Дипломная работа: Автоматизація доступу до каналів комп'ютерних мереж
Трет
завдання – отримання дозволу на доступ безпосередньо до ресурсу – вирішується
на рівні ресурсного сервера.
Вивчаючи
досить складний механізм системи Kerberos, не можна не задатися питанням: який
вплив роблять всі ці численні процедури шифрування і обміну ключами на
продуктивність мережі, яку частину ресурсів мережі вони споживають і як це
позначається на її пропускній спроможності?
Відповідь
вельми оптимістична – якщо система Kerberos реалізована і конфігурована
правильно, вона трохи зменшує продуктивність мережі. Оскільки квитанц
використовуються багато разів, мережеві ресурси, що витрачаються на запити
надання квитанцій, невеликі. Хоча передача квитанції при аутентифікац
логічного входу декілька знижує пропускну спроможність, такий обмін повинен
здійснюватися і при використанні будь-яких інших систем і методів
аутентифікації. Додаткові ж витрати незначні. Досвід впровадження системи
Kerberos показав, що час відгуку при встановленій системі Kerberos істотно не
відрізняється від часу відгуку без неї – навіть в дуже великих мережах з
десятками тисяч вузлів. Така ефективність робить систему Kerberos вельми
перспективною.
Серед
вразливих місць системи Kerberos можна назвати централізоване зберігання всіх
секретних ключів системи. Успішна атака на Kerberos-сервер, в якому зосереджена
вся інформація, критична для системи безпеки, приводить до краху інформаційного
захисту всієї мережі. Альтернативним рішенням могла б бути система, побудована
на використанні алгоритмів шифрування з парними ключами, для яких характерний
розподілене зберігання секретних ключів.
Ще
однією слабкістю системи Kerberos є те, що початкові коди тих застосувань,
доступ до яких здійснюється через Kerberos, мають бути відповідним чином
модифіковані. Така модифікація називається «керберизацией» додатку. Деяк
постачальники продають «керберизированные» версії своїх застосувань. Але якщо
немає такої версії і немає початкового тексту, то Kerberos не може забезпечити
доступ до такого застосування.
4.2
Настройка мережевих служб для здійснення авторизації доступу до мережі Інтернет
Класичним
вирішенням стандарта підприємства для організації Інтернет-сервісів є сервер
під управлінням UNIX. Практично завжди для Web і FTP трафіку використовують
кеширующий сервер SQUID, який також є стандартом de facto.
Стандартним
способом надання доступу до SQUID-серверу є доступ на основі специалицированных
списків доступу (Access Lists або ACL). У свою чергу списки доступу зазвичай
будуються на основі IP-сетей, яким дозволений доступ до SQUID. Наприклад,
визначимо ACL, яка описує мережу 10.128.0.0/16 (або з маскою 255.255.0.0).
ACL, яка описує взагалі все адресаsquid.conf:
acl
net10128 src 10.128.0.0/16
acl
all src 0.0.0.0/0
а
зараз дозволимо їй доступ до Інтернет ресурсам
http_access
allow net10128
а
всім останнім - заборонимо:
http_access
deny all
Після
цього, тільки комп'ютерам із заданої мережі дозволений доступ до Інтернет. При
використанні Internet-ресурсов, в балку-файл squid записується інформація про
конкретну адресу, що запитала конкретний Інтернет-ресурс: acess.log:
1032862411.262
96 10.128.15.4 TCP_MEM_HIT/200 2581 GET
http://www.ru/eng/images/ssilki.jpg
board/sag NONE/- image/jpeg
Тут
присутсвует дата, розмір ресурсу, IP-адрес станції, зпросившей ресурс, і сам
ресурс. З такого роду записів можна підрахувати трафік як по станції, так і по
підмережі.
Проте
приведена вище технологія дозволяє контролювати трафік по IP-адресу
Інтернет-користувача. В більшості випадків цей спосіб цілком підходить, проте
при цьому необхідно, щоб за конретним комп'ютером завжди працювала конкретна
людина.
Ця
умова виконується не завжди і тоді облік трафіку порушується. Ось типові умови,
при яких потрібна інша схема авторизації в Інтернеті:
Різн
користувачі працюють на одному і тому ж робочому місці (наприклад, позмінно).
Користувач
взагалі не прив'язані до конкретних комп'ютерів.
Користувач
працюють в термінальних сесіях термінального сервера. Тоді взагалі весь
Інтернет-трафік йде з IP-адреса сервера.
Тому
часто встає проблема обліку трафіку не на основі IP, а на основі іншо
нформації.
4.2.1
Авторизація на основі логіна і пароля
Логічним
вирішенням проблеми авторизація на основі логіна і пароля є авторизація в SQUID
по логіну і раолю. Така можливість в SQUID, естесвенно передбачена. У SQUID для
цього розроблена можливість авторизувати через зовнішню програму, яка просто
"говорить" "та чи ні" на визначеного користувача і пароль.
Т.ч. Можна проводити авторизацію по обліковому запису уміє проводити
авторизацію через облікові записи UNIX, через текстові файли і тому подібне
Наприклад,
для того, щоб користувач авторизувався через файл /usr/local/squid/passwd
формату Веб-сервера-авторизації (формат Apache), потрібно скомпілювати squid
разом з цим модулем (--enable-auth="ncsa; докладніше за див. документацію
до SQUID). І в конфиг SQUID додати ACL вирішуюче правило:
Дозволити
доступ користувачам dima petya vasya, паролі яких будуть перевірені через файл
/usr/local/squid/passwd
acl
MYUSERS proxy_auth dima petya vasya
http_access
allow MYUSERS
http_access
deny all
authenticate_program
/usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd *
(*для
версии 2.4).
При
цьому, це вирішує поставлені в "Введенні" проблеми, проте додає деяк
незручності користувачам і адміністраторові:
При
первинному вході в Інтернет користувачеві потрібно набратьв броузере
логін\пароль для доступу до SQUID. І кожному користувачеві необхідно пам'ятати
свої параметри.
Адміністраторов
необхідно вести базу логінів і паролів у файлі.
4.2.2
Авторизація через облікові записи Windows
При
роботі в Windows-мережах кожен користувач при вході в мережу проходить
авторизацію в NT(2000) -домене. Було б здорове використовувати ці дані для
авторизації SQUID. Тоді вирішуються проблеми ведення в SQUID окремої бази даних
користувачів і, як виявилось, можна вирішити проблему запиту логіна\пароля в
броузере при вході в Інтернет.
Головна
проблема при вирішенні авторизації через Windows-домен - знайти і набудувати
програму для авторизації заданого користувача в Windows-домене. Команда SQUID
рекомендує користуватися програмою winbindd, яка є частиною проекту SAMBA
(реалізація Windows сервера і клієнта під UNIX), SQUID, починаючи з версії 2.5
підтримує різні схеми авторизації по логіну\паролю, включаючи basic і NTLM (NT
Lan Manager). Basic-схема призначена для авторизації через введення
логіна\пароля в броузере, а NTLM-схема призначена для автоматичного прийому
броузером логіна, пароля і домена, під якими користувач реєструвався в
Windows-домене. Т.ч. за допомогою NTLM-авторизации можна автоматично
реєструватися в SQUID без ручного підтвердження логіна і пароля.
4.3.3
Практичне вирішення побудови системи авторизації через Windows домен
Практичне
вирішення проблеми було знайдене досвідченим шляхом і може бути не
найвитонченішим і правильнішим. Але краса його в тому, що воно дороблене та
кінця і працює.
Початков
дані:
1.
Комп'ютер, підключений до Інтернет зі встановленою ОС: FREEBSD 4.4 (версія
сама ОС не мають принципового значення).
2.
Мережа, що містить близько 200 Windows-станций, включаючи термінальні сервери
клієнти.
3.
Близько 250 аккаунтов в домені під управлінням Windows 2000 Advanced сервер
(домен WORK і 4 довірителях домена).
Завдання:
Забезпечити
авторизацію користувачів на SQUID через облікові записи Windows найбільш
зручним способом.
План
дій:
1.Установка
конфігурація SAMBA.
Отже
перше, що треба зробити - встановити SAMBA для того, щоб уміти авторизуватися в
Windows-домене. Я встановив версію 2.2.6pre2. Причому, важливо скомпілювати
SAMBA з підтримкою winbind, тобто з параметрами:
-with-winbind
-with-winbind-auth-challenge
Примітка:
У
FREEBSD SAMBA була зібрана з портів (ports) і виявилось, що з поточною версією
не збирається бібліотека CUPS. Тому SAMBA була зібрана без не
(--without_cups).
Після
установки, SAMBA потрібно набудувати на домен Windows мережі і на використання
winbind:
[global]
workgroup
= WORK - Ім'я нашого Windows-домена
netbios
name = vGATE - Ім'я сервера (необов'язково)
server
string = vGate
hosts
allow = 10.128. 127. - Для безпеки.
winbind
separator = +
winbind
use default domain = yes
winbind
uid = 10000-20000
winbind
gid = 10000-20000
winbind
enum users = yes
winbind
enum groups = yes
template
homedir = /home/winnt/%D/%U
template
shell = /bin/bash
max
log size = 50
security
= domain
password
server = Primary Exch - сервери паролів (PDC, BDC)
encrypt
passwords = yes
Слід
звернути увагу на 2 речі:
1. Спочатку
в параметрі password server був вказаний тільки PDC (Primary) і winbind не зміг
знайти контроллер домена. Все запрацювало коли був доданий BDC (Exch).
2. Обидва
мена - це NETBIOS імена і для того, щоб вони равильно інтерпретувалися в IP я
прописав їх в /usr/local/etc/lmhosts
10.128.1.40
Primary
10.128.1.34
Exch
Після
цього необхідне заригестрировать SAMBA в домені Windows. Для цього нужэно
набрати команду:
/usr/local/sbin/smbpass
-j WORK (наш домен) -r Primary(наш PDC) -UAdministrator
Після
цього, слід ввести пароль адміністратора домена.
Спостерігалися
проблеми з samba 2.2.4 і реєстрацією в нашому домене - саме тому була
поставлена версія 2.2.6 з портів.
Дал
можна запустити nmbd (/usr/local/sbin/nmbd -D) краще з включеним дебагом (-d9)
подивитися в балку-файл, що мережа нормально видно.
Дал
можна сміливо пускати winbindd (/usr/local/sbin/winbindd -d9) - теж з дебагом
подивитися як він себе "відчуває" в нашій мережі. Опісля зразково
секунд 10, можна перевірити а чи запустився winbind і чи функціонує він.
Для
взаємодії з winbind служить команда wbinfo. Перевірити чи "бачить"
вона winbindd взагалі можна командою wbinfio -p. Якщо вона відповість: 'ping'
to winbindd succeeded, то означає все гаразд. Інакше треба дивитися в
балку-файл winbindd і розуміти чому він не запустився. (Насправді запускається
він завжди, та ось на запити відповідає тільки якщо правильно бачить мережа).
Далі можна спробувати перевірити а чи бачить winbindd сервер з паролями
користувачів (wbinfo -t). Сервер повинен сказати "Secret is good". І,
нарешті, можна спробувати авторизуватися з UNIX в Wondows домен:
wbinfo
-a пользователеь_домена%пароль.
Якщо
користувач авторизувався, буде видано:
plaintext
password authentication succeeded
error
code was NT_STATUS_OK (0x0)
challenge/response
password authentication succeeded
error
code was NT_STATUS_OK (0x0)
Якщо
неправильний пароль, то:
error
code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could
not authenticate user dmn%doct with plaintext password
challenge/response
password authentication faile
error
code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could
not authenticate user dmn with challenge/response
Все
це означає, що модуль wbinfo нарешті настроєний і правильно функціонує. Можна
приступати до налаштування SQUID.
Тепер
потрібно набудувати SQUID.
Спершу,
потрібно відзначити, що NTLM схему підтримує SQUID, починаючи з версії 2.5.
Тому я викачав версію 2.5.PRE13.
Далі,
SQUID потрібно скомпілювати з підтримкою схем авторизації і модулем:
winbind../configure
-enable-auth="ntlm,basic" \
--enable-basic-auth-helpers="winbind"\
--enable-ntlm-auth-helpers="winbind"
Тепер
можна перевірити а чи розуміє SQUID-овский авторизатор winbind. Для цього
потрібно запустити:
/usr/local/squid/libexec/wb_auth
-d
І
ввести уручну ім'я пароль (через пропуск).
Якщо
все працює коректно, то програма видасть:
/wb_auth[91945](wb_basic_auth.c:129):
Got 'Dmn XXXXX' from squid (length: 10).
/wb_auth[91945](wb_basic_auth.c:55):
winbindd result: 0
/wb_auth[91945](wb_basic_auth.c:58):
sending 'OK' to squid
Після
цього, потрібно набудувати squid, щоб він коректно працював на основ
IP-авторизації.
Тепер
залишилося підключити авторизацію до SQUID. Для цього в конфиге SQUID потрібно
описати в схеми авторизації через winbind:
auth_param
ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param
ntlm children 5
auth_param
ntlm max_challenge_reuses 0
auth_param
ntlm max_challenge_lifetime 2 minutesauth_param basic program
/usr/local/squid/libexec/wb_auth
auth_param
basic children 5
auth_param
basic realm Squid proxy-caching web server
auth_param
basic credentialsttl 2 hours
Причому
важливо щоб NTLM авторизація йшла першою, інакше застосовуватиметься
авторизація basic і IE питатиме пароль.
Дал
потрібно зробити соответсвующую ACL і параметр доступу. Важливо, щоб це йшло
після опису авторизацій.
acl
myusers proxy_auth REQUIRED
http_access
allow myusers
http_access
deny all
Тепер
залишається запустити SQUID і все перевірити.
Що
має бути:
Якщо
користувач авторизувався в домені, то IE не запитає пароль, а пойдетт відразу в
Інтернет. Причому, в лог-файле SQUID буде безцінна інформація, а хто це був:
1032943720.839
180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GET
http://www.ru/eng/images/demos.jpg work\dmn DIRECT/194.87.0.50 image/jpeg
Тобто
Це був користувач dmn з домена work.
Якщо
користувач не авторизувався в домені - його запитають логін і пароль. Якщо він
введе логін\пароль такій же, як при вході в домен, то його пустять в Інтернет.
Якщо
користувач користується не IE (наприклад, Mozilla, Netscape, Opera), він буде
повинен набрати свій логін і пароль для авторизації в Windows.
Якщо
аккаунт в Windows-домене закритий, то і доступ в Інтернет буде закритий.
4.3
Практичні рекомендації щодо забезпечення доступу до каналів комп’ютерної мереж
підприємства
Сукупність
засобів і правил обміну інформацією утворюють інформаційну систему (ІС)
підприємства. Забезпечення доступу співробітників підприємства до ресурсів
нформаційної системи є інформаційною підтримкою їх діяльності. Керівництво
будь-якого підприємства прагнути забезпечити безперервність інформаційно
підтримки своєї діяльності а, отже, постійно ставить і вирішує завдання захисту
власної інформаційної системи.
Засобом
забезпечення інформаційної підтримки підприємства в переважній більшост
випадків є його комп'ютерна мережа. Такі засоби, як голосова телефонія
радіозв'язок, факс і традиційна пошта не розглядаються нами окремо від
комп'ютерних мереж, оскільки можливості зловмисника, що використовує тільки ц
засоби без залучення комп'ютерних технологій, сильно обмежені. Крім того,
захист голосової інформації, факсних і поштових відправлень, забезпечується
нженерно-технічними засобами і організаційними заходами. Застосування тільки
цих засобів і мерів для захисту комп'ютерних мереж явно недостатньо у зв'язку з
особливостями побудови мереж цього класу. Далі ми розглянемо особливост
побудови комп'ютерних мереж як засоби інформаційної підтримки підприємства,
деякі, відомі уразливості комп'ютерних мереж і рекомендації по їх усуненню.
Особливост
архітектури комп'ютерних мереж описані семирівневою моделлю взаємодії відкритих
систем (Open Systems Interconnection, OSI), розроблена Міжнародним комітетом із
стандартизації ISO (найчастіше використовується скорочене найменування
«модель ISO/OSI» або просто «модель OSI»). Відповідно до концептуальних
положень цієї моделі процес інформаційного обміну в комп'ютерних мережах можна
розділити на сім етапів залежно від того, яким чином, і між якими об'єктами
відбувається інформаційний обмін. Ці етапи називаються рівнями моделі взаємод
відкритих систем. Термін «відкрита система» означає, те, що при побудові ц
системи були використані доступні і відкрито опубліковані стандарти
специфікації. Кожному рівню моделі відповідає певна група стандартів
специфікацій.
Дал
ми розглянемо послідовно особливості обробки інформації на фізичному, канальному,
мережевому і транспортному рівнях. По кожному рівню будуть представлен
відомості про уязвимостях механізмів інформаційної взаємодії, характерних для
даного рівня і рекомендації по усуненню цих уязвимостей.
4.3.1
Авторизація доступу на фізчному рівні організації комп’ютерних мереж
Найнижчий
рівень моделі взаємодії відкритих систем описує процеси, що відбуваються на
фізичному рівні або рівні середовища передачі. Інформація, що обробляється в
комп'ютерних мережах, представлена дискретними сигналами і при передачі залежно
від характеристик середовища представляється кодуванням або модуляцією.
Стандарти фізичного рівня встановлюють вимоги до складових середовища:
кабельній системі, роз'ємам, модулям сполучення з середовищем, формату сигналів
при кодуванні і модуляції.
Забезпечити
безпеку інформаційного обміну на фізичному рівні моделі можна за рахунок
структуризації фізичних зв'язків між вузлами комп'ютерної мережі. Захищене
фізичне середовище передачі даних є першим рубежем для зловмисника або перешкодою
для дії руйнівних чинників оточення.
Дал
приведені класифікація і характеристики середовищ передачі, використовуваних
при побудові комп'ютерних мереж:
1.
Середовище передачі — коаксіальний екранований мідний кабель. Використання для
передачі такого типу середовища припускає наявність топології фізичних зв'язків
«загальна шина». Тобто один кабельний сегмент використовується для підключення
всіх вузлів мережі. Порушення цілісності кабельного сегменту приводить до
відмови мережі. Всі вузли мережі такої топології (зокрема вузол зловмисника)
мають можливість управляти процесом передачі інформації. Комп'ютерні мережі,
побудовані на цьому принципі, уразливі найбільшою мірою. Зловмисник
використовує механізми розділення середовища передачі в мережах цього типу для
прослуховування трафіку всіх вузлів і організації атак відмови в доступі до
окремих вузлів або всієї мережі в цілому.
2.
Середовище передачі, утворене мідною витою парою.Топологія фізичних зв'язків
«зірка». Кількість кабельних сегментів в даній мережі відповідає кількост
вузлів. Порушення цілісності середовища одного кабельного сегменту не вплива
на працездатність всієї мережі. Найуразливішим елементом мережі є центральний
комунікаційний пристрій (концентратор або комутатор). Фактично пристрої цього
класу є засобом розділення середовища передачі.
Концентратор
утворює єдине середовище передачі, доступне всім вузлам мережі. Комп'ютерн
мережі, побудовані на цих пристроях, по специфіці розділення фізичного
середовища передачі відповідають мережам топології «загальна шина». Середовище
передачі, утворене концентратором, дозволяє зловмисникові реалізувати
прослуховування трафіку і атаку відмови в доступі, засновану на широкомовній
розсилці повідомлень. При цьому зловмисник може не мати безпосереднього фізичного
доступу до самого концентратора.
Комутатори
використовуються для здійснення поперемінного доступу вузлів до середовища
передачі. Розділення фізичного середовища передачі між вузлами в часі утрудня
прослуховування мережі зловмисником і створює додаткову перешкоду для
здійснення атак відмови в доступі, заснованих на широкомовній розсилц
повідомлень в мережі.
Використання
тих і інших пристроїв як засобів утворення середовища передачі дозволя
зловмисникові викликати відмову всієї мережі у нього фізичного доступу до них
або до системи їх енергопостачання.
Крім
того, для всіх різновидів мідних кабельних систем, використовуваних як
середовище передачі даних, має місце наявність побічного електромагнітного
випромінювання і наведень (ПЕМІН). Не дивлячись на свою вторинність, ПЕМІН
нформативним для зловмисника і дозволяє йому аналізувати списи мережево
активності, а за наявності аналізатора спектру електромагнітного
випромінювання, здійснити перехоплення передаваних середовищем передач
повідомлень.
3.
Середовище передачі, утворене оптоволоконним кабелем. Як правило,
використовується при побудові магістральних каналів зв'язку. Типова топологія
фізичних зв'язків для такого типу середовища передачі — «крапка-крапка»
«кільце». Проте, останнім часом, у зв'язку із здешевленням засобів комутації,
оснащених інтерфейсами для підключення оптоволокна, все частіше зустрічається
використання цього різновиду кабелю при побудові локальних мереж зіркоподібно
топології. Істотною перевагою оптоволоконної кабельної системи перед мідною
відсутність ПЕМІН, що сильно утрудняє перехоплення передаваних середовищем
повідомлень. Уразливою ланкою топології «зірка» для оптоволоконного середовища
передачі також є концентратори або комутатори.
Важливим
чинником при забезпеченні надійності роботи комп'ютерної мережі і, як наслідок,
безперервності інформаційної підтримки підприємства є наявність резервних
зв'язків. Найбільш відповідальні сегменти мережі, використовувані для зв'язку з
критично важливими вузлами комп'ютерної мережі необхідно дублювати. При цьому
рішення задачі «гарячого резервування» кабельної системи покладається на
канальний і мережевий рівні взаємодії. Наприклад, у разі порушення цілісност
основного кабельного сегменту — комутатор, оснащений функцією гарячого резервування
портів, здійснює трансляцію кадрів канального рівня на резервний порт. При
цьому підключений до комутатора вузол, у зв'язку з недоступністю середовища
передачі на основному мережевому інтерфейсі починає прийом і передачу через
резервний мережевий інтерфейс. Використання мережевих інтерфейсів вузлом
заздалегідь визначене пріоритетами його таблиці маршрутизації.
Додатковий
захист мережі можна забезпечити за рахунок обмеження фізичного доступу
зловмисника до кабельної системи підприємства. Наприклад, використання
прихованої проводки є перешкодою зловмисникові, що здійснює спроби моніторингу
мережевої активності і перехоплення повідомлень з використанням засобів аналізу
ПЕМІН.
Гнучкість
системи управління доступом до середовища передачі даних забезпечується за
рахунок перспективного будівництва структурованої кабельної системи (СКС)
підприємства. При проектуванні і будівництві СКС необхідно передбачити
ндивідуальні лінії зв'язку для всіх вузлів комп'ютерної мережі. Управління
конфігурацією фізичних зв'язків повинне здійснюватися центарлизовано.
Нижче
приведені основні рекомендації, що дозволяють понизити вірогідність
експлуатації кабельної системи комп'ютерної мережі підприємства зловмисником.
1.
Конфігурація фізичних зв'язків, що рекомендується, в комп'ютерній мереж
підприємства — «зірка», при цьому для підключення кожного вузла виділений
окремий кабельний сегмент. Як середовище передачі використовується
восьмижильний мідний кабель типу «витаючи пара» або оптоволокно.
2.
Для підключення критично важливих для підприємства серверів використовують два
кабельні сегменти — основний і резервний.
3.
Прокладка мережевого кабелю здійснюється в прихованій проводці, або в
кабель-каналах, що закриваються, з можливістю опечатання не зриваними
наклейками — «стикерами».
4. Кабельн
сегменти, використовувані для підключення всіх вузлів комп'ютерної мережі,
мають бути сконцентровані на одній комутаційній панелі.
5. У
початковій конфігурації топології фізичних зв'язків має бути виключене сумісне
використання середовища передачі будь-якою парою вузлів мережі. Виняток
становить зв'язок з «вузол-комутатор».
6.
Управління конфігурацією фізичних зв'язків між вузлами здійснюється тільки на
комутаційній панелі.
7.
Комутаційна панель змонтована в комутаційній шафі, що замикається. Доступ в
приміщення комутаційної шафи строго обмежений і контролюється службою безпец
підприємства.
На
рис. 4.2 приведені рекомендації по побудові комп'ютерної мережі на фізичному
рівні.
Рис.
4.2. Рекомендації по побудові комп'ютерної мережі на фізичному рівні.
Особливий
клас середовищ передачі складає безпровідне середовище передачі або
радіочастотний ресурс. При побудові комп'ютерних мереж підприємств в даний час
широко застосовується технологія RadioEthernet. Топологія фізичних зв'язків
мереж, побудованих за цим принципом, — або «крапка-крапка», або «зірка».
Особливість організації безпровідних мереж передачі даних, побудованих з
використанням технології RadioEthernet, припускає наявність у зловмисника
повного доступу до середовища передачі. Зловмисник, що володіє радіомережевим
адаптером в змозі без зусиль організувати прослуховування радіомережі передач
даних. Паралізувати роботу такої мережі можна за умови наявності у зловмисника
випромінювача, працюючого 2ГГц-овом в діапазоні частот і що володіє вищими в
порівнянні з випромінювачами радіомережі, що атакується, потужностними
характеристиками.
Рекомендац
по захисту радіомереж передачі даних.
1.
Служба безпеці повинна забезпечити строге обмеження фізичного доступу персоналу
підприємства і повне виключення доступу сторонніх на майданчики монтажу
приймального і випромінюючого устаткування радіомереж передачі даних. Доступ на
майданчики повинен контролюватися службою безпеці підприємства.
2. Прокладка
високочастотного кабелю має бути виконана прихованим способом або в коробах з
подальшим опечатанням коробів «стикерами».
3.
Довжина високочастотного кабельного сегменту має бути мінімальною.
4.
Доступ в приміщення з радіомодемами, радіомостами і станціями, оснащеними
радіомережевими адаптерами повинен строго контролюватися службою безпец
підприємства.
5.
Адміністратор мережі повинен детально документувати процедури налаштування
радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.
6.
Адміністратор мережі повинен регулярно міняти реквізити авторизації для
видаленого управління цими пристроями.
7.
Адміністратор мережі повинен виділити окремий адресний пул для адміністрування
цих пристроїв по мережі.
8.
Адміністратор мережі повинен відключити невживані функції радіомодемів,
радіомостів і станцій, оснащених радіомережевими адаптерами.
9.
Адміністратор повинен активувати функції радіомодему або радіомоста
забезпечуючі «тунелирование» і криптографічний захист передаваних повідомлень,
що приймаються.
10.
Адміністратор повинен контролювати доступ до радіомодемів, радіомостів
станцій, оснащених радіоадаптерами з боку вузлів комп'ютерної мереж
підприємства. Одін з можливих способів контролю — використання міжмережевого
екрану.
4.3.2
Авторизація доступу на канальному рівні організації комп’ютерних мереж
Забезпечення
безпеки розділення середовища передачі комунікаційними засобами канального
рівня. Протоколи і стандарти цього рівня описують процедури перевірки
доступності середовища передачі і коректності передачі даних. Здійснення
контролю доступності середовища необхідне оскільки специфікації фізичного рівня
не враховують те, що в деяких мережах лінії зв'язку можуть розділяється між
декількома взаємодіючими вузлами і фізичне середовище передачі може бути
зайнята. Переважна більшість комп'ютерних мереж побудована на основі технологій
Ethernet, Fast Ethernet і Gigabit Ethernet. Алгоритм визначення доступност
середовища для всіх технологій однаковий і заснований на постійному
прослуховуванні середовища передачі всіма підключеними до неї вузлами. Ця
особливість використовується зловмисниками для організації різних видів атак на
комп'ютерні мережі. Навіть за умови дотримання рекомендацій щодо виключення
розділення середовища передачі зловмисник може здійснити прослуховування
трафіку між довільно вибраною парою вузлів комп'ютерної мережі. Причому
використання простих комутаторів не є серйозною перешкодою для зловмисника.
Твердження про повну захищеність мереж, побудованих на основі топології фізичних
зв'язків «зірка» і оснащених простими комутаторами, є серйозною помилкою. Дал
ми розглянемо недоліки застосування простих комутаторів як засоби забезпечення
нформаційного обміну в комп'ютерних мережах на канальному рівні.
Процес
передачі інформації від одного вузла (А) до іншого (Б) через простій комутатор
відбувається поетапно і дані передаються блоками. Розмір блоків визначений
стандартом канального рівня. Блок даних, яким оперує протокол канального рівня,
називається кадром. Припустимо, що передавальний вузол (А) визначив доступність
середовища і початків передачу. У першому передаваному кадрі буде широкомовний
запит до всіх вузлів мережі про пошук вузла з необхідним мережевою адресою. Цей
запит містить апаратна адреса вузла відправника (А) і його мережева адреса (в
даному випадку мова йде про IP як протоколі мережевого рівня). Відмітимо, що
комутатор відповідно до вимог специфікацій канального рівня зобов'язаний
передати цей широкомовний запит всім підключеним до його портів вузлам.
Звернемо увагу також на те, що в нашій комп'ютерній мережі виконана вимога про
виключення розділення середовища передачі між двома вузлами, і кожен вузол
підключений безпосередньо до свого порту комутатора. Проте, незважаючи, на
виконання даної рекомендації, зловмисник отримає широкомовний запит вузла (А),
оскільки вузол його (зловмисника може) опинитися шуканим. Таким чином,
зловмисник отримуватиме нарівні зі всіма останніми широкомовні запити на дозвіл
мережевих адрес. Накопичуючи відомості з широкомовних запитів, зловмисник
матиме уявлення про мережеву активність всіх вузлів. Тобто про те - хто, і в
який час і з ким намагався почати інформаційний обмін. За допомогою ц
нескладної техніки зловмисник може визначити апаратні і мережеві адреси вузлів
що є серверами або маршрутизаторами. Кількість запитів на дозвіл мережево
адреси сервера або маршрутизатора буде на декілька порядків вище, ніж звичайній
робочій станції. Сформувавши таким чином відомість мережевої активності і карту
мережі з адресами передбачуваних серверів і маршрутизаторів, зловмисник може
відразу приступити до реалізації атак відмови в доступі до цих вузлів.
Відмітимо при цьому, що в процесі збору широкомовних пакетів зловмисник не
проявляв ніякої мережевої активності, тобто залишався невидимим для всіх вузлів
мережі окрім простого комутатора, до порту якого він підключений.
Розглянемо,
що відбувається після того, як вузол призначення (Б) отримав кадр із запитом на
дозвіл своєї мережевої адреси. Згідно вимог специфікацій канального рівня,
вузол, що отримав широкомовний кадр, що містить запит на дозвіл своєї мережево
адреси, зобов'язаний передати відправникові цього кадру відповідь, що містить
власні мережеву і апаратну адреси. Відповідь вузла (Б) буде вже не
широкомовною, а адресованою вузлу (А). Комутатор, зобов'язаний транслювати
відповідь вузла (Б) тільки на той порт, до якого підключений вузол (А). Таким
чином, кадр канального рівня, що містить відповідь вузла (Б) вже ніяк не
потрапить до зловмисника. Це пояснюється тим, що середовище передачі, використовуване
для підключення зловмисника до комутатора, буде вільне у момент передач
відповіді. Після отримання кадру з відповіддю, вузол (А) дізнається апаратна
(MAC) адреса вузла (Б) і зможе почати передачу пакетів мережевого рівня на
аресу вузла (Б). Подальші аспекти взаємодії вузлів знаходяться поза
компетенцією протоколів канального рівня. Завдання протоколу канального рівня
вважається за виконане, якщо що обмінюються даними вузли знають апаратні адреси
один одного і можуть інкапсулювати мережеві пакети в кадри канального рівня, що
дентифікуються комутатором по MAC-адресам вузлів.
Уразливість
системи дозволу мережевих адрес, описаної вище (у IP-сетях ця система
називається ARP — Address Resolution Protocol) полягає в тому, що вузол (А)
довіряє вмісту кадру з відповіддю. Тобто дані, передані у відповідь на запит
про дозвіл мережевої адреси, ніяк не перевіряються і нічим не підтверджуються.
Цією уразливістю і скористається зловмисник, охочий підмінити собою вузол (Б)
або прослуховувати потік кадрів, передаваних між будь-якими двома вузлами
мережі. Відбувається це таким чином. Зловмисник, вузол якого далі позначимо
літерою (Х), завчасно визначає апаратну і мережеву адреси вузлів, що
атакуються. Потім починає безперервно відправляти на аресу вузла (А) помилкові відповід
з вказівкою мережевої адреси вузла (Б) і апаратної адреси свого вузла (Х).
Отримуючи помилкові відповіді вузол (А) перебудовує свою таблицю дозволу
мережевих адрес і з цієї миті всі кадри, що відправляються їм на аресу вузла
(Б) матимуть в заголовку апаратну адресу вузла зловмисника. Оскільки простий
комутатор ухвалює рішення про трансляцію кадру на той або інший порт тільки на
підставі апаратної адреси, вказаної в заголовку цього кадру, зловмисник
отримуватиме всі повідомлення, адресовані вузлу (Б). Якщо зловмисников
необхідно організувати прослуховування трафіку між вузлами (А) і (Б) він
здійснює помилкову розсилку відповідей на аресу обох вузлів і отримані в свою
адресу кадри після перегляду і аналізу транслює вузлу, якому вони призначалися.
Описана
вище техніка підміни апаратних адрес (у народі відома під англомовною назвою
ARP spoofing) не є новою, різні варіанти її реалізації доступні користувачам
мережі Інтернет у вигляді готових програм з докладним керівництвом користувача.
Проте, практика показує, що в комп'ютерних мережах підприємств продовжується
використання дешевих простих комутаторів на відповідальних ділянках при
підключенні критично важливих для підприємства вузлів (серверів,
маршрутизаторів і так далі). Комп'ютерні мережі, оснащені багатофункціональними
керованими комутаторами, часто також залишаються уразливими до подібного роду
атакам. У багатьох випадках функції захисту і розмежування доступу до
середовища передачі, реалізовані в цих виробах, залишаються незатребуваними у
зв'язку з недоліком кваліфікації або недбалістю системних адміністраторів. Крім
того, ефективне розмежування доступу засобами канального рівня можливо тільки
за умови повної інвентаризації вузлів мережі і формалізації правил взаємод
між ними. На практиці керівництво підприємства неохоче виділяє кошти на
проведення подібних робіт, не розуміючи їх важливості для забезпечення захисту
комп'ютерної мережі.
Нижче
приведені рекомендації, проходження яким дозволяє додатково захистити
комп'ютерну мережу підприємства засобами канального рівня.
1.
Адміністратор служби безпеці повинен вести інвентаризаційну відомість
відповідності апаратних і мережевих адрес всіх вузлів мережі підприємства.
2.
Службою безпеці, спільно з відділом інформаційних технологій, має бути
розроблена політика захисту комп'ютерної мережі засобами канального рівня, що
визначає допустимі маршрути передачі кадрів канального рівня. Розроблена
політика повинна забороняти зв'язки типу «один-ко-многим», не обгрунтован
вимогами інформаційної підтримки діяльності підприємства. Політикою також мають
бути визначені робочі місця, з яких дозволена конфігурація засобів комутац
канального рівня.
3.
Засоби комутації канального рівня, використовувані в комп'ютерній мереж
підприємства, мають бути такими, що настроюються і забезпечувати розмежування
доступу між вузлами мережі відповідно до розробленої політики. Як правило, так
засоби підтримують технологію VLAN, що дозволяє в рамках одного комутатора
виділити групи апаратних адрес і сформувати для них правила трансляції кадрів.
4.
Адміністратор мережі повинен виконати налаштування підсистеми управління VLAN
комутатора, і інших підсистем, необхідних для реалізації розробленої політики
захисту. У обов'язку адміністратора входить також відключення невживаних
підсистем комутатора.
5.
Адміністратор мережі повинен регулярно контролювати відповідність конфігурацій
комутаторів розробленій політиці захисту.
6.
Адміністратор мережі повинен вести моніторинг мережевої активності користувачів
з метою виявлення джерел аномально високої кількості широкомовних запитів.
7.
Служба безпеці повинна контролювати регулярність зміни реквізитів авторизац
адміністратора в підсистемах управління комутаторами.
8.
Служба безпеці повинна контролювати регулярність виконання адміністратором
заходів, пов'язаних з моніторингом мережі, здійсненням профілактичних робіт по
налаштуванню комутаторів, а також створенням резервних копій конфігурацій
комутаторів.
9.
Служба безпеці повинна забезпечити строгий контроль доступу в приміщення, в
яких розташовані комутатори і робочі станції, з яких дозволено управління
комутаторами. На рис. 4.3 приведений приклад формалізованої політики захисту
комп'ютерної мережі засобами канального рівня.
Рис.
4.3. Приклад формалізованого запису політики захисту комп'ютерної мереж
засобами канального рівня.
В
центрі схеми знаходиться керований комутатор, що забезпечує реалізацію правил
політики безпеки. Атрибути комутатора перераховані у верхній частині блоку, а
його операції (функції) в нижней. Вузли мережі згруповані за функціональною
ознакою. Приклад запису правил фільтрації трафіку керованим комутатором
приведений з права у відповідній нотації.
4.3.3
Авторизація доступу на мережевому рівні організації комп’ютерних мереж
Використання
в комп'ютерній мережі протоколів мережевого рівня є необхідною умовою для
забезпечення взаємодії між вузлами мереж з різними канальними протоколами.
Мережеві протоколи дозволяють подолати обмеження, що накладаються
специфікаціями канального рівня. Наприклад, дозволяють об'єднати комп'ютерну
мережу підприємства з мережею інтернет-провайдера з використанням телефонних
мереж загального користування. Зробити це тільки засобами канальних протоколів
досить складно. Крім того, об'єднання двох різних за призначенням мереж з
використанням мостів украй негативно позначається на рівні захищеност
об'єднуваних мереж. В більшості випадків адміністратор і служба безпец
підприємства не можуть повністю проинвентаризировать вузли мережі, що підключається,
, отже, формалізувати правила обміну кадрами канального рівня.
Другий
важливий аспект використання протоколів мережевого рівня — це розмежування
доступу до ресурсів усередині мережі підприємства, що використовує тільки один
стандарт канального рівня. Використання для цієї мети протоколів мережевого
рівня вельми ефективно навіть для мереж, побудованих з використанням тільки
одного стандарту канального рівня. Проблема сумісності в таких мережах не
актуальна, і тому корисні властивості мережевих протоколів можна
використовувати для захисту від дії на мережу зловмисника. Однією з таких
властивостей є використання протоколами мережевого рівня роздільної схеми
адресації мережі (тобто групи комп'ютерів) і окремо узятого вузла цієї групи.
Зокрема адреса протоколу мережевого рівня IP складається з двох частин — номера
мережі, і номера вузла. При цьому максимально можлива кількість вузлів в мереж
або її адресний простір визначається значенням мережевої маски або (раніше, до
введення безкласової маршрутизації CIDR) класом мережі.
Дану
особливість адресації можуть використовувати як адміністратор мережі, так
зловмисник. Одним із завдань адміністратора мережі і співробітників служби
безпеці є захист адресного простору мережі від можливості його використання
зловмисником. Частково цю функцію виконують механізми маршрутизації,
реалізовані модулями протоколу мережевого рівня. Тобто здійснення обміну між
вузлами мереж з різними номерами неможливе без попереднього налаштування
локальних таблиць маршрутизації вузлів цих мереж, або без внесення змін до
конфігурації маршрутизатора, що здійснює обмін пакетами (пакетом називається
блок даних, з яким працює протокол мережевого рівня).
Проте
майже завжди в адресному просторі мережі залишається частина адрес, не зайнятих
зараз і тому доступних для експлуатації зловмисником. Це пояснюється форматом
представлення номера мережі і номера вузла IP-протокола. Кількість вузлів в
мережі — це завжди 2n, тобто 4,8,16,32,64 і так далі Реальна ж кількість вузлів
не буває такою. Крім того, адміністратор завжди прагне зарезервувати адресний
простір для нових вузлів. Саме цей резерв може і буде використаний зловмисником
для здійснення атак на функціонуючі вузли комп'ютерної мережі.
Вирішення
проблеми очевидне — потрібно використовувати весь адресний простір і не дати
зловмисникові можливості захопити адреси невживаних вузлів. Одним із способів
застосування служби моніторингу мережі і підтримки віртуальних вузлів в
резервному діапазоні адрес. Дана служба постійно використовує вільний адресний простір
мережі, створюючи власні віртуальні хосты (нові віртуальні хосты створюються
відразу після відключення від мережі реально функціонуючих довірених вузлів).
Таким чином, служба підміняє собою відсутні зараз робочі станції, сервери,
маршрутизатори і так далі
4.3.4
Авторизація доступу на транспортному рівні організації комп’ютерних мереж
Використання
властивостей транспортних протоколів створює найбільш ефективну перешкоду
діяльності зловмисника. Тут для захисту використовуються ознаки, що містяться в
заголовках сегментів (сегмент — блок даних з якими працює транспортний
протокол) транспортного протоколу. Цими ознаками є тип транспортного протоколу,
номер порту і прапор синхронізації з'єднання.
Якщо
засобами канального рівня можна захистити апаратуру комп'ютерної мережі, а
протоколи мережевого рівня дозволяють розмежувати доступ до окремих хостам
підмереж, то транспортний протокол використовується як засіб комунікац
мережевих застосувань, що функціонують на платформі окремих вузлів (хостов).
Будь-яке мережеве застосування використовує транспортний протокол для доставки
оброблюваних даних. Причому у кожного класу додатків є специфічний номер
транспортного порту. Ця властивість може бути використане зловмисником для
атаки на конкретний мережевий сервіс або службу, або адміністратором мережі для
захисту мережевих сервісів і служб.
Адміністратор
формує політику захисту мережі засобами транспортного рівня у вигляді відомост
відповідності хостов, використовуваних ними мережевих адрес і довірених
застосувань, що функціонують на платформах цих хостов. Формалізований запис
цієї відомості є табличною структурою, що містить:
перелік вузлів (хостов), їх символьні імена;
відповідні цим вузлам (хостам) мережеві адреси;
перелік використовуваних кожним вузлом (хостом) транспортних протоколів;
перелік мережевих застосувань, що функціонують в кожному вузлі і відповідні цим
застосуванням порти транспортного протоколу;
— по
кожному мережевому застосуванню необхідно встановити, чи є воно споживачем або
постачальником ресурсу, тобто чи дозволено йому ініціювати витікаючі з'єднання
або приймати що входять.
Реалізація
політики захисту засобами транспортного рівня здійснюється за допомогою
міжмережевих екранів (firewall). Міжмережевий екран — це спеціалізоване
програмне забезпечення, що реалізовує фільтрацію трафіку відповідно до правил
політики захисту мережі засобами транспортного рівня. Як правило, дане
програмне забезпечення функціонує на платформі маршрутизатора, керівника
нформаційними потоками вузлів різних мереж.
4.4
Висновок
Таким
чином, авторизація проводиться з метою розмежування прав доступу до мережевих
комп'ютерних ресурсів і є процедурою засобу захисту інформації від
несанкціонованого доступу. Для централізованого вирішення завдань авторизації в
крупних мережах предназначена мережева служба Kerberos. Вона може працювати в
середовищі багатьох популярних операційних систем.
Висновки
Головним
результатом даної роботи є дослідження засобів здійснення авторізації доступу до
каналів комп’ютерних мереж.
До основних
результатів дипломної роботи відносяться:
1.
Аналіз фізичної сутності та порядка використання каналів передачі даних в
комп’ютерних мережах показав, що:
використання
каналів передачі даних при побудові комп’ютерних мережах відбувається в рамках
структурованої кабельної системи;
типова
рархічна структура структурованої кабельної системи включає: горизонтальн
підсистеми; вертикальні підсистеми; підсистему кампусу;
використання
структурованої кабельної системи дає багато переваг: універсальність, збільшення
терміну служби, зменшення вартості добавлення нових користувачів і зміни місць
х розташування, можливість легкого розширення мережі, забезпечення
ефективнішого обслуговування, надійність;
при
виборі типу кабелю приймають до уваги такі характеристики: пропускна
спроможність, відстань, фізична захищеність, електромагнітна
перешкодозахищеність, вартість;
найбільш
поширеними є такі типи кабелю: кручена пара (екранована і неекранована),
коаксіальний кабель, оптоволоконний кабель (одно- і багатомодовий);
для
горизонтальної підсистеми найбільш прийнятним варіантом є неекранована кручена
пара, для вертикальної підсистеми і підсистеми кампусу – оптоволоконний кабель
або коаксіал;
2.
Аналіз методів доступу до загального поділюваного середовища передачі даних
показав, що випадкові методи доступу передбачають можливість захвату загального
поділюваного середовища передачі даних будь-яким вузлом мережі у довільний
випадковий момент часу, якщо в даний момент він вважає середовище вільним.
Детерміновані методи, навпаки, передбачають можливість надання загального
середовища в розпорядження вузла мережі за суворо визначеним (детермінованим)
порядком.
3.
Практична настройка мережевих служб для авторизації доступу до мережі Інтернет
та рекомендації щодо забезпечення доступу до каналів комп’ютерної мереж
підприємства.
|