В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 62
Текст из файла (страница 62)
Однако если системный вызов ореп заканчивается неудачно в силу того, что пользователь запросил в системном вызове доступ на запись файла гип1х, не имея разрешения, то это действие классифицируется как событие «Отказ доступа» для дан- 270 ного пользователя и объекта /цшх. Следовательно, системный вызов можно отобразить в несколько типов событий в зависимости от объекта, к которому осуществляется доступ, и (или) результата вызова. Олнако следует иметь в вилу, что при включении всех событий контроля и активной работе пользователей объем записываемой информации может достигать нескольких мегабайт на одного пользователя в час.
При построении защиты процессов переработки информации на уровне сети существуют свои особенности. Во-первых, в силу возможности перехвата пакетов и передачи отдельными видами сервисов паролей в открытом виде существует необходимость дополнительной аутентификации пользователей. Во-вторых, возникает необходимость аутентификации удаленных машин. В-третьих, необходимы дополнительные срелства контроля (аиййпй) за событиями, которые возникают при работе на сетевом уровне. Необходимо констатировать, что на сетевом уровне Ь)пих не обладает столь мощными стандартными средствами зашиты, как на системном.
Поэтому, учитывая условия неоднородности сетевого окружения как на физическом, так и на системном уровнях, лля успешной защиты 13Х1Х-систем при работе в сети, как правило, требуются лополнительные средства защиты. Данный раздел посвящен описанию стандартных средств и метолов, с помощью которых можно повысить безопасность 1)Х!Х- систем при работе в сети и реализации различных функций: использования протоколов ТСР/1Р, сетевой файловой системы ХЕБ, ЕТР и т.д.
Основным недостатком семейства протоколов ТСР/1 Р с точки зрения зашиты информации является открытость информации, передаваемой по сети, т. е. сетевого графика. Анализ сетевого графика достигается путем перехвата и анализа пакетов обмена на канальном уровне. Это позволяет, во-первых, проанализировать работу ОС по сети; во-вторых, производить несанкционированный доступ к информации, передаваемой по сети. Например„анализ сетевого графика позволяет получить пароли пользователей при их работе с ГТР или се1пеп При этом ге!пег пересылает пароль по одному символу в пакете, а ЕТР— в одном пакете целый пароль. Недостатки, связанные с перехватом паролей по сети при удаленном доступе, в настоящее время вполне успешно решаются. Почти все производители БМХ-систем переработали серверные (иногда и клиентские) программы улаленного доступа. Принцип лоработки заключается в том, что на каждый сеанс связи устанавливается разовый пароль.
Различных реализаций этой идеи в настоящий момент достаточно много. 271 Однако, закрыв или обезопасив тем или иным способом перехват паролей, елинственной возможностью избавиться от перехвата всей остальной информации, передаваемой по сети, является шифрование графика. Приведем еше несколько известных недостатков в реализации зашиты семейства протоколов ТСР/1Р. Общеизвестно, что проблема назначения 1Р-адресов весьма серьезна. Если установить систему автоматического назначения 1Р-алресов, то появится большое количество сложностей при функционировании различных видов сервиса, связанных с !Р-адресом (например, ХГБ). Кроме того, упростятся попытки создания ложных серверов и рабочих станций.
Если назначать 1Р-адреса вручную, что более предпочтительно при построении защищенных систем, то возможны ошибки администрирования. При этом, как показали исследования, готовых средств выявления машин с одинаковыми или неправильными 1Р-адресами не существует, а функционирование машин с одинаковыми 1Р-адресами в сети непредсказуемо. Особенно данный факт будет критичен при построении на платформе Ь|пцх средств фильтрации или шифрования сетевого графика (межсетевых экранов). Общепринятым лаже в локальных 1Р-сетях является создание РХБ (Рогпа)п Хате Яузгегп)-серверов.
Это упрощает решение проблемы назначения 1Р-адресов и избавляет пользователей локальных станций от утомительного занятия записывания имен станций и соответствующих им 1Р-адресов в файле 1зозгк Кроме того, пользователь локальной станции не знает и не может знать все 1Р-адреса. Нормальное функционирование нескольких локальных сетей, а тем более глобальных, невозможно без ВХЯ-сервера.
Однако, как только возникает какое-либо соединение между рабочей станцией и сервером, необхолима реализация идентификации и аутентификации этой связи. В случае реализации 0ХЯ- сервера, видимо, считалось, что для обеспечения зашиты его функционирования достаточно средств протоколов семейства! Р. Идея реализации ложного РХБ-сервера достаточно проста— прослушивание по сети РХБ запроса и формирование ложного РХЯ-ответа.
При этом вместо искомого 1Р-адреса в ответе на запрос подставляется адрес ложного 1Р-сервера. Реализация этой идеи реальна по двум причинам. Во-первых, в силу существования определенной иерархии РХЯ- серверов (лля больших сетей она может быть весьма большой и неизвестной) время выполнения !)Х$-запроса может существенно превышать время обработки прослушанного запроса и посылки ответа ложным ОХЯ-сервером; Во-вторых, если первичный !)Х5-сервер не нашел искомого имени у себя, то он пересылает РХЯ-запрос следующему РХБ- серверу, и т.д. Для адресации в Ег)зегпег-сети используется протокол АКР, который позволяет установить взаимно-однозначное соответствие 1Р- и Ег)зегпег-адресов.
Идея подмены маршрутизатора основана на свойствах реализации протокола АКР. Любая рабочая станция, подключаясь к сети, рассылает широковещательный АКР-запрос для получения ЕГ)зегпег-адресов. Прослушивая сеть, ложный маршрутизатор выдает в сеть АКР ответ, в котором указывает свой Ег!зегпег-адрес. Известно, что можно написать соответствуюшие программы для сетевой карты для установки любого Ейегпег-адреса.
Реализация этой подмены возможна в силу того, что все станции, получившие АКР-запрос, сначала заносят Ег!зегпег-адрес рабочей станции в свои АКР-таблицы, а затем посылают ответ. В рамках межсетевого обшения в 13Х1Х-сетях применяют методологию доверительных отношений. Доверительные отношения представляют собой одно из самых удобных средств межсетевого общения в 1)МХ-сетях. Вместе с тем установление доверительных отношений в 131ч1Х-сетях приводит к полной их открытости. Существует два способа установления доверительных отношений в 1ЛЧ1Х-сетях. Первый способ — через создание файла /его/Ьозгз.ег)шн. В файле /егс/)зозгз.еошч прописываются имена компьютеров, пользователи которых могут входить на данную машину без ввода пароля при эквивалентности имен.
Это удобно для пользователей как при регистрации на других ИМ1Х-машинах в сети, так и при удаленном выполнении команд 1г!оя)п, гз)з и т.д.). Тем не менее это является большой брешью в зашите 1)Х!Х- систем, так как не составляет особого труда подменить доверенную машину, сформировав ложной машине соответствуюшие имя и 1Р- алрес. При круглосуточной работе сети это возможно при сбоях или отключении от сети ловеренной машины. В противном случае доверенной машиной станет та, которая будет подключена первой. Второй способ — создание каждым пользователем всвоем ломашнем справочнике файла .гпозгз. В этом файле пользователь может прописать имена доверенных машин, с которых он может входить на данную машину или выполнять удаленные команды без ввода пароля. Угрозы безопасности от создания файлов .гпозгз аналогичны с той лишь разницей, что количество файлов .гпозгз может быть весьма значительным и трудно будет проконтролировать их содержимое.
Особое положение занимает технология работы 13Х1Х с сетевой файловой системой, Сетевая файловая система (ХГБ — ХеПног1с Р11е Бузгеш) предназначена для «прозрачного» доступа пользователей к файловым системам 1ЛМ1Х-машин по сети. 273 Эта удобная возможность имеет несколько недостатков с точки зрения безопасности. Администратор может сделать доступными ваши файлы, не спрашивая вас. Рассмотрим некоторые аспекты обеспечения безопасности при использовании ХРЯ. Файл /его/ехроп1в является одним из основных файлов в конфигурации ХРВ. В этом файле описываются экспортируемые (доступные) по сети каталоги.
Для каждого имени каталога могут быть указаны дополнительные ограничения на доступ: 1) имена машин (< 1О), с которых может осуществляться доступ; 2) флаг только чтения; 3) специальное ключевое слово «гооь>, которое позволяет с указанных после него имен машин осуществлятьлоступ к экспортируемому справочнику суперпользователю.
Дело в том, что лля )ч)РК суперпользователь является последним по правам доступа среди всех пользователей. Это, видимо, связано с попыткой ограничения работы суперпользователей в сети. Существенным недостатком )ч)РБ с точки зрения безопасности является возможность администратора предоставить доступ по сети к любому справочнику файловой системы независимо от его владельца. Если хоть один справочник смонтирован на запись, то это в любой момент может привести к неконтролируемому переполнению файловой системы. Это может закончиться плачевно для системыы, так как в руководстве по любой ОС 1)Х1Х не рекомендуется заполнять файловую систему больше чем на 90 ... 95%. Данное требование вполне объяснимо, учитывая такие особенности построения 1))ч)1Х-систем, как широкое использование потоков, программных каналов, именованных программных каналов, пол которые требуются временные и специальные файлы в рабочих справочниках.
И, наконец, никем не контролируемое чтение экспортированных справочников любым пользователем сети не может рассматриваться как положительное явление при построении безопасных систем. По крайней мере, одна из систем анализа безопасности Вагап считает, что экспортирование хоть одного справочника даже на чтение является «дыркой». Интерес также представляют технические роботы 1ЛМ1Х с протоколами передачи файлов. Протокол передачи файлов (ГТР— Р11е Тгапв1ег Ргогосо!) позволяет пользователям обмениваться файлами с помощью сети со скоростью, существенно превышающей МРБ.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
