сеансовий ключ, використовуваний надалі абонентами SSL-з'єднання для шифрування переданих повідомлень. Протокол SSL сьогодні вже практично оформився як офіційний стандарт захисту для HTTP-з'єднань, тобто для захисту Web-серверів. Його підтримують, природно, Netscape Navigator і, як не дивно, Microsoft Explorer. Звичайно, для встановлення SSL-з'єднання з Web-сервером ще необхідно і наявність Web-сервера, що підтримує SSL. Такі версії Web-серверів вже існують (SSL - Apachе, наприклад). У висновку розмови про протокол SSL не можна не відзначити наступний факт: законами США донедавна був заборонений експорт криптосистем з довжиною ключа більш 40 біт (недавно він був збільшений до 56 біт). Тому в існуючих версіях браузерів використовуються саме 40-бітні ключі. Криптоаналітиками шляхом експериментів було з'ясовано, що в наявній версії протоколу SSL шифрування з використанням 40-бітного ключа не є надійним захистом для переданих по мережі повідомлень, тому що шляхом простого перебору (240 комбінацій) цей ключ підбирається за час від 1,5 (на супер ЕОМ Silicon Graphics) до 7 доби (у процесі обчислень використовувалося 120 робочих станцій і трохи міні ЕОМ).
Отже, мабуть, що повсюдне застосування цих захищених протоколів обміну, особливо SSL (звичайно, з довжиною ключа більш 40 біт), поставить надійний бар'єр на шляху усіляких вилучених атак і серйозно ускладнить життя зловмисників усього світу. Однак весь трагізм сьогоднішньої ситуації з забезпеченням безпеки в Internet полягає в тому, що поки жоден з існуючих криптопротоколів (а їх уже чимало) не оформився як єдиний стандарт захисту з'єднання, що підтримувався б усіма виробниками мережних ОС. Протокол SSL, з наявних на сьогодні, підходить на цю роль щонайкраще. Якби його підтримували всі мережні ОС, то не треба було б
створення спеціальних прикладних SSL-сумісних серверів (DNS, FTP, TELNET, WWW і ін.). Якщо не домовитися про прийняття єдиного стандарту на захищений протокол сеансового рівня, то тоді буде потрібно прийняття багатьох стандартів на захист кожної окремої прикладної служби. Наприклад, уже розроблений експериментальний, ніким не підтримуваний протокол Secure DNS.
Також існують експериментальні SSL-сумісні Secure FTP- і TELNET-сервери. Але все це без прийняття єдиного підтримуваного усіма виробниками стандарту на захищений протокол не має абсолютно ніякого змісту. А на сьогоднішній день виробники мережних ОС не можуть домовитися про єдину позицію на цю тему і, тим самим, перекладають рішення цих проблем безпосередньо на користувачів Internet і пропонують їм вирішувати свої проблеми з інформаційною безпекою самим.
3.5 Мережний монітор безпеки IP Alert-1.
У мережі Internet, як і в інших мережах (наприклад, Novell NetWare, Windows NT), відчувається серйозна недостача програмного засобу захисту, що здійснює комплексний контроль (моніторинг) на канальному рівні за всім потоком переданої по мережі інформації з метою виявлення всіх типів вилучених впливів. Дослідження ринку програмного забезпечення мережних засобів захисту для Internet виявило той факт, що подібних комплексних засобів виявлення вилучених впливів не існує, а ті, що маються, призначені для виявлення впливів одного конкретного типу (наприклад, ICMP Redirect). Тому і була почата розробка засобу контролю сегмента IP-мережі, призначеного для використання в мережі Internet і наступна назва, що одержала: мережний монітор безпеки IP Alert-1. Основна задача цього засобу, що програмно аналізує мережний трафік у каналі передачі, складається не у відображенні здійснюваних по каналі зв'язку вилучених атак, а в їхньому виявленні, протоколюванні (веденні файлу аудита з протоколюванням у зручній для наступного візуального аналізу формі всіх подій, зв'язаних з вилученими атаками на даний сегмент мережі) і негайним сигналізовуванні адміністратору безпеки у випадку виявлення вилученої атаки. Основною задачею мережного монітора безпеки IP Alert-1 є здійснення контролю за безпекою відповідного сегмента мережі Internet. Мережний монітор безпеки IP Alert-1 володіє наступними функціональними можливостями і дозволяє, шляхом мережного аналізу, знайти наступні вилучені атаки на контрольований їм сегмент мережі Internet.
Функціональні можливості мережного монітора безпеки IP Alert-1:
1. Контроль за відповідністю IP- і Ethernet-адрес у пакетах, переданих хостами, що знаходяться усередині контрольованого сегмента мережі.
На хості IP Alert-1 адміністратор безпеки створює статичну ARP-таблицю, куди заносить зведення про відповідний IP- і Ethernet-адресах хостів, що знаходяться усередині контрольованого сегмента мережі. Дана функція дозволяє знайти несанкціоновану зміну IP-адреси чи її підміну (IP Spoofing).
2. Контроль за коректним використанням механізму вилученого ARP-пошуку.
Ця функція дозволяє, використовуючи статичну ARP-таблицю, визначити вилучену атаку "Помилковий ARP-сервер".
3. Контроль за коректним використанням механізму вилученого DNS-пошуку.
Ця функція дозволяє визначити всі можливі види вилучених атак на службу DNS.
4. Контроль на наявність ICMP Redirect повідомлення.
Дана функція оповіщає про виявлення ICMP Redirect повідомлення і відповідної вилученої атаки.
5. Контроль за коректністю спроб вилученого підключення шляхом аналізу переданих запитів.
Ця функція дозволяє знайти, по-перше, спробу дослідження закону зміни початкового значення ідентифікатора TCP-з'єднання - ISN, по-друге, вилучену атаку "відмовлення в обслуговуванні", здійснювану шляхом переповнення черги запитів на підключення, і, по-третє, спрямований "шторм" помилкових запитів на підключення (як TCP, так і UDP), що приводить також до відмовлення в обслуговуванні.
Таким чином, мережний монітор безпеки IP Alert-1 дозволяє знайти, сповістити і запротоколювати усі види вилучених атак. При цьому дана програма ніяким образом не є конкурентом системам Firewall. IP Alert-1, використовуючи систематизовані особливості вилучених атак на мережу Internet, служить необхідним доповненням - до речі, незрівнянно більш дешевим, - до систем Firewall. Без монітора безпеки більшість