Коротко о защите сетей

Есть в жизни философские вопросы, на которые нельзя дать ответ. Вопрос "А защищена ли наша сеть?" относится именно к таким. С одной стороны, наверное, нет ни одной компании, которая не использует антивирусы (хотя бы бесплатные), с другой – с пропусками вредоносных объектов рано или поздно сталкиваются все админы.

Почему так получилось?

Как известно, любой знает, что должен сделать президент для того, чтобы все было "бриллиантово". Почти каждый в душе знает, где пишутся вирусы, и уверен, что он достаточно опытен, чтобы заметить, когда мошенники попытаются его обмануть.

Вот только статистика распространения тех же ботнетов эту уверенность не подтверждает, а проверки утилитами регулярно находят вирусы там, где их нахождение не предполагалось. И причин этого всего три: пользователи уверены, что, во-первых, их антивирусы в любой момент знают обо всех вирусах ("раз вендоры их пишут, то они их и знают"), во-вторых, что для защиты достаточно установить антивирус на рабочие станции и серверы Windows ("под Mac и Linux вирусов нет, так как их пишут профессионалы, а под Android только полный "чайник" может сам себе поставить вирус"), и, в-третьих, что заражение возможно только с флешек, через письма, ну и еще если ходить на сайты с порнографией.

Мифы правят миром, а мошенники с удовольствием этим пользовались, пользуются и, к сожалению, будут пользоваться в наступающем году и даже дальше. Сам по себе антивирус знает только то, чему его научили создатели, и если пользователь в качестве защиты использует только антивирус, то вредоносные файлы, протестированные злоумышленниками на актуальных версиях средств защиты, легко проходят в сеть и чувствуют себя там как дома. Для защиты от таких угроз нужно использовать Офисный контроль или более продвинутые средства ограничения доступа, а также резервное копирование используемых ресурсов сети. А антивирус пролечит проникшую угрозу, как только информация о ней придет с последним обновлением, – естественно, если он имеет нормальную систему самозащиты и не использует для обновления сервисы типа Windows Update, не входящие в антивирус и потому подверженные перехвату.

"Хххх написан профессионалами!" – говорите вы, и мнение об отсутствии необходимости защиты этой системы или программы с удовольствием поддерживают хакеры, постоянно разрабатывающие все новые методы использования наивностей. Linux.BackDoor.Fgt.1, Mac.BackDoor.iWorm, Trojan.Encoder.737 – более 7 миллионов "подарков" в месяц!

Вы до сих пор уверены, что ваш принтер не контролирует то, что вы печатаете, смартфон не передает записи ваших разговоров, а ваша машина не может "случайно" ускориться? Когда вы последний раз их проверяли? l

DDoS (Distributed Denial of Service) – самый распространенный тип атаки на интернет-ресурсы и сервисы. Это не взлом, а попытка занять мощности сервиса ненужными запросами, чтобы он не успевал обрабатывать значимые, временно "выходя из строя". Распределенными (distributed) атаки называются потому, что ведутся "ботнетами", то есть сетями, состоящими из большого числа инфицированных машин (вплоть до нескольких сот тысяч). Создавать ботнеты злоумышленникам сейчас нетрудно, учитывая широкое распространение уязвимостей и слабую защиту пользовательских компьютеров, серверов и другого оборудования – например, на домашние Wi-Fi-роутеры производители сами устанавливают бэкдоры (от англ. back door, черный ход) – программы, дающие доступ к системе и выставленные во внешнюю сеть.

Ботнеты в большинстве своем состоят из пользовательских компьютеров с ОС Windows, но зарегистрированы также ботнеты из домашних роутеров, компьютеров с ОС Mac OS, WordPress-сайтов, Linux-серверов. Ботнет не обязательно проводит атаку непосредственно сам. Существуют аmplification-атаки (атаки с усилением), заключающиеся в том, что на публичные серверы с уязвимой конфигурацией ПО отправляются маленькие запросы, заставляющие их отправлять гораздо большие ответы, но не обратно, а на атакуемый сервер. Это позволяет, имея канал относительно небольшой емкости, генерировать огромный трафик и полностью занимать канал оператора связи.

В последние годы пользуется популярностью усиление атак через UDP-протоколы (DNS, NTP и подобные) с подделкой IP-адреса отправителя (англ. spoofing, мистификация, подмена). В теории правильно настроенная сетевая инфраструктура должна отсекать пакеты с подделанными адресами, однако далеко не все сети настроены правильно, и за 2013–2014 гг. больше половины атак были именно этой разновидности.

DDoS распределяются по объектам атаки, то есть атакуемым уровням инфраструктуры: они могут быть направлены на приложения, HTTP-серверы, сетевой стек операционной системы, исчерпание канала или сетевую инфраструктуру. Легче всего атаковать приложение как самый медленный элемент конструкции; сложнее всего – затруднить работу сетевой инфраструктуры или исчерпать канал. Сложность атак на HTTP-серверы и сетевой стек находится примерно посередине. Однако для их осуществления в основном используются специфические особенности реализаций различных сетевых протоколов (медленная отправка HTTP-запросов, переустановка SSL-соединений, SYN-flood), поэтому многие подобные атаки отражаются путем установки и настройки правильного ПО – например, медленных HTTP-запросов боятся серверы Apache и IIS, но абсолютно не боится nginx. Встречаются и комбинированные атаки – сразу на несколько уровней инфраструктуры.

Что делать?

Заранее устанавливать, а затем обновлять и поддерживать продуманную систему фильтрации трафика экономически целесообразно только в случае частых, постоянно повторяющихся DDoS-атак. Высокая стоимость будет обусловлена еще и необходимостью широкого сетевого канала, так как если канал будет узкий, его емкость будет исчерпана запросами еще перед системой фильтрации. В остальных случаях следует определить мощность атаки, изучив количество и тип запросов, ситуацию с трафиком и другие показатели, и действовать в зависимости от силы нападения. Если атака направлена на приложения или ОС, а ботнет небольшой, ее вполне реально отразить силами грамотного системного администратора (настроив черные списки и др.). Если же цель атаки – исчерпание канала или сетевая инфраструктура, крайне желательно отражать ее за пределами дата-центра и лучше сразу привлекать компании, специализирующиеся на защите от DDoS.