Коллектив авторов - Защита от хакеров корпоративных сетей

В терминах спуфинга это главным образом означает, что цель заключается в передаче сведений несанкционированным пользователем, хотя агент аутентификации полагает, что передача может быть осуществлена только доверенным пользователям. В случае использования криптографической системы компромиссные решения относительно индекса потенциального доверия будут иметь катастрофические последствия. Автор еще уделит внимание обсуждению слабых сторон каждой модели аутентификации.

Существуют шесть основных свойств, по которым классифицируются почти все известные системы аутентификации. С их помощью можно охватить очень широкий диапазон систем аутентификации. C точки зрения доказательства идентичности – от слабо защищенных до хорошо защищенных, а с точки зрения реализации – от простейших до необычайно сложных. Все пригодные для идентификации свойства систем тесно взаимосвязаны. Действительно, система бесполезна, если она может закодировать ответ, но при этом не может его передать. В этом автор не видит катастрофы, потому что более сложные уровни всегда зависят от более простых, которые предоставляют им специальные функции. В подтверждение сказанного автор приводит табл. l2.l и l2.2, где описываются свойства, которыми должны обладать системы доказательства идентичности.

Таблица 12.1.

Основные свойства систем идентификации

Конечно, по сравнению с системой межабонентской связи представленные в таблице сведения ничего нового не дают (см. табл. l2.2) – вообще никакой разницы!

Ниже разъясняются детали, позволяющие лучше понять приведенные в табл. 12.1 и 12.2 шесть свойств.

Способность к передаче: «Система может разговаривать со мной?»

Можно найти одну исключительную идею, на которой основано доверие во всех сетях, при межличностном общении и, более того, при общении внутри одной системы. Передача информации – это посылка чего-либо, что может где-нибудь что-то представлять.

При этом совсем не предполагается, что передача информации идеальна. Министерство обороны США в превосходном (прежде всего по содержанию, следует обязательно прочитать, как можно быстрее, без промедления установите на нем закладку (закладка – маркер, уникально идентифицирующий запись или строку в базе данных, строку в исходном коде или позицию в файле текстового редактора) и подсветите URL документа) отчете под названием «Реализация потенциала C4I» обращает внимание на следующее:

Отключенная от любой сети система не может быть взломана (по крайней мере до тех пор, пока кто-либо не получит доступ с локальной консоли), но при этом ее нельзя использовать. Статистика свидетельствует, что некоторый процент несанкционированных пользователей будут пытаться получить доступ к ресурсу, к которому они не допущены. Несколько меньший процент от их числа будут пытаться фальсифицировать свои идентификационные данные. Из попытавшихся пользователей меньший, но не нулевой процент действительно будут обладать необходимой квалификацией и мотивацией для успешного (с их точки зрения) взлома установленной системы защиты. Так будет на любой установленной системе. Единственный способ избежать опасности попадания данных в неавторизованные руки заключается в недопущении какой-либо их рассылки.

Существует простая формула: для предотвращения несанкционированного раскрытия или потери защищенных данных администратору сети нужно полностью запретить удаленный доступ. Статистика свидетельствует о том, что лишь небольшое количество доверенных пользователей откажутся от доступа к данным, которые они уполномочены обрабатывать, прежде чем система защиты будет отклонена как слишком громоздкая и неудобная. Во время проектирования системы безопасности никогда не следует забывать о практическом результате ее использования. В противном случае с большей вероятностью откажутся от системы, чем от необходимого практического результата. Нельзя заработать на системе, если не видно, что она защищена от атак злоумышленника.

Как автор уже упоминал ранее, нельзя доверять каждому, но кому-то довериться все-таки надо. Если пользующиеся доверием люди имеют тенденцию располагаться в контролируемой администратором безопасности сети, то управление входными (правом доступа) и выходными (правом выхода) точками контролируемой сети позволит ему определить сервисы, если они есть, с помощью которых внешний мир может прислать сообщения компьютерам его сети. Межсетевые экраны являются хорошо известным первым рубежом защиты сети от атаки злоумышленника. Они не позволяют принимать сообщения от недоверенных доменов. В большинстве случаев межсетевые экраны самостоятельно не могут доверять содержимому проходящих через них сетевых пакетов, потому что оно может быть фальсифицировано любым доменом, через который прошел пакет, или даже его отправителем. Тем не менее в передаваемом пакете есть небольшая порция данных, которая выдает собственника пакета. Она несет информацию об отправителе данных. Этой маленькой порции данных достаточно для однозначной идентификации сети. Ее достаточно для предотвращения, помимо многого другого, появления в сети пакетов, которые были присланы в сеть недоверенными внешними пользователями. Ее даже достаточно для защиты от передачи компьютерам сети пакетов от пользователей, которые, являясь на самом деле недоверенными пользователями, маскируются под доверенных.

Фильтрация на выходе (egress filtering) – последняя форма фильтрации. Она имеет решающее значение для предотвращения распространения распределенных атак отказа в обслуживании (атак типа DDoS), потому что на уровне провайдера Интернета не пропускает в глобальный Интернет пакеты с фальсифицированным в заголовке пакета адресом отправителя. Фильтрация на выходе может быть выполнена на устройствах Cisco с использованием команды ip verify unicast reverse-path. Подробнее об этом можно узнать по адресу www.sans.org/y2k/egress.htm.