В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 66
Текст из файла (страница 66)
Ранее рассматривались эти вопросы более подробно. Описанные технические решения межсетевых экранов практически не поддаются осмыслению с точки зрения надежностных характеристик зашиты, т.е. не улается сделать ни детерминированных, ни вероятностных выводов о качестве фильтра. В связи с этим далее вводится ряд уточняющих определений, описывающих процесс фильтрации с учетом логического уровня представления объектов, и доказывается ряд утверждений относительно гарантий работы экрана в рамках введенных понятий. Известны два основных подхода к процедуре фильтрации: пакетная фильтрация, или трансляция адресов (анализируется и (или) преобразуется адресная часть пакетов); фильтры прикладного уровня (ФПУ) (в зарубежной литературе — ргоху зету(се или арр11са1юп ргоху). ФПУ анализирует содержательную часть пакетов исходя из особенностей работы прикладных телекоммуникационных программ (приложений), которые порождают поток пакетов (обычно ФПУ ориентирован на распространенные приложения типа ГТР или Те1пе1).
Для конкретной программы принципиально возможно по последовательности пакетов установить, к какому объекту обрагцается то или иное приложение (субъект). Однако в общем случае проблема установления факта доступа к объекту высокого уровня по информации низкого уровня иерархии для произвольного порождающего поток субъекта является практически неразрешимой.
При этом ФПУ, будучи с точки зрения надежности фильтрации более надежным методом, тем не менее проигрывают в совместимости с приложениями (в смысле необеспечения корректной работы всех используемых в КС типов телекоммуникационных субъектов). Предлагается рассматривать ситуацию, при которой на рабочих местах корпоративной ЛВС уже установлены средства защиты. Обшепринятое исполнение программно-технических средств зашиты предполагает реализацию политики безопасности с полным проецированием прав пользователя на права любого субъекта локального сегмента (т.е. если пользователю разрешен запуск какой-либо программы (произошла активизация субъекта), то порожденный процесс обрашается к объектам с правами инициировавшего его пользователя).
Нужно учесть, что политика безопасности при использовании локальных механизмов защиты нуждается в некоторой конструктивной коррекции. Дадим определения локального и внешнего сегмента КС. Определение 1. Локальный сегмент (ЛС) КС вЂ” подмножество субъектов и объектов КС, выделяемое по одному из следующих критериев: ° критерий группирования в одно множество всех субъектов с возможностью непосредственного управления субъектами (если такая возможность присутствует в субъекте); ° критерий локализации некоторого подмножества объектов и субъектов в рамках некоторой технической компоненты КС; ° критерий присвоения объектам и субъектам ЛС КС некоторой информации, однозначно характеризующей субъект или объект (которая, как правило, называешься адресом или сетевым адресом ЛС КС).
Определение 2. Внешний сегмент КС вЂ” дополнение множества субъектов и объектов локального сегмента до всего множества объектов КС. Очевидно, что во внешнем сегменте могут быть выделены несколько локальных сегментов. Будем полагать, что рассматривается один произвольно выделенный ЛС КС. Непосредственное управление (рассматриваемое как один из критериев выделения ЛС КС) подразумевает возможность изменения состояния субъекта непосредственно через органы управления конкретной ЭВМ.
На практике, как правило, локальный сегмент включает в себя одну ЭВМ либо сегмент ЛВС. Удаленным субъектом будем называть субъект, принадлежащий множеству субъектов внешнего сегмента КС. Очевидно, что множества субъектов локального и внешнего сегмента КС не пересекаются. Доступ удаленного субъекта к локальному объекту подразумевает организацию сложного потока от удаленного субъекта к ассоциированным объектам локального субъекта, т,е. фактически управление локальным субъектом со стороны удаленного субъекта. Целью удаленного злоумышленника (пользователя, управляюшего удаленным субъектом) является организация потоков от локальных объектов, не принадлежаших множеству Е.
В случае разделения КС на локальный и внешний сегменты множество всех потоков «семантически» можно разделить на четыре схемы (поток между субъектом и объектом означает поток между ассоциированными объектами субъекта и объектом): 1) потоки между локальными субъектами и локальными объектами; 2) потоки между локальными субъектами и удаленными объектами; 3) потоки между удаленными субъектами и локальными объектами; 4) потоки между удаленными субъектами и удаленными объектами.
Четвертая схема описывает взаимодействие субъектов какого- либо локального сегмента, отличного от выделенного, либо с локальными объектами (первая схема), либо удаленными относительно этого сегмента (вторая схема). Третья схема описывает взаимодействие между ассоциированными объектами субъектов локального сегмента и улаленными субъектами. Вторая схема также описывает потоки, которые могут реализоваться лишь через ассоциированные объекты удаленных субъектов.
Первая схема подробно изучалась ранее. Вторая и третья схемы по смыслу тождественны, поскольку выбор локального сегмента КС произволен. Итак, будем рассматривать потоки между внешними субъектами и локальными объектами с учетом замечания об обязательном участии в потоке локального субъекта.
В терминах потоков рассмотрим межсубъектное взаимодействие между удаленным субъектом Хи локальным субъектом 5,. Целью данного взаимодействия является реализация потока между локальным объектом Оз и ассоциированным объектом О, субъекта Х, причем данный поток проходит через ассоциированные объекты локального субъекта Я,. Говоря о потоках, нельзя опускать потенциально возможное свойство порождения субъектом 5; нового субъекта 5;*з Сгеа1е(Хь Ои) — > — ь5;*. Порождение данного субъекта может произойти из объекта- источника: ° локального сегмента КС; ° внешнего сегмента КС. 290 В большинстве случаев рассматривается упрощенная модель работы территориально распрелеленной КС, которая состоит из двух ЭВМ. Имеются две ЭВМ, соединенных каналом связи. На рассматриваемых ЭВМ установлено телекоммуникационное ПО (ТПО), об-гпечивающее совместную работу прикладных программ и аппаратуры передачи данных (модемов) для обмена информацией по каналу связи.
Передаваемая и принимаемая информация представляется в различных частях КС на различных уровнях (файлы, части файлов, пакеты). В телекоммуникационном ПО обеих ЭВМ имеется возможность чтения~записи на внешние носители прямого доступа, управляемая посылками из канала связи (в противном случае невозможно хранение принятой информации).
Запись происходит с участием собственно телекоммуникационного ПО либо прикладной программы принимающей станции. Кроме того, всегда существует возможность записи в оперативную память принимающей ЭВМ (буферизация). Буферизации могут подвергаться команды управления, поступающие от передающей ЭВМ, либо передаваемые данные. Полагаем, что злоумышленник — это лицо, которое имеет доступ к каналу связи и располагает идентичным по отношению к передающей ЭВМ комплексом программных и аппаратных средств. Таким образом, работу злоумышленника можно представить как работу либо передающей, либо принимающей ЭВМ, производящей посылку (или прием) на принимающую ЭВМ управляющей и содержательной информации.
Обычно говорят о том, что на атакуемой злоумышленником ЭВМ работает некий программный субъект, который традиционно называется телекоммуникационным субъектом. Как правило, современный телекоммуникационный субъект обладает развитым сервисом, причем работает с информацией на уровне файлов ОС (например, продукты ЕТР Бочаге).
Злоумышленные действия в рассматриваемом случае возможны двух основных видов: ° пассивное воздействие, связанное с чтением данных с атакуемой ЭВМ и транспортировкой их на ЭВМ злоумышленника (воздействие инициировано с активной ЭВМ); . активное воздействие, связанное с навязыванием данных (новых файлов) и модификацией уже существующих. Обобщим данную модель и сформулируем ее на языке потоков.
Обозначим потоки от ассоциированного объекта О, субъекта Х к ассоциированному объекту Оь субъекта 5, и, наоборот, Бггеапз(Х, О,) -~ О„и 51геагп(Х, 0„) — ~ 0„. Предположим также, что свойства субъекта Я, таковы, что возможно существование потоков вида 51геагп(Яь О,) — > 0„. и Б1геагп(5„0„) -+ О>. По свойству транзитивности потоков имеет место доступ субъекта Х к объекту 0 через субъект 5ь 291 В локальном сегменте КС возможны также две основные ситуации, связанные с упомянутой выше возможностью порождения нового субъекта: 1) доступ к объекту О, со стороны субъекта 5, при управляющем воздействии субъекта Х; 2) порожленис субъектом 5; из локального объекта нового субъекта 5,*, лля которого существует поток Бггеат(Х, 5,*). Существенных различий с точки зрения доступа субъекта Х к локальному объекту между ситуациями активности субъекта 5, или 5,' не существует — в обоих случаях существует сложный поток, включающий в себя ассоциированные объекты локального субъекта (5, ил и 5, * соответственно).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
