Ознакомительная версия. Доступно 11 страниц из 71
Одной из особенностей распределенной ВС является возможное отсутствие информации, необходимой для доступа к ее удаленным объектам, поэтому возникает необходимость использования потенциально опасных с точки зрения безопасности алгоритмов удаленного поиска. Следовательно, чтобы такой необходимости в РВС не возникало, на начальном этапе нужно спроектировать систему, полностью определив информацию о ее объектах. Это позволит, в свою очередь, ликвидировать одну из причин успеха удаленных атак, связанных с использованием в РВС алгоритмов удаленного поиска.
Однако в РВС с неопределенным и достаточно большим числом объектов (например, Internet) спроектировать систему с отсутствием неопределенности практически нельзя. В этом случае отказаться от алгоритмов удаленного поиска не представляется возможным.
Существуют два типа таких алгоритмов. Первый – с использованием информационно-поискового сервера, второй – с использованием широковещательных запросов. Применение в РВС алгоритма удаленного поиска с использованием широковещательных запросов в принципе не позволяет защитить систему от внедрения в нее ложного объекта, а следовательно, использование данного алгоритма в защищенной системе недопустимо. Применение в распределенной ВС алгоритма удаленного поиска с использованием информационно-поискового сервера позволяет обезопасить систему от внедрения в нее ложного объекта в том случае, если, во-первых, взаимодействие объектов системы с сервером происходит только с созданием виртуального канала и, во-вторых, у объектов, подключенных к данному серверу, и у сервера существует заранее определенная статическая ключевая информация, используемая при создании виртуального канала. При выполнении этих условий невозможно будет передать ложный ответ на запрос объекта.
Поясним последнее утверждение. Если виртуальный канал с информационно-поисковым сервером создается с использованием только динамически вырабатываемой ключевой информации, например по схеме открытого распределения ключей, то ничто не мешает атакующему (в том случае, когда он может перехватить первоначальный запрос на создание ВК с объекта системы) послать ложный ответ и создать виртуальный канал от имени настоящего сервера. Именно поэтому на всех объектах системы необходима начальная ключевая информация для создания ВК с информационно-поисковым сервером.
В заключение предлагаются требования, которыми необходимо руководствоваться при создании защищенных распределенных ВС.
...
Наиболее безопасной распределенной ВС является та, в которой информация о ее объектах изначально полностью определена и в которой не используются алгоритмы удаленного поиска.
...
В том случае, если предыдущее требование выполнить невозможно, в РВС необходимо использовать лишь алгоритм удаленного поиска с выделенным информационно-поисковым сервером; при этом взаимодействие объектов системы и данного сервера должно осуществляться только по виртуальному каналу с применением надежных криптоалгоритмов защиты соединения и статической ключевой информации.
...
В распределенной ВС для обеспечения безопасности необходимо отказаться от алгоритмов удаленного поиска с использованием широковещательных запросов.
Заканчивая главу, обращаем внимание читателей на то, что в Internet (стандарт IPv4) практически ни одно из сформулированных требований к построению безопасных распределенных систем не выполняется. Поэтому мы позволили себе привести те требования, с учетом которых, по нашему мнению, должна строиться распределенная ВС. Кстати, приняв во внимание собственные ошибки в разработке стандарта IPv4, специалисты уже завершают создание нового, более защищенного стандарта Internet – IPv6, где будут учтены некоторые вышеизложенные требования. Однако разговор о безопасности сети Internet в IPv6 несколько преждевременен, и его лучше отложить до окончательного выхода стандарта в свет.
Глава 8 Как защититься от удаленных атак в сети Internet
– …Скажите мне честно – есть ли хоть какой-то выход из этого кошмара?
– Выход всегда есть, – ответил Эркюль Пуаро.
А. Кристи. Подвиги Геркулеса
Прежде чем говорить о различных аспектах обеспечения информационной безопасности в сети Internet, пользователь должен ответить на вопрос: «А что мне защищать?» Вы скажете – странный вопрос. Ничуть! Особенность Internet на сегодняшний день состоит в том, что 99 % информационных ресурсов Сети являются общедоступными. Удаленный доступ к этим ресурсам может осуществляться анонимно, любым неавторизованным пользователем. Примером подобного неавторизованного доступа (если он разрешен) является подключение к WWW– или FTP-серверам. Теперь, даже если при помощи одной из описанных удаленных атак из предыдущей главы трафик пользователя будет, например, перехвачен и пройдет через сегмент сети атакующего, то последний не получит ничего, кроме и так общедоступной информации, а следовательно, в подобной атаке для кракера нет никакого смысла! Поэтому первая проблема, которую должен решить каждый пользователь, заключается в выборе вида удаленного доступа к ресурсам Сети. Если пользователь планирует осуществлять в Internet только неавторизованный удаленный доступ, то ему абсолютно не нужно заботиться о безопасности соединения (именно соединения, а не собственных ресурсов!). Если же планируется авторизованный доступ к удаленным ресурсам, то следует обратить на эту проблему особое внимание.
Определившись, к каким ресурсам сети Internet пользователь намерен осуществлять доступ, необходимо ответить на следующий вопрос: собирается ли пользователь разрешать удаленный доступ из Сети к своим ресурсам? Если нет, то тогда имеет смысл использовать в качестве сетевой ОС «чисто клиентскую» (например, Windows 98 или NT Workstation), которая не содержит программ-серверов, обеспечивающих удаленный доступ, а значит, удаленный доступ к данной системе в принципе невозможен, так как он просто не предусмотрен программой (правда, с одним но: под данные системы действительно нет серверов FTP, TELNET, WWW и т. д., и нельзя забывать про встроенную в ОС возможность предоставлять удаленный доступ к файловой системе, так называемое share (разделение ресурсов)). Например, давно известна программа, при некоторых условиях предоставляющая атакующему несанкционированный удаленный доступ к файловой системе ОС Windows NT 4.0. Выбор клиентской операционной системы во многом решает проблемы безопасности для данного пользователя (нельзя получить доступ к ресурсу, которого просто нет!), однако в этом случае ухудшается функциональность системы. Здесь своевременно сформулировать, на наш взгляд, одну из основных аксиом безопасности.
...
Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности.
Данная аксиома очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем она менее безопасна. Например, служба DNS: удобно, но опасно.
Вернемся к выбору пользователем клиентской сетевой ОС. Это, кстати, один из весьма здравых шагов, ведущих к сетевой политике изоляционизма. Данная сетевая политика безопасности заключается в осуществлении как можно более полной изоляции своей вычислительной системы от внешнего мира. Также одним из шагов к обеспечению политики является, к примеру, использование систем Firewall, позволяющих создать выделенный защищенный сегмент (например, приватную сеть), отделенный от глобальной сети. Конечно, ничто не мешает довести политику сетевого изоляционизма до абсурда – просто выдернуть сетевой кабель (полная изоляция от внешнего мира!). Не забывайте, это тоже «решение» всех проблем с удаленными атаками и сетевой безопасностью (в связи с полным отсутствием оных).
Итак, пусть пользователь Internet решил для доступа в сеть применить только клиентскую сетевую ОС и осуществлять с ее помощью неавторизованный доступ. Проблемы с безопасностью решены? Нет! Мы чуть не забыли про типовую удаленную атаку «отказ в обслуживании»! Для этой атаки абсолютно не имеет значения ни вид доступа, ни тип сетевой ОС (хотя клиентская ОС с точки зрения защиты от атаки несколько предпочтительнее). Эта атака, используя фундаментальные пробелы в безопасности протоколов и инфраструктуры сети Internet, поражает сетевую ОС на хосте пользователя с одной единственной целью – нарушить его работоспособность (см. главу 4). Напомним, что для атаки с навязыванием ложного маршрута при помощи протокола ICMP, целью которой является отказ в обслуживании, ОС Windows 95 или Windows NT – наиболее лакомая цель (можно поразить любой хост в сети Internet, на котором установлена данная ОС, – см. раздел «Навязывание хосту ложного маршрута с использованием протокола ICMP»). Бедному пользователю в таком случае остается надеяться на то, что его скромный хост не представляет никакого интереса для атакующего, который может нарушить работоспособность хоста разве что из желания просто напакостить.
Ознакомительная версия. Доступно 11 страниц из 71
