Все новости от 31 июля 2000 г.

Атакуйте, хакеры, атакуйте, милые!

Обеспечение безопасности в Интернете - процесс сложный, простым развертыванием готового продукта здесь не обойтись. Чтобы помочь компаниям электронного бизнеса защитить свои сети в комплексной разнородной среде, Тестовый центр eWeek Labs начал 26 июля реализацию проекта под названием Openhack.

Наша новая инициатива стала логическим продолжением прошлогоднего интерактивного теста Hackpcweek.com. Тогда на специально созданном узле мы развернули Web-сервер Apache под управлением Linux и Internet Information Server 4 с Windows NT корпорации Microsoft, чтобы проверить, как каждый из них будет вести себя во враждебной среде Интернета.

Проект Openhack - наш следующий шаг в направлении интерактивной проверки сетевой защищенности. Мы приглашаем электронных взломщиков испытать свои лучшие приемы на узле openhack.com. Изучив интенсивность, типы и цели атак, мы сможет определить уровень безопасности - равно как и уязвимости - разнообразных платформ, работающих в смоделированной среде электронного бизнеса (см. топологическую схему узла).

В рамках проекта уже создан общедоступный Web-сервер www.openhack.com, где любой желающий сможет найти постоянно обновляемый журнальный файл.

Оборудование Openhack использует IP-адреса от 38.144.162.2 до 38.144.162.15 - вы вольны делать в этом диапазоне все что угодно, это будет честная игра. Взламывая наш узел, вы сможете не только испытать свои силы, но и получить приз за успешную атаку. Изменение страницы Web-сервера мы оценили в $500, компрометацию почтового сервера - в $1500, а проникновение в сервер баз данных - в $2500. Но учтите: за атаки типа DDoS (Distributed Denial-Of-Service - отказ в обслуживании за счет многосторонней перегрузки), которые часто используются в качестве отвлекающего маневра, мы не заплатим ничего.

Главная цель нашего проекта - предоставить читателям как можно больше информации, помогающей найти оптимальный баланс между защищенностью и открытостью коммуникаций. Чтобы решить эту задачу, нам нужно знать все детали удавшихся атак (включая использованные коды), поэтому призы будут вручаться только после предоставления таких сведений. Подробности выполнения проекта и полученные результаты мы намерены опубликовать в нашем издании.

Эволюция теста

Развитие технологии и совершенствование практики деловых отношений делает современные узлы электронной коммерции все более сложными и зачастую повышает их уязвимость. Такая тенденция нашла отражение и в комплексной среде Openhack. Создавая ее, мы сделали акцент вовсе не на том, какая платформа защищена лучше, а на том, какая хуже. В первую очередь нас интересовало, насколько успешно смогут сосуществовать различные платформы в безопасной среде.

На узле openhack.com развернуто несколько подсетей, в которых расположены системы электронной почты, службы каталога, приложение электронной коммерции и база данных масштаба предприятия. Здесь широко используются аппаратные средства фирмы Sun Microsystems и операционная система Solaris, а также Linux, OpenBSD, Windows NT и Windows 2000. Кроме того, свои серверы для тестирования нам предоставили корпорации Compaq Computer и Dell Computer.

Физически узел Openhack размещен в вычислительном центре фирмы PSI Net, расположенном в г. Торонто. Развернуть его нам помогли специалисты фирмы Guardent (Уолтем, шт. Массачусетс), которая дает консультации в области Интернет-безопасности, оценивает защищенность Web-узлов и оказывает услуги по управлению сетями.

Для помощи в налаживании защиты своих операционных систем собственных экспертов по безопасности прислали также Sun и Microsoft. А обеспечить безопасность ОС с открытыми исходными текстами нам помогли консультанты Guardent.

Главный элемент защиты узла Openhack - брандмауэр Raptor фирмы Axent Technologies, установленный на паре серверов Sun Ultra 10. Чтобы обеспечить устойчивость брандмауэра к непрерывным атакам, мы провели его кластеризацию с помощью ПО балансировки нагрузки фирмы Radware.

Предусмотрены в системе и средства обнаружения попыток взлома. В этих целях используется приложение RealSecure 5 фирмы Security Systmes, установленное за пределами брандмауэра.

Цели для атак

За нашим мощным брандмауэрным кластером скрываются три цели. Первая из них - Web-сервер, на котором установлены Linux Mandrake фирмы Mandrake Soft и Web-сервер Apache. Контроль за вторжением в подсеть сервера осуществляется с помощью системы обнаружения взломов NetProwler фирмы Axent.

В роли второй цели выступает подсеть электронной почты на основе последней версии Exchange 2000, которая работает в среде Windows 2000 Advanced Server (эта платформа обработки сообщений, которая вскоре должна появиться в продаже, проходит здесь боевое крещение). Для работы Exchange 2000 необходима служба каталога Active Directory, поэтому нам пришлось установить в подсети Exchange отдельную систему Advanced Server и разместить на ней Active Directory.

Третьей и последней целью является база данных Oracle8i, установленная на сервере Sun Enterprise F4500. Сервер работает под управлением операционной системы Solaris 8 и оснащен дополнительной защитой - перед ним установлен IP-фильтр OpenBSD. Контроль за этой подсетью возложен на систему обнаружения взломов Network Flight Recorder.

Тест Openhack будет продолжаться до 21 июля или до тех пор, пока не закончатся призовые деньги. Всего на награды за успешные и документированные взломы выделено $2500. Если успех будет достигнут в ходе нескольких однотипных атак, приз достанется тому, кто первым пришлет нам описание всех деталей взлома по электронной почте.

Со старшим аналитиком Генри Балтазаром можно связаться через Интернет по адресу: henry_baltazar@ziffdavis.com.

Дополнительная информация об интерактивном тестировании уровней защиты находится на Web-узле www.openhack.com.