означала, что эти выходные данные использовались несколько раз. Таким образом, их было просто расшифровать. В качестве еще одного примера можно сказать, что проверка целостности основывалась на 32-битном CRC. Это эффективный код для определения ошибок передачи, но он не является криптографически сильным механизмом для определения злоумышленников.