Петров А.А. Комп без-ть

генерируемых прикладным ПО, может служить информация о старте или останове \УеЪ-сервера. Буфер системы аудита находится в монопольном владении ядра ОС. При осущ ествлении записи или чтения в данный буфер производится его блокировка с целыо запрещения одновремен­ ного чтения из него и записи в него. К каждому событию, помещенному в буфер, дописывается метка времени, последовательный номер и иден­ тификатор процесса, породившего данное событие.

Общая схема архитектуры построения системы аудита представлена на рис. 3.5.

Необходимо подчеркнуть важность не только сбора информации, но и ее регулярного и целенаправленного анализа. В этом плане выгодное положение занимают средства аудита С УБД , поскольку к регистрацион­ ной информации могут естественным образом применяться произволь­ ные 5()Б-запросы.

3.3. Защита в локальных сетях

Прежде чем перейти к рассмотрению раздела, связанного с безопаснос­ тью межсетевого взаимодействия, необходимо обратить внимание на то, что глобальные сети передачи данных представляют собой объединение локальных вычислительных систем (Л В С ), имеющих различную топо­ логию построения и использую щ их разнообразные сетевые протоколы (ТСР/1Р, 1РХ/5РХ, ЫеПлоз, ОесЫе1: и др.). Поэтому в данном разделе мы уделим внимание безопасности именно ЛВ С . Отдельной проблемой яв­ ляется применение активных сетевых ресурсов - А Б (в О С ^ т б о ^ / з 1ЧТ)

232 Компьютерная безопасность и практическое применение криптографии

и N 0 3 (в О С Ыоуе11 Ке1ЛУаге). (Информацию по аспектам безопасности и использования этих служб можно найти на сайтах МюгозоЙ; и ИоуеП.)

Вопрос безопасности на примере конкретных сетевых ОС, таких как

\ У ш с1о \у 5 Э Т и Ыоуе11 Ы е^аге. В этой части будут затронуты специфичес­ кие аспекты их функционирования в рамках локальных вычислительных сетей (Л В С ), а также проблемы сетевой безопасности, возникающие в дан­ ных ОС. Особенности защиты информации в современных ОС были рас­ смотрены ранее, проблемы же межсетевого взаимодействия изложены в сле­ дующих разделах.

О безопасности в локальных сетях уже сказано достаточно много, по­ этому в настоящем разделе мы рассмотрим только основные моменты, связанные с сетевой безопасностью ЛВС, которые построены на описан­ ных выше ОС.

3.3.1. Общие вопросы безопасности в ЛВС

Безопасность Л В С по сравнению с безопасностью межсетевого взаимо­ действия отличается тем, что в случае локальных вычислительных сетей на первое по значимости место выходят нарушения зарегистрированных пользователей ОС, поскольку в основном каналы передачи данных в ЛВ С находятся на контролируемой территории, защита от несанкционирован­ ного подключения к которым реализуется административными методами.

Среди основных угроз, наиболее опасных для ЛВС, следует отметить следующие:

•анализ сетевого трафика с целыо получения доступа к конфиденци­ альной информации, например к передаваемым в открытом виде по сети пользовательским паролям;

•нарушение целостности передаваемой информации. При этом может модифицироваться как пользовательская, так и служебная информа­ ция, например подмена идентификатора группы, к которой принадле­ жит пользователь;

•получение несанкционированного доступа к информационным ресур­ сам, например с использованием подмены одной из сторон обмена дан­ ными с целыо получения доступа к файл-серверу от имени другого пользователя;

•попытка совершения ряда действий от имени зарегистрированного пользователя в системе, например злоумышленник, скомпрометиро­ вав пароль администратора, может начать общаться с Л В С от его имени.

Причинами возникновения данных угроз в общем случае могут оказаться:

•наличие уязвимостей в базовых версиях сетевых протоколов. Так, при использовании стека протоколов ТСР/1Р нарушитель может внедрить в Л В С ложный АКР-сервер (см. пример, приведенный далее);

•уязвимости специализированных защитных механизмов. Например, причиной возникновения подмены стороны информационного обме­ на может служить уязвимость процедур аутентификации клиентов при доступе к серверу;

•некорректное назначение уровня доступа;

•использование в качестве каналов передачи данных общедоступной среды, например применение топологии построения Л В С с общей ш и­ ной. В данном случае злоумышленник может использовать П О (н а ­ пример, ЫеШогк М опйог или ЬапАпа1угег), позволяющее просматри­ вать все передаваемые в сети пакеты;

•некорректное администрирование ОС, например задание не до конца

продуманных разрешений иа удаленное редактирование системного реестра (в ОС ^ псЬ^уз И Т );

•ошибки в реализации ОС;

•ошибки персонала.

Обеспечение защиты в соответствии с заданной политикой безопас­ ности в Л В С является комплексной задачей и осуществляется при п о ­ мощи:

•корректного администрирования сетевых настроек О С (в том числе и настроек, отвечающих в данной О С за сетевую безопасность, кото­

рые являются штатными средствами большинства современных О С );

•дополнительных защитных механизмов: шифрования, ЭЦП, аутенти­ фикации сторон и др.;

•организационных методов защиты и контроля за их неукоснительным соблюдением, например с использованием системы аудита.

Говоря о дополнительных защитных механизмах, следует отметить, что надежная защита в Л В С возможна только при использовании средств обеспечения конфиденциальности и достоверности передаваемого по сети трафика, например при использовании П К «И гла -П ». В случае примене­ ния криптографических средств защиты информации в Л В С проблем с рас­ пределением ключевой информации будет возникать гораздо меньше, н е ­ жели при межсетевом взаимодействии, поскольку число пользователей в ЛВ С ограничено и появляется возможность применить эффективные

234 Компьютерная безопасность и практическое применение криптографии

организационные методы распределения ключевой информации. Н а­ пример, при использовании в Л В С средств криптографической защиты можно создать центр распределения ключей, в функции которого вхо­ дила бы генерация ключевых дискет и рассылка их конечным пользо­ вателям, что позволит отказаться от открытого распределения ключе­ вой информации.

Необходимо отметить, что действенным методом поддержания надеж­ ного функционирования системы безопасности в ЛВ С является использо­ вание системы аудита. Действенность аудита в данном случае заключает­ ся не только в своевременном реагировании администратора безопасности на нарушения выбранной политики безопасности в ЛВС, но и в возмож­ ности привлекать зарегистрированных пользователей к ответственности за совершенные проступки.

Определенную пользу может оказать применение особых топологий по­ строения ЛВС, минимизирующих возможность применения нарушителем средств, которые позволяют прослушивать среду передачи данных. Это прослушивание обычно выполняется с целыо получения доступа к сетевым пакетам. В подобном случае применение сетевой топологии типа «звезда» не позволит нарушителю получить доступ со своей рабочей станции к се­ тевым пакетам, ему не предназначенным. Правда, злоумышленник может осуществить несанкционированное подключение к одному из каналов, однако подобные посягательства должны предотвращаться либо органи­ зационными методами, либо шифрованием трафика, что сделает попытки нарушителя бессмысленными.

Кроме того, для исключения возможности неавторизоваииого входа в компьютерную сеть в последнее время используется комбинированный подход - пароль совместно с аутентификацией пользователя по персональ­ ному носителю «идентификационной информации». В качестве носителя может использоваться пластиковая карта, смарт-карта, ключевые дискеты или различные устройства для идентификации личности по биометричес­ кой информации (например, по радужной оболочке глаза или по специаль­ ному программному обеспечению). С помощью этих мер можно значитель­ но повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарткарту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, кото­ рые управляются системным администратором. Этот подход значительно надежнее применения паролей, поскольку, если пароль скомпрометирован, пользователь об этом может не знать; если же пропала ключевая дискета, необходимые меры можно принять немедленно.

Говоря о топологии построения Л В С и преимуществах использования тех или топологий с точки зрения обеспечения безопасности, необходимо отметить так называемые виртуальные локальные вычислительные сети

УШ Ш представляют собой группу компьютеров, серверов и других се­ тевых ресурсов, которые функционируют так, как будто они подключены к одному сегменту сети, хотя на самом деле этого может и не быть. За счет того, что УЬАЫ реализуются на сетевом уровне, такое программное реше­ ние повышает производительность сети и улучшает ее управляемость, по­ скольку весь этот инструментарий при добавлении, перемещении или ре­ организации узлов сети может быть быстро и просто перенастроен. У 1 А Д организуемые посредством установки коммутатора, не позволяют некото­ рым типам трафика, таким как пакеты протоколов А К Р (асЫгезз гезо1и1лоп рго!;осо1) и ЗАР (зепчсе абуегНзт^ рго1юсо1), выходить за пределы тех уча­ стков сети, где они используются. Это же распространяется и иа сетевые пакеты, которые должны оставаться внутри определенных доменов (на­ пример, пакеты данных, которыми обмениваются рабочая станция пользователя и его локальный сервер). Прочая информация, предназначенная для ресурсов вне локальной сети, может передаваться в другие УЬАЫ .

Использование УЬАЫ дает возможность повысить пропускную способ­ ность сети за счет ее эффективной сегментации. В отличие от обычной коммутации, в этом случае передача данных ограничена только необходи­ мыми адресатами, что приводит к снижению общей загрузки сети.

Говоря об оборудовании, применяемом для создания УЬАЫ , следует от­ метить, что, на первый взгляд, коммутаторы У Ь А К мало отличаются от сетевых маршрутизаторов. Разница, однако, заключается в том, что ком­ мутаторы еИшгпеК применяемые в вычислительных сетях подобного вида, устанавливают виртуальные линии связи между узлами таким обра­ зом, чтобы гарантировать получение каждой станцией необходимой ей полосы и не мешать при этом другим станциям. Широковещательные па­ кеты, например А К Р и ЗАР, остаются в пределах У Ь А К

Кроме того, наиболее приспособленные для организации УИАИ комму­ таторы могут выполнять также функции мостов и маршрутизаторов. Дей­ ствует ли такое устройство в качестве моста, маршрутизатора или комму­ татора, зависит от получаемой команды и от собственных возможностей. Например, по МАС-адресу коммутаторы определяют передающие и при­ нимающие станции сети, а некоторые из них используют этот адрес для фильтрации УГА И . Другие узнают, к какой УЬА Ы подсоединена та или иная станция, по соответствующему порту.

В зависимости от используемого в сети протокола и от предписанного устройству порядка действий в отношении данной станции коммутатор

236 Компьютерная безопасность и практическое применение криптографии

будет играть роль моста или маршрутизатора. Так, создавая виртуальную сеть между двумя устройствами, коммутатор не выполняет функций ни моста, ни маршрутизатора. Если же необходимо обеспечивать трафик меж­ ду отдельными УТА И , он может действовать как маршрутизатор (если протокол допускает маршрутизацию 1Р или 1РХ) или как мост.

Таким образом, в рамках УЕАЫ создаются виртуальные границы, кото­ рые могут быть пересечены только через маршрутизаторы. При этом усло­ вии для управления правами доступа можно использовать стандартные средства безопасности. Так, например, в качестве правил фильтрации мо­ гут выступать следующие протоколы: на основе широкого вещания и иа основе защиты. В частности, создание УБАЫ на основе правил защиты означает, что трафик не может выходить за пределы УБАК", если он не про­ ходит через маршрутизатор. Возможность создавать виртуальные соеди­ нения между внешней и защищенной У Ь А И отсутствует.

Кроме правил фильтрации можно воспользоваться маршрутизатора­ ми со встроенными средствами шифрования проходящего через них трафика.

Более подробную информацию по этой проблеме можно найти в 1Шегпе1; (см. список \УеЪ-серверов).

Пример внедрения ложного АЙР-сервера в ЛВС

В 1Р-сетях для адресации 1Р-пакетов, кроме непосредственно 1Р-адре- са, необходимо знание физического адреса рабочей станции, например е!;Ьегпе1:-адреса, находящегося в сетевой карте. Для определения соответ­ ствия 1Р-адреса физическому адресу используется АКР-протокол (Аббгезз КезоЫНоп Рго1;осо1). Принцип действия АКР-протокола заключается в сле­ дующем: при первом обращении к сетевым ресурсам рабочая станция от­ правляет широковещательный запрос, в котором указывается 1Р-адрес це­ левой рабочей станции, и просит ее сообщить свой еПгегпеУадрес. Эта процедура характерна тем, что данный запрос получат все станции. П олу­ ченный в АКР-ответе физический адрес будет внесен О С запросившей рабочей станции в АКР-таблицу, содержащую соответствия 1Р и еНшгпе!; целевой рабочей станции.

Последовательность действий нарушителя в этом случае такова:

1.Нарушитель находится в ожидании АКР-запроса (осуществляется с по­ мощью анализа широковещательных пакетов, передаваемых в ЛВ С ).

2.При получении конкретного запроса происходит передача иа зап­ рашивающую станцию АКР-ответа, в котором будет содержаться

физический адрес рабочей станции нарушителя вместо физическо­ го адреса запрашиваемой рабочей станции. Таким образом, на ата­ куемой рабочей станции будет создана запись в АКР-таблице, в ко­ торой в соответствии с 1Р~адресом запрашиваемой рабочей станции будет зафиксирован физический адрес нарушителя, следовательно, все сетевые пакеты, направляемые с атакуемого хоста целевой ра­ бочей станции, будут попадать на рабочую станцию злоумыш лен­ ника.

Очевидно, что для того, чтобы подобная атака принесла ощутимые ре­ зультаты, ее нужно модифицировать, поскольку в данном случае наруши­ тель будет принимать только исходящие пакеты атакуемого хоста. Но смысл примера заключается в другом - здесь мы постарались продемонстрировать сам факт уязвимости ЛВС, построенных на основе стека ТСР/1Р.

3.3.2. Безопасность в сетях ЫоуеН ЫеШаге

В этом подразделе рассказывается о вопросах безопасности ОС Ноуе11 №б\Уаге, связанных с функционированием сетевой части данной ОС, при­ чем вопросы корректной настройки штатных средств ОС такого типа здесь рассматриваться не будут, поскольку это материал для отдельной книги. Описываемая ОС представляет собой классический пример клиент-сер­ верной архитектуры, в которой клиенты работают в активном взаимодей­ ствии с сервером, например при авторизации клиента иа сервере.

Хотя данная ОС и проверена временем, тем не менее она не отличается особой «стройностью» защиты на сетевом уровне. Так, иа сегодняшний день известно достаточное количество уязвимостей Коуе11 №1АУаге, воз­ никающих из-за недостаточного внимания, уделенного авторами данной ОС вопросам безопасности организации взаимодействия в сети.

Например, применение нарушителем программ типа зшЛег (дает воз­ можность осуществлять анализ сетевого трафика) позволяет получить пароль зарегистрированного пользователя при прохождении им процеду­ ры 1о§т на сервере (подобная уязвимость была актуальна для ранних вер­ сий Коуе11 Ые1;\Уаге - 2.x и 3.x), поскольку он передается в открытом виде.

Критичной точкой безопасности для многих серверов является конт­ роль физического доступа к консоли управления. Вот почему так важно оградить управление сервером от всякой возможности физического пося­ гательства, для чего следует ограничить доступ к консоли.

В этом смысле использование администратором процедуры удаленной консоли (гсопзо1е.ехе) является не только удобным средством, позволяющим

238 Компьютерная безопасность и практическое применение криптографии

производить удаленное управление сервером, включая загрузку и выгруз­ ку пеЪ\уогк ЬаЗаЫе тосЫ ез (Ы ЬМз), но и вполне доступной мишенью для нарушителя. Нарушитель в этом случае имеет возможность получить дос­ туп к консоли с удаленного места, при этом ему совсем не нужен физичес­ кий доступ к серверу, который может быть защищен организационными мерами.

В ходе процесса КССЖ ЗОЬЕ пароль передается на сервер в зашифро­ ванном виде. Если внимательно рассмотреть процедуру взаимодействия пользователя и сервера в рамках инициации процесса К.СОЫЗОЕЕ, мож­ но заметить, что передаваемые данные представляют собой ЬГСР-пакеты (64 байта, 60 байт, 64 байта и 310 байт). И в одном 1РХ/5РХ-пакете, име­ ющем длину 186 байт, содержится 8-байтный пароль по смещению ЗАЬ, которое легко найти, поскольку смещение 38Ь всегда РЕ, а смещение 39Ь всегда РЕ Данный пароль, как уже говорилось, передается в зашифрован­ ном виде, само шифрование осуществляется следующим образом:

•клиент запрашивает у сервера сеансовый ключ;

•сервер посылает клиенту 8-байтный ключ в открытом виде;

•клиент сначала зашифровывает пароль при помощи своего иденти­ фикатора, а затем зашифровывает полученное 16-байтиое значение на ключе, результатом чего является 8-байтное значение, которое и встав­ ляется в посылаемый пакет.

Очевидно, что данная схема шифрования паролей не может считаться стойкой по отношению к вероятному нарушителю, имеющему возмож­ ность просматривать сетевой трафик - в случае топологии Л В С с общей шиной это не составляет труда. Нарушителю, перехватившему данные, ко­ торые передавались между клиентом и сервером, и получившему пароль для

осуществления несанкционированной инициации процесса КСОЫЗОЬЕ, не составит труда получить сетевой адрес и адрес узла рабочей станции (эти данные можно отыскать с помощью 113ЕЕЫЗТ/А), на которой рабо­ тал клиент. Теперь нарушитель будет осуществлять доступ с серверу от имени клиента. Далее нарушитель вставляет в сформированный им пакет, содержащий 8-байтный пароль по смещению ЗАЬ, сетевой адрес и адрес узла и посылает этот пакет серверу, после чего сервер воспринимает его как легального пользователя, а нарушитель получает доступ к удаленному управлению консолью.

Разработчики данной ОС, учитывая подобную уязвимость, начиная с вер­ сии 3.11, применили механизм выработки М АС таИСР-пакеты. Существу­ ет несколько видов использования механизма обеспечения достоверности 1ЧСР:

•0 = ие использовать;

•1 = использование по требованию;

•2 = использовать, если обе стороны сетевого обмена поддерживают данный механизм;

•3 = обязательно использовать.

По умолчанию между клиентом и сервером используется тип 2 подтвер­ ждения достоверности, однако, получив доступ к файлу НеЕс% нарушитель сможет прописать там строку 31§па1;иге Ьеуе1=0 или, имея доступ к консоли управления сервером, ввести строку ЗЕТ ЕГСР РАС К Е Т 51С Н А ТиК Е =0 и тем самым добиться цели. Использование данного механизма позволит избежать не только приведенной выше атаки, но также обеспечить неизмен­ ность передаваемых по сети исполняемых модулей, например 1о§т.ехе. Если же этого не сделать, то нарушитель может инфицировать 1о$т.ехе при передаче его по сети.

В общем случае процедура 1о§т между клиентом и сервером выглядит следующим образом:

1. Клиент посылает запрос серверу.

2. Сервер проверяет имя клиента и отправляет ему пару (К., И Ю ), где

К - случайное число, а ИГО - идентификатор пользователя.

3.Клиент выполняет следующие вычисления: X = 11азЬ(11Ш, раззу/огб) и У = ЬазЬ.(Х, К), а затем посылает серверу У.

4. Сервер получает У и вычисляет значения X I = Ь азЬ (и Ш , раззу/огб) и У) = ЬазЬ(Х1, К.). После чего производит сравнение У = У*. Если ра­ венство выполнено, клиент получает доступ к серверу.

5. Клиент и сервер вычисляют Ъ = ЬазЬ(Х, К, С ) (С является констан­ той), которое затем используется в качестве ключа генерации М АС для данной сессии.

В ИоуеП Ые1АУаге 4.x описанная процедура проходит с использованием асимметричного алгоритма КЗА.

Однако на приведенную выше схему возможны атаки типа «человек в середине» (шап ш Нте ппсШе) при условии, что нарушитель способен просматривать пакеты, пересылаемые между клиентом и сервером, и по­ сылать пакеты быстрее, чем клиент и сервер. Д ля этого нарушителю, на­ пример, нужно находиться между клиентом и сервером или провести атаку типа «внедрение лож ного объекта», например внедрив ложный АКР-сервер. Наиболее удобным способом для нарушителя будет подклю­ чение между сервером и клиентом, как показано на рис. 3.6. В этом случае нарушитель может не только анализировать трафик, но и блокировать пе­ редачу некоторых пакетов.

240 Компьютерная безопасность и практическое применение криптографии

Подобные атаки, очевидно, не будут работать, если выполнится условие повсеместного использования М АС на ИСР-пакеты в ЛВС. Поэтому его включение администратором ЛВ С обязательно.

Атака осуществляется следующим образом:

3.Когда нарушитель получает К.2, он изме­ няет в данном пакете сетевой адрес сервера и посылает К2 клиенту.

4.Клиент вычисляет У1 = ЬазЬ(Х, К2) и посылает его серверу, в то вре­ мя как сервер ожидает значение У2 = ЬазЬ(Х, К1).

5.Нарушитель перехватывает данный пакет и изменяет в нем сетевой адрес клиента на свой реальный.

6.После чего нарушитель начинает работать с сервером от имени кли­ ента.

Учитывая сказанное, очевидно, что без дополнительных средств защи­ ты, осуществляющих шифрование и подпись передаваемого трафика, не­ возможно обеспечить безопасность в данной ОС. Но все же некоторый уровень защиты при работе с этой ОС обеспечить можно, если придер­ живаться следующих рекомендаций (которые, правда, не претендуют на полноту):

•физически защитить сервер. Необходимо организовать локальную за­ щиту сервера и ограничить к нему доступ (подробно методы защиты локальной рабочей станции рассматривались выше). Здесь будет умес­ тно дать рекомендацию: используйте команду ЗЕСИКЕ СОЫЗОЬЕ для предотвращения запуска Ж М не из 8У5: 5УЗТЕМ . Реализация этого пункта приведет к тому, что 75% потенциальных атак будут исключены;

•защитить критичные файлы системы. Например, вычислите конт­

рольную сумму на файлы, находящиеся в ЗУ8: ЬО СШ , 5 У 5 :Р Ш Ш С

и 5У5:5УЗТЕМ , и постоянно производите проверку полученных кон­ трольных сумм;

•доступ пользователей к ресурсам должен быть организован в соответ­ ствии с выбранной политикой безопасности;