Информационная безопасность. Макаренко С.И. - 209 стр.

UptoLike

ВУЗ: 

МГГУ им. Шолохова | Москва

Составители: 

Рубрика: 

209
ВК является необходимым, но не достаточным условием безопасного
взаимодействия. Чрезвычайно важным в данном случае становится выбор
алгоритма идентификации при создании ВК. Основное требование, которое
следует предъявлять к данным алгоритмам, состоит в следующем: перехват
ключевой информации, которой обмениваются объекты РВС при создании
ВК не должен позволить атакующему получить итоговые идентификаторы
канала и объектов. Это требование по сути очевидно. Оно должно
предъявляться к алгоритмам идентификации исходя из принципиальной
возможности прослушивания атакующим канала передачи. Однако в
большинстве существующих сетевых ОС в базовых алгоритмах
идентификации, используемых при создании ВК, этим требованием
разработчики практически пренебрегают.
Так, например, в ОС Novell NetWare 3.12- 4.1 идентификатор канала -
это число в диапазоне 0-FFh, идентификатор объекта (рабочей станции или
файл-сервера) - также число от 0 до FFh; в протоколе TCP идентификаторами
канала и объектов являются два 32-битных числа, формируемых в процессе
создания TCP-соединения.
Из всего сказанного ясно, что создание виртуального канала с
использованием нестойкого алгоритма идентификации не позволяет надежно
обезопасить РВС от подмены объектов взаимодействия и выступает одной из
причин успеха удаленных атак на распределенные вычислительные системы.
15.4.3 Отсутствие контроля за виртуальными каналами связи между
объектами системы
Объекты РВС, взаимодействующие по виртуальным каналам, могут
подвергаться типовой УА «Отказ в обслуживании». Особенность этой атаки
состоит в том, что, действуя абсолютно легальными средствами системы,
можно удаленно добиться нарушения ее работоспособности. Данная УА
реализуется передачей множественных запросов на создание соединения
(виртуального канала), в результате чего либо переполняется число
возможных соединений, либо система, занятая обработкой ответов на
запросы, вообще перестает функционировать.
Взаимодействие объектов РВС по виртуальным каналам позволяет
единственным способом обеспечить защиту соединения в глобальной сети.
Однако в использовании ВК есть как несомненные плюсы, так и очевидные
минусы. К минусам относится необходимость контроля над соединением.
При этом задача контроля распадается на две подзадачи:
- контроль за созданием соединения;
- контроль за использованием соединения.
Если задача контроля за использованием соединения решается
довольно просто (обычно соединение разрывается по тайм-ауту,
определенному системой - так сделано во всех известных сетевых ОС), то
решение задачи контроля за созданием соединения представляется 
ВК является необходимым, но не достаточным условием безопасного
взаимодействия. Чрезвычайно важным в данном случае становится выбор
алгоритма идентификации при создании ВК. Основное требование, которое
следует предъявлять к данным алгоритмам, состоит в следующем: перехват
ключевой информации, которой обмениваются объекты РВС при создании
ВК не должен позволить атакующему получить итоговые идентификаторы
канала и объектов. Это требование по сути очевидно. Оно должно
предъявляться к алгоритмам идентификации исходя из принципиальной
возможности прослушивания атакующим канала передачи. Однако в
большинстве существующих сетевых ОС в базовых алгоритмах
идентификации, используемых при создании ВК, этим требованием
разработчики практически пренебрегают.
      Так, например, в ОС Novell NetWare 3.12- 4.1 идентификатор канала -
это число в диапазоне 0-FFh, идентификатор объекта (рабочей станции или
файл-сервера) - также число от 0 до FFh; в протоколе TCP идентификаторами
канала и объектов являются два 32-битных числа, формируемых в процессе
создания TCP-соединения.
      Из всего сказанного ясно, что создание виртуального канала с
использованием нестойкого алгоритма идентификации не позволяет надежно
обезопасить РВС от подмены объектов взаимодействия и выступает одной из
причин успеха удаленных атак на распределенные вычислительные системы.

  15.4.3 Отсутствие контроля за виртуальными каналами связи между
                          объектами системы

      Объекты РВС, взаимодействующие по виртуальным каналам, могут
подвергаться типовой УА «Отказ в обслуживании». Особенность этой атаки
состоит в том, что, действуя абсолютно легальными средствами системы,
можно удаленно добиться нарушения ее работоспособности. Данная УА
реализуется передачей множественных запросов на создание соединения
(виртуального канала), в результате чего либо переполняется число
возможных соединений, либо система, занятая обработкой ответов на
запросы, вообще перестает функционировать.
      Взаимодействие объектов РВС по виртуальным каналам позволяет
единственным способом обеспечить защиту соединения в глобальной сети.
Однако в использовании ВК есть как несомненные плюсы, так и очевидные
минусы. К минусам относится необходимость контроля над соединением.
При этом задача контроля распадается на две подзадачи:
      - контроль за созданием соединения;
      - контроль за использованием соединения.
      Если задача контроля за использованием соединения решается
довольно просто (обычно соединение разрывается по тайм-ауту,
определенному системой - так сделано во всех известных сетевых ОС), то
решение задачи контроля за созданием соединения представляется


                                   209

Страницы