Internet переживает информационный бум. В этой статье мы расскажем о некоторых методах, с помощью которых узел Web вашей организации можно сделать одним из наиболее популярных узлов в киберпространстве.


У ПОРОГА INTERNET
РАСКОПКИ ДАННЫХ
СЛОВО О WEB
МЕСТНАЯ ДОСТАВКА
НОВОСТИ, ИМЕНА И ДОМЕНЫ
УМЕНЬШЕНИЕ РИСКА
ОБЩИЕ РЕКОМЕНДАЦИИ
КАКОЙ УРОВЕНЬ ЗАЩИТЫ НУЖЕН ВАШЕЙ СЕТИ?
Спектр защиты

Все сомнения побоку: Internet-мания стала всеобщей. К началу 1996 года Internet объединяла более 80000 подсетей и около 10 миллионов хостов. В Соединенных Штатах число хостов Internet увеличивается быстрее всего в коммерческом домене (.com), однако самый высокий темп роста наблюдается за пределами США.

Организации устанавливают связь с Internet по разным причинам - доступ к электронной почте, улучшение взаимодействия, укрепление продаж и маркетинговых программ и проч. Подключение к Internet только для доступа к электронной почте уже оправдывает себя, но вскоре многие организации обнаруживают, что они могут расширить свое присутствие в Internet при весьма небольшом увеличении затрат.

Информационные серверы, от finger до World Wide Web, используются как для внутренних, так и для внешних целей. Эти серверы могут, например, предоставлять потенциальным потребителям информацию о продуктах и услугах компании, пользователям - последние версии программного обеспечения для загрузки по сети, перспективным сотрудникам - новые возможности для карьеры, а потенциальным инвесторам - данные об определенной компании и ее положении на рынке.

Информационные серверы могут также предлагать новости, объявления, материалы научных исследований, информацию по различным интересующим пользователей темам и доступ к регулярным материалам (таким, как ежедневные фотографии кометы Хиакутаке), которые трудно найти где-нибудь еще.

У ПОРОГА INTERNET

Finger представляет собою утилиту Internet, позволяющую узнать об удаленных хостах и пользователях этих систем. Команда finger @hostname отображает имя пользователя, его подлинное имя, текущий процесс и другую информацию о всех пользователях, в настоящий момент вошедших на указанный хост. Команда finger username@hostname возвращает специфическую информацию об определенном пользователе этого хоста, в том числе время последнего входа. Иногда команда предоставляет дополнительную информацию об этом человеке.

Команда finger появилась, когда ARPAnet (предшественница Internet) была небольшой сетью и ее пользователи доверяли друг другу. Но сегодня нет причин, по которым демон finger (сервер) следовало бы поддерживать на хостах в вашей сети. Никому, особенно посторонним, не нужно знать о том, кто и зачем вошел в вашу систему. Вообще, если кому-либо хочется вторгнуться в систему, он начинает с того,что пытается угадать пароль. Что может быть лучше для знакомства с системой, чем список пользователей? Ситуацию усложняет и то, что большинство пользователей все еще выбирают легко угадываемые пароли, часто принимая за основу свое имя или номер телефона. Finger может дать потенциальному злоумышленнику доступ и к такой информации. Зонды finger могут использоваться и для вторжения с подменой IP-адресов.

Некоторые серверы finger были изменены с тем расчетом, чтобы они отображали файл, определенный системным администратором, такой, например, как приветствие с указанием адреса системного администратора. Это альтернатива предпочтительнее, чем обычный сервер finger, поскольку такое сообщение предоставляет основную информацию о системе, не создавая угрозы хранимым данным.

Действительно, неоднократные попытки запустить зонды finger могут свидетельствовать о потенциальной угрозе, но некоторые эксперты по защите информации считают, что любой запуск зонда finger - это атака на вашу систему, и на нее следует отреагировать. Такая позиция, однако, чрезмерно осторожна. Finger является дозволенным инструментарием, который многие применяют из любопытства, без злого умысла.

Некоторые хосты отслеживают зонды finger и то, как они используются, а в случае подозрительных действий предпринимают ответные меры. Иные даже не стесняются посылать фиктивную информацию в ответ на запрос finger. Обе эти стратегии полезны, если только у вас есть ресурсы и время для их реализации. Большинство из нас предпочитают запереть дверь, не желая знать, кто в нее стучит.

Telnet - это утилита Internet для удаленного входа в систему. При помощи telnet пользователь с локального хоста может войти на любой хост Internet, на котором он имеет бюджет. С другой стороны, некоторые узлы разрешают вход любому пользователю с любого хоста для работы с локальным клиентом. При помощи telnet пользователь может связаться с internic.net, войдя как gopher или как whois, и использовать клиентское программное обеспечение этого хоста, если он не имеет своего собственного клиента gopher или whois.

Другие узлы используют нестандартные номера порта для организации доступа внешних пользователей к специализированной информации. Войдя с помощью telnet на узел Университета штата Колорадо (culine.colorado. edu) и, к примеру, указав номер порта 859, 860, 862, 863 или 869, вы получите расписание игр Национальной баскетбольной ассоциации, Национальной хоккейной лиги, игр Высшей бейсбольной лиги, Национальной футбольной лиги и Канадской футбольной лиги соответственно.

В большинстве узлов, однако, нет причин устанавливать демон telnet на хосте, а делая это, вы только предоставляете злоумышленнику возможную точку входа. Большинство маршрутизаторов поддерживает telnet, что также придает потенциальную уязвимость защите. Единственная альтернатива доступа к telnet с консоли - это подключение терминала к последовательному порту маршрутизатора.

Если вы все-таки вынуждены поддерживать сервер telnet на хосте, то доступ извне следует резко ограничить. Обычно единственные хосты, заслуживающие доверия, - это хосты, имеющиеся в вашей собственной сети или в других сетях, которым вы доверяете. Без особой нужды гостевой бюджет лучше не поддерживать. Если все-таки вы не можете без этого обойтись, то постарайтесь максимально изолировать данную систему от других. Если нарушитель получает доступ на один хост, то в принципе он может попасть и на другие хосты вашей внутренней сети или в Internet. Наконец, подумайте об использовании нестандартного номера порта для службы telnet (telnet обычно откликается на общеизвестный номер порта 23).

РАСКОПКИ ДАННЫХ

Протокол передачи файлов (ftp) позволяет пользователям входить в удаленную систему для конкретной цели - передачи файлов. Это чрезвычайно полезная утилита предоставляет механизм для получения новых версий программ, информацию о продуктах и услугах, технические спецификации, исследовательские материалы и другую информацию от вашей компании.

Анонимный ftp - наиболее распространенный способ доступа пользователей к узлу ftp. Эти бюджеты имеют имя пользователя anonymous и используют обычно пароль guest или адрес электронной почты пользователя. В последнем случае некоторые узлы проверяют адрес источника пакета на соответствие домену, указанному в пароле. После того как ftp-сервер установлен, локальные пользователи или клиенты могут получить и индивидуальные бюджеты.

Во время настройки файлов паролей для ftp-сервера укажите те каталоги, к которым анонимные пользователи ftp имеют право доступа. Вообще таким пользователям должно разрешаться только копировать файлы из каталога. Если вы разрешаете и копировать в каталог, укажите каталоги, в которых это можно делать, и тщательно следите за ними. Не допускайте того, чтобы ваш узел стал тайным складом для украденных хакерами файлов.

Некоторые узлы скрывают имена файлов в каталогах. Пользователь может загрузить файл из этих каталогов, если ему известно его имя (имя, например, можно узнать в отделе обслуживания потребителей), но этот пользователь не может просмотреть содержимое каталога.

Некоторые узлы идут еще дальше и требуют, чтобы пользователи, после того как они вошли и представились, предоставили определенную информацию. В свою очередь, они получают каталог и имя файла на некоторое время.

Gopher представляет собой дополнение к ftp и обеспечивает иерархическую организацию узла ftp, управляемую при помощи меню. Он содержит также ссылки на другие узлы со схожей информацией, а также средства поиска. Gopher был одной из первых широко доступных утилит Internet, которую даже неспециалисты находили простой для применения: она не основана на Unix и предоставляет ссылки на другие узлы Internet.

В общем, если у вас еще нет сервера gopher, то и не надо: вы можете создать точно такую же иерархическую структуру с теми же возможностями при помощи сервера Web. Кроме того, реализация gopher накладывает на вас обязательства по поддержке и администрированию службы.

СЛОВО О WEB

Многие уже не отличают Web от Internet. Программы просмотра Web, такие как Netscape Navigator и Mosaic, обеспечивают пользователям доступ к гипертекстовым документам по всему миру и средства для воспроизведения текста, изображения, графики, видео-, аудио- и других типов информации. В конце 1995 года на долю Web приходилось около 40% трафика Internet.

Серверы Web, несомненно, представляют собой самый быстрорастущий сегмент серверов Internet. В июне 1995 года насчитывалось около 17000 хостов Internet, имеющих имя www, а к январю 1996 это число достигло 76000 (при том, что далеко не все серверы Web носят имя www!).

Если у вас еще нет сервера Web в Internet, то что же вы ждете?! При его организации учтите следующие моменты:

  • Не переусердствуйте с графикой. Хотя художественное оформление несомненно важно, реальным ключом к успеху вашего узла является высококачественное информационное наполнение, его организация и полезность. Если ваш узел содержит большое количество графики, то обязательно в качестве альтернативы поддерживайте и чисто текстовые страницы того же содержания.
  • Перемещение по узлу должно быть простым, и, если нужно, предоставьте средства поиска.
  • Каналы связи и возможности сервера должны соответствовать уровню ожидаемого использования.
  • Оповестите о своем узле, указав его в таких популярных инструментах поиска как Yahoo!, Lycos и WebCrawler.
  • Убедитесь, что информация на вашем узле своевременная и точная. Ничто так не раздражает, как увиденное при посещении узла в марте 1996 года предупреждение "Последние изменения: ноябрь 1994 года" или "Посетите наш узел снова, когда мы завершим его подготовку в январе 1996 года" (оба эти сообщения мы видели своими глазами). Кроме того, своевременно обновляйте ссылки, имеющиеся на вашем узле. Меня всегда поражало число узлов с некорректными ссылками и, в некоторых случаях, с указателями, ведущими в "никуда", на свой собственный сервер.
  • Обеспечьте связь по электронной почте с администратором узла Web.
  • Не заставляйте пользователей указывать свое имя и пароль при доступе к бесплатной информации. Это только усилит неразбериху (в паролях).
  • Используйте, где это возможно, защищенные протоколы Web, такие как Secure Hypertext Transfer Protocol или Secure Sockets Layer.
  • Для коммерческих приложений используйте коммерческие серверы Web.
  • МЕСТНАЯ ДОСТАВКА

    Электронная почта по-прежнему остается наиболее широко используемым приложением Internet. Почтовые серверы необходимы для организации работы электронной почты; во многих случаях доступ к ней требует применения шлюза между вашим внутренним почтовым программным обеспечением (таким как PROFS, cc:mail, Notes или Microsoft Mail) и Simple Mail Transfer Protocol (SMTP).

    По мере возможности адреса электронной почты должны быть единообразны в пределах вашей компании, для того чтобы внешним пользователям было легче найти конкретных людей. Например, компания, в которой работает автор статьи, использует формат первая буква имени.фамилия. В других фирмах используются варианты: первая буква имени_фамилия или имя_фамилия.

    Некоторые эксперты по защите информации считают, что имя, которое пользователь указывает в адресе электронной почты, должно отличаться от используемого им для входа в локальную сеть или на хост. Эти превентивные меры не позволят потенциальным нарушителям получить доступ к настоящим именам пользователей. Иногда необходимо определить такие функциональные имена как postmaster, info, jobs, sales и webmaster с целью упростить внешним пользователям общение с вашей организацией.

    Некоторые компании, считая, что электронная почта на основе SMTP более полезна, чем закрытые почтовые системы, отказались от последних. Причин тому, как минимум, три. Во-первых, системы электронной почты на основе SMTP предоставляют удаленный доступ к электронной почте из любой точки мира через Internet по более низкой цене, чем стоит удаленный доступ по телефонным линиям. Во-вторых, большая часть электронной почты приходит от пользователей Internet, а не от внутренних пользователей, и поэтому SMTP имеет смысл. В-третьих, большинство существующих почтовых клиентов SMTP, таких как Eudora, Microsoft Exchange и других клиентов Post Office Protocol (POP), обладают аналогичной функциональностью.

    И еще одно соображение. Многие организации имеют списки дискуссионных групп по электронной почте в Internet, использующие инструменты типа majordomo или listserv. Подобные списки позволяют организациям активно содействовать обсуждению проблем, в которых они заинтересованы. Применение такого инструментария способствует также созданию впечатления, что организация находится в первых рядах тех, кто занят этими вопросами.

    Хотя пользователи могут автоматически подписываться и отказываться от подписки на участие в таких группах, вы должны тщательно рассмотреть последствия размещения списков такого рода до того, как добровольно возьметесь за это дело. Число сотрудников, необходимых для администрирования списка, а также программное и аппаратное обеспечение и требуемые ресурсы связи различаются в зависимости от уровня активности подобных дискуссионных групп. Кроме того, легальной деятельности некоторых хостов с такими списками угрожает судебное преследование вследствие провокационных комментариев некоторых подписчиков.

    НОВОСТИ, ИМЕНА И ДОМЕНЫ

    Сервер Netnews обеспечивает доступ к группе новостей Usenet. Многие профессионалы считают доступ к подобным группам новостей необходимым для своей работы. Если вы устанавливаете сервер Network News Transfer Protocol, тщательно продумайте, какие группы новостей вы хотели бы получать, так как подобных списков великое множество. Некоторые группы новостей генерируют всего несколько сообщений в день, в то время как другие посылают более 100 за тот же период. Также важно помнить, что некоторые из списков изобилуют графикой. Это дополнительный повод согласовывать возможности сервера (как по скорости, так и по емкости диска) и линий связи с ожидаемым уровнем трафика.

    Некоторые узлы Internet содержат архивы подмножеств групп новостей Usenet. Один из лучших узлов можно найти в gopher://gopher.bham.ac.uk./11/Use-net. Для большинства пользователей это явно не самый предпочтительный способ получения информации Usenet, но он предлагает альтернативный метод доступа.

    Domain Name Server (DNS) - это распределенная база данных на Internet, обеспечивающая преобразование IP-адреса в имя хоста. Она также определяет системы электронной почты и сервера имен для домена. Если у вас небольшой узел Web и ваш Internet-оператор (ISP) предоставляет вам услуги DNS, то такое положение часто вполне удовлетворительно. Но если Internet-оператор не предлагает DNS (к сожалению, такие пока имеются), или же не обновляет своевременно информацию DNS, то вы должны будете организовать службу DNS самостоятельно. Установка базы данных DNS не так уж и трудна, однако неудачная конфигурация может блокировать доступ во внешнюю сеть или доступ удаленных пользователей на ваш сервер. Некоторые организации нанимают консультанта для настройки файлов DNS, а затем поддерживают эти файлы самостоятельно. Поддержка файлов DNS - относительно простая, но требующая от администратора определенного времени задача.

    УМЕНЬШЕНИЕ РИСКА

    Разговор об общедоступных серверах будет неполным, если не коснуться вопроса защиты. Без соответствующей защиты ваш хост не просто подключен к Internet, он является ее частью. Благодаря многочисленным публикациям о брандмауэрах, о защите в Internet и о хакерах, значительная часть публики узнала о проблемах защиты информации в Internet.

    Один из экспертов отрасли считает, что "защищенных узлов в Internet нет, есть только такие, за которыми бдят". Создав информационный сервер, вы приглашаете людей подключиться к системе в вашей корпоративной сети. Следовательно, вы должны обеспечить максимально возможный уровень защиты. Оценку необходимого уровня защиты необходимо проводить на основе предполагаемой степени риска, открытости системы и цены, которую вам придется заплатить, если информация вашей компании будет повреждена, украдена или потеряна. В частности, размещайте важную информацию на общедоступном сервере, только если это абсолютно необходимо, а корпоративные серверы располагайте за брандмауэрами. Изолируйте внутренний и внешний информационные серверы друг от друга и объясните пользователям их роль в обеспечении защиты сети.

    Осторожность никогда не повредит, а посему не помешает что-нибудь типа брандмауэра, например фильтрация пакетов и/или уполномоченный сервер, с правилами, определяющими, какие типы пакетов и приложений поддерживаются. Запросы ftp на передачу файлов следует разрешать только если они направлены на ваш сервер ftp, а не в другие системы. Кроме того, определите правила для блокировки атак извне и изнутри, с имитацией IP-адреса.

    На Рис. 1 показана возможная конфигурация информационного сервера Internet с брандмауэром. Информационный сервер Internet для общего доступа находится во внешней части сети. Это отчужденные системы, так как они не содержат критической информации и не обеспечивают доступ ко внутренней сети. Хост-бастион (возможно имеющий полномочных агентов для всех поддерживаемых приложений) действует как шлюз для всего входящего и исходящего трафика между системами, которым пользователь доверяет, и Internet. (Системы, заслуживающие доверия пользователя, присоединены к внутренней сети; внешние серверы таковыми не являются.) Применение протоколов и приложений Internet на частных информационных серверах позволяет создать сеть Intranet, в которую внешние пользователи доступа не имеют. Эта конфигурация обеспечивает умеренный уровень защиты. Конфигурации брандмауэр/бастион и хост/сервер разнообразны по цене и уровню защиты.

    Picture 1 (1х1)

    Рисунок 1.
    В этой конфигурации пользовательская сеть разделена на две подсети, внутреннюю и внешнюю. Заметим, что использование приложений и протоколов Internet для частных информационных серверов обеспечивает структуру Intranet, закрытую для злоумышленников.

    Многие узлы исповедуют философию "защита во мраке". Они не афишируют имена хостов и пользователей. Этот подход обречен на неудачу, поскольку скрыть что-либо в Internet невозможно. (Несколько более детальное описание возможных уровней защиты см. во врезке "Виды защиты".)

    ОБЩИЕ РЕКОМЕНДАЦИИ

    Возможности использования Internet для увеличения рынка сбыта или привлечения инвесторов трудно переоценить. Когда Netscape Communications и Yahoo! стали акционерными компаниями, их акции моментально разошлись. Почему? Потому что инвесторы уже имели опыт использования продуктов этих компаний и решили, что инвестиции вполне надежны. Кроме того, выпуская ранние версии своего программного обеспечения бесплатно, компания Netscape подготовила почву для рынка коммерческих программ просмотра Web. Компания удерживает свою позицию создателя стандартов Web, распространяя бета-версии своих программ, еще находящихся в разработке.

    С соответствующими мерами предосторожности, предоставление информации через Internet относительно просто, недорого, безопасно и потенциально очень выгодно. Ниже перечислены некоторые заключительные рекомендации, касающиеся организации общедоступного информационного сервера.

  • Не помещайте вашу частную информацию на общедоступный сервер. Блокируйте доступ к частному информационному серверу при помощи брандмауэра.
  • Информационное наполнение и организация - залог успеха. Сделайте так, чтобы вашу информацию не только было легко найти, но и стоило искать. Некоторые серверы содержат структурную схему или описание узла на первой странице или в верхнем каталоге, упрощая пользователям навигацию по узлу Web.
  • Аппаратное и программное обеспечение, а также каналы связи должны соответствовать ожидаемому уровню использования. Некоторые компании, особенно небольшие, обходятся медленными ПК и каналами связи с пропускной способностью 56 Кбит/с (для работы с Web, передачи файлов и взаимодействия с другими информационными серверами). Однако по мере роста активности могут потребоваться более мощные процессоры с лучшим программным обеспечением, а также более скоростные каналы для повышения надежности, улучшения производительности и уменьшения реакции. Это особенно касается тех, кто предлагает платные услуги.
  • Важность осведомленности о защите невозможно переоценить. Довольно многие думают, что если они могут вторгнуться или испортить вашу систему, то сделать это стоит непременно. Кроме того, помните о постоянной угрозе со стороны потенциальных хакеров. В некоторых случаях вы должны будете противостоять попыткам конкурентов проникнуть в вашу систему. Другие узлы, например установленные компаниями, продающими системы защиты, могут быть весьма соблазнительны для хакеров, пытающихся доказать свою состоятельность.
  • Представление сотрудников вашей организации на сервере. Никто так не расскажет о компании, как тот, кто в ней работает. Включите в информационный сервер короткие биографии сотрудников и личные домашние страницы. Не забывайте при этом и о правах личности: ни имя, никакие другие частные сведения не могут быть переданы на сервер Internet без уведомления и разрешения сотрудников.
  • Переоценка сетевых возможностей. Многие организации считают свой план абсолютно надежным, но, установив информационный сервер Internet, обнаруживают, что узел живет собственной жизнью. Также важно помнить, что информационные серверы могут потребовать значительных административных ресурсов. Кроме того, стоимость узла бывает трудно выразить в денежной форме и еще труднее продемонстрировать отдачу от вложенных средств. Многие из преимуществ таких узлов незаметны, например демонстрация солидности компании. (Представьте, как скажется на корпоративном имидже компьютерной или сетевой компании отсутствие ее в Internet.) Сообщайте пользователям, когда вы проводите испытания, настройку или обучение. Консультируйтесь с потребителями и членами управленческой команды вашей компании в отношении возможностей обслуживания, не обещайте много и сразу.
  • Недооценка сетевых возможностей. Очень просто выйти в Internet с информационным сервером, хотя то, что вы получите в результате, может не соответствовать вашим ожиданиям. Не откладывайте в долгий ящик совершенствование возможностей вашего сервера. Помните о том, что произошло с одним из ведущих производителей коммутаторов, организовавшим свой общедоступный сервер Web в середине 1996 года, отстав при этом от своих основных конкурентов на год. Эксперименты со стилем и форматом не будут стоить вашей организации ровным счетом ничего, и одно из преимуществ Web в том, что вы можете немедленно изменить все, что вам не нравится или что не работает.
  • Стремление к успеху! Пользователи должны пройти обучение, а администрации необходимо понять, как Internet вписывается в ваш корпоративный бизнес-план. Чтобы еще больше подчеркнуть важность административных факторов, напомним, что работа с Internet в большинстве небольших компаний не требует серьезных затрат времени, но требует постоянного внимания и заботы. Не связывайте себя по рукам и ногам тупиковым аппаратным или программным обеспечением. Будьте уверены, что у вас есть возможности роста.

  • Гери Кесслер - ведущий сотрудник технической группы в компании Hill Associates, занимающейся телекоммуникациями, обучением и консалтингом. Он также является автором таких работ как ISDN, 3-е издание (McGraw-Hill). С ним можно связаться через Internet по адресу: g.kessler@hill.com или kumquat@hill.com.

    КАКОЙ УРОВЕНЬ ЗАЩИТЫ НУЖЕН ВАШЕЙ СЕТИ?

    Спектр защиты

    Когда дело касается подключения к Internet, различные организации занимают различные позиции. Здесь представлена неформальная классификация разнообразных подходов к защите в киберпространстве.

  • Параноидальный: Организации вообще не подключаются к Internet. Хотя это, безусловно, наиболее безопасное окружение, любые контакты с внешним миром становятся в данном случае невозможными.
  • Осторожный: Организации подключаются к Internet, но следуют набору правил, которые по умолчанию запрещают все коммуникации, за исключением тех, что точно разрешены. Такой подход также называется "запрещено все".
  • Позволительный: Организации подключены к Internet, но следуют набору правил, которые по умолчанию разрешают все коммуникации, за исключением тех, что явно запрещены. Такой подход также известен как "разрешено все".
  • Беспорядочный: Организации, подключившись к Internet, не принимают каких-либо мер безопасности.