Петров А.А. Комп без-ть
.pdfЗащита информации при межсетевом взаимодействии |
291 |
выполнению незарегистрированных компонентов (драйверов, протоколов и сетевых адаптеров).
Характерной особенностью подобного средства защиты является то, что с его помощью можно организовывать защищенный информацион ный обмен как между пользователем и защищаемой локальной сетью, так и между двумя пользователями (рис. 3.15). Организация взаимодей ствия пользователь-защищаемая локальная сеть обеспечивается за счет совместимости между П АК шифрования 1Р-трафика, стоящего на вхо де в локальную сеть, и пользовательским средством защиты. Пакеты, отправляемые П К «И гла -П » для локальной сети, вначале попадают в П А К шифрования 1Р-трафика, где обрабатываются (ф ильтрую тся и расшиф ровываются), а затем маршрутизируются внутри локальной сети. Напри мер, П К «И гла -П » совместим с К К «Ш и п » за счет реализации в обоих 5К1Р-протоколов.
При этом, например, ПК «И гла -П » может осуществлять защищенный обмен информацией как с использованием сетевых плат, так и с использо ванием модемных соединений, что обеспечивает гибкость при обеспечении защиты.
Поскольку современные ОС являются многопользовательскими, то при реализации программных средств защиты, ориентированных на применение в подобных ОС, необходимо обеспечить индивидуальные настройки для каждого пользователя, а также перекрыть возможности одного пользовате ля оказывать негативное влияние на режим работы другого. ПК «И гла -П » позволяет разграничить сферы доступа к настройке параметров конфигу раций для различных категорий пользователей.
ПЭВМ с установленным
ПК "И гла-П"
ПЭВМ
сустановленным ПК "Игла-П"
Рис. 3.15. Схемы применения ПК «Игла-П»
10*
292 Компьютерная безопасность и практическое применение криптографии
Перед началом работы с «И гла -П » каждый пользователь \Утс1о\У5 КПГ проходит регистрацию, которую производит администратор безопасности программного комплекса. При этом пользователю присваивается одно из следующих прав доступа к настройкам конфигурации:
•право просмотра и внесения изменений;
•право просмотра;
•запрет доступа.
3.5. Защита технологии «клиент-сервер»
Одной из самых распространенных иа сегодняшний день моделей пост роения распределенных вычислительных систем является технология «клиент-сервер». Не вдаваясь в детали, опишем общую идею построения подобного вида технологий, в основе которой - разделение субъектов ин формационного взаимодействия на серверы, предоставляющие информа ционные услуги, и на клиентов, потребляющих эти услуги. Среди услуг, предоставляемых серверами, можно выделить: электронный почтамт, база данных, распределенная обработка данных, файл-сервер, сервер печа ти и т.д. Общая структура построения информационно-вычислительных систем (И В С ), использующих технологию «клиент-сервер», представлена на рис. 3.16.
Программное обеспечение, построенное по этой технологии, работает иа прикладном уровне 130/031, поэтому ИВС, сконструированные с исполь зованием технологии «клиент-сервер», независимы от архитектуры транс портной среды передачи данных.
Поскольку в основе любых типов построения распределенных систем лежит взаимодействие удаленных друг от друга субъектов информаци онного обмена, очевидно, что протокольная часть программного обеспе чения является краеугольным камнем любой клиент-серверной техноло гии. Собственно эта часть и реализует заданный подход к построению ИВС. В рамках данных И ВС могут работать пользователи с разными уров нями привилегий и обрабатываться информация, имеющая разный уро вень секретности.
Наряду с функциями передачи сведений подобные системы выполняют задачи по разграничению доступа клиентов к информационным ресурсам сервера, а также по аудиту работы ИВС. К тому же в рамках подобных систем реализуется сложная система администрирования и поддержания работоспособности.
Защита технологии «клиент-сервер» |
293 |
Сегменты локальной сети, состоящей из рабочих станций, которые являются клиентами сервера печати
Из всех протоколов, применяемых в клиент-серверных технологиях,
чаще других пользуются протоколами прикладного уровня. К ним отно сятся:
•протокол Н Т Т Р (НурегТехЪ ТгапзГег Рго1:осо1), являющийся основой № Ь-техиологии (или У/У/УУ) и использующийся для доставки ги пертекстовых сообщений. В рамках ТУеЪ-технологии применяются еще три механизма, без которых ее существование было бы немысли мо: язык гипертекстовой разметки документов (Н Т М Ь ), универсаль ный способ адресации (Ш 1 Ь ) и универсальный межсетевой интер фейс СС1;
•Те1пе1:-протокол - протокол удаленного доступа. Позволяет клиенту подключиться к любому серверу и работать с ним так, как если бы он был удаленным терминалом этого сервера;
•протокол Р Т Р (РНе Тгапз&г Рго1:осо1), позволяющий клиенту осущест влять удаленный доступ к файлам, расположенным на ЕТР-сервере;
•СорЬег-протокол, предназначенный для поиска файлов иа серверах ОорЬег и копирования найденных файлов на рабочую станцию кли ента.
294Компьютерная безопасность и практическое применение криптографии
Вкачестве современного образца программного обеспечения, построен ного по принципу клиент-серверных технологий, можно привести ЬЩегпе! Ы огтаП оп Зегчег (И З ) фирмы МшгозоК, реализующий серверную часть протоколов НТТР, Р Т Р и СорЬег и использующий в качестве интерфейса взаимодействия со стеком протокол ТСР/1Р \Утс1о\У5 Зоске<;з. Клиентс кой частью перечисленных выше протоколов может служить, например, 1п1егпе1; ЕхрЬгег и Ке1зсаре Нау^а^ог. Пример архитектуры взаимодей ствия клиентской части протоколов с серверной частью, реализованной в ИЗ, представлен на рис. 3.17.
Клиент |
113 |
Протокол прикладного уровня |
Протокол прикладного уровня |
(РТР, НТТР, ОорЬег) |
(РТР, НТТР, (ЗорИег) |
\ЛДпс1о№5 Зоске1:5 |
\Мпс1о\л/з Зоскегз |
Стек протоколов ТСР/1Р |
Стек протоколов ТСР/1Р |
Уровень сетевого интерфейса |
Уровень сетевого интерфейса |
1п1:егпе1 |
) -<*- |
Рис. 3.17. Архитектура типового взаимодействия в рамках 1п1егпе1
3.5.1. Типовые угрозы и обеспечение информационной безопасности при использовании технологии «клиент-сервер»
Учитывая, что ШеЪ-технологией пользуются практически повсеместно, важно напомнить, что именно безопасность клиент-серверных технологий играет основополагающую роль в современном развитии 1п1егпе1:. Особую актуальность этой проблеме придает тот факт, что в последнее время резко
Защита технологии «клиент-сервер» |
295 |
увеличилось количество компаний, применяющих 1п1:егпе1: в коммерчес ких целях; оборот денежных средств через 1п1;ете{; тоже имеет тенден цию к стремительному росту. П оскольку подавляющ ее больш инство продуктов прикладного уровня, представленных в 1п1;егпе1:, построены по технологии «клиент-сервер», понятно, что защите информации в подоб ных технологиях следует уделить особое внимание.
Вот почему обзор конкретных решений по защите технологии «клиентсервер» представлен в виде анализа средств защиты информации ДУеЪ-тех- нологий.
В общем случае факты нарушения безопасности существующих И В С могут быть следствием:
•отсутствия или недостаточности применения необходимых средств защиты;
•недостатков в системе администрирования;
•уязвимости в существующих средствах защиты;
•ошибок в программном обеспечении;
•ошибок и преднамеренных действий обслуживающего персонала.
При использовании архитектуры «клиент-сервер» реализация полити ки безопасности включает:
•защиту передаваемого между серверной и клиентской стороной трафика (под защитой в данном случае подразумевается обеспечение коифиденциальиости, целостности, достоверности и имитозащищеиности передаваемой информации);
•разграничение доступа клиентов к информационным ресурсам, предос тавляемым сервером. Например, доступ определенной группы пользо вателей к определенным ресурсам \УеЬ-сервера должен быть ограничен;
•обеспечение работоспособности ИВС. Информационные ресурсы серве ра должны быть доступны клиентам за приемлемое для них время, напри мер, это требование носит особую актуальность в случае предоставления через 1п1;егпе1: результатов торгов на бирже, когда недоступность инфор мации в течение часа уже молсет носить убыточный характер;
Учитывая специфику построения клиент-серверных ИВС, можно выде лить следующие типовые угрозы и уязвимости информационной безопас ности (список конкретных угроз и уязвимостей, приведенный ниже, не претендует на полноту, а служит исключительно для иллюстрации приме ров возмояшых нарушений политики безопасности):
•угрозы и уязвимости, связанные с недостатками в системе разграни чения доступа клиентов к ресурсам или с некорректным админист рированием системы разграничения доступа. К ним относятся:
296Компьютерная безопасность и практическое применение криптографии
-несанкционированный доступ к пользовательским данным и нару шение работы ИВС, возникающие из-за отсутствия механизмов обеспечения конфиденциальности и целостности передаваемых данных и бесперебойности обмена данными. Это часто приводит к успешным атакам иа узлы сети, а также к эффективному анали
зу трафика;
-отсутствие механизмов контроля за применением пользователь ских учетных записей как на серверной части, так и на клиентс кой может привести к незаконному использованию учетных за писей;
-доступ к информационному ресурсу с применением не предназна ченных для этого средств, что может привести к несанкциониро ванному доступу к защищаемой информации. Во избежание подоб ных угроз необходимо контролировать использование специально предназначенных для этой цели средств;
-нарушитель может исключить легального клиента из установлен ного сеанса доступа к ресурсу и затем воспользоваться его именем;
-возможность пользователям (не входящим в группу администрато ров) установить некорректные атрибуты безопасности у защищае мого ресурса, что приведет к несанкционированному доступу к дан ному ресурсу;
-снижение эффективности функционирования подсистемы раз граничения доступа из-за отсутствия механизмов динамического управления значениями атрибутов безопасности;
•угрозы и уязвимости, возникающие вследствие недостатков систе мы аудита работы подсистемы безопасности клиент-серверной ИВС, а именно:
-невозможность возложения ответственности на нарушителя поли тики безопасности, возникающая вследствие того, что система ауди та оставляет незарегистрированными некоторые события, связан ные с безопасностью;
-в случае недостатка памяти, отведенной под журнал событий, мо жет возникнуть ситуация, когда данные подсистемы аудита будут утеряны до того, как начнут использоваться;
-нарушитель может получить несанкционированный доступ к жур налу системы аудита и повредить его целостность;
•угрозы и уязвимости, возникающие вследствие недостатков в подсис теме идентификации/аутентификации:
Защита технологии «клиент-сервер» |
297 |
-получение нарушителем доступа к информации, применяющейся
входе аутентификации пользователей, например ключевым носи телям и т.д.;
-компрометация параметров аутентификации, которая возникает
всилу отсутствия механизмов, запрещающих проведение аутенти фикации в случае нескольких неудачных попыток;
-выбор некорректных параметров аутентификации, который приве дет к ухудшению стойкости схемы аутентификации, возникающий
всилу отсутствия механизмов контроля корректности устанавлива емых значений;
-компрометация параметров аутентификации, повышения уязвимости подсистемы идентификации/аутентификации, возникающая вслед ствие использования неуникальных идентификаторов пользователей;
•угрозы и уязвимости, возникающие из-за непроработанности органи зационных аспектов реализации политики безопасности:
-разрешение клиентам устанавливать большое или неконтролируе мое количество сеансов связи с сервером может привести к потере работоспособности сервера;
-нарушение безопасности ИВС в силу того, что нарушитель может начать работу в ИВС, когда отсутствует требуемый контроль безопасности;
-нарушение информационной безопасности И В С вследствие некор ректных действий пользователя, причиной которых явилась неосве
домленность о запрещенных в рамках И В С действиях;
•угрозы и уязвимости, возникающие вследствие отсутствия или недо статков системы контроля функционирования подсистемы защиты ин формации ИВС:
-в случае отсутствия контроля целостности программной части средств защиты информации и ядра операционной системы воз можно изменение алгоритма функционирования данного программ ного обеспечения, что может послужить причиной нарушения сис темы безопасности;
-сбой в работе ИВС по внешним или внутренним причинам может вызвать нарушение работы средств защиты и при неспособности средств контроля работоспособности средств защиты обнаружить сбой и после этого продолжить функционирование;
-отсутствие действующих автоматически или при участии админист раторов механизмов восстановления безопасного состояния средств защиты, а также механизмов проверки целостности данных средств
298 Компьютерная безопасность и практическое применение криптографии
защиты может привести к переходу в небезопасное состояние при
возникновении сбоев;
•угрозы и уязвимости, возникающие вследствие непроработанности си стемы информационной безопасности в целом:
-отсутствие механизмов обеспечения конфиденциальности и целос тности передаваемых данных средств защиты и бесперебойности об мена данными. При успехе удаленных атак на узлы локальной сети или проведении анализа трафика сети это может привести к несан кционированному доступу к данным средствам защиты и наруше ниям в их работе;
-при отсутствии механизмов обнаружения физических воздействий
ипротиводействия техническим средствам, производящим удален ное воздействие на систему, повышается вероятность осуществле ния атак на физическом уровне;
-если существует возможность использования не контролируемых средствами защиты механизмов удаленного доступа или межмашин ного взаимодействия, возникает угроза нарушения политики безо пасности путем обхода средств защиты;
-недостатки в организации разделения доменов безопасности могут привести к несанкционированному доступу к адресным простран ствам субъектов, к коду или данным средств защиты, а также к по сторонним воздействиям на работу средств защиты;
-применение разных политик управления доступом в условиях су ществования в И ВС двух классов информации - конфиденциаль ной и общедоступной - оставляет возможность для передачи ин формации между объектами, относящимися к разным классам;
-отсутствие средств защиты, контролирующих импорт и экспорт дан ных во внешние системы, может привести к экспорту несоответству ющей информации из И В С или несанкционированному доступу
кполученным документам до задания их атрибутов безопасности;
•угрозы и уязвимости, возникающие вследствие отсутствия специализи рованных механизмов, поддерживающих функционирование средств защиты информации, или при наличии недостатков в них:
-состояния различных средств защиты ИВС, правильное функцио нирование которых зависит от точности отсчета времени, могут про тиворечить друг другу из-за неспособности верно определять зна чения времени;
-согласованность функционирования средств защиты на различ ных компонентах И ВС может быть нарушена из-за недостатков
Защита технологии «клиент-сервер» |
299 |
протоколов удаленной идентификации/аутентификации пользова телей на различных компонентах ИВС.
Говоря о безопасности клиент-серверных технологий, встречающихся в 1ШегпеЕ а именно о базовых версиях \УеЪ-приложений, необходимо вы делить следующие уязвимости ИВС:
•передача трафика в открытом виде, что позволяет производить не толь ко анализ передаваемой информации, но и ее модификацию;
•использование парольной аутентификации, причем пароли в данном случае могут передаваться в открытом виде;
•отсутствие защиты служебной информации позволяет применять ата ки типа АУеЪ зрооГт§ (подмена имени ресурса), основанные на замене нарушителем 1ШЕ, содержащихся в передаваемых НТТР-запросах и ответах;
•возможность запуска СС1-скриптов и ^уа-апплетов, способных нега тивно влиять на безопасность И В С в целом.
Как видно из приведенного выше списка, современные ИВС, построен ные по принципу «клиент-сервер», обладают рядом уязвимостей, которые могут негативно сказаться на безопасности И ВС . Очевидно, что наряду с уже существующими в современных клиент-серверных приложениях ме ханизмами защиты информации необходимо использовать дополнитель ные средства безопасности.
Примеры атак в ШеЬ-технологиях
Здесь рассматривается достаточно простая атака на рабочую станцию с установленными ОС АУтбом^з И Т 4.0 и браузером (Ь го^зег) типа 1пГегпеЪ ЕхрЬгег. Идея нападения заключается в том, что нарушитель создает НТМЬ-страницу, содержащую ссылку вида: Ше^/ДзегуегЧзЬагеМтабе.бй. Она о т н о с и т с я к ресурсам в формате С1РЗ, и очевидно, что данный ре сурс уже находится на рабочей станции нарушителя. Пользователь, же лающий просмотреть данный ресурс, должен зарегистрироваться на пред ложенном ему сервере (обычно типа Ьапшап). При этом регистрация пользователя производится О С автоматически, то есть его имя и хэши рованный пароль пересылаются на сервер. После чего злоумышленник, проводя подбор пароля с применением атаки по словарю, может полу чить пароль пользователя или в дальнейшем использовать его хэширо ванный вариант.
Еще один пример атаки в \УеЬ-технологиях - ШеЪ зроойп^. Для осу ществления этой операции злоумы ш ленник должен сначала привлечь внимание пользователя к лож ному АШэ-узлу. Это может быть сделано
300 Компьютерная безопасность и практическое применение криптографии
несколькими способами: путем проникновения на существующий узел и под мены локаторов 1ЖЬ, путем внесения имитируемого узла в список меха низма поиска или даже с помощью электронной почты, по которой можно оповестить пользователей о существовании адреса, который может их за интересовать. Имитируемый узел затем помещает свой собственный адрес перед любым указателем ресурсов 1ЖЬ, запрашиваемым пользователем, так что адрес ЬЦр://\уулу.апуиг1.сот превращается в ЬЦр:// \улу\у.зроо(:зегуег.сот/ Ьир://\у\у^.апу11г1.сот. Правильная ^еЬ-страница затем отсылается назад пользователю через сервер, где эту информацию можно изменить, а лю бую информацию, которую передает пользователь, - перехватить. Процесс может быть продлен, в результате чего все другие оперативные связи бу дут иметь пристыкованный впереди адрес; как следствие, все запросы дру гих локаторов ЫКЬ будут нарушаться. Те два признака, которые должны насторожить пользователя и подсказать, что его соединения осуществля ются через другой сервер, - статусная строка в низу экрана и адрес на значения наверху - могут быть изменены путем использования ч|ауа-ап- плетов.
3.5.2. Подходы, применяемые к обеспечению информационной безопасности в клиент-серверных ИВС
На сегодняшний день большинство \УеЪ-серверов обеспечивают защиту информационных ресурсов с использованием идентификации пользовате лей на основе ввода ими своих идентификаторов и паролей. Эта информа ция часто передается на сервер в открытом виде по общедоступным каналам передачи данных. Сервер проверяет идентификатор и пароль пользовате ля, находящиеся в запросе, на соответствие уровню доступности инфор мации, содержащейся в списке контроля доступа (А С Ь ) для данного ре сурса. АСЬ содержит информацию, указывающую, какой пользователь имеет доступ к данному ресурсу и какой при этом используется вид досту па, например: в качестве ресурса может выступать ЫКЬ. Данный подход содержит ряд уязвимостей и недостатков, а именно:
•информация, применяемая системой разграничения доступа, переда ется по сети в открытом виде, что позволяет нарушителю, имеющему доступ к каналу передачи данных, перехватывать ее и затем успешно пользоваться этими данными от имени легального пользователя;
•пользователям доставляет определенное неудобство помнить различ ные идентификаторы и пароли при доступе к разным \УеЬ-серверам;
•данный подход затруднителен для мониторинга, поскольку пользова тель может применять разные идентификаторы в сети;