Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf322 |
Глава 19. Система сетевого времени (синхронизации} |
как «the kiss code» (код «помощи»1) и используемая для отлад ки и мониторинга. Если в NTP-сообщении указан номер «слоя» один (эталонные часы), то тогда идентификатор - 4-октетная ASCII-последовательность, дополняемая нулями слева, и указывающая на определенные эталонные часы. IA N A утвердила официальный перечень идентификаторов источ ников эталонного времени. Однако, любая символьная после довательность, начинающаяся с символа «X», зарезервирована для проведения разного рода исследований и дальнейшего со вершенствования системы. Существуют также наиболее часто используемые ASCII-идентификаторы:
ID |
________ И с т о ч н и к |
с |
и г н а л а _______ в р е м е н и |
G O E S |
Г е о стац ион арн ы й спутник систем ы экол оги ческого м они то ри нга и наблю дения |
||
G P S |
Гл об аль ная си стем а м е сто о п р ед ел ен и я |
||
G A L |
С и с те м а м е сто о п р ед ел ен и я |
«Г а л и л е о » |
|
P P S |
О б щ и й р ад и оси гнал с д л ител ь но стью им пульса, равной 1 секунд е |
||
IR IG |
Группа с тан д а р ти зац и и в те л е м е тр и и , С Ш А |
||
W W V B |
Н и зкочастотны й р ад и о п е р ед атчи к, |
6 0 кГц, Ф орт Коллинз, Кол ор ад о, С Ш А |
|
D C F |
Н и зкочастотны й р ад и о п е р ед атчи к, |
7 7 .5 кГц, D C F 7 7 , М ай н ф л и н ген , Ф Р Г |
|
H B G |
Н и зкочастотны й р ад и о п е р ед атчи к, |
7 5 кГц, П ран гин с, Ш вейцария |
|
M S F |
Н и зкочастотны й р ад и о п е р ед атч и к, |
60 кГц, А н тхорн , В е ли коб ри тан ия |
|
J J Y |
Н изкочастотны й р ад и о п е р ед атч и к, 4 0 кГц, Ф укуш и м а, 6 0 кГц, С а га , Я пония |
||
L O R C |
С р ед н ечасто тн ы й р ад и о п е р ед атч и к, 10 0 кГц, рад и о на в и гац и я, L O R A N -C |
||
T D F |
С р ед н ечасто тн ы й р ад и о п е р ед атч и к, 162 кГц, А л л оуис, Ф ранция |
||
C H U |
Вы сокочастотны й р ад и о п е р ед атч и к, О тта в а , О н тар и о , К ан а д а |
||
W W V |
Вы сокочастотны й р ад и о п е р ед атч и к, Ф орт Кол л инз, ш т.К о л о р ад о , С Ш А |
||
W W V H |
Вы сокочастотны й р ад и о п е р ед атч и к, К ауаи, Гавай и , С Ш А |
||
N IS T |
Тел еф о н н ы й м о дем Н а ци она л ьн ого и н сти тута стан д а р то в и техн ол огий С Ш А |
||
A C T S |
Тел еф о н н ы й м о дем А в том а ти зи р о в а нн о й служ бы ком пью терного в рем ени СШ А |
||
U S N O |
Тел еф о н н ы й м о дем Н ац и о на л ь н о й об сер в ато р и и С Ш А |
||
P T B |
Тел еф о н н ы й м о дем Н а ц и о н а л ь н о го м е тр ол огического и н сти тута Ф Р Г |
Если номер «слоя» равен двум или больше (вторичные серверы времени и клиенты), то тогда идентификатор обозначает сервер времени и может использоваться для выявления петлевых мар шрутов синхронизации. Если используется 1Ру4-адресация, то тогда идентификатор представляет собой 1Ру4-адрес. Если ис пользуется 1Ру6-адресация, то тогда идентификатор представ ляет собой первые четыре октета результата хеширования (МЭ5-алгоритм, RFC-1321) 1Ру6-адреса. (.Примечание. Когда NTPv4-cepBep времени использует 1Ру6-адресацию, а клиент ский программный NTP-модуль - 1Ру4-адресацию, то тогда поле «Reference ГО» может содержать случайную величину, что
1 Это специальный сленг. Существует фраза «kiss of life», которая перево дится как способ искусственного дыхания (вдувание воздуха изо рта в рот). Поэтому фразу «the kiss code» можно перевести как «вспомогательная ко манда», предназначенная для проведения технологических процедур мо ниторинга и устранения неисправностей.
323
исключает возможность выявления петлевых маршрутов син хронизации.).
^0. «Reference Timestamp»: время, когда системные часы были уста новлены или скорректированы в последний раз, в 64-битовом NTP-формате метки времени (рис. 19.4,2).
0 . «Originate Timestamp» (org): время в программном NTP-модуле клиента, которое определяет время отправки им NTP-запроса на удаленный сервер времени, в 64-битовом NTP-формате метки времени (рис. 19.4,2).
j2. «Receive Timestamp» (гес): время в программном NTP-модуле сервера, которое определяет время получения им NTP-запроса от клиента, в 64-битовом NTP-формате метки времени (рис. 19.4,2).
^3. «Transmit Timestamp» (xmt): время в программном NTP-модуле сервера, которое определяет время отправки им NTP-ответа кли енту, в 64-битовом NTP-формате метки времени (рис. 19.4,2).
^4. «Destination Timestamp» (dst): время в программном NTP-модуле клиента, которое определяет время получения им NTP-ответа от удаленного сервера времени, в 64-битовом NTP-формате метки времени (рис. 19.4,2). (Примечание. Поле «Destination Timestamp» не включается в заголовок NTP-сообщения, так как оно определяется только после приёма NTP-сообщения и ста новится доступным в соответствующем буфере, в котором временно храниться поступившее NTP-сообщение.)
Если программный NTP-модуль имеет доступ к физическому уровню Internet-архитектуры, то тогда метки времени соответ ствуют началу символов после начала кадра канального уров ня. В противном случае, прикладные службы должны попы таться «привязать» метку времени к самой ранней доступной точке кадра канального уровня.
15.«Extension Field». Дополнительное поле расширения, формат которого представлен ниже.
16.«Key Identifier» (keyid): идентификатор ключа - 32-битовое беззнаковое целочисленный код, используемый клиентом и сервером для указания секретного 128-битового ]УГО5-ключа.
17.«Message Digest» (digest): криптографическая проверочная сумма - 128-битовая последовательность, вычисленная с по мощью MDS-алгоритма хеширования и секретного крипток люча по всей последовательности NTP-заголовка, включая до полнительные поля расширения, но без полей «Key Identifier»
и «Message Digest».
NTP-сообщение «Kiss-о -Death». Если имеет место нулевой номер «слоя», который считается не определённым или не допус тимым, поле «Reference Identifier» может использоваться для достав ки сообщений, которые содержат данные о состоянии системы и для
324 |
Глава 19. Система сетевого времени (синхронизации) |
управления доступом. Такие сообщения называются «Kiss-о1-Death»! (KoD), а доставляемые ими ASCII-данные называются «kiss codes» (коды «помощи»). KoD-сообщения получили своё название потому, что ранее они использовались для информирования клиентов о прекращении передачи сообщений, которые нарушают управление доступом к серверу. Коды «помощи» могут быть весьма полезными, с точки зрения информирования «интеллектуального» программ ного клиентского NTPv4или БЫТРу4-модуля. Такие коды пред ставляют собой 4-символьные ASCII-последовательности, дополняе мые слева нулями. Эти последовательности предназначены для вы вода на дисплей и записи в файлы. Перечень принятых в настоящее время кодов «помощи» представлен на рис. 19.10.
Код |
О п и с а н и е |
|
A C S T |
Виртуальное соединение установлено одноадресным сервером |
|
A U T H |
Аутентификация сервером завершилась отказом |
|
A U T O |
Autokey-последовательность некорректна |
|
B C S T |
Виртуальное соединение установлено широковещательным сервером |
|
C R Y P |
Криптографическая аутентификация или идентификация завершились отказом |
|
D E N Y |
Удаленный сервер отказал в доступе |
|
D R O P |
Потеря удаленного сервера времени в симметричном режиме |
|
R S T R |
Отказ в доступе в следствие локальной стратегии безопасности |
|
INIT |
Виртуальное соединение с первого раза не установлено |
|
M O S T |
Виртуальное синхросоединение установлено динамически обнаруженным сервером |
|
N K E Y |
Ключ не найден (либо он никогда ранее не загружался, либо он является ненадёжным) |
|
R A T E |
Скорость превышена. Сервер временно запретил доступ, так как клиент превысил порог скорости |
|
R M O T |
Изменение виртуального соединения со стороны удаленного IP-узла, использующего NTP-протокол |
|
напрямую |
||
|
||
S T E P |
Произошла итерация по изменению системного времени, виртуальное синхросоединение не уста |
|
новлено |
||
|
Рис. 19.10. Описание кодов «помощи»
Получатели KoD-сообщений обязаны их проверить и выпол нить следующие действия:
а) при получении кодовых комбинаций «DENY» и «RSTR» клиент обязан разорвать виртуальные соединения с данным сервером времени и прекратить передачу сообщений этому серверу;
б) при получении кодовой комбинации «RATE» клиент обязан незамедлительно снизить свой интервал опроса этого сервера и продолжать его уменьшать каждый раз при получении этой кодовой комбинации;
1 Это специальный сленг. Эта фраза переводится как «последний удар» или «последняя попытка».
раздел II. |
325 |
в) при получении кодовой комбинации начинающейся с ASCIIсимвола «X», предназначенной для проведения эксперимен тальных исследований и последующих усовершенствований, она должна быть проигнорирована, если она не распознаётся;
г) все другие кодовые комбинации и KoD-сообщения, не опреде лённые данным протоколом, уничтожаются после их поверки. Метки времени «Receive Timestamp» и «Transmit Timestamp», установленные сервером, не обрабатываются, и когда они присутст вуют в KoD-сообщении, не должны рассматриваться как надёжные
значения времени поэтому должны уничтожаться.
Формат дополнительного поля расширения. В NTPv4заголовок может быть добавлено одно или несколько поле расши рения (между основным заголовком и МАС-полем, которое всегда должно присутствовать при наличии полей расширения). Правила кодирования и семантика этого поля не являются предметом рас смотрения данного стандарта. Формат дополнительного поля рас ширения представлен на рис. 19.11.
Все поля расширения дополняются нулям до границы 32битововго слова. Поле «Тип поля расширения» («Field Туре») пред назначено для указания функции, которую выполняет это поле (в данном стандарте его кодирование не рассматривается). Мини мальный размер поля расширения составляет 16 октетов, тогда как максимальный размер - не стандартизован.
Рис. 19.11. Формат дополнительного поля расширения
Поле «Размер поля расширения» («Length») представляет со бой 16-битовое беззнаковое целое число, которое предназначено для указания размера всего поля расширения включая поле «Дополне ние нулями».
19.8. Процедурная характеристика протокола
Основой процедурной характеристики ЫТРу4-протокола яв ляется процесс (алгоритм), который обеспечивает обмен значения ми времени между серверами, удаленными серверами и клиентами.
326 |
Глава 19. Система сетевого времени (синхронизации) |
Он обеспечивает защиту от потери или дублирования NTPv4-co- общений. Целостность данных обеспечивается с помощью прове рочных сумм IP- и UDP-протоколов. Протокол не обеспечивает управление потоком и процедуру повторной передачи, более того, в этом нет необходимости. Протокол использует метки времени, при этом они, либо извлекаются из заголовка ]ЧТРу4-собщения, либо они проставляются системными часами при отправке или сразу по сле получения КПГРу4-собщения. Метки времени это данные о точ ном времени, и поэтому их целесообразно повторно проставлять в случае повторной передачи на канальном уровне, а также коррек тировать при вычислении криптографической контрольной суммы при передаче 1ЧПГРу4-собщения.
1чПГРу4-собщения используются в двух различных режимах пе редачи:
1)один-одному (one-to-one), то есть однонаправленный;
2)один-многим (one-to-many), то есть широковещательный. При использовании 1Ру4-адресации - это широковещательный или групповой адрес (Для этого IANA зарегистрировала группо вой 1Ру4-адрес - 224.0.1.1). А при использовании IPv6адресации - это групповой адрес (Для этого IANA зарегистри ровала окончание группового 1Ру6-адреса - :101).
В процедурной характеристике Г\ИРу4-протокола используют ся четыре метки времени « » и три переменные состояния «org», «гес» и «xmt» (рис. 19.12).
На рис. 19.12 представлен наиболее общий случай, когда ка ждый из двух удаленных серверов времени, А и В, независимо изме ряют сдвиг и задержку относительно другого (метки времени обо значаются символами в нижнем регистре, переменные состояния - заглавными). Переменные состояния копируются из меток времени после прибытия или отправки ЫТРу4-собщения.
Сервер А (рис. 19.12) передаёт первое ЫТРу4-сообщение, включающее только время своей отправки «h», которое затем копи руется в значение «Тг». Север В принимает ЫТРу4-собщение в мо мент времени «t2» и копирует «и» в «Тг», а метку времени получения ЫТРу4-сообщения «^» - в «Т2». В это время или несколько позже в момент времени «£з» сервер В передаёт серверу А ГчГГРу4-сообщение, содержащее «ti», «h» и дополнительно метку времени отправки «£з»- Все эти три метки времени копируются в соответствующие пере менные состояния. Сервер А в момент времени «^4» принимает ЫТРу4-собщение, содержащее три метки времени «fi», «£2» и «h», а также дополнительную метку прибытия ЫТРу4-собщения от серве ра В «и». Эти четыре метки используются для расчёта сдвига и за держки часов сервера В относительно сервера А.
а3дел II- |
327 |
|
|
t2 |
tj |
и |
17 |
|
|
|
0 |
h |
и |
ts |
Метки времени |
|
|
0 |
|
и |
k |
NTP-сообщении |
|
|
и |
t3=clock |
t6=clock |
t7=clock |
|
|
|
U-ciock |
|
|
Сервер В |
||
org |
Т1 |
Ti |
t5<>TS |
Ts |
Переменные |
|
rec |
Тг |
T2 |
T6 |
Те |
||
состояния |
||||||
0 |
T3 |
U-Тз^ |
T? |
|||
xmt |
|
Рис. 19.12. Структурно-временная модель процедурной
характеристики >1ТРу4-протокола
Прежде чем будут обновлены значения переменных состояния «xmt» и «org», проводятся две важных контрольных проверки с це лью защиты против дубликатов, поддельных или повторно пере данных ЫТРу4-собщений. Из рассмотренного ранее примера, ЫТРу4-собщение будет являться дубликатом или повторно пере данным, если метка времени отправки «Ьз» в ЫТРу4-собщении сов падёт с переменной состояния «org», равной «Тз». ЫТРу4-собщение будет являться поддельным, если метка времени отправки «и» в ЫТРу4-собщении не совпадёт с переменной состояния «xmt», рав ной «Тг». Если эти две контрольных проверки прошли успешно, то
328 |
Глава 19. Система сетевого времени (синхронизации) |
тогда переменные состояния обновляются, а само ЫТРу4-собщение уничтожается. Для защиты от повторной передачи последнего пе реданного ЫТРу4-собщения, переменная состояния «xmt» устанав ливается в ноль сразу после успешной проверки ЫТРу4-сообщения на предмет его фиктивности.
Четыре наиболее важные метки времени, Тг ... 74, используются для вычисления сдвига времени сервера Вотносительно сервера А:
0 = Т(В) - Т(А) = У2х[(Т2 - Тг) + (Т3 - Т4) ] ,
а задержка петлевого маршрута:
5 = Т(АВА) = (Т4 - Тг) - (Тз - Т2) .
Необходимо отметить, что значения в круглых скобках вычис ляются на основе 64-битовых беззнаковых метках времени и преобра зуются в знаковые величины, состоящие из 63 соответствующих битов и знака плюс (один бит). Эти величины могут представлять собой да ты, начиная с последних 68 лет и кончая последующими 68 годами. Однако, сдвиг и задержка вычисляются как суммы и разности таких значений, в которых только 62 бита отводятся для числа, а два бита отводятся под знак числа, и поэтому могут представлять собой явные значения, начиная с последних 34 лет и кончая последующими 34 го дами. Другими словами, время клиента должно быть синхронизиро вано от сервера времени не ранее, чем за 34 лет до начала действия протокола. Это фундаментальное ограничение, связанное с 64битовыми целочисленными арифметическими действиями.
Вприкладных программных Г4ТРу4-модулях, в которых воз можна арифметическая операция с удвоенными числами с плаваю щей точкой, разности первого порядка могут быть преобразованы в удвоенные значения с плавающей точкой, а суммы и разности второ го порядка вычисляются с использованием этой операции. Так как значения второго порядка, как правило, очень малы относительно отклонений значений, указываемых в метках времени, и в этом смыс ле потери точности практически нет, и поэтому однозначный вре менной интервал от 34 до 68 лет может быть восстановлен.
Внекоторых случаях, когда начальный сдвиг частоты в клиент ском NTP-модуле относительно большой, а реальное время распро странения сигнала мало, то тогда при вычислении задержки результат может быть отрицательным. Например, если разность частоты равна 100 промилей, а интервал «Т4 - Тг» - 64 секунды, то тогда мнимая за держка составит -6,4 миллисекунд. Так как отрицательные значения являются «обманчивыми» при последовательном вычислении, значе
ние «5« должно быть ограничено значением не меньшим, чем «s.p«/ где «s.p« представляет собой точность системы (в секундах).
Раздел II. |
329 |
Представленные выше рассуждения касаются наиболее обще го случая, когда два удалённых сервера времени, функционирую щих в симметричном режиме, независимо друг от друга измеряют сдвиги и задержки между собой. Если сервер находится в ином ре жиме, процедурная характеристика протокола может быть упроще на. Сервер времени копирует метки времени Тз и Т4 из NTPv4сообщения клиента в значения Тг и Т2 КГГРу4-сообщения сервера и добавляет метку времени Тз отправки ответного ЫТРу4-сообщения перед самой передачей последнего клиенту.
Процедурная характеристика Г\ПГРу4-протокола, по определе нию, способна защитить систему от повторной передачи ответного ЫТРу4-сообщения сервера. Однако она не способна предотвратить повторную передачу ответного ]ЧТРу4-сообщения клиента, при реализации которой сервер отправит ответное ЫТРу4-сообщение с новыми значениями Т2 и Тз, и после этого будут рассчитаны некор ректные значения сдвига и задержки. Эта уязвимость может быть устранена путём обнуления значения переменной состояния «xmt» после вычисления значений сдвига и задержки.
РАЗДЕЛ III.
АРХИТЕКТУРА И ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИТС
Глава 20. Основные угрозы информационной безопасности в ИТС. Понятие архитектуры безопасности ИТС. Архитектура безопасности ЭМВОС
Современное развитие ИТС характеризуется, в первую очередь, их глобализацией и проникновением во все сферы жизнедеятельности человека. Internet - яркий тому пример. Однако, сети Internet, являясь уникальным новшеством и «носителем всемирной информатизации», преподнесли своим пользователям (потребителям информационных услуг) новый набор весьма своеобразных и специфических угроз лич ности, государству и обществу. Такое развитие событий обострило проблемы защиты информации в ИТС и, в частности, в сетях Internet. Более того, огромное количество предложений и средств по обеспече нию информационной безопасности (ИБ) в ИТС привело их разработ чиков к созданию архитектуры ИБ ИТС.
20.1. Почему необходимо защищаться?
Разработчики ИТС при создании сетей закладывают в них весь необходимый набор функций, обеспечивающих высококачествен ный информационный обмен с помощью различных абонентский терминалов и использованием различных сред передачи (первич ных систем электросвязи). Очевидно, что ошибки при организации и ведении информационного обмена вероятны и их появление обу словлено эффективностью функционирования отдельных сетевых программно-аппаратных комплексов и всей сети в целом, а также помеховой обстановкой в тех или иных каналах (линиях) связи. За щита от такого рода ошибок не является предметом рассмотрения данной книги. Хотя, в настоящее время существуют методы актив ных атак, замаскированные под функциональные ошибки ИТС.
Вся мировая история показывает, что шпионская (разведыва тельная) деятельность по добыванию различного рода информации является «основой основ» политики любого государства. Человек
раздел III. |
331 |
непредсказуем: окружающие обстоятельства могут повлечь его к поиску информации, доступ к которой ограничен определенным кругом лиц, - это с одной стороны. А с другой, - любой владелец конфиденциальной информации желает обезопасить ее от посто ронних. Именйо наличие человеческого фактора при эксплуатации и функционировании ИТС обуславливает необходимость дополне ния стандартного набора функций для открытых систем, т.е. архи тектуры ИТС, еще одной функцией обеспечения безопасности ИТС.
Электронные коммуникации сближают людей: время и рас стояния исчезают. Тем более, глобальная Internet-сеть, которая объ единяет миллионы жителей Земли и обрабатывает огромное коли чество информации. Поэтому ИТС Internet являются «широким по лем деятельности» для специалистов в области компьютерного шпионажа (компьютерной разведки).
Очень часто можно слышать, что Internet предоставляет широ чайший спектр услуг по защите информации и т.д. Возникает во прос: «А так ли это на самом деле?» Для пользователей Internet необ ходимо знать, что в США существует директива президента страны «Об управлении шифрованием в обществе» («Public Encryption Man agement»), которая однозначно устанавливает, что вывозимые (за пределы государства, т.е. США) криптографические средства за щиты информации не должны служить препятствием для органов электронной разведки США при добывании ими информации. Дру гими словами, любые программные и аппаратные средства защиты информации (в том числе и криптографические), используемые в Internet, являются «прозрачными» для специальных служб США1.
20.2. Источники и последствия реализации угроз информационной безопасности
Необходимо сразу отметить, что именно противоправная дея тельность человека (или группы людей) является источником угроз информационной безопасности ИТС. Рассмотрим, к примеру, пове дение «человека с ружьём». Если такой «нарушитель», используя ружьё, нанёс только физические увечья другому человеку (или группе людей) или осуществил тот или иной акт вандализма, т.е. совершил преступные действия, не приводящие к нарушениям ра ботоспособности ИТС и её системы обеспечения ИБ, то тогда можно
1По данным некоторых зарубежных экспертов орбитальная группировка разведывательных спутников системы «Эшелон» (ECHELON) США кон тролирует до 90% мирового Интернет-трафика.