Научная организация инженерного труда

1) Удаленная атака "анализ сетевого трафика"

Основной особенностью распределенной вычислительной сети является распределенность ее объектов в пространстве и связь между ними по физическим линиям связи. При этом все управляющие сообщения и данные, пересылаемые между объектами вычислительной сети, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных вычислительных сетей типового удаленного воздействия, заключающегося в прослушивании канала связи, называемого анализом сетевого трафика.

Анализ сетевого трафика позволяет:

а) изучить логику работы распределенной вычислительной сети, это достигается путем перехвата и анализа пакетов обмена на канальном уровне (знание логики работы сети позволяет на практике моделировать и осуществлять другие типовые удаленные атаки);

б)  перехватить поток данных, которыми обмениваются объекты сети, т. е. удаленная атака данного типа заключается в получении несанкционированного доступа к информации, которой обмениваются пользователи (примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети).

По характеру воздействия анализ сетевого трафика является пассивным  воздействием (класс 1.1). Осуществление  данной атаки без обратной связи (класс 4.2) ведет к нарушению конфиденциальности информации (класс 2.1) внутри одного сегмента сети (класс 5.1) на канальном уровне OSI (класс 6.2). При этом начало осуществления  атаки безусловно по отношению к цели атаки (класс 3.3).

2) Удаленная атака "подмена доверенного объекта"

Одной из проблем безопасности распределенной ВС является недостаточная идентификация  и аутентификация (определение подлинности) удаленных друг от друга объектов. Основная трудность заключается  в осуществлении однозначной  идентификации сообщений, передаваемых между субъектами и объектами  взаимодействия. Обычно в вычислительных сетях эта проблема решается использованием виртуального канала, по которому объекты  обмениваются определенной информацией, уникально идентифицирующей данный канал.

Для адресации сообщений в распределенных вычислительных сетях используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI – это  аппаратный адрес сетевого адаптера, на сетевом уровне – адрес определяется протоколом сетевого уровня (например, IP-адрес). Сетевой адрес также может использоваться для идентификации объектов сети. Однако сетевой адрес достаточно просто подделывается и поэтому использовать его в качестве единственного средства идентификации объектов недопустимо.

В том случае, когда в вычислительной сети использует нестойкие алгоритмы  идентификации удаленных объектов, то оказывается возможной типовая  удаленная атака, заключающаяся  в передаче по каналам связи сообщений  от имени произвольного объекта  или субъекта сети (т. е. подмена объекта  или субъекта сети).

3) Удаленная атака "ложный объект"

Принципиальная возможность реализации данного вида удаленной атаки  в вычислительных сетях также  обусловлена недостаточно надежной идентификацией сетевых управляющих  устройств (например, маршрутизаторов). Целью данной атаки является внедрение  в сеть ложного объекта путем  изменения маршрутизации пакетов, передаваемых в сети. Внедрение ложного  объекта в распределенную сеть может  быть реализовано навязыванием ложного  маршрута, проходящего через ложный объект.

Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через  сетевые узлы. При этом маршрутом  называется последовательность узлов  сети, по которой данные передаются от источника к приемнику. Каждый маршрутизатор имеет специальную  таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Таблицы маршрутизации существуют не только у маршрутизаторов, но и  у любых хостов (узлов) в глобальной сети.

Для обеспечения эффективной и  оптимальной маршрутизации в  распределенных ВС применяются специальные  управляющие протоколы, позволяющие  маршрутизаторам обмениваться информацией  друг с другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уведомлять хосты о новом маршруте – ICMP (Internet Control Message Protocol), удаленно управлять маршрутизаторами (SNMP (Simple Network Management Protocol)). Эти протоколы позволяют удаленно изменять маршрутизацию в сети Интернет, то есть являются протоколами управления сетью.

Реализация данной типовой удаленной  атаки заключается в несанкционированном  использовании протоколов управления сетью для изменения исходных таблиц маршрутизации. В результате успешного изменения маршрута атакующий  получит полный контроль над потоком  информации, которой обмениваются объекты  сети, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от дезинформированных объектов вычислительной сети.

Получив контроль над проходящим потоком  информации между объектами, ложный объект вычислительной сети может применять  различные методы воздействия на перехваченную информацию, например:

а) селекция потока информации и сохранение ее на ложном объекте (нарушение конфиденциальности);

б) модификация информации:

1)  модификация данных (нарушение целостности);

2)  модификация исполняемого кода и внедрение разрушающих программных средств – программных вирусов (нарушение доступности, целостности);

в)  подмена информации (нарушение целостности).

4) Удаленная атака "отказ в обслуживании"

Одной из основных задач, возлагаемых  на сетевую операционную систему, функционирующую  на каждом из объектов распределенной вычислительной сети, является обеспечение  надежного удаленного доступа с  любого объекта сети к данному  объекту. В общем случае в сети каждый субъект системы должен иметь  возможность подключиться к любому объекту сети и получить в соответствии со своими правами удаленный доступ к его ресурсам. Задача сервера  состоит в том, чтобы постоянно  ожидать получения запроса на подключение от удаленного объекта  и, получив такой запрос, передать на запросивший объект ответ, в котором  либо разрешить подключение, либо нет.

По аналогичной схеме происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты  сети. В этом случае непосредственно  операционная система обрабатывает приходящие извне запросы на создание виртуального канала и передает их в соответствии с идентификатором  запроса (номер порта) прикладному  процессу, которым является соответствующий  сервер. В зависимости от различных  параметров объектов вычислительной сети, основными из которых являются быстродействие ЭВМ, объем оперативной памяти и  пропускная способность канала связи  – количество одновременно устанавливаемых  виртуальных подключений ограничено, соответственно, ограничено и число  запросов, обрабатываемых в единицу  времени. С этой особенностью работы вычислительных сетей связана типовая  удаленная атака "отказ в обслуживании". Реализация этой угрозы возможна, если в вычислительной сети не предусмотрено  средств аутентификации (проверки подлинности) адреса отправителя. В такой вычислительной сети возможна передача с одного объекта (атакующего) на другой (атакуемый) бесконечного числа анонимных запросов на подключение от имени других объектов.

Результат применения этой удаленной  атаки – нарушение на атакованном  объекте работоспособности соответствующей  службы предоставления удаленного доступа, то есть невозможность получения  удаленного доступа с других объектов вычислительной сети – отказ в  обслуживании.

 

4 Принципы защиты распределенных вычислительных сетей

Принципы построения защищенных вычислительных сетей по своей сути являются правилами  построения защищенных систем, учитывающие, в том числе, действия субъектов  вычислительной сети, направленные на обеспечение информационной безопасности.

Одним из базовых принципов обеспечения информационной безопасности для любых объектов информационных отношений является борьба не с угрозами, являющимися следствием недостатков системы, а с причинами возможного успеха нарушений информационной безопасности.

Перечислим причины успеха удаленных угроз информационной безопасности:

1) Отсутствие выделенного канала связи между объектами вычислительной сети.

2) Недостаточная идентификация объектов и субъектов сети.

3) Взаимодействие объектов без установления виртуального канала.

4) Отсутствие контроля за виртуальными каналами связи между объектами сети.

5) Отсутствие в распределенных вычислительных сетях возможности контроля за маршрутом сообщений.

6) Отсутствие в распределенных вычислительных сетях полной информации о ее объектах.

7) Отсутствие в распределенных вычислительных сетях криптозащиты сообщений.

Для устранения первой причины ("отсутствие выделенного канала...") идеальным  случаем было бы установление выделенных каналов связи между всеми  объектами сети. Однако это практически  невозможно и нерационально, в первую очередь, из-за высокой стоимости  такой топологии вычислительной сети.

Существуют два возможных способа  организации топологии распределенной вычислительной сети с выделенными  каналами. В первом случае каждый объект связывается физическими линиями связи со всеми объектами системы. Во втором случае в системе может использоваться сетевой концентратор, через который осуществляется связь между объектами (топология "звезда") [6].

Преимущества сети с выделенным каналом связи между объектами  заключаются:

а) в передаче сообщений напрямую между источником и приемником, минуя остальные объекты системы;

б) в возможности идентифицировать объекты распределенной системы на канальном уровне по их адресам без использования специальных криптоалгоритмов шифрования трафика;

в) в отсутствии неопределенности информации о ее объектах, поскольку каждый объект в такой системе изначально однозначно идентифицируется и обладает полной информацией о других объектах системы.

Недостатки сети с выделенными  каналами:

а) сложность реализации и высокие затраты на создание;

б) ограниченное число объектов системы (зависит от числа входов у концентратора).

Альтернативой сетям с выделенным каналом являются сети с широковещательной  передачей данных, надежная идентификация  объектов в которых может обеспечиваться использованием специальных криптокарт, осуществляющих шифрование на канальном уровне.

Отметим, что создание распределенных систем только с использованием широковещательной  среды передачи или только с выделенными  каналами неэффективно, поэтому представляется правильным при построении распределенных вычислительных сетей с разветвленной  топологией и большим числом объектов использовать комбинированные варианты соединений объектов. Для обеспечения  связи между объектами большой  степени значимости можно использовать выделенный канал. Связь менее значимых объектов системы может осуществляться с использованием комбинации "общая шина" – выделенный канал.

Безопасная физическая топология  сети (выделенный канал) является необходимым, но не достаточным условием устранения причин угроз информационной безопасности, поэтому необходимы дополнительные меры по повышению защищенности объектов вычислительных сетей. Дальнейшее повышение  защищенности вычислительных сетей  связано с использованием виртуальных  каналов, обеспечивающих дополнительную идентификацию и аутентификацию объектов вычислительной сети.

Для повышения защищенности вычислительных сетей при установлении виртуального соединения необходимо использовать криптоалгоритмы с открытым ключом (рассмотрим далее). Одной из разновидностей шифрования с открытым ключом является цифровая подпись сообщений, надежно идентифицирующая объект распределенной вычислительной сети и виртуальный канал.

Отсутствие контроля за маршрутом сообщения в сети является одной из причин успеха удаленных угроз. Рассмотрим один из вариантов устранения этой причины.

Все сообщения, передаваемые в распределенных сетях, проходят по цепочке маршрутизаторов, задачей которых является анализ адреса назначения, выбор оптимального маршрута и передача по этому маршруту пакета или на другой маршрутизатор или непосредственно абоненту, если он напрямую подключен к данному узлу. Информация о маршруте передачи сообщения может быть использована для идентификации источника этого сообщения с точностью до подсети, т. е. от первого маршрутизатора.

Задачу проверки подлинности адреса сообщения можно частично решить на уровне маршрутизатора. Сравнивая  адреса отправителя, указанные в  сообщении с адресом подсети, из которой получено сообщение, маршрутизатор  выявляет те сообщения, у которых  эти параметры не совпадают, и  соответственно, отфильтровывает такие  сообщения.