Илья Медведовский - Атака на Internet

Отсутствие полной информации об объектах РВС

В распределенной системе с разветвленной структурой, состоящей из большого числа объектов, может возникнуть ситуация, когда для доступа к определенному хосту у субъекта взаимодействия не окажется необходимой информации, то есть адреса данного объекта.

Поясним это на простом примере. Предположим, что пользователь сети Internet решил подключиться, например, к WWW-серверу фирмы Novell. Он знает ее название, но не имеет информации об IP-адресе или имени ее сервера. В этом случае пользователь может послать широковещательный запрос всем хостам в сети, надеясь, что интересующий его сервер пришлет искомый адрес. Очевидно, что в глобальной сети использование данной схемы, по меньшей мере, неразумно. Поэтому пользователь может подключиться к ближайшему известному ему поисковому серверу (например, www.altavista.com), чтобы запросить адрес интересующей его фирмы.

Итак, возможны следующие алгоритмы удаленного поиска. В первом случае, когда такой поиск осуществляется внутри сегмента сети, субъект системы посылает широковещательный запрос, который получают все объекты РВС, и тот из них, для кого предназначалось сообщение, передает в ответ необходимую для адресации информацию. Во втором случае, когда необходимо осуществить глобальный поиск, субъект распределенной системы посылает запрос на ближайший информационно-поисковый сервер, который, просканировав свою базу, либо отошлет в ответ на запрос найденный адрес, либо обратится к следующему в системе поисково-информационному серверу. Таким образом, если в распределенной ВС существуют объекты, информация о которых изначально не определена, то для обеспечения нормального функционирования системы необходимо использовать описанные выше алгоритмы удаленного поиска.

Примером РВС с заложенной неопределенностью является сеть Internet, в которой, во-первых, у хостов, находящихся в одном сегменте, может не быть информации об аппаратных адресах друг друга и, во-вторых, применяются не пригодные для непосредственной адресации мнемонические имена хостов.

Очевидно, что в системе подобного типа существует потенциальная опасность внесения ложного объекта и выдачи одного объекта за другой путем передачи ложного ответа на поисковый запрос.

Отсутствие криптозащиты сообщений

В распределенных ВС связь между объектами системы осуществляется по виртуальным каналам связи, а следовательно, кракер имеет принципиальную возможность прослушать канал, получив несанкционированный доступ к информации, которой обмениваются по сети ее абоненты. Если эта информация не зашифрована, то возникает угроза атаки типа «анализ сетевого трафика».

Использование криптостойких алгоритмов шифрования пакетов обмена между объектами РВС на канальном (что обычно выполняется аппаратно и на сегодняшний день редко встречается в обычных сетях) и прикладном уровнях OSI делает сетевой анализ практически бессмысленным. Если в сети используются алгоритмы шифрования пакетов на сетевом – прикладном уровнях, то шифрование применяется только к полям данных пакетов соответствующих уровней, но не к их заголовкам; таким образом, атакующий, перехватив пакет, может подвергнуть анализу полученную служебную информацию.

Причины успеха удаленных атак в сети Internet

Internet представляет собой распределенную вычислительную систему, инфраструктура которой общеизвестна и хорошо описана. Поэтому рассмотренные в предыдущем разделе причины успеха удаленных атак на РВС можно спроецировать на Internet и сделать вывод о существовании в данной Сети серьезных пробелов в обеспечении безопасности. Внимательный читатель, изучая предыдущие разделы, уже, наверное, мысленно осуществил подобную проекцию и обратил внимание на то, как недостатки, присущие абстрактной распределенной ВС, легко обнаруживаются в реальной РВС – Internet.

Отсутствие выделенного канала связи между объектами сети Internet

Глобальная сеть не может быть построена по принципу прямой связи между объектами, поскольку для каждого объекта невозможно обеспечить выделенный канал связи с любым другим объектом. Поэтому в Internet связь осуществляется через цепочку маршрутизаторов, а следовательно, сообщение, проходя через большое количество промежуточных подсетей, может быть перехвачено. Также к Internet подключено большое число локальных Ethernet-сетей, использующих топологию «общая шина»; в сетях с такой топологией несложно программно осуществлять перехват сообщений. Однако данный недостаток присущ скорее не Internet, а Ethernet.

Недостаточные идентификация и аутентификация

В базовых протоколах обмена идентификация и аутентификация объектов практически отсутствуют. Так, например, в прикладных протоколах FTP, TELNET, POP3 имена и пароли пользователей передаются по сетив виде открытых незашифрованных сообщений (см. главу 4). В существующем стандарте IPv4 протокол сетевого уровня IP не предусматривает никакой идентификации и аутентификации объектов (за исключением IP-адреса отправителя, подлинность которого, в свою очередь, невозможно подтвердить). Все проблемы с идентификацией разработчики переложили на следующий, транспортный, уровень, за который отвечают протоколы UDP и TCP. Так как протокол UDP не содержит в себе никакой дополнительной идентифицирующей информации, единственным протоколом, призванным обеспечить безопасность в Internet, является TCP, создающий виртуальный канал.

Взаимодействие в сети Internet объектов без установления виртуального канала

Одной из особенностей Internet является взаимодействие объектов без создания виртуального канала. Очевидно, что разработчики планировали подобное взаимодействие в том случае, если обеспечения его безопасности не требуется. Однако и для управляющих ICMP-сообщений, и для DNS-запросов используется связь без ВК, что приводит к возможности осуществления атак, рассмотренных в главе 4.

Использование нестойких алгоритмов идентификации объектов при создании виртуального TCP-соединения

Как уже подчеркивалось, протокол TCP является единственным базовым протоколом транспортного уровня, в функции которого заложена защита соединения. Однако использование простейшего алгоритма идентификации объектов при создании виртуального TCP-канала (см. раздел «Подмена одного из субъектов TCP-соединения в сети Internet» в главе 4), особенно при условии применения в сетевых ОС простейших времязависимых законов генерации TCP-идентификаторов (ISN), сводит на нет все попытки обеспечения идентификации канала и объектов при их взаимодействии по протоколу TCP.

Невозможность контроля за виртуальными каналами связи

В существующем стандарте сети Internet нельзя обеспечить контроль за сетевыми соединениями, так как у одного субъекта сетевого взаимодействия существует возможность занять неограниченное число каналов связи с удаленным объектом и при этом остаться анонимным (см. главу 5). Из-за этого любой хост в сети Internet может быть полностью парализован (см. главу 4).