УДК 681.324
Во время интенсивного развития вычислительных сетей (ВС) возрос объем информации обрабатываемой и передаваемой по каналам связи. В связи с этим появилась и проблема защиты данной информации. Одной из основных угроз являются удаленные сетевые атаки, с помощью которых осуществляется перехват, подмена и модификация передаваемой по каналам связи информации.
В данной статье будут приведены методы противодействия сетевым атакам. Статья носит обзорный характер.
Рассмотрим причины успеха удаленных атак на инфраструктуру и базовые протоколы сети [1]. Для устранения причин подобных атак часто необходимо либо отказаться от определенных служб (например, DNS), либо изменить конфигурацию системы (наличие широковещательной среды приводит к возможности прослушивания канала, осуществляемого программно), либо изменить систему в целом (чтобы избежать направленного "шторма" TCP-запросов). Причины успеха удаленных атак [2] данного типа кроются в инфраструктуре распределенной ВС. Эти причины следующие:
1) Недостаточная идентификация и аутентификация объектов и субъектов распределенной ВС.
Если в распределенной ВС недостаточно хорошо решены проблемы идентификации сетевых управляющих устройств (например, маршрутизаторов), возникающие при их взаимодействии с объектами системы, то такая распределенная система может подвергнуться удаленной атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. Если инфраструктура сети такова, что для взаимодействия объектов необходимо использование алгоритмов удаленного поиска, то это также позволяет внедрить в систему ложный объект. Получив контроль над проходящим потоком информации между объектами распределенной ВС, ложный объект может применять различные методы воздействия на перехваченную информацию (модификация кода и данных, подмена информации). Решением данной проблемы является введение дополнительных средств идентификации объектов в распределенных ВС и использование алгоритмов защиты передаваемых по каналу связи сообщений (криптоалгоритмы с открытым ключом, цифровая подпись сообщений, шифрование сообщений);
2) Отсутствие выделенного канала связи между объектами распределенной ВС.
В сети с широковещательной средой передачи данных (например, Ethernet) возможна атака, заключающаяся в прослушивании канала передачи сообщений в сети - атака "Анализ сетевого трафика". Результатом этой атаки являются выяснение логики работы распределенной ВС и перехват потока информации между объектами системы. Данная удаленная атака была бы программно невозможна, если бы у каждого объекта системы существовал выделенный канал для связи с любым другим объектом сети. В распределенной ВС с выделенными каналами связи между объектами передача сообщений осуществляется напрямую между источником и приемником, минуя остальные объекты системы, и при отсутствии доступа к ним не существует программной возможности для анализа сетевого трафика. Появление в такой распределенной системе ложного объекта невозможно без аппаратного вмешательства (подключения дополнительного устройства к каналу связи). Однако подобные распределенные ВС отличаются сложностью реализации и внесения в систему нового объекта, а также высокими затратами на создание системы;
3) Отсутствие в распределенных ВС возможности контроля за маршрутом сообщений.
Маршрут сообщений определяется топологией ВС. В каждом пакете, приходящем на объект распределенной ВС, может быть полностью отмечен его маршрут - список адресов маршрутизаторов, пройденных на пути к адресату. Этот маршрут идентифицирует объект, отославший сообщение, с точностью до подсети. Если в распределенной ВС не предусмотрен контроль за маршрутом сообщения, то в системе существует возможность отправки сообщения от имени любого другого объекта системы, указав в заголовке чужой адрес отправителя. Для решения данной проблемы необходимо ввести дополнительные средства проверки подлинности адреса отправителя (создание специальных полей для занесения информации о пройденном маршруте в заголовке пакета, проверка соответствия адреса отправителя адресу той подсети, откуда пришло сообщение);
4)отсутствие в распределенной ВС полной информации об ее объектах.
В случае отсутствия у некоторого пользователя информации об объекте ВС, он может послать либо широковещательный запрос ко всем объектам сети, либо запрос к поисковому серверу для поиска необходимого адреса. При использовании в распределенной ВС подобных механизмов удаленного поиска существует возможность перехватить посланный запрос и отправить на него ложный ответ. Это приведет к адресации на ложный объект, что позволит перехватить поток информации между объектами ВС. Для того, чтобы избежать подобной ситуации, надо спроектировать систему таким образом, чтобы информация об ее объектах была сразу же полностью определена. При этом алгоритмы удаленного поиска не понадобятся. Если же число объектов распределенной системы велико и может изменяться, то необходимо использовать только алгоритм удаленного поиска с выделенным информационно-поисковым сервером (не применять широковещательные запросы). Взаимодействие же объектов системы с данным сервером должно осуществляться только по виртуальному каналу с применением надежных алгоритмов защиты передаваемых данных.
В данной статье автор не рассматривает все способы противодействия удаленным сетевым атакам, которых значительно больше. Эта проблема требует серьезного изучения в связи со все большим распространением распределенных вычислительных сетей.
Кафедра вычислительной техники
Смоленский филиал Московского энергетического института
(Технический университет)
Поступила в редакцию 28.11.99.