Илья Медведовский - Атака на Internet
Одной из особенностей распределенной ВС является возможное отсутствие информации, необходимой для доступа к ее удаленным объектам, поэтому возникает необходимость использования потенциально опасных с точки зрения безопасности алгоритмов удаленного поиска. Следовательно, чтобы такой необходимости в РВС не возникало, на начальном этапе нужно спроектировать систему, полностью определив информацию о ее объектах. Это позволит, в свою очередь, ликвидировать одну из причин успеха удаленных атак, связанных с использованием в РВС алгоритмов удаленного поиска.
Однако в РВС с неопределенным и достаточно большим числом объектов (например, Internet) спроектировать систему с отсутствием неопределенности практически нельзя. В этом случае отказаться от алгоритмов удаленного поиска не представляется возможным.
Существуют два типа таких алгоритмов. Первый – с использованием информационно-поискового сервера, второй – с использованием широковещательных запросов. Применение в РВС алгоритма удаленного поиска с использованием широковещательных запросов в принципе не позволяет защитить систему от внедрения в нее ложного объекта, а следовательно, использование данного алгоритма в защищенной системе недопустимо. Применение в распределенной ВС алгоритма удаленного поиска с использованием информационно-поискового сервера позволяет обезопасить систему от внедрения в нее ложного объекта в том случае, если, во-первых, взаимодействие объектов системы с сервером происходит только с созданием виртуального канала и, во-вторых, у объектов, подключенных к данному серверу, и у сервера существует заранее определенная статическая ключевая информация, используемая при создании виртуального канала. При выполнении этих условий невозможно будет передать ложный ответ на запрос объекта.
Поясним последнее утверждение. Если виртуальный канал с информационно-поисковым сервером создается с использованием только динамически вырабатываемой ключевой информации, например по схеме открытого распределения ключей, то ничто не мешает атакующему (в том случае, когда он может перехватить первоначальный запрос на создание ВК с объекта системы) послать ложный ответ и создать виртуальный канал от имени настоящего сервера. Именно поэтому на всех объектах системы необходима начальная ключевая информация для создания ВК с информационно-поисковым сервером.
В заключение предлагаются требования, которыми необходимо руководствоваться при создании защищенных распределенных ВС.
...Наиболее безопасной распределенной ВС является та, в которой информация о ее объектах изначально полностью определена и в которой не используются алгоритмы удаленного поиска.
В том случае, если предыдущее требование выполнить невозможно, в РВС необходимо использовать лишь алгоритм удаленного поиска с выделенным информационно-поисковым сервером; при этом взаимодействие объектов системы и данного сервера должно осуществляться только по виртуальному каналу с применением надежных криптоалгоритмов защиты соединения и статической ключевой информации.
В распределенной ВС для обеспечения безопасности необходимо отказаться от алгоритмов удаленного поиска с использованием широковещательных запросов.
Заканчивая главу, обращаем внимание читателей на то, что в Internet (стандарт IPv4) практически ни одно из сформулированных требований к построению безопасных распределенных систем не выполняется. Поэтому мы позволили себе привести те требования, с учетом которых, по нашему мнению, должна строиться распределенная ВС. Кстати, приняв во внимание собственные ошибки в разработке стандарта IPv4, специалисты уже завершают создание нового, более защищенного стандарта Internet – IPv6, где будут учтены некоторые вышеизложенные требования. Однако разговор о безопасности сети Internet в IPv6 несколько преждевременен, и его лучше отложить до окончательного выхода стандарта в свет.
Глава 8 Как защититься от удаленных атак в сети Internet
– …Скажите мне честно – есть ли хоть какой-то выход из этого кошмара?
– Выход всегда есть, – ответил Эркюль Пуаро.
А. Кристи. Подвиги Геркулеса
Прежде чем говорить о различных аспектах обеспечения информационной безопасности в сети Internet, пользователь должен ответить на вопрос: «А что мне защищать?» Вы скажете – странный вопрос. Ничуть! Особенность Internet на сегодняшний день состоит в том, что 99 % информационных ресурсов Сети являются общедоступными. Удаленный доступ к этим ресурсам может осуществляться анонимно, любым неавторизованным пользователем. Примером подобного неавторизованного доступа (если он разрешен) является подключение к WWW– или FTP-серверам. Теперь, даже если при помощи одной из описанных удаленных атак из предыдущей главы трафик пользователя будет, например, перехвачен и пройдет через сегмент сети атакующего, то последний не получит ничего, кроме и так общедоступной информации, а следовательно, в подобной атаке для кракера нет никакого смысла! Поэтому первая проблема, которую должен решить каждый пользователь, заключается в выборе вида удаленного доступа к ресурсам Сети. Если пользователь планирует осуществлять в Internet только неавторизованный удаленный доступ, то ему абсолютно не нужно заботиться о безопасности соединения (именно соединения, а не собственных ресурсов!). Если же планируется авторизованный доступ к удаленным ресурсам, то следует обратить на эту проблему особое внимание.
Определившись, к каким ресурсам сети Internet пользователь намерен осуществлять доступ, необходимо ответить на следующий вопрос: собирается ли пользователь разрешать удаленный доступ из Сети к своим ресурсам? Если нет, то тогда имеет смысл использовать в качестве сетевой ОС «чисто клиентскую» (например, Windows 98 или NT Workstation), которая не содержит программ-серверов, обеспечивающих удаленный доступ, а значит, удаленный доступ к данной системе в принципе невозможен, так как он просто не предусмотрен программой (правда, с одним но: под данные системы действительно нет серверов FTP, TELNET, WWW и т. д., и нельзя забывать про встроенную в ОС возможность предоставлять удаленный доступ к файловой системе, так называемое share (разделение ресурсов)). Например, давно известна программа, при некоторых условиях предоставляющая атакующему несанкционированный удаленный доступ к файловой системе ОС Windows NT 4.0. Выбор клиентской операционной системы во многом решает проблемы безопасности для данного пользователя (нельзя получить доступ к ресурсу, которого просто нет!), однако в этом случае ухудшается функциональность системы. Здесь своевременно сформулировать, на наш взгляд, одну из основных аксиом безопасности.
...Принципы доступности, удобства, быстродействия и функциональности вычислительной системы антагонистичны принципам ее безопасности.
Данная аксиома очевидна: чем более доступна, удобна, быстра и многофункциональна ВС, тем она менее безопасна. Например, служба DNS: удобно, но опасно.
Вернемся к выбору пользователем клиентской сетевой ОС. Это, кстати, один из весьма здравых шагов, ведущих к сетевой политике изоляционизма. Данная сетевая политика безопасности заключается в осуществлении как можно более полной изоляции своей вычислительной системы от внешнего мира. Также одним из шагов к обеспечению политики является, к примеру, использование систем Firewall, позволяющих создать выделенный защищенный сегмент (например, приватную сеть), отделенный от глобальной сети. Конечно, ничто не мешает довести политику сетевого изоляционизма до абсурда – просто выдернуть сетевой кабель (полная изоляция от внешнего мира!). Не забывайте, это тоже «решение» всех проблем с удаленными атаками и сетевой безопасностью (в связи с полным отсутствием оных).
Итак, пусть пользователь Internet решил для доступа в сеть применить только клиентскую сетевую ОС и осуществлять с ее помощью неавторизованный доступ. Проблемы с безопасностью решены? Нет! Мы чуть не забыли про типовую удаленную атаку «отказ в обслуживании»! Для этой атаки абсолютно не имеет значения ни вид доступа, ни тип сетевой ОС (хотя клиентская ОС с точки зрения защиты от атаки несколько предпочтительнее). Эта атака, используя фундаментальные пробелы в безопасности протоколов и инфраструктуры сети Internet, поражает сетевую ОС на хосте пользователя с одной единственной целью – нарушить его работоспособность (см. главу 4). Напомним, что для атаки с навязыванием ложного маршрута при помощи протокола ICMP, целью которой является отказ в обслуживании, ОС Windows 95 или Windows NT – наиболее лакомая цель (можно поразить любой хост в сети Internet, на котором установлена данная ОС, – см. раздел «Навязывание хосту ложного маршрута с использованием протокола ICMP»). Бедному пользователю в таком случае остается надеяться на то, что его скромный хост не представляет никакого интереса для атакующего, который может нарушить работоспособность хоста разве что из желания просто напакостить.