Петров А.А. Комп без-ть
.pdfЗащита в локальных сетях |
231 |
генерируемых прикладным ПО, может служить информация о старте или останове \УеЪ-сервера. Буфер системы аудита находится в монопольном владении ядра ОС. При осущ ествлении записи или чтения в данный буфер производится его блокировка с целыо запрещения одновремен ного чтения из него и записи в него. К каждому событию, помещенному в буфер, дописывается метка времени, последовательный номер и иден тификатор процесса, породившего данное событие.
Общая схема архитектуры построения системы аудита представлена на рис. 3.5.
Необходимо подчеркнуть важность не только сбора информации, но и ее регулярного и целенаправленного анализа. В этом плане выгодное положение занимают средства аудита С УБД , поскольку к регистрацион ной информации могут естественным образом применяться произволь ные 5()Б-запросы.
3.3. Защита в локальных сетях
Прежде чем перейти к рассмотрению раздела, связанного с безопаснос тью межсетевого взаимодействия, необходимо обратить внимание на то, что глобальные сети передачи данных представляют собой объединение локальных вычислительных систем (Л В С ), имеющих различную топо логию построения и использую щ их разнообразные сетевые протоколы (ТСР/1Р, 1РХ/5РХ, ЫеПлоз, ОесЫе1: и др.). Поэтому в данном разделе мы уделим внимание безопасности именно ЛВ С . Отдельной проблемой яв ляется применение активных сетевых ресурсов - А Б (в О С ^ т б о ^ / з 1ЧТ)
232 Компьютерная безопасность и практическое применение криптографии
и N 0 3 (в О С Ыоуе11 Ке1ЛУаге). (Информацию по аспектам безопасности и использования этих служб можно найти на сайтах МюгозоЙ; и ИоуеП.)
Вопрос безопасности на примере конкретных сетевых ОС, таких как
\ У ш с1о \у 5 Э Т и Ыоуе11 Ы е^аге. В этой части будут затронуты специфичес кие аспекты их функционирования в рамках локальных вычислительных сетей (Л В С ), а также проблемы сетевой безопасности, возникающие в дан ных ОС. Особенности защиты информации в современных ОС были рас смотрены ранее, проблемы же межсетевого взаимодействия изложены в сле дующих разделах.
О безопасности в локальных сетях уже сказано достаточно много, по этому в настоящем разделе мы рассмотрим только основные моменты, связанные с сетевой безопасностью ЛВС, которые построены на описан ных выше ОС.
3.3.1. Общие вопросы безопасности в ЛВС
Безопасность Л В С по сравнению с безопасностью межсетевого взаимо действия отличается тем, что в случае локальных вычислительных сетей на первое по значимости место выходят нарушения зарегистрированных пользователей ОС, поскольку в основном каналы передачи данных в ЛВ С находятся на контролируемой территории, защита от несанкционирован ного подключения к которым реализуется административными методами.
Среди основных угроз, наиболее опасных для ЛВС, следует отметить следующие:
•анализ сетевого трафика с целыо получения доступа к конфиденци альной информации, например к передаваемым в открытом виде по сети пользовательским паролям;
•нарушение целостности передаваемой информации. При этом может модифицироваться как пользовательская, так и служебная информа ция, например подмена идентификатора группы, к которой принадле жит пользователь;
•получение несанкционированного доступа к информационным ресур сам, например с использованием подмены одной из сторон обмена дан ными с целыо получения доступа к файл-серверу от имени другого пользователя;
•попытка совершения ряда действий от имени зарегистрированного пользователя в системе, например злоумышленник, скомпрометиро вав пароль администратора, может начать общаться с Л В С от его имени.
Защита в локальных сетях |
233 |
Причинами возникновения данных угроз в общем случае могут оказаться:
•наличие уязвимостей в базовых версиях сетевых протоколов. Так, при использовании стека протоколов ТСР/1Р нарушитель может внедрить в Л В С ложный АКР-сервер (см. пример, приведенный далее);
•уязвимости специализированных защитных механизмов. Например, причиной возникновения подмены стороны информационного обме на может служить уязвимость процедур аутентификации клиентов при доступе к серверу;
•некорректное назначение уровня доступа;
•использование в качестве каналов передачи данных общедоступной среды, например применение топологии построения Л В С с общей ш и ной. В данном случае злоумышленник может использовать П О (н а пример, ЫеШогк М опйог или ЬапАпа1угег), позволяющее просматри вать все передаваемые в сети пакеты;
•некорректное администрирование ОС, например задание не до конца
продуманных разрешений иа удаленное редактирование системного реестра (в ОС ^ псЬ^уз И Т );
•ошибки в реализации ОС;
•ошибки персонала.
Обеспечение защиты в соответствии с заданной политикой безопас ности в Л В С является комплексной задачей и осуществляется при п о мощи:
•корректного администрирования сетевых настроек О С (в том числе и настроек, отвечающих в данной О С за сетевую безопасность, кото
рые являются штатными средствами большинства современных О С );
•дополнительных защитных механизмов: шифрования, ЭЦП, аутенти фикации сторон и др.;
•организационных методов защиты и контроля за их неукоснительным соблюдением, например с использованием системы аудита.
Говоря о дополнительных защитных механизмах, следует отметить, что надежная защита в Л В С возможна только при использовании средств обеспечения конфиденциальности и достоверности передаваемого по сети трафика, например при использовании П К «И гла -П ». В случае примене ния криптографических средств защиты информации в Л В С проблем с рас пределением ключевой информации будет возникать гораздо меньше, н е жели при межсетевом взаимодействии, поскольку число пользователей в ЛВ С ограничено и появляется возможность применить эффективные
234 Компьютерная безопасность и практическое применение криптографии
организационные методы распределения ключевой информации. Н а пример, при использовании в Л В С средств криптографической защиты можно создать центр распределения ключей, в функции которого вхо дила бы генерация ключевых дискет и рассылка их конечным пользо вателям, что позволит отказаться от открытого распределения ключе вой информации.
Необходимо отметить, что действенным методом поддержания надеж ного функционирования системы безопасности в ЛВ С является использо вание системы аудита. Действенность аудита в данном случае заключает ся не только в своевременном реагировании администратора безопасности на нарушения выбранной политики безопасности в ЛВС, но и в возмож ности привлекать зарегистрированных пользователей к ответственности за совершенные проступки.
Определенную пользу может оказать применение особых топологий по строения ЛВС, минимизирующих возможность применения нарушителем средств, которые позволяют прослушивать среду передачи данных. Это прослушивание обычно выполняется с целыо получения доступа к сетевым пакетам. В подобном случае применение сетевой топологии типа «звезда» не позволит нарушителю получить доступ со своей рабочей станции к се тевым пакетам, ему не предназначенным. Правда, злоумышленник может осуществить несанкционированное подключение к одному из каналов, однако подобные посягательства должны предотвращаться либо органи зационными методами, либо шифрованием трафика, что сделает попытки нарушителя бессмысленными.
Кроме того, для исключения возможности неавторизоваииого входа в компьютерную сеть в последнее время используется комбинированный подход - пароль совместно с аутентификацией пользователя по персональ ному носителю «идентификационной информации». В качестве носителя может использоваться пластиковая карта, смарт-карта, ключевые дискеты или различные устройства для идентификации личности по биометричес кой информации (например, по радужной оболочке глаза или по специаль ному программному обеспечению). С помощью этих мер можно значитель но повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарткарту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, кото рые управляются системным администратором. Этот подход значительно надежнее применения паролей, поскольку, если пароль скомпрометирован, пользователь об этом может не знать; если же пропала ключевая дискета, необходимые меры можно принять немедленно.
Защита в локальных сетях |
235 |
Говоря о топологии построения Л В С и преимуществах использования тех или топологий с точки зрения обеспечения безопасности, необходимо отметить так называемые виртуальные локальные вычислительные сети
УШ Ш представляют собой группу компьютеров, серверов и других се тевых ресурсов, которые функционируют так, как будто они подключены к одному сегменту сети, хотя на самом деле этого может и не быть. За счет того, что УЬАЫ реализуются на сетевом уровне, такое программное реше ние повышает производительность сети и улучшает ее управляемость, по скольку весь этот инструментарий при добавлении, перемещении или ре организации узлов сети может быть быстро и просто перенастроен. У 1 А Д организуемые посредством установки коммутатора, не позволяют некото рым типам трафика, таким как пакеты протоколов А К Р (асЫгезз гезо1и1лоп рго!;осо1) и ЗАР (зепчсе абуегНзт^ рго1юсо1), выходить за пределы тех уча стков сети, где они используются. Это же распространяется и иа сетевые пакеты, которые должны оставаться внутри определенных доменов (на пример, пакеты данных, которыми обмениваются рабочая станция пользователя и его локальный сервер). Прочая информация, предназначенная для ресурсов вне локальной сети, может передаваться в другие УЬАЫ .
Использование УЬАЫ дает возможность повысить пропускную способ ность сети за счет ее эффективной сегментации. В отличие от обычной коммутации, в этом случае передача данных ограничена только необходи мыми адресатами, что приводит к снижению общей загрузки сети.
Говоря об оборудовании, применяемом для создания УЬАЫ , следует от метить, что, на первый взгляд, коммутаторы У Ь А К мало отличаются от сетевых маршрутизаторов. Разница, однако, заключается в том, что ком мутаторы еИшгпеК применяемые в вычислительных сетях подобного вида, устанавливают виртуальные линии связи между узлами таким обра зом, чтобы гарантировать получение каждой станцией необходимой ей полосы и не мешать при этом другим станциям. Широковещательные па кеты, например А К Р и ЗАР, остаются в пределах У Ь А К
Кроме того, наиболее приспособленные для организации УИАИ комму таторы могут выполнять также функции мостов и маршрутизаторов. Дей ствует ли такое устройство в качестве моста, маршрутизатора или комму татора, зависит от получаемой команды и от собственных возможностей. Например, по МАС-адресу коммутаторы определяют передающие и при нимающие станции сети, а некоторые из них используют этот адрес для фильтрации УГА И . Другие узнают, к какой УЬА Ы подсоединена та или иная станция, по соответствующему порту.
В зависимости от используемого в сети протокола и от предписанного устройству порядка действий в отношении данной станции коммутатор
236 Компьютерная безопасность и практическое применение криптографии
будет играть роль моста или маршрутизатора. Так, создавая виртуальную сеть между двумя устройствами, коммутатор не выполняет функций ни моста, ни маршрутизатора. Если же необходимо обеспечивать трафик меж ду отдельными УТА И , он может действовать как маршрутизатор (если протокол допускает маршрутизацию 1Р или 1РХ) или как мост.
Таким образом, в рамках УЕАЫ создаются виртуальные границы, кото рые могут быть пересечены только через маршрутизаторы. При этом усло вии для управления правами доступа можно использовать стандартные средства безопасности. Так, например, в качестве правил фильтрации мо гут выступать следующие протоколы: на основе широкого вещания и иа основе защиты. В частности, создание УБАЫ на основе правил защиты означает, что трафик не может выходить за пределы УБАК", если он не про ходит через маршрутизатор. Возможность создавать виртуальные соеди нения между внешней и защищенной У Ь А И отсутствует.
Кроме правил фильтрации можно воспользоваться маршрутизатора ми со встроенными средствами шифрования проходящего через них трафика.
Более подробную информацию по этой проблеме можно найти в 1Шегпе1; (см. список \УеЪ-серверов).
Пример внедрения ложного АЙР-сервера в ЛВС
В 1Р-сетях для адресации 1Р-пакетов, кроме непосредственно 1Р-адре- са, необходимо знание физического адреса рабочей станции, например е!;Ьегпе1:-адреса, находящегося в сетевой карте. Для определения соответ ствия 1Р-адреса физическому адресу используется АКР-протокол (Аббгезз КезоЫНоп Рго1;осо1). Принцип действия АКР-протокола заключается в сле дующем: при первом обращении к сетевым ресурсам рабочая станция от правляет широковещательный запрос, в котором указывается 1Р-адрес це левой рабочей станции, и просит ее сообщить свой еПгегпеУадрес. Эта процедура характерна тем, что данный запрос получат все станции. П олу ченный в АКР-ответе физический адрес будет внесен О С запросившей рабочей станции в АКР-таблицу, содержащую соответствия 1Р и еНшгпе!; целевой рабочей станции.
Последовательность действий нарушителя в этом случае такова:
1.Нарушитель находится в ожидании АКР-запроса (осуществляется с по мощью анализа широковещательных пакетов, передаваемых в ЛВ С ).
2.При получении конкретного запроса происходит передача иа зап рашивающую станцию АКР-ответа, в котором будет содержаться
Защита в локальных сетях |
237 |
физический адрес рабочей станции нарушителя вместо физическо го адреса запрашиваемой рабочей станции. Таким образом, на ата куемой рабочей станции будет создана запись в АКР-таблице, в ко торой в соответствии с 1Р~адресом запрашиваемой рабочей станции будет зафиксирован физический адрес нарушителя, следовательно, все сетевые пакеты, направляемые с атакуемого хоста целевой ра бочей станции, будут попадать на рабочую станцию злоумыш лен ника.
Очевидно, что для того, чтобы подобная атака принесла ощутимые ре зультаты, ее нужно модифицировать, поскольку в данном случае наруши тель будет принимать только исходящие пакеты атакуемого хоста. Но смысл примера заключается в другом - здесь мы постарались продемонстрировать сам факт уязвимости ЛВС, построенных на основе стека ТСР/1Р.
3.3.2. Безопасность в сетях ЫоуеН ЫеШаге
В этом подразделе рассказывается о вопросах безопасности ОС Ноуе11 №б\Уаге, связанных с функционированием сетевой части данной ОС, при чем вопросы корректной настройки штатных средств ОС такого типа здесь рассматриваться не будут, поскольку это материал для отдельной книги. Описываемая ОС представляет собой классический пример клиент-сер верной архитектуры, в которой клиенты работают в активном взаимодей ствии с сервером, например при авторизации клиента иа сервере.
Хотя данная ОС и проверена временем, тем не менее она не отличается особой «стройностью» защиты на сетевом уровне. Так, иа сегодняшний день известно достаточное количество уязвимостей Коуе11 №1АУаге, воз никающих из-за недостаточного внимания, уделенного авторами данной ОС вопросам безопасности организации взаимодействия в сети.
Например, применение нарушителем программ типа зшЛег (дает воз можность осуществлять анализ сетевого трафика) позволяет получить пароль зарегистрированного пользователя при прохождении им процеду ры 1о§т на сервере (подобная уязвимость была актуальна для ранних вер сий Коуе11 Ые1;\Уаге - 2.x и 3.x), поскольку он передается в открытом виде.
Критичной точкой безопасности для многих серверов является конт роль физического доступа к консоли управления. Вот почему так важно оградить управление сервером от всякой возможности физического пося гательства, для чего следует ограничить доступ к консоли.
В этом смысле использование администратором процедуры удаленной консоли (гсопзо1е.ехе) является не только удобным средством, позволяющим
238 Компьютерная безопасность и практическое применение криптографии
производить удаленное управление сервером, включая загрузку и выгруз ку пеЪ\уогк ЬаЗаЫе тосЫ ез (Ы ЬМз), но и вполне доступной мишенью для нарушителя. Нарушитель в этом случае имеет возможность получить дос туп к консоли с удаленного места, при этом ему совсем не нужен физичес кий доступ к серверу, который может быть защищен организационными мерами.
В ходе процесса КССЖ ЗОЬЕ пароль передается на сервер в зашифро ванном виде. Если внимательно рассмотреть процедуру взаимодействия пользователя и сервера в рамках инициации процесса К.СОЫЗОЕЕ, мож но заметить, что передаваемые данные представляют собой ЬГСР-пакеты (64 байта, 60 байт, 64 байта и 310 байт). И в одном 1РХ/5РХ-пакете, име ющем длину 186 байт, содержится 8-байтный пароль по смещению ЗАЬ, которое легко найти, поскольку смещение 38Ь всегда РЕ, а смещение 39Ь всегда РЕ Данный пароль, как уже говорилось, передается в зашифрован ном виде, само шифрование осуществляется следующим образом:
•клиент запрашивает у сервера сеансовый ключ;
•сервер посылает клиенту 8-байтный ключ в открытом виде;
•клиент сначала зашифровывает пароль при помощи своего иденти фикатора, а затем зашифровывает полученное 16-байтиое значение на ключе, результатом чего является 8-байтное значение, которое и встав ляется в посылаемый пакет.
Очевидно, что данная схема шифрования паролей не может считаться стойкой по отношению к вероятному нарушителю, имеющему возмож ность просматривать сетевой трафик - в случае топологии Л В С с общей шиной это не составляет труда. Нарушителю, перехватившему данные, ко торые передавались между клиентом и сервером, и получившему пароль для
осуществления несанкционированной инициации процесса КСОЫЗОЬЕ, не составит труда получить сетевой адрес и адрес узла рабочей станции (эти данные можно отыскать с помощью 113ЕЕЫЗТ/А), на которой рабо тал клиент. Теперь нарушитель будет осуществлять доступ с серверу от имени клиента. Далее нарушитель вставляет в сформированный им пакет, содержащий 8-байтный пароль по смещению ЗАЬ, сетевой адрес и адрес узла и посылает этот пакет серверу, после чего сервер воспринимает его как легального пользователя, а нарушитель получает доступ к удаленному управлению консолью.
Разработчики данной ОС, учитывая подобную уязвимость, начиная с вер сии 3.11, применили механизм выработки М АС таИСР-пакеты. Существу ет несколько видов использования механизма обеспечения достоверности 1ЧСР:
Защита в локальных сетях |
239 |
•0 = ие использовать;
•1 = использование по требованию;
•2 = использовать, если обе стороны сетевого обмена поддерживают данный механизм;
•3 = обязательно использовать.
По умолчанию между клиентом и сервером используется тип 2 подтвер ждения достоверности, однако, получив доступ к файлу НеЕс% нарушитель сможет прописать там строку 31§па1;иге Ьеуе1=0 или, имея доступ к консоли управления сервером, ввести строку ЗЕТ ЕГСР РАС К Е Т 51С Н А ТиК Е =0 и тем самым добиться цели. Использование данного механизма позволит избежать не только приведенной выше атаки, но также обеспечить неизмен ность передаваемых по сети исполняемых модулей, например 1о§т.ехе. Если же этого не сделать, то нарушитель может инфицировать 1о$т.ехе при передаче его по сети.
В общем случае процедура 1о§т между клиентом и сервером выглядит следующим образом:
1. Клиент посылает запрос серверу.
2. Сервер проверяет имя клиента и отправляет ему пару (К., И Ю ), где
К - случайное число, а ИГО - идентификатор пользователя.
3.Клиент выполняет следующие вычисления: X = 11азЬ(11Ш, раззу/огб) и У = ЬазЬ.(Х, К), а затем посылает серверу У.
4. Сервер получает У и вычисляет значения X I = Ь азЬ (и Ш , раззу/огб) и У) = ЬазЬ(Х1, К.). После чего производит сравнение У = У*. Если ра венство выполнено, клиент получает доступ к серверу.
5. Клиент и сервер вычисляют Ъ = ЬазЬ(Х, К, С ) (С является констан той), которое затем используется в качестве ключа генерации М АС для данной сессии.
В ИоуеП Ые1АУаге 4.x описанная процедура проходит с использованием асимметричного алгоритма КЗА.
Однако на приведенную выше схему возможны атаки типа «человек в середине» (шап ш Нте ппсШе) при условии, что нарушитель способен просматривать пакеты, пересылаемые между клиентом и сервером, и по сылать пакеты быстрее, чем клиент и сервер. Д ля этого нарушителю, на пример, нужно находиться между клиентом и сервером или провести атаку типа «внедрение лож ного объекта», например внедрив ложный АКР-сервер. Наиболее удобным способом для нарушителя будет подклю чение между сервером и клиентом, как показано на рис. 3.6. В этом случае нарушитель может не только анализировать трафик, но и блокировать пе редачу некоторых пакетов.
240 Компьютерная безопасность и практическое применение криптографии
Подобные атаки, очевидно, не будут работать, если выполнится условие повсеместного использования М АС на ИСР-пакеты в ЛВС. Поэтому его включение администратором ЛВ С обязательно.
Атака осуществляется следующим образом:
1. |
Нарушитель ожидает начала |
СО сто- |
Рабочая станция нарушителя |
|
с двумя сетевыми интерфейсами |
||||
|
роны клиента. Когда клиент посылает |
ОН |
сервер |
|
|
запрос серверу на прохождение 1офш, на |
|
|
|
|
рушитель, в свою очередь, тоже направ |
|
|
|
|
ляет запрос серверу. |
|
|
|
2. |
Сервер отвечает двумя значениями К1 |
|
|
|
|
и К.2, предназначенными соответственно |
|
|
|
|
для клиента и нарушителя. |
|
Рис 3-6- Подключение нарушителя |
3.Когда нарушитель получает К.2, он изме няет в данном пакете сетевой адрес сервера и посылает К2 клиенту.
4.Клиент вычисляет У1 = ЬазЬ(Х, К2) и посылает его серверу, в то вре мя как сервер ожидает значение У2 = ЬазЬ(Х, К1).
5.Нарушитель перехватывает данный пакет и изменяет в нем сетевой адрес клиента на свой реальный.
6.После чего нарушитель начинает работать с сервером от имени кли ента.
Учитывая сказанное, очевидно, что без дополнительных средств защи ты, осуществляющих шифрование и подпись передаваемого трафика, не возможно обеспечить безопасность в данной ОС. Но все же некоторый уровень защиты при работе с этой ОС обеспечить можно, если придер живаться следующих рекомендаций (которые, правда, не претендуют на полноту):
•физически защитить сервер. Необходимо организовать локальную за щиту сервера и ограничить к нему доступ (подробно методы защиты локальной рабочей станции рассматривались выше). Здесь будет умес тно дать рекомендацию: используйте команду ЗЕСИКЕ СОЫЗОЬЕ для предотвращения запуска Ж М не из 8У5: 5УЗТЕМ . Реализация этого пункта приведет к тому, что 75% потенциальных атак будут исключены;
•защитить критичные файлы системы. Например, вычислите конт
рольную сумму на файлы, находящиеся в ЗУ8: ЬО СШ , 5 У 5 :Р Ш Ш С
и 5У5:5УЗТЕМ , и постоянно производите проверку полученных кон трольных сумм;
•доступ пользователей к ресурсам должен быть организован в соответ ствии с выбранной политикой безопасности;