Защита от атак через интернет
Internetda qo'llaniladigan dasturiy ta'minotni himoya qilish usullari
Yüklə 69,51 Kb.
|
3.2 Internetda qo'llaniladigan dasturiy ta'minotni himoya qilish usullariInternetda himoya qilishning dasturiy usullari, birinchi navbatda, xavfsiz kriptoprotokollarni o'z ichiga oladi, ulardan foydalanish bilan ulanishni ishonchli himoya qilish mumkin bo'ladi. Keyingi paragrafda biz Internetdagi joriy yondashuvlar va asosiy, allaqachon ishlab chiqilgan kriptoprotokollar haqida gapiramiz. Masofaviy hujumlardan himoya qilish uchun dasturiy ta'minot usullarining yana bir klassi bugungi kunda mavjud bo'lgan dasturlarni o'z ichiga oladi, ularning asosiy maqsadi ma'lum bo'lgan faol masofaviy ta'sirlardan biri mavjudligi uchun tarmoq trafigini tahlil qilishdir. a) SKIP texnologiyasi va kripto protokollari SSL, S-HTTP ulanish va Internetda uzatiladigan ma'lumotlarni himoya qilishning asosiy vositasi sifatida Taqsimlangan samolyotlarga masofaviy hujumlar muvaffaqiyatining asosiy sabablaridan biri uzoqdagi ob'ektlarni ishonchli identifikatsiya qila olmaydigan, ulanish va u orqali uzatiladigan ma'lumotlarni himoya qila olmaydigan tarmoq almashinuvi protokollaridan foydalanishdadir. Shu sababli, Internetning ishlashi davomida shaxsiy va ochiq kalit kriptografiyasidan foydalanadigan turli xil xavfsiz tarmoq protokollari yaratilgani tabiiydir. Simmetrik kriptoalgoritmlarga ega klassik kriptografiya uzatish va qabul qiluvchi tomonlarning xabarlarni shifrlash va shifrini ochish uchun simmetrik (bir xil) kalitlarga ega ekanligini nazarda tutadi. Ushbu kalitlar cheklangan miqdordagi abonentlar orasida oldindan taqsimlanishi kerak, bu kriptografiyada statik kalitlarni taqsimlashning standart muammosi deb ataladi. Shubhasiz, nosimmetrik kalitlar bilan klassik kriptografiyadan foydalanish faqat cheklangan ob'ektlar to'plamida mumkin. Internetda uning barcha foydalanuvchilari uchun statik kalitlarni taqsimlash muammosini hal qilishning iloji yo'qligi aniq. Biroq, Internetdagi birinchi xavfsiz almashish protokollaridan biri Kerberos protokoli bo'lib, u aniq cheklangan miqdordagi abonentlar uchun kalitlarni statik taqsimlashga asoslangan edi. Xuddi shu tarzda, klassik simmetrik kriptografiyadan foydalangan holda, bizning maxsus xizmatlarimiz Internet uchun o'zlarining xavfsiz kriptoprotokollarini ishlab chiqishga majbur bo'lishadi. Buning sababi, negadir ochiq kalitga ega bo'lgan mehmon kripto algoritmi hali ham mavjud emas. Dunyoning hamma joyida bunday shifrlash standartlari uzoq vaqtdan beri qabul qilingan va sertifikatlangan va biz, aftidan, yana boshqa yo'ldan ketyapmiz! Shunday qilib, Internet foydalanuvchilarining butun to'plamini himoya qilishni ta'minlash uchun uning cheklangan kichik to'plami uchun ochiq kalit kriptografiyasidan foydalangan holda virtual ulanishni yaratishda dinamik ravishda yaratilgan kalitlardan foydalanish kerakligi aniq. Keyinchalik, ulanish xavfsizligini ta'minlaydigan asosiy yondashuvlar va protokollarni ko'rib chiqamiz. SKIP (Secure Key Internet Protocol) texnologiyasi IP-paketlarni inkapsulyatsiya qilish standarti bo'lib, u tarmoq darajasida mavjud IPv4 standartida ulanish va u orqali uzatiladigan ma'lumotlarning himoyasini ta'minlash imkonini beradi. Bunga quyidagicha erishiladi: SKIP paketi oddiy IP-paket bo'lib, uning ma'lumotlar maydoni belgilangan formatdagi SKIP sarlavhasi va kriptogramma (shifrlangan ma'lumotlar) bo'ladi. SKIP paketining bunday tuzilishi uni Internetdagi istalgan xostga muammosiz yo'naltirish imkonini beradi (tarmoq manzili SKIP paketidagi oddiy IP sarlavhasi yordamida amalga oshiriladi). SKIP paketining yakuniy oluvchisi ishlab chiquvchilar tomonidan oldindan belgilangan algoritm yordamida kriptogrammaning shifrini hal qiladi va oddiy TCP yoki UDP paketini hosil qiladi, keyinchalik u operatsion tizim yadrosining mos keladigan oddiy moduliga (TCP yoki UDP) uzatiladi. Aslida, ishlab chiquvchiga ushbu sxema bo'yicha o'zining asl sarlavhasini yaratishga hech narsa to'sqinlik qilmaydi, bu SKIP sarlavhasidan farq qiladi. S-HTTP (Secure HTTP) - Enterprise Integration Technologies (EIT) tomonidan ishlab chiqilgan veb-maxsus xavfsiz HTTP protokoli. S-HTTP protokoli faqat veb-serverning HTTP hujjatlari uchun ishonchli kriptografik himoyani ta'minlashga imkon beradi va OSI modelining amaliy qatlamida ishlaydi. S-HTTP protokolining bu xususiyati uni mutlaqo ixtisoslashtirilgan ulanish xavfsizligi vositasiga aylantiradi va natijada uni boshqa barcha amaliy protokollarni (FTP, TELNET, SMTP va boshqalar) himoya qilish uchun ishlatish mumkin emas. Bundan tashqari, bugungi kundagi asosiy veb-brauzerlarning hech biri (na Netscape Navigator 3.0, na Microsoft Explorer 3.0) ushbu protokolni qo'llab-quvvatlamaydi. SSL (Secure Socket Layer) - Netscape tomonidan ishlab chiqilgan - OSI sessiyasi sathida ishlaydigan universal ulanish xavfsizligi protokoli. Ochiq kalitli kriptografiyadan foydalanadigan ushbu protokol hozirda, bizning fikrimizcha, istalgan ilova protokoli (DNS, FTP, TELNET, SMTP va boshqalar) yordamida har qanday ulanishni dinamik ravishda himoya qilish imkonini beruvchi yagona universal vositadir. Buning sababi, SSL, S-HTTPdan farqli o'laroq, oraliq OSI seans darajasida ishlaydi (transport - TCP, UDP - va dastur - FTP, TELNET va boshqalar o'rtasida). Bunday holda, virtual SSL ulanishini yaratish jarayoni Diffie va Hellman sxemasiga muvofiq amalga oshiriladi (6.2-bo'lim), bu sizga kriptografik jihatdan kuchli seans kalitini ishlab chiqishga imkon beradi, keyinchalik u SSL ulanishi abonentlari tomonidan uzatilgan xabarlarni shifrlash uchun ishlatiladi. . SSL protokoli bugungi kunda HTTP ulanishlari, ya'ni veb-serverlarni himoya qilish uchun rasmiy xavfsizlik standarti sifatida deyarli shakllandi. Bu, albatta, Netscape Navigator 3.0 va, g'alati, Microsoft Explorer 3.0 tomonidan qo'llab-quvvatlanadi (Netscape va Microsoft o'rtasidagi shiddatli brauzer urushini unutmang). Albatta, veb-server bilan SSL ulanishini o'rnatish uchun sizga SSL-ni qo'llab-quvvatlaydigan veb-server ham kerak. Veb-serverlarning bunday versiyalari allaqachon mavjud ( masalan, SSL-Apache). SSL protokoli haqidagi suhbat oxirida quyidagi faktni e'tiborsiz qoldirib bo'lmaydi: yaqin vaqtgacha AQSh qonunlari kalit uzunligi 40 bitdan ortiq bo'lgan kriptotizimlarni eksport qilishni taqiqlagan (yaqinda u 56 bitga ko'tarilgan). Shuning uchun brauzerlarning mavjud versiyalarida 40 bitli kalitlardan foydalaniladi. Tajribalar natijasida kriptoanalitiklar SSL protokolining joriy versiyasida 40 bitli kalit yordamida shifrlash tarmoq orqali uzatiladigan xabarlar uchun ishonchli himoya emasligini aniqladilar, chunki oddiy sanab o'tish (240 ta kombinatsiya) orqali bu kalit bir vaqtning o'zida tanlanadi. 1,5 dan (Silicon Graphics superkompyuterida) 7 kungacha (hisoblash jarayonida 120 ish stansiyasi va bir nechta minikompyuterlardan foydalanilgan). Shunday qilib, ushbu xavfsiz almashish protokollaridan keng foydalanish, ayniqsa SSL (albatta, kalit uzunligi 40 bitdan ortiq) har qanday masofaviy hujumlar uchun ishonchli to'siq qo'yishi va ularning hayotini jiddiy ravishda murakkablashtirishi aniq. butun dunyo bo'ylab krakerlar. Biroq, Internetdagi bugungi xavfsizlik holatining butun fojiasi shundaki, hozirgacha mavjud kriptoprotokollarning hech biri (va ularning bir nechtasi mavjud) barcha tarmoq OS ishlab chiqaruvchilari tomonidan qo'llab-quvvatlanadigan yagona ulanish xavfsizligi standarti sifatida shakllanmagan. ! Hozirda mavjud SSL protokoli bu rolga eng mos keladi. Agar u barcha tarmoq operatsion tizimlari tomonidan qo'llab-quvvatlangan bo'lsa, u holda maxsus qo'llaniladigan SSL-mos keladigan serverlarni (DNS, FTP, TELNET, WWW va boshqalar) yaratish talab qilinmaydi. Agar xavfsiz seans qatlami protokoli uchun yagona standartni qabul qilish bo'yicha kelishuv bo'lmasa, u holda har bir alohida dastur xizmatini himoya qilish uchun ko'plab standartlarni qabul qilish talab qilinadi. Misol uchun, tajribaviy, qo'llab-quvvatlanmaydigan Secure DNS protokoli allaqachon ishlab chiqilgan. Bundan tashqari, eksperimental SSL-mos Secure FTP va TELNET serverlari mavjud. Ammo bularning barchasi barcha ishlab chiqaruvchilar tomonidan qo'llab-quvvatlanadigan xavfsiz protokol uchun yagona standartni qabul qilmasdan mutlaqo mantiqiy emas. Va bugungi kunda tarmoq OS ishlab chiqaruvchilari ushbu mavzu bo'yicha yagona pozitsiyaga kelisha olmaydilar va shu bilan ushbu muammolarni hal qilishni to'g'ridan-to'g'ri Internet foydalanuvchilariga topshiradilar va ularga axborot xavfsizligi bilan bog'liq muammolarni o'zlari xohlagancha hal qilishni taklif qiladilar! b) Tarmoq xavfsizligi monitori IP alert-1 Tarqalgan CS, shu jumladan Internet (tadqiqotning ikkita qutb yo'nalishi: axborot xavfsizligini buzish va ta'minlash) xavfsizligini o'rganish bilan bog'liq yo'nalishdagi mualliflarning amaliy va nazariy tadqiqotlari quyidagi g'oyaga olib keldi: Internetda, Boshqa tarmoqlarda bo'lgani kabi (masalan, Novell NetWare, Windows NT), barcha turdagi ma'lumotlarni aniqlash uchun tarmoq orqali uzatiladigan ma'lumotlarning butun oqimi ustidan havola darajasida keng qamrovli nazoratni (monitoringni) ta'minlaydigan xavfsizlik dasturining jiddiy etishmasligi mavjud. 4-bobda tasvirlangan masofaviy ta'sirlar. Internet xavfsizligi bo'yicha dasturiy ta'minot bozorini o'rganish shuni ko'rsatdiki, masofadan turib ta'sirni aniqlashning bunday keng qamrovli vositalari bizda mavjud emas va mavjudlari ma'lum bir turdagi hujumlarni aniqlash uchun mo'ljallangan (masalan, ICMP Redirect yoki ARP). Shu sababli, Internetda foydalanish uchun mo'ljallangan IP tarmoq segmentini boshqarish vositasini ishlab chiqish va quyidagi nomni oldi: tarmoq xavfsizligi monitori IP Alert-1. Etkazish kanalidagi tarmoq trafigini dasturiy tahlil qiladigan ushbu vositaning asosiy vazifasi aloqa kanali orqali amalga oshirilgan masofaviy hujumlarni aks ettirish emas, balki ularni aniqlash, jurnalga yozish (keyingi koʻrish uchun qulay shaklda audit faylini saqlash) ushbu tarmoq segmentiga masofaviy hujumlar bilan bog'liq barcha hodisalarni tahlil qilish) va masofaviy hujum aniqlangan taqdirda darhol xavfsizlik ma'muriga signal berish. IP Alert-1 tarmoq xavfsizligi monitorining asosiy vazifasi Internet tarmog'ining tegishli segmenti xavfsizligini nazorat qilishdir. Tarmoq xavfsizligi monitori IP Alert-1 quyidagi funksiyalarga ega va tarmoqni tahlil qilish orqali u boshqarayotgan Internet segmentiga quyidagi masofaviy hujumlarni aniqlash imkonini beradi. Tarmoq xavfsizligi monitorining funksionalligi IP Alert-1 1. Boshqariladigan tarmoq segmenti ichida joylashgan xostlar tomonidan uzatiladigan paketlardagi IP va Ethernet manzillarining mos kelishini nazorat qilish. IP Alert-1 xostida xavfsizlik ma'muri statik ARP jadvalini yaratadi, u erda u kuzatilayotgan tarmoq segmentida joylashgan xostlarning tegishli IP va Ethernet manzillari haqidagi ma'lumotlarni kiritadi. Bu xususiyat sizga IP manzilidagi ruxsatsiz o'zgarishlarni yoki uning o'rnini almashtirishni aniqlash imkonini beradi (IP Spoofing). 2. Masofaviy ARP qidiruv mexanizmidan to'g'ri foydalanishni nazorat qilish. Bu funksiya statik ARP jadvalidan foydalanib, masofaviy "Rogue ARP server" hujumini aniqlash imkonini beradi. 3. Masofaviy DNS qidirish mexanizmidan to'g'ri foydalanishni nazorat qilish. Bu xususiyat DNS xizmatiga masofaviy hujumlarning barcha mumkin bo'lgan turlarini aniqlash imkonini beradi. 4. ICMP Redirect xabarlari mavjudligini nazorat qilish. Bu funksiya ICMP Redirect xabari va tegishli masofaviy hujum aniqlanganligi haqida xabar beradi. 5. Uzatilgan so'rovlarni tahlil qilish orqali masofaviy ulanish urinishlarining to'g'riligini nazorat qilish. Ushbu funktsiya, birinchidan, TCP ulanish identifikatorining boshlang'ich qiymatini o'zgartirish qonunini tekshirishga urinish - ISN, ikkinchidan, ulanish so'rovi navbatini to'ldirish orqali amalga oshiriladigan xizmat ko'rsatishni masofaviy rad etish hujumini va uchinchidan, aniqlash imkonini beradi. soxta ulanish so'rovlari bo'roni (TCP va UDP) xizmat ko'rsatishni rad etishga olib keldi. Shunday qilib, IP Alert-1 tarmoq xavfsizligi monitori 4-bobda tasvirlangan masofaviy hujumlarning barcha turlarini aniqlash, xabardor qilish va jurnalga kiritish imkonini beradi! Shu bilan birga, ushbu dastur hech qanday tarzda Firewall tizimlariga raqobatchi emas. IP Alert-1, 4-bobda tasvirlangan va tizimlashtirilgan Internetga masofaviy hujumlar xususiyatlaridan foydalangan holda, xavfsizlik devori tizimlariga zarur qo'shimcha bo'lib xizmat qiladi - aytmoqchi, beqiyos arzonroqdir. Xavfsizlik monitori bo'lmasa, tarmoq segmentiga masofaviy hujumlarni amalga oshirishga urinishlarning aksariyati sizning ko'zingizdan yashirin bo'lib qoladi. Mualliflarga ma'lum bo'lgan xavfsizlik devorlarining hech biri TELNET va FTP uchun parollarni topishga urinishlar haqidagi ma'lumotlarni yozib oladigan har xil masofaviy hujumlarni aniqlash uchun tarmoq orqali o'tadigan xabarlarni bunday intellektual tahlil qilish bilan shug'ullanmaydi. , portlarni skanerlash va tarmoq operatsion tizimlarida ma'lum bo'lgan zaifliklarni mashhur masofaviy qidiruv dasturi - SATAN yordamida tarmoqni skanerlash haqida. Shuning uchun, agar IP-tarmoq ma'muri befarq qolishni istamasa va o'z tarmog'iga masofaviy hujumlarda oddiy qo'shimcha roli bilan kifoyalanishni istamasa, unga IP Alert-1 tarmoq xavfsizligi monitoridan foydalanish tavsiya etiladi. Aytgancha, Tsutomu Shimomura Kevin Mitnikning hujumini qayd etishga muvaffaq bo'lganini eslaymiz, bu ko'p jihatdan eng oddiy IP-trafik analizatori bo'lgan tcpdump dasturi tufayli. Guruch. 3. Tarmoq xavfsizligi monitori IP Alert-1. Yüklə 69,51 Kb. Dostları ilə paylaş:
|