Защита Интернет-пейджера

Алексей Лукацкий

Угрозы

Защита

 

Интернет-пейджеры сегодня все активнее завоевывают мир — ICQ, AIM, Yahoo! Messenger, MSN Messenger, Trillian и т.д. По данным IDC, в текущем году в мире будет свыше 200 млн. корпоративных и 300 млн. домашних пользователей ПО этого типа, получившего название Instant Messaging (IM). Широкое распространение IM обусловлено бесплатностью вышеперечисленных клиентов, а также удобством, которое они обеспечивают своим обладателям. Это гораздо более удобный и дешевый способ передачи информации, чем электронная почта или телефон. Консалтинговая компания Gartner даже предрекает к 2006 году победу Instant Messaging над привычной нам электронной почтой. Интернет-пейджинг сегодня часто используется для ведения бизнеса — общения с клиентами, обеспечения технической поддержки и т.п. Однако у данного способа есть серьезные проблемы с безопасностью, которые зачастую связаны с тем, что протоколы, используемые разработчиками Интернет-пейджеров, не содержат никаких механизмов защиты и что при этом производители делают их защищенными от анализа. Посмотрим, как можно сделать использование IM безопасным.

Угрозы

Неконтролируемое использование IM-клиентов в корпоративной сети чревато рядом угроз, которые трудно поддаются большинству традиционных средств защиты — антивирусам, персональным межсетевым экранам и т.д. К таким угрозам можно отнести заражение червями, внедрение троянских коней, утечку конфиденциальной информации, кражу паролей, маскировку под легального пользователя, перехват трафика и даже отказ в обслуживании.

Эпидемии червей традиционно ассоциируются с электронной почтой. Соответственно и средства защиты обычно рассчитаны на данный способ распространения вредоносных программ. Этим и пользуются злоумышленники, рассылающие свои творения по ICQ и другим типам IM-клиентов. К таким червям можно отнести Goner, Choke, Applore, SoFunny и пр. — сегодня известно уже несколько десятков примеров подобного рода. Опасность этой угрозы заключается в том, что если с обычными почтовыми червями производители бороться научились, то с IM-червями пока не все так просто — антивирусные шлюзы, установленные на периметре, не умеют анализировать трафик между клиентами и серверами Instant Messaging.

Периметровые межсетевые экраны (МСЭ), за редким исключением, тоже с большим трудом способны блокировать передачу текста и файлов между абонентами Интернет-пейджеров. Согласно проведенному InfoWorld и Network Computing опросу ИТ-специалистов, открытый на межсетевом экране 80-й порт приводит к следующему:

  • 43% компаний используют его для передачи медиатрафика (видео и музыки);
  • 43% — Instant Messaging;
  • 55% — различные Web-ориентированные приложения;
  • 43% — Web-сервисы.

Таким образом, на повестке дня остро встает вопрос утечки конфиденциальной информации в обход большинства средств мониторинга трафика. Обычным МСЭ очень сложно блокировать ICQ и другие IM-клиенты, поскольку они могут скрывать свои сообщения в разрешенных на периметрах протоколах (как правило, HTTP). Блокирование доступа к IM-серверам (например, http://www.icq.com/) тоже эффекта не дает — серверов очень много, их адреса постоянно меняются, а кроме того, можно использовать даже специальные промежуточные IM-прокси, которых в Интернете пруд пруди, или утилиты инкапсуляции IM-трафика в каких-либо протоколах (например, в HTTPTunnel).

Следующей угрозой при использовании Интернет-пейджеров являются троянцы, которые могут быть внедрены на рабочие станции и стать еще одним каналом утечки информации, проникновения червей и даже полного захвата управления над уязвимым компьютером. Зачастую порты, используемые IM-клиентами для взаимодействия, могут также использоваться троянцами, а следовательно, эти порты не могут быть блокированы персональными межсетевыми экранами, установленными на защищаемых компьютерах.

Если злоумышленник может внедрить на уязвимый ПК троянца или украсть конфиденциальную информацию, то он может получить несанкционированный доступ к паролям пользователя, что позволит ему в дальнейшем обратиться к любым ресурсам последнего — к базам данных, к ERP- или CRM-системам и т.п. Данная угроза опасна еще и тем, что нарушитель, украв пароль на доступ к IM-клиенту, сможет выдать себя за владельца Интернет-пейджера со всеми вытекающими отсюда последствиями.

 

Матрица угроз на распространенные IM-клиенты

Последней по счету, но не по важности является угроза нарушения работоспособности как IM-клиента, так и всей машины, на которой он работает. Атаки типа «отказ в обслуживании» могут быть реализованы за счет использования дыр в реализации программного обеспечения Instant Messaging, которых сегодня известно уже более семидесяти.

В начало В начало

Защита

Угроз использования IM-клиентов существует немало, и традиционные средства защиты не способны эффективно их отразить. Ситуация усугубляется еще и тем, что ICQ, как и другие IM-клиенты, абсолютно беспрепятственно (и бесплатно) можно загрузить из Интернета. Какие решения можно использовать для защиты от вышеперечисленных угроз?

Первая линия обороны — маршрутизатор, который позволяет с помощью специального механизма (например, Network-based Application Recognition, NBAR) обнаружить и отфильтровать любой трафик, в том числе отвечающий за взаимодействие Интернет-пейджеров.

Второй линией обороны считается межсетевой экран (МСЭ), в котором может быть реализовано три механизма, препятствующих несанкционированному использованию в корпоративной сети ICQ, AIM и аналогичных программ. Во-первых, МСЭ запрещает попытки взаимодействия IM-клиентов путем блокирования используемых ими портов. Во-вторых, он может ограничить доступ к серверам управления Instant Messaging, разбросанным по Сети. А в-третьих, если Интернет-пейджеры попытаются замаскироваться под разрешенные протоколы (например, в HTTP), то за счет инспекции Web-трафика межсетевой экран легко обнаружит и блокирует все подобные поползновения.

Ни один из существующих антивирусов не контролирует IM-трафик, и коль скоро они не способны защитить периметр, стоит возложить эту задачу на другие устройства, например на системы контроля Web-содержимого, которые помимо кэширования часто используемой информации, загружаемой из Интернета, решают и другие задачи:

  • регистрацию всех действий пользователей в Интернете;
  • прозрачное разграничение доступа пользователей к ресурсам Интернета, в том числе запрет определенных действий в Интернете по времени суток и дням недели;
  • скрытие всей внутренней структуры сети;
  • фильтрацию URL;
  • интеграцию с антивирусами для проверки Web-содержимого.

С точки зрения защиты Instant Messaging такие системы реализуют следующие возможности:

  • определение списка разрешенных IM-клиентов;
  • блокирование передачи с помощью Instant Messaging файлов и других вложений с разрешением обмена сообщениями;
  • создание списка пользователей, имеющих право пользоваться Интернет-пейджерами, и формирование правил их использования (по времени суток, дням недели и т.д.).

Четвертой линией обороны (после маршрутизатора, межсетевого экрана и системы контроля содержимого) является защита каждой рабочей станции, обеспечиваемая персональной системой обороны (см. статью «Какой быть идеальной системе защиты компьютера?» в этом спецвыпуске). Такая система обеспечивает всестороннюю защиту как мобильного, так и стационарного компьютера от множества несанкционированных действий, в том числе от всех вышеперечисленных угроз для Instant Messaging.

Используя персональный защитный агент, можно разрешить текстовые сообщения, блокируя передачу файлов и других вложений. Также эта система предохраняет IM-клиенты от атак типа «отказ в обслуживании», кражи паролей, внедрения троянцев и т.п. Кроме того, грамотно спланированная система личной компьютерной безопасности защищает другие приложения от возможных вредных действий Интернет-пейджеров  — доступа к чужим документам, изменения настроек браузера или почтового клиента и т.п.

Различные защитные решения позволяют эффективно обнаруживать и блокировать несанкционированное применение Интернет-пейджеров, используемых в обход корпоративной политики безопасности. В случае же если программное обеспечение Instant Messaging используется для ведения бизнеса, вышеперечисленные решения позволяют найти компромисс между безопасностью и необходимостью применения ICQ, AIM, Yahoo! Messenger и MSN Messenger.

КомпьютерПресс 4'2005


Наш канал на Youtube

1999 1 2 3 4 5 6 7 8 9 10 11 12
2000 1 2 3 4 5 6 7 8 9 10 11 12
2001 1 2 3 4 5 6 7 8 9 10 11 12
2002 1 2 3 4 5 6 7 8 9 10 11 12
2003 1 2 3 4 5 6 7 8 9 10 11 12
2004 1 2 3 4 5 6 7 8 9 10 11 12
2005 1 2 3 4 5 6 7 8 9 10 11 12
2006 1 2 3 4 5 6 7 8 9 10 11 12
2007 1 2 3 4 5 6 7 8 9 10 11 12
2008 1 2 3 4 5 6 7 8 9 10 11 12
2009 1 2 3 4 5 6 7 8 9 10 11 12
2010 1 2 3 4 5 6 7 8 9 10 11 12
2011 1 2 3 4 5 6 7 8 9 10 11 12
2012 1 2 3 4 5 6 7 8 9 10 11 12
2013 1 2 3 4 5 6 7 8 9 10 11 12
Популярные статьи
КомпьютерПресс использует