Безопасность компьютерных сетей.
Безопасность компьютерных сетей (информационных систем) – комплексная проблема, решаемая системными методами.
Основополагающие документы:
Оранжевая книга (DoD 5200.28-STD – Trusted Computer Systems Evaluation Criteria) 1).
Красная книга (NCSC-TG-005 – Trusted Network Interpretation of the Trusted Computer Systems Evaluation Criteria) 2).
CCITSE (Common Criteria for Information Technology Security Evaluation) – Общие критерии оценки безопасности информационных систем
ISO 17799 – Международный стандарт по безопасности 3).
ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования.
ГОСТ Р 34.10-94. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма.
ГОСТ Р 34.11-94. Информационная технология. Криптографическая защита информации. Функция хэширования.
ГОСТ Р 34.10-2001. Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма.
Документы технической комиссии при президенте РФ 4).
Критерии безопасности информации:
Доступность — 6 уровней от Д0 (без неё остановится работа) до Д5 (может понадобиться когда-нибудь)
Целостность – 5 уровней от Ц0 (последствия нарушения необратимы) до Ц4 (не сказывается на работе)
Конфиденциальность – 6 уровней от К0 (несанкционированный доступ приводит к краху) до К5 (не влияет на работу)
Классификации предметов защиты:
Объекты (устройства, файлы, терминальное оборудование и пр.), средства (программы, службы, сервисы и пр.) и субъекты (персонал)
Физические (компьютеры, коммутационное оборудование, терминальное оборудование и пр.), информация (файлы, базы, структуры и пр.) и сервисы (удалённый доступ, управление, администрирование и пр.)
Оптимизационная задача: модель информационной системы (объекты защиты) + критерии + стоимость достижения требуемого уровня => минимизация затрат защиты работоспособной системы.
Методы защиты: физические, организационные, криптографические (программные) 5).
Терминология: хакер (без материальной выгоды), кракер (для денег) и фрикер (телефонные сети).
Наиболее уязвимые сервисы (протоколы) по данным CERT 6).
| Рейтинг | Сервис | % уязвимых инсталляций |
| RPC (Remote procedure calls) | 93,4 | |
| SMTP | 61,1 | |
| Finger (информационная служба по 79 порту) | 59,6 | |
| Trivial FTP (без аутентификации) | 57,4 | |
| HTTP | 42,4 | |
| DNS | 35,0 | |
| FTP | 33,0 |
Рейтинг наиболее уязвимых программ/утилит по данным SANS 7) [8, c. 200-201].
BIND (Berkeley Internet Name Domain) – реализация службы DNS для UNIX/Linux версии 8.2.2 и ниже предоставляют полный доступ (уровень root) к компьютеру
Приложения Web-серверов
Сервисы на базе RPC (rpc. cmsd, rpc. statd и др.) позволяют получить полный доступ (уровень root) к компьютеру
Сервисы удалённого доступа к данным (RDS – Remote Data Service) Microsoft Internet Information Server позволяет выполнять команды с привилегиями администратора
Sendmail – почтовый сервис UNIX/Linux версии 8.10 и ниже «прозрачен» для компьютерных червей 8)
Сервисы sadmind (Solaris) и mountd (Unix) доступа и управления сетевой файловой системой (NFS – Network File System) при переполнении буфера позволяют получить полный доступ (уровень root) к компьютеру
Совместный доступ к файлам по NetBIOS из-за слабости контроля (пользователь сам предоставляет доступ) приводит к уязвимости компьютеров
Наиболее популярные типы атак [8, с.153-185; 4, с. 264-311] 9):
D|DoS (Distributed | Deny-of-Service) – распределённый | отказ от обслуживания – разрушение механизмов доступа к информации и/или организация запредельной нагрузки на атакуемый сервер
Ping-of-death (декабрь 96) – подача утилитой ping пакета недопустимо большого размера 10)
SYN flood (сентябрь 96) – подача потока ложных запросов на ТСР соединение
Smurf – организация потока запросов ICMP hello с обратным адресом жертвы
Fraggle – запуск отладочного UDP сервиса chargen (character generation – создание потока символов) с обратным адресом жертвы
Организация ложных DHCP клиентов
Teardrop – подача IP пакетов с неправильными значениями смещения фрагмента и длины пакета. В буфере сборки возможно появление отрицательного значения, воспринимаемого как максимальное (64 кбайт), и затирание используемых областей памяти
Land – адрес отправителя = адресу жертвы (зацикливание ответов)
Nuke – подача через 139 порт ТСР пакетов со строчными параметрами в прикладные процессы Windows, где эти параметры не предусмотрены.
Атаки на поток данных
Прослушивание (sniffing) сети на предмет определения IP адресов и открытых портов путём сканирования или установки сетевой карты в режим перехвата
Перехват путём ложных ARP ответов
Tiny Fragment Attack – атака крошечными фрагментами. Маршрутизатор уничтожает только первый из фрагментированных пакетов, а остальные пропускает и они могут быть собраны жертвой
Ложные дубликаты ТСР подтверждений, приводящие к необоснованному увеличению окна отправителя.
Преждевременные ТСР подтверждения могут привести к потере целостности (потерянные пакеты будут подтверждены)
Атаки на маршрутизаторы
Атаки на клиентов Java Virtual Machine и ActiveX
IPSec
IP-Security (IPSec) – набор протоколов сетевого уровня для защищённого обмена данными в TCP/IP сетях [8, с. 427-436] 1).
Два режима – транспортный и туннельный (см. рис. ↓) 2).
Протокол защиты заголовка пакета формирует Authentication Header (AH) и обеспечивает:
Целостность данных
Подлинность происхождения данных
Защиту от повторений
Формат АН показан на рис. ↓
| 32 бита (4 байта) | |||||||||||||||||||||||||||||||
| Следующий заголовок | Длина значимых данных | Зарезервировано | |||||||||||||||||||||||||||||
| Индекс параметра безопасности | |||||||||||||||||||||||||||||||
| Последовательный номер | |||||||||||||||||||||||||||||||
| Данные аутентификации |
Следующий заголовок (Next header) указывает тип данных за АН (установлен IANA – Internet Assigned Numbers Authority)
Длина значимых данных (Payload length) – длина АН в 32битовых словах – 2
Зарезервированное поле заполнено нулями
Индекс параметра безопасности (Security parameters index) – идентификатор способа защиты (0 – защиты нет)
Последовательный номер (Sequence number) – порядковый (с 0) номер пакета
Данные аутентификации (Authentication data) – например, хэш-функция неизменяемых или предсказуемых полей заголовка пакета.
Размещение АН в IP пакете для транспортного и туннельного режима показывает рис. ↓
| Исх. IP заголов. | ТСР заголовок и Данные | ← Оригинальный IP пакет | ||||
| Исх. IP заголов. | АН | ТСР заголовок и Данные | ← Транспортный режим | |||
| ←−−Аутентификация (кроме изменяемых полей)−−−−−−−−−−−→ | ||||||
| Нов. IP заголов. | АН | Исх. IP заголов. | ТСР заголовок и Данные | ← Тунн. р. | ||
| ←−−−−−−−−−−−−−−−−−−Аутентификация (кроме изменяемых полей)−−−−−−−−−−−→ | ||||||
В туннельном режиме новый IP заголовок содержит адрес шлюза.
Протокол инкапсуляции содержимого пакета Encapsulated Security Payload (ESP) предусматривает шифрование содержимого пакета и обеспечивает:
· Конфиденциальность и целостность данных
· Подлинность происхождения данных
· Защиту от повторений
Размещение ESP в IP пакете для транспортного и туннельного режима показывает рис. ↓
| Исх. IP заголов. | ТСР заголовок и Данные | ← Оригинальный IP пакет | |||||||
| Исх. IP заголов. | Загол. ESP | ТСР заголовок и Данные | Хв. | Аут | ← Трансп. режим | ||||
| ←−−−−−Шифрование−−−−−−−−−−→ ←−−−−−−−−−Аутентификация −−−−−−−−−−−−→ Туннельный режим | |||||||||
| Нов. IP заголов. | Загол. ESP | Исх. IP заголов. | ТСР заголовок и Данные | Хв. | Аут | ||||
| ←−−−−−−−−−−−−−−−−−−−Шифрование−−−−−−−−−−→ ←−−−−−−−−−−−−−−−−−−−−−−−Аутентификация −−−−−−−−−−−−→ | |||||||||
Загол (овок) ESP содержит 2 32-битных слова: индекс параметра безопасности (Security parameters index) и последовательный номер (Sequence number) (см. заголовок АН).
Хв (ост) ESP состоит из заполнителя (Padding), дополняющего блок шифруемых данных до требуемого размера и скрывающего истинный размер этих данных; 8-битового поля длины заполнителя (Pad length) и 8-битового поля следующего заголовка (Next header).
Аут (ентификационные) данные (Authentication data) – «цифровая подпись» содержимого пакета.
Для защиты как IP заголовков, так и содержимого пакета используют оба протокола.
Межсетевой экран
Межсетевой экран (МСЭ) или firewall – фильтр пакетов для защиты внутренней информационной среды (Intranet) от несанкционированных действий со стороны внешней среды (Extranet/Internet) [8, с. 466-472] 1).
Расположение firewall иллюстрирует рис. ↓.
Простой пакетный фильтр (packet filter) обычно размещается на шлюзе (маршрутизаторе) и работает совместно с NAT разрешая, запрещая или отвечая на пакеты согласно устанавливаемым правилам (цепочкам) в зависимости от направления следования пакетов (OUT/IN), IP адресов, портов и протоколов. Каждый пакет рассматривается независимо от предыдущих. Может защитить от некоторых атак типа DoS (ping-of-death, SYN-flood и др.).
МСЭ с контролем соединения (virtual circuit control) чаще всего выполнен в виде отдельного устройства и устанавливает правила пропуска или уничтожения пакетов в зависимости от «виртуального» соединения, т. е. учитываются предыдущие пакеты 2).
МСЭ с контролем приложения (application layer gateway) практически не отличается от сервиса proxy и в продвинутых моделях проксирует не только традиционные приложения с HTTP, FTP, но и другие протоколы.
Наиболее защищённой считается структура с выделением ресурсов для публичного доступа в т. н. демилитаризованную зону (DeMilitarized Zone — DMZ) с двумя МСЭ, устраняющими проникновение из вне во внутреннюю сеть
(см. рис. ↓).
29. VLAN, VPN.
VLAN (Virtual Local Area Network) и VPN (Virtual Private Network) – два популярных способа решения задачи построения независимых сетей, использующих общие физические линии связи в локальных и глобальных сетях соответственно. VLAN решает эту задачу на уровне технологии (Ethernet), а VPN – на уровнях стека протоколов (TCP/IP).
Наиболее «продвинутое» построение VLAN для технологии Ethernet основано на стандарте 802.11Q, 1) согласно которому в заголовке кадра Ethernet устанавливается номер подсети, обрабатываемый коммутаторами и/или сетевыми картами [1, с. 458-464]. Один и тот же порт коммутатора (сетевую карту) можно ассоциировать с несколькими номерами виртуальных подсетей для организации доступа к общему сетевому ресурсу (серверу). Следует отметить, что для содержимого кадра при организации VLAN не предполагается использование какой-либо защиты и «независимость» виртуальных подсетей построена на «правильной» отправке кадра коммутатором или пропуске «чужих» кадров сетевой картой. Очевидно, что такой подход оправдан только, когда кадр физически не выходит за пределы организации и можно гарантировать защиту от несанкционированного перехвата.
Для обозначения семиуровневой модели иногда используется прилагательное «эталонная», подчёркивающее теоретический характер этой модели. Действительно, за редким исключением, ни один из практически используемых стеков протоколов не соответствует этой модели в точности.
Среди причин этого явления можно выделить следующие. Во-первых, все основные практически используемые стеки (TCP/IP, IPX/SPX, АТМ, X.25 и др.) разрабатывались до появления семиуровневой модели.
Во-вторых, форма описания семиуровневой модели в момент появления была весьма далека от совершенства и многие разработчики просто не смогли своевременно понять её важность.
В-третьих, кажущаяся громоздкость модели делала разработанные на её основе стеки коммерчески невыгодными и пригодными только для научных исследований.
Тем не менее, семиуровневая модель позволяет сопоставить между собой различные стеки, даёт «точку отсчёта» для разработки новых сетевых решений и с этих позиций роль модели остаётся весьма значимой.
Оглавление
Общие принципы построения компьютерных сетей и основные определения. 1
Классификация компьютерных сетей.. 1
Международные организации. Модель OSI 2
Методы доступа. 4
ISDN.. 5
Пользовательские интерфейсы ISDN. 6
АТМ.. 7
Основные идеи технологии АТМ. 7
Ethernet 9
Физическая среда Ethernet 10
Высокоскоростной Ethernet 13
Технологии удалённого доступа. 14
Стык по (последовательному) COM порту. 14
Стек протоколов TCP/IP.. 15
Протокол UDP.. 19
Протокол ТСР.. 21
Протокол FTP.. 22
Протокол HTTP.. 23
Протокол Telnet 23
Протоколы электронной почты.. 24
NAT. 27
Proxy сервер. 29
WEB публикации.. 30
Мультимедийные службы.. 31
UNIX/Linux. 36
Уровень программ.. 37
Безопасность компьютерных сетей. 37
Классификации предметов защиты: 37
IPSec. 39
Межсетевой экран. 40