Петров А.А. Комп без-ть

292 Компьютерная безопасность и практическое применение криптографии

Перед началом работы с «И гла -П » каждый пользователь \Утс1о\У5 КПГ проходит регистрацию, которую производит администратор безопасности программного комплекса. При этом пользователю присваивается одно из следующих прав доступа к настройкам конфигурации:

•право просмотра и внесения изменений;

•право просмотра;

•запрет доступа.

3.5. Защита технологии «клиент-сервер»

Одной из самых распространенных иа сегодняшний день моделей пост­ роения распределенных вычислительных систем является технология «клиент-сервер». Не вдаваясь в детали, опишем общую идею построения подобного вида технологий, в основе которой - разделение субъектов ин­ формационного взаимодействия на серверы, предоставляющие информа­ ционные услуги, и на клиентов, потребляющих эти услуги. Среди услуг, предоставляемых серверами, можно выделить: электронный почтамт, база данных, распределенная обработка данных, файл-сервер, сервер печа­ ти и т.д. Общая структура построения информационно-вычислительных систем (И В С ), использующих технологию «клиент-сервер», представлена на рис. 3.16.

Программное обеспечение, построенное по этой технологии, работает иа прикладном уровне 130/031, поэтому ИВС, сконструированные с исполь­ зованием технологии «клиент-сервер», независимы от архитектуры транс­ портной среды передачи данных.

Поскольку в основе любых типов построения распределенных систем лежит взаимодействие удаленных друг от друга субъектов информаци­ онного обмена, очевидно, что протокольная часть программного обеспе­ чения является краеугольным камнем любой клиент-серверной техноло­ гии. Собственно эта часть и реализует заданный подход к построению ИВС. В рамках данных И ВС могут работать пользователи с разными уров­ нями привилегий и обрабатываться информация, имеющая разный уро­ вень секретности.

Наряду с функциями передачи сведений подобные системы выполняют задачи по разграничению доступа клиентов к информационным ресурсам сервера, а также по аудиту работы ИВС. К тому же в рамках подобных систем реализуется сложная система администрирования и поддержания работоспособности.

Сегменты локальной сети, состоящей из рабочих станций, которые являются клиентами сервера печати

Из всех протоколов, применяемых в клиент-серверных технологиях,

чаще других пользуются протоколами прикладного уровня. К ним отно­ сятся:

•протокол Н Т Т Р (НурегТехЪ ТгапзГег Рго1:осо1), являющийся основой № Ь-техиологии (или У/У/УУ) и использующийся для доставки ги­ пертекстовых сообщений. В рамках ТУеЪ-технологии применяются еще три механизма, без которых ее существование было бы немысли­ мо: язык гипертекстовой разметки документов (Н Т М Ь ), универсаль­ ный способ адресации (Ш 1 Ь ) и универсальный межсетевой интер­ фейс СС1;

•Те1пе1:-протокол - протокол удаленного доступа. Позволяет клиенту подключиться к любому серверу и работать с ним так, как если бы он был удаленным терминалом этого сервера;

•протокол Р Т Р (РНе Тгапз&г Рго1:осо1), позволяющий клиенту осущест­ влять удаленный доступ к файлам, расположенным на ЕТР-сервере;

•СорЬег-протокол, предназначенный для поиска файлов иа серверах ОорЬег и копирования найденных файлов на рабочую станцию кли ­ ента.

294Компьютерная безопасность и практическое применение криптографии

Вкачестве современного образца программного обеспечения, построен­ ного по принципу клиент-серверных технологий, можно привести ЬЩегпе! Ы огтаП оп Зегчег (И З ) фирмы МшгозоК, реализующий серверную часть протоколов НТТР, Р Т Р и СорЬег и использующий в качестве интерфейса взаимодействия со стеком протокол ТСР/1Р \Утс1о\У5 Зоске<;з. Клиентс­ кой частью перечисленных выше протоколов может служить, например, 1п1егпе1; ЕхрЬгег и Ке1зсаре Нау^а^ог. Пример архитектуры взаимодей­ ствия клиентской части протоколов с серверной частью, реализованной в ИЗ, представлен на рис. 3.17.

Рис. 3.17. Архитектура типового взаимодействия в рамках 1п1егпе1

3.5.1. Типовые угрозы и обеспечение информационной безопасности при использовании технологии «клиент-сервер»

Учитывая, что ШеЪ-технологией пользуются практически повсеместно, важно напомнить, что именно безопасность клиент-серверных технологий играет основополагающую роль в современном развитии 1п1егпе1:. Особую актуальность этой проблеме придает тот факт, что в последнее время резко

увеличилось количество компаний, применяющих 1п1:егпе1: в коммерчес­ ких целях; оборот денежных средств через 1п1;ете{; тоже имеет тенден­ цию к стремительному росту. П оскольку подавляющ ее больш инство продуктов прикладного уровня, представленных в 1п1;егпе1:, построены по технологии «клиент-сервер», понятно, что защите информации в подоб­ ных технологиях следует уделить особое внимание.

Вот почему обзор конкретных решений по защите технологии «клиентсервер» представлен в виде анализа средств защиты информации ДУеЪ-тех- нологий.

В общем случае факты нарушения безопасности существующих И В С могут быть следствием:

•отсутствия или недостаточности применения необходимых средств защиты;

•недостатков в системе администрирования;

•уязвимости в существующих средствах защиты;

•ошибок в программном обеспечении;

•ошибок и преднамеренных действий обслуживающего персонала.

При использовании архитектуры «клиент-сервер» реализация полити­ ки безопасности включает:

•защиту передаваемого между серверной и клиентской стороной трафика (под защитой в данном случае подразумевается обеспечение коифиденциальиости, целостности, достоверности и имитозащищеиности передаваемой информации);

•разграничение доступа клиентов к информационным ресурсам, предос­ тавляемым сервером. Например, доступ определенной группы пользо­ вателей к определенным ресурсам \УеЬ-сервера должен быть ограничен;

•обеспечение работоспособности ИВС. Информационные ресурсы серве­ ра должны быть доступны клиентам за приемлемое для них время, напри­ мер, это требование носит особую актуальность в случае предоставления через 1п1;егпе1: результатов торгов на бирже, когда недоступность инфор­ мации в течение часа уже молсет носить убыточный характер;

Учитывая специфику построения клиент-серверных ИВС, можно выде­ лить следующие типовые угрозы и уязвимости информационной безопас­ ности (список конкретных угроз и уязвимостей, приведенный ниже, не претендует на полноту, а служит исключительно для иллюстрации приме­ ров возмояшых нарушений политики безопасности):

•угрозы и уязвимости, связанные с недостатками в системе разграни­ чения доступа клиентов к ресурсам или с некорректным админист­ рированием системы разграничения доступа. К ним относятся:

296Компьютерная безопасность и практическое применение криптографии

-несанкционированный доступ к пользовательским данным и нару­ шение работы ИВС, возникающие из-за отсутствия механизмов обеспечения конфиденциальности и целостности передаваемых данных и бесперебойности обмена данными. Это часто приводит к успешным атакам иа узлы сети, а также к эффективному анали­

зу трафика;

-отсутствие механизмов контроля за применением пользователь­ ских учетных записей как на серверной части, так и на клиентс­ кой может привести к незаконному использованию учетных за­ писей;

-доступ к информационному ресурсу с применением не предназна­ ченных для этого средств, что может привести к несанкциониро­ ванному доступу к защищаемой информации. Во избежание подоб­ ных угроз необходимо контролировать использование специально предназначенных для этой цели средств;

-нарушитель может исключить легального клиента из установлен­ ного сеанса доступа к ресурсу и затем воспользоваться его именем;

-возможность пользователям (не входящим в группу администрато­ ров) установить некорректные атрибуты безопасности у защищае­ мого ресурса, что приведет к несанкционированному доступу к дан­ ному ресурсу;

-снижение эффективности функционирования подсистемы раз­ граничения доступа из-за отсутствия механизмов динамического управления значениями атрибутов безопасности;

•угрозы и уязвимости, возникающие вследствие недостатков систе­ мы аудита работы подсистемы безопасности клиент-серверной ИВС, а именно:

-невозможность возложения ответственности на нарушителя поли­ тики безопасности, возникающая вследствие того, что система ауди­ та оставляет незарегистрированными некоторые события, связан­ ные с безопасностью;

-в случае недостатка памяти, отведенной под журнал событий, мо­ жет возникнуть ситуация, когда данные подсистемы аудита будут утеряны до того, как начнут использоваться;

-нарушитель может получить несанкционированный доступ к жур­ налу системы аудита и повредить его целостность;

•угрозы и уязвимости, возникающие вследствие недостатков в подсис­ теме идентификации/аутентификации:

-получение нарушителем доступа к информации, применяющейся

входе аутентификации пользователей, например ключевым носи­ телям и т.д.;

-компрометация параметров аутентификации, которая возникает

всилу отсутствия механизмов, запрещающих проведение аутенти­ фикации в случае нескольких неудачных попыток;

-выбор некорректных параметров аутентификации, который приве­ дет к ухудшению стойкости схемы аутентификации, возникающий

всилу отсутствия механизмов контроля корректности устанавлива­ емых значений;

-компрометация параметров аутентификации, повышения уязвимости подсистемы идентификации/аутентификации, возникающая вслед­ ствие использования неуникальных идентификаторов пользователей;

•угрозы и уязвимости, возникающие из-за непроработанности органи­ зационных аспектов реализации политики безопасности:

-разрешение клиентам устанавливать большое или неконтролируе­ мое количество сеансов связи с сервером может привести к потере работоспособности сервера;

-нарушение безопасности ИВС в силу того, что нарушитель может начать работу в ИВС, когда отсутствует требуемый контроль безопасности;

-нарушение информационной безопасности И В С вследствие некор­ ректных действий пользователя, причиной которых явилась неосве­

домленность о запрещенных в рамках И В С действиях;

•угрозы и уязвимости, возникающие вследствие отсутствия или недо­ статков системы контроля функционирования подсистемы защиты ин­ формации ИВС:

-в случае отсутствия контроля целостности программной части средств защиты информации и ядра операционной системы воз­ можно изменение алгоритма функционирования данного программ­ ного обеспечения, что может послужить причиной нарушения сис­ темы безопасности;

-сбой в работе ИВС по внешним или внутренним причинам может вызвать нарушение работы средств защиты и при неспособности средств контроля работоспособности средств защиты обнаружить сбой и после этого продолжить функционирование;

-отсутствие действующих автоматически или при участии админист­ раторов механизмов восстановления безопасного состояния средств защиты, а также механизмов проверки целостности данных средств

298 Компьютерная безопасность и практическое применение криптографии

защиты может привести к переходу в небезопасное состояние при

возникновении сбоев;

•угрозы и уязвимости, возникающие вследствие непроработанности си­ стемы информационной безопасности в целом:

-отсутствие механизмов обеспечения конфиденциальности и целос­ тности передаваемых данных средств защиты и бесперебойности об­ мена данными. При успехе удаленных атак на узлы локальной сети или проведении анализа трафика сети это может привести к несан­ кционированному доступу к данным средствам защиты и наруше­ ниям в их работе;

-при отсутствии механизмов обнаружения физических воздействий

ипротиводействия техническим средствам, производящим удален­ ное воздействие на систему, повышается вероятность осуществле­ ния атак на физическом уровне;

-если существует возможность использования не контролируемых средствами защиты механизмов удаленного доступа или межмашин­ ного взаимодействия, возникает угроза нарушения политики безо­ пасности путем обхода средств защиты;

-недостатки в организации разделения доменов безопасности могут привести к несанкционированному доступу к адресным простран­ ствам субъектов, к коду или данным средств защиты, а также к по­ сторонним воздействиям на работу средств защиты;

-применение разных политик управления доступом в условиях су­ ществования в И ВС двух классов информации - конфиденциаль­ ной и общедоступной - оставляет возможность для передачи ин­ формации между объектами, относящимися к разным классам;

-отсутствие средств защиты, контролирующих импорт и экспорт дан­ ных во внешние системы, может привести к экспорту несоответству­ ющей информации из И В С или несанкционированному доступу

кполученным документам до задания их атрибутов безопасности;

•угрозы и уязвимости, возникающие вследствие отсутствия специализи­ рованных механизмов, поддерживающих функционирование средств защиты информации, или при наличии недостатков в них:

-состояния различных средств защиты ИВС, правильное функцио­ нирование которых зависит от точности отсчета времени, могут про­ тиворечить друг другу из-за неспособности верно определять зна­ чения времени;

-согласованность функционирования средств защиты на различ­ ных компонентах И ВС может быть нарушена из-за недостатков

протоколов удаленной идентификации/аутентификации пользова­ телей на различных компонентах ИВС.

Говоря о безопасности клиент-серверных технологий, встречающихся в 1ШегпеЕ а именно о базовых версиях \УеЪ-приложений, необходимо вы­ делить следующие уязвимости ИВС:

•передача трафика в открытом виде, что позволяет производить не толь­ ко анализ передаваемой информации, но и ее модификацию;

•использование парольной аутентификации, причем пароли в данном случае могут передаваться в открытом виде;

•отсутствие защиты служебной информации позволяет применять ата­ ки типа АУеЪ зрооГт§ (подмена имени ресурса), основанные на замене нарушителем 1ШЕ, содержащихся в передаваемых НТТР-запросах и ответах;

•возможность запуска СС1-скриптов и ^уа-апплетов, способных нега­ тивно влиять на безопасность И В С в целом.

Как видно из приведенного выше списка, современные ИВС, построен­ ные по принципу «клиент-сервер», обладают рядом уязвимостей, которые могут негативно сказаться на безопасности И ВС . Очевидно, что наряду с уже существующими в современных клиент-серверных приложениях ме­ ханизмами защиты информации необходимо использовать дополнитель­ ные средства безопасности.

Примеры атак в ШеЬ-технологиях

Здесь рассматривается достаточно простая атака на рабочую станцию с установленными ОС АУтбом^з И Т 4.0 и браузером (Ь го^зег) типа 1пГегпеЪ ЕхрЬгег. Идея нападения заключается в том, что нарушитель создает НТМЬ-страницу, содержащую ссылку вида: Ше^/ДзегуегЧзЬагеМтабе.бй. Она о т н о с и т с я к ресурсам в формате С1РЗ, и очевидно, что данный ре­ сурс уже находится на рабочей станции нарушителя. Пользователь, же­ лающий просмотреть данный ресурс, должен зарегистрироваться на пред­ ложенном ему сервере (обычно типа Ьапшап). При этом регистрация пользователя производится О С автоматически, то есть его имя и хэши­ рованный пароль пересылаются на сервер. После чего злоумышленник, проводя подбор пароля с применением атаки по словарю, может полу­ чить пароль пользователя или в дальнейшем использовать его хэширо­ ванный вариант.

Еще один пример атаки в \УеЬ-технологиях - ШеЪ зроойп^. Для осу­ ществления этой операции злоумы ш ленник должен сначала привлечь внимание пользователя к лож ному АШэ-узлу. Это может быть сделано

300 Компьютерная безопасность и практическое применение криптографии

несколькими способами: путем проникновения на существующий узел и под­ мены локаторов 1ЖЬ, путем внесения имитируемого узла в список меха­ низма поиска или даже с помощью электронной почты, по которой можно оповестить пользователей о существовании адреса, который может их за­ интересовать. Имитируемый узел затем помещает свой собственный адрес перед любым указателем ресурсов 1ЖЬ, запрашиваемым пользователем, так что адрес ЬЦр://\уулу.апуиг1.сот превращается в ЬЦр:// \улу\у.зроо(:зегуег.сот/ Ьир://\у\у^.апу11г1.сот. Правильная ^еЬ-страница затем отсылается назад пользователю через сервер, где эту информацию можно изменить, а лю ­ бую информацию, которую передает пользователь, - перехватить. Процесс может быть продлен, в результате чего все другие оперативные связи бу­ дут иметь пристыкованный впереди адрес; как следствие, все запросы дру­ гих локаторов ЫКЬ будут нарушаться. Те два признака, которые должны насторожить пользователя и подсказать, что его соединения осуществля­ ются через другой сервер, - статусная строка в низу экрана и адрес на­ значения наверху - могут быть изменены путем использования ч|ауа-ап- плетов.

3.5.2. Подходы, применяемые к обеспечению информационной безопасности в клиент-серверных ИВС

На сегодняшний день большинство \УеЪ-серверов обеспечивают защиту информационных ресурсов с использованием идентификации пользовате­ лей на основе ввода ими своих идентификаторов и паролей. Эта информа­ ция часто передается на сервер в открытом виде по общедоступным каналам передачи данных. Сервер проверяет идентификатор и пароль пользовате­ ля, находящиеся в запросе, на соответствие уровню доступности инфор­ мации, содержащейся в списке контроля доступа (А С Ь ) для данного ре­ сурса. АСЬ содержит информацию, указывающую, какой пользователь имеет доступ к данному ресурсу и какой при этом используется вид досту­ па, например: в качестве ресурса может выступать ЫКЬ. Данный подход содержит ряд уязвимостей и недостатков, а именно:

•информация, применяемая системой разграничения доступа, переда­ ется по сети в открытом виде, что позволяет нарушителю, имеющему доступ к каналу передачи данных, перехватывать ее и затем успешно пользоваться этими данными от имени легального пользователя;

•пользователям доставляет определенное неудобство помнить различ­ ные идентификаторы и пароли при доступе к разным \УеЬ-серверам;

•данный подход затруднителен для мониторинга, поскольку пользова­ тель может применять разные идентификаторы в сети;