Автоматизація доступу до каналів комп'ютерних мереж
Класичним вирішенням стандарта підприємства для організації Інтернет-сервісів є сервер під управлінням UNIX. Практично завжди для Web і FTP трафіку використовують кеширующий сервер SQUID, який також є стандартом de facto.
Стандартним способом надання доступу до SQUID-серверу є доступ на основі специалицированных списків доступу (Access Lists або ACL). У свою чергу списки доступу зазвичай будуються на основі IP-сетей, яким дозволений доступ до SQUID. Наприклад, визначимо ACL, яка описує мережу 10.128.0.0/16 (або з маскою 255.255.0.0). і ACL, яка описує взагалі все адресаsquid.conf:
acl net10128 src 10.128.0.0/16
acl all src 0.0.0.0/0
а зараз дозволимо їй доступ до Інтернет ресурсам
http_access allow net10128
а всім останнім - заборонимо:
http_access deny all
Після цього, тільки комп'ютерам із заданої мережі дозволений доступ до Інтернет. При використанні Internet-ресурсов, в балку-файл squid записується інформація про конкретну адресу, що запитала конкретний Інтернет-ресурс: acess.log:
1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET
http://www.ru/eng/images/ssilki.jpg board/sag NONE/- image/jpeg
Тут присутсвует дата, розмір ресурсу, IP-адрес станції, зпросившей ресурс, і сам ресурс. З такого роду записів можна підрахувати трафік як по станції, так і по підмережі.
Проте приведена вище технологія дозволяє контролювати трафік по IP-адресу Інтернет-користувача. В більшості випадків цей спосіб цілком підходить, проте при цьому необхідно, щоб за конретним комп'ютером завжди працювала конкретна людина.
Ця умова виконується не завжди і тоді облік трафіку порушується. Ось типові умови, при яких потрібна інша схема авторизації в Інтернеті:
Різні користувачі працюють на одному і тому ж робочому місці (наприклад, позмінно).
Користувачі взагалі не прив'язані до конкретних комп'ютерів.
Користувачі працюють в термінальних сесіях термінального сервера. Тоді взагалі весь Інтернет-трафік йде з IP-адреса сервера.
Тому часто встає проблема обліку трафіку не на основі IP, а на основі іншої інформації.
4.2.1 Авторизація на основі логіна і пароля
Логічним вирішенням проблеми авторизація на основі логіна і пароля є авторизація в SQUID по логіну і раолю. Така можливість в SQUID, естесвенно передбачена. У SQUID для цього розроблена можливість авторизувати через зовнішню програму, яка просто "говорить" "та чи ні" на визначеного користувача і пароль. Т.ч. Можна проводити авторизацію по обліковому запису уміє проводити авторизацію через облікові записи UNIX, через текстові файли і тому подібне
Наприклад, для того, щоб користувач авторизувався через файл /usr/local/squid/passwd формату Веб-сервера-авторизації (формат Apache), потрібно скомпілювати squid разом з цим модулем (--enable-auth="ncsa; докладніше за див. документацію до SQUID). І в конфиг SQUID додати ACL вирішуюче правило:
Дозволити доступ користувачам dima petya vasya, паролі яких будуть перевірені через файл /usr/local/squid/passwd
acl MYUSERS proxy_auth dima petya vasya
http_access allow MYUSERS
http_access deny all
authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd *
(*для версии 2.4).
При цьому, це вирішує поставлені в "Введенні" проблеми, проте додає деякі незручності користувачам і адміністраторові:
При первинному вході в Інтернет користувачеві потрібно набратьв броузере логін\пароль для доступу до SQUID. І кожному користувачеві необхідно пам'ятати свої параметри.
Адміністраторові необхідно вести базу логінів і паролів у файлі.
4.2.2 Авторизація через облікові записи Windows
При роботі в Windows-мережах кожен користувач при вході в мережу проходить авторизацію в NT(2000) -домене. Було б здорове використовувати ці дані для авторизації SQUID. Тоді вирішуються проблеми ведення в SQUID окремої бази даних користувачів і, як виявилось, можна вирішити проблему запиту логіна\пароля в броузере при вході в Інтернет.
Головна проблема при вирішенні авторизації через Windows-домен - знайти і набудувати програму для авторизації заданого користувача в Windows-домене. Команда SQUID рекомендує користуватися програмою winbindd, яка є частиною проекту SAMBA (реалізація Windows сервера і клієнта під UNIX), SQUID, починаючи з версії 2.5 підтримує різні схеми авторизації по логіну\паролю, включаючи basic і NTLM (NT Lan Manager). Basic-схема призначена для авторизації через введення логіна\пароля в броузере, а NTLM-схема призначена для автоматичного прийому броузером логіна, пароля і домена, під якими користувач реєструвався в Windows-домене. Т.ч. за допомогою NTLM-авторизации можна автоматично реєструватися в SQUID без ручного підтвердження логіна і пароля.
4.3.3 Практичне вирішення побудови системи авторизації через Windows домен
Практичне вирішення проблеми було знайдене досвідченим шляхом і може бути не найвитонченішим і правильнішим. Але краса його в тому, що воно дороблене та кінця і працює.
Початкові дані:
1. Комп'ютер, підключений до Інтернет зі встановленою ОС: FREEBSD 4.4 (версія і сама ОС не мають принципового значення).
2. Мережа, що містить близько 200 Windows-станций, включаючи термінальні сервери і клієнти.
3. Близько 250 аккаунтов в домені під управлінням Windows 2000 Advanced сервер (домен WORK і 4 довірителях домена).
Завдання:
Забезпечити авторизацію користувачів на SQUID через облікові записи Windows найбільш зручним способом.
План дій:
1.Установка і конфігурація SAMBA.
Отже перше, що треба зробити - встановити SAMBA для того, щоб уміти авторизуватися в Windows-домене. Я встановив версію 2.2.6pre2. Причому, важливо скомпілювати SAMBA з підтримкою winbind, тобто з параметрами:
-with-winbind
-with-winbind-auth-challenge
Примітка:
У FREEBSD SAMBA була зібрана з портів (ports) і виявилось, що з поточною версією не збирається бібліотека CUPS. Тому SAMBA була зібрана без неї (--without_cups).
Після установки, SAMBA потрібно набудувати на домен Windows мережі і на використання winbind:
[global]
workgroup = WORK - Ім'я нашого Windows-домена
netbios name = vGATE - Ім'я сервера (необов'язково)
server string = vGate
hosts allow = 10.128. 127. - Для безпеки.
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
max log size = 50
security = domain
password server = Primary Exch - сервери паролів (PDC, BDC)
encrypt passwords = yes
Слід звернути увагу на 2 речі:
1. Спочатку в параметрі password server був вказаний тільки PDC (Primary) і winbind не зміг знайти контроллер домена. Все запрацювало коли був доданий BDC (Exch).
2. Обидва імена - це NETBIOS імена і для того, щоб вони равильно інтерпретувалися в IP я прописав їх в /usr/local/etc/lmhosts
10.128.1.40 Primary
10.128.1.34 Exch
Після цього необхідне заригестрировать SAMBA в домені Windows. Для цього нужэно набрати команду:
/usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator
Після цього, слід ввести пароль адміністратора домена.
Спостерігалися проблеми з samba 2.2.4 і реєстрацією в нашому домене - саме тому була поставлена версія 2.2.6 з портів.
Далі можна запустити nmbd (/usr/local/sbin/nmbd -D) краще з включеним дебагом (-d9) і подивитися в балку-файл, що мережа нормально видно.
Далі можна сміливо пускати winbindd (/usr/local/sbin/winbindd -d9) - теж з дебагом і подивитися як він себе "відчуває" в нашій мережі. Опісля зразково секунд 10, можна перевірити а чи запустився winbind і чи функціонує він.
Для взаємодії з winbind служить команда wbinfo. Перевірити чи "бачить" вона winbindd взагалі можна командою wbinfio -p. Якщо вона відповість: 'ping' to winbindd succeeded, то означає все гаразд. Інакше треба дивитися в балку-файл winbindd і розуміти чому він не запустився. (Насправді запускається він завжди, та ось на запити відповідає тільки якщо правильно бачить мережа). Далі можна спробувати перевірити а чи бачить winbindd сервер з паролями користувачів (wbinfo -t). Сервер повинен сказати "Secret is good". І, нарешті, можна спробувати авторизуватися з UNIX в Wondows домен:
wbinfo -a пользователеь_домена%пароль.
Якщо користувач авторизувався, буде видано:
plaintext password authentication succeeded
error code was NT_STATUS_OK (0x0)
challenge/response password authentication succeeded
error code was NT_STATUS_OK (0x0)
Якщо неправильний пароль, то:
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn%doct with plaintext password
challenge/response password authentication faile
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
Could not authenticate user dmn with challenge/response
Все це означає, що модуль wbinfo нарешті настроєний і правильно функціонує. Можна приступати до налаштування SQUID.
Тепер потрібно набудувати SQUID.
Спершу, потрібно відзначити, що NTLM схему підтримує SQUID, починаючи з версії 2.5. Тому я викачав версію 2.5.PRE13.
Далі, SQUID потрібно скомпілювати з підтримкою схем авторизації і модулем:
winbind../configure -enable-auth="ntlm,basic" \
--enable-basic-auth-helpers="winbind"\
--enable-ntlm-auth-helpers="winbind"
Тепер можна перевірити а чи розуміє SQUID-овский авторизатор winbind. Для цього потрібно запустити:
/usr/local/squid/libexec/wb_auth -d
І ввести уручну ім'я пароль (через пропуск).
Якщо все працює коректно, то програма видасть:
/wb_auth[91945](wb_basic_auth.c:129): Got 'Dmn XXXXX' from squid (length: 10).
/wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0
/wb_auth[91945](wb_basic_auth.c:58): sending 'OK' to squid
Після цього, потрібно набудувати squid, щоб він коректно працював на основі IP-авторизації.
Тепер залишилося підключити авторизацію до SQUID. Для цього в конфиге SQUID потрібно описати в схеми авторизації через winbind:
auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Причому важливо щоб NTLM авторизація йшла першою, інакше застосовуватиметься авторизація basic і IE питатиме пароль.
Далі потрібно зробити соответсвующую ACL і параметр доступу. Важливо, щоб це йшло після опису авторизацій.
acl myusers proxy_auth REQUIRED
http_access allow myusers
http_access deny all
Тепер залишається запустити SQUID і все перевірити.
Що має бути:
Якщо користувач авторизувався в домені, то IE не запитає пароль, а пойдетт відразу в Інтернет. Причому, в лог-файле SQUID буде безцінна інформація, а хто це був:
1032943720.839 180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GET http://www.ru/eng/images/demos.jpg work\dmn DIRECT/194.87.0.50 image/jpeg
Тобто Це був користувач dmn з домена work.
Якщо користувач не авторизувався в домені - його запитають логін і пароль. Якщо він введе логін\пароль такій же, як при вході в домен, то його пустять в Інтернет.
Якщо користувач користується не IE (наприклад, Mozilla, Netscape, Opera), він буде повинен набрати свій логін і пароль для авторизації в Windows.
Якщо аккаунт в Windows-домене закритий, то і доступ в Інтернет буде закритий.
4.3 Практичні рекомендації щодо забезпечення доступу до каналів комп'ютерної мережі підприємства
Сукупність засобів і правил обміну інформацією утворюють інформаційну систему (ІС) підприємства. Забезпечення доступу співробітників підприємства до ресурсів інформаційної системи є інформаційною підтримкою їх діяльності. Керівництво будь-якого підприємства прагнути забезпечити безперервність інформаційної підтримки своєї діяльності а, отже, постійно ставить і вирішує завдання захисту власної інформаційної системи.
Засобом забезпечення інформаційної підтримки підприємства в переважній більшості випадків є його комп'ютерна мережа. Такі засоби, як голосова телефонія і радіозв'язок, факс і традиційна пошта не розглядаються нами окремо від комп'ютерних мереж, оскільки можливості зловмисника, що використовує тільки ці засоби без залучення комп'ютерних технологій, сильно обмежені. Крім того, захист голосової інформації, факсних і поштових відправлень, забезпечується інженерно-технічними засобами і організаційними заходами. Застосування тільки цих засобів і мерів для захисту комп'ютерних мереж явно недостатньо у зв'язку з особливостями побудови мереж цього класу. Далі ми розглянемо особливості побудови комп'ютерних мереж як засоби інформаційної підтримки підприємства, деякі, відомі уразливості комп'ютерних мереж і рекомендації по їх усуненню.
Особливості архітектури комп'ютерних мереж описані семирівневою моделлю взаємодії відкритих систем (Open Systems Interconnection, OSI), розроблена Міжнародним комітетом із стандартизації ISO (найчастіше використовується скорочене найменування -- «модель ISO/OSI» або просто «модель OSI»). Відповідно до концептуальних положень цієї моделі процес інформаційного обміну в комп'ютерних мережах можна розділити на сім етапів залежно від того, яким чином, і між якими об'єктами відбувається інформаційний обмін. Ці етапи називаються рівнями моделі взаємодії відкритих систем. Термін «відкрита система» означає, те, що при побудові цієї системи були використані доступні і відкрито опубліковані стандарти і специфікації. Кожному рівню моделі відповідає певна група стандартів і специфікацій.
Далі ми розглянемо послідовно особливості обробки інформації на фізичному, канальному, мережевому і транспортному рівнях. По кожному рівню будуть представлені відомості про уязвимостях механізмів інформаційної взаємодії, характерних для даного рівня і рекомендації по усуненню цих уязвимостей.
4.3.1 Авторизація доступу на фізчному рівні організації комп'ютерних мереж
Найнижчий рівень моделі взаємодії відкритих систем описує процеси, що відбуваються на фізичному рівні або рівні середовища передачі. Інформація, що обробляється в комп'ютерних мережах, представлена дискретними сигналами і при передачі залежно від характеристик середовища представляється кодуванням або модуляцією. Стандарти фізичного рівня встановлюють вимоги до складових середовища: кабельній системі, роз'ємам, модулям сполучення з середовищем, формату сигналів при кодуванні і модуляції.
Забезпечити безпеку інформаційного обміну на фізичному рівні моделі можна за рахунок структуризації фізичних зв'язків між вузлами комп'ютерної мережі. Захищене фізичне середовище передачі даних є першим рубежем для зловмисника або перешкодою для дії руйнівних чинників оточення.
Далі приведені класифікація і характеристики середовищ передачі, використовуваних при побудові комп'ютерних мереж:
1. Середовище передачі -- коаксіальний екранований мідний кабель. Використання для передачі такого типу середовища припускає наявність топології фізичних зв'язків «загальна шина». Тобто один кабельний сегмент використовується для підключення всіх вузлів мережі. Порушення цілісності кабельного сегменту приводить до відмови мережі. Всі вузли мережі такої топології (зокрема вузол зловмисника) мають можливість управляти процесом передачі інформації. Комп'ютерні мережі, побудовані на цьому принципі, уразливі найбільшою мірою. Зловмисник використовує механізми розділення середовища передачі в мережах цього типу для прослуховування трафіку всіх вузлів і організації атак відмови в доступі до окремих вузлів або всієї мережі в цілому.
2. Середовище передачі, утворене мідною витою парою.Топологія фізичних зв'язків «зірка». Кількість кабельних сегментів в даній мережі відповідає кількості вузлів. Порушення цілісності середовища одного кабельного сегменту не впливає на працездатність всієї мережі. Найуразливішим елементом мережі є центральний комунікаційний пристрій (концентратор або комутатор). Фактично пристрої цього класу є засобом розділення середовища передачі.
Концентратор утворює єдине середовище передачі, доступне всім вузлам мережі. Комп'ютерні мережі, побудовані на цих пристроях, по специфіці розділення фізичного середовища передачі відповідають мережам топології «загальна шина». Середовище передачі, утворене концентратором, дозволяє зловмисникові реалізувати прослуховування трафіку і атаку відмови в доступі, засновану на широкомовній розсилці повідомлень. При цьому зловмисник може не мати безпосереднього фізичного доступу до самого концентратора.
Комутатори використовуються для здійснення поперемінного доступу вузлів до середовища передачі. Розділення фізичного середовища передачі між вузлами в часі утрудняє прослуховування мережі зловмисником і створює додаткову перешкоду для здійснення атак відмови в доступі, заснованих на широкомовній розсилці повідомлень в мережі.
Використання тих і інших пристроїв як засобів утворення середовища передачі дозволяє зловмисникові викликати відмову всієї мережі у нього фізичного доступу до них або до системи їх енергопостачання.
Крім того, для всіх різновидів мідних кабельних систем, використовуваних як середовище передачі даних, має місце наявність побічного електромагнітного випромінювання і наведень (ПЕМІН). Не дивлячись на свою вторинність, ПЕМІН є інформативним для зловмисника і дозволяє йому аналізувати списи мережевої активності, а за наявності аналізатора спектру електромагнітного випромінювання, здійснити перехоплення передаваних середовищем передачі повідомлень.
3. Середовище передачі, утворене оптоволоконним кабелем. Як правило, використовується при побудові магістральних каналів зв'язку. Типова топологія фізичних зв'язків для такого типу середовища передачі -- «крапка-крапка» і «кільце». Проте, останнім часом, у зв'язку із здешевленням засобів комутації, оснащених інтерфейсами для підключення оптоволокна, все частіше зустрічається використання цього різновиду кабелю при побудові локальних мереж зіркоподібної топології. Істотною перевагою оптоволоконної кабельної системи перед мідною є відсутність ПЕМІН, що сильно утрудняє перехоплення передаваних середовищем повідомлень. Уразливою ланкою топології «зірка» для оптоволоконного середовища передачі також є концентратори або комутатори.
Важливим чинником при забезпеченні надійності роботи комп'ютерної мережі і, як наслідок, безперервності інформаційної підтримки підприємства є наявність резервних зв'язків. Найбільш відповідальні сегменти мережі, використовувані для зв'язку з критично важливими вузлами комп'ютерної мережі необхідно дублювати. При цьому рішення задачі «гарячого резервування» кабельної системи покладається на канальний і мережевий рівні взаємодії. Наприклад, у разі порушення цілісності основного кабельного сегменту -- комутатор, оснащений функцією гарячого резервування портів, здійснює трансляцію кадрів канального рівня на резервний порт. При цьому підключений до комутатора вузол, у зв'язку з недоступністю середовища передачі на основному мережевому інтерфейсі починає прийом і передачу через резервний мережевий інтерфейс. Використання мережевих інтерфейсів вузлом заздалегідь визначене пріоритетами його таблиці маршрутизації.
Додатковий захист мережі можна забезпечити за рахунок обмеження фізичного доступу зловмисника до кабельної системи підприємства. Наприклад, використання прихованої проводки є перешкодою зловмисникові, що здійснює спроби моніторингу мережевої активності і перехоплення повідомлень з використанням засобів аналізу ПЕМІН.
Гнучкість системи управління доступом до середовища передачі даних забезпечується за рахунок перспективного будівництва структурованої кабельної системи (СКС) підприємства. При проектуванні і будівництві СКС необхідно передбачити індивідуальні лінії зв'язку для всіх вузлів комп'ютерної мережі. Управління конфігурацією фізичних зв'язків повинне здійснюватися центарлизовано.
Нижче приведені основні рекомендації, що дозволяють понизити вірогідність експлуатації кабельної системи комп'ютерної мережі підприємства зловмисником.
1. Конфігурація фізичних зв'язків, що рекомендується, в комп'ютерній мережі підприємства -- «зірка», при цьому для підключення кожного вузла виділений окремий кабельний сегмент. Як середовище передачі використовується восьмижильний мідний кабель типу «витаючи пара» або оптоволокно.
2. Для підключення критично важливих для підприємства серверів використовують два кабельні сегменти -- основний і резервний.
3. Прокладка мережевого кабелю здійснюється в прихованій проводці, або в кабель-каналах, що закриваються, з можливістю опечатання не зриваними наклейками -- «стикерами».
4. Кабельні сегменти, використовувані для підключення всіх вузлів комп'ютерної мережі, мають бути сконцентровані на одній комутаційній панелі.
5. У початковій конфігурації топології фізичних зв'язків має бути виключене сумісне використання середовища передачі будь-якою парою вузлів мережі. Виняток становить зв'язок з «вузол-комутатор».
6. Управління конфігурацією фізичних зв'язків між вузлами здійснюється тільки на комутаційній панелі.
7. Комутаційна панель змонтована в комутаційній шафі, що замикається. Доступ в приміщення комутаційної шафи строго обмежений і контролюється службою безпеці підприємства.
На рис. 4.2 приведені рекомендації по побудові комп'ютерної мережі на фізичному рівні.
Рис. 4.2. Рекомендації по побудові комп'ютерної мережі на фізичному рівні.
Особливий клас середовищ передачі складає безпровідне середовище передачі або радіочастотний ресурс. При побудові комп'ютерних мереж підприємств в даний час широко застосовується технологія RadioEthernet. Топологія фізичних зв'язків мереж, побудованих за цим принципом, -- або «крапка-крапка», або «зірка». Особливість організації безпровідних мереж передачі даних, побудованих з використанням технології RadioEthernet, припускає наявність у зловмисника повного доступу до середовища передачі. Зловмисник, що володіє радіомережевим адаптером в змозі без зусиль організувати прослуховування радіомережі передачі даних. Паралізувати роботу такої мережі можна за умови наявності у зловмисника випромінювача, працюючого 2ГГц-овом в діапазоні частот і що володіє вищими в порівнянні з випромінювачами радіомережі, що атакується, потужностними характеристиками.
Рекомендації по захисту радіомереж передачі даних.
1. Служба безпеці повинна забезпечити строге обмеження фізичного доступу персоналу підприємства і повне виключення доступу сторонніх на майданчики монтажу приймального і випромінюючого устаткування радіомереж передачі даних. Доступ на майданчики повинен контролюватися службою безпеці підприємства.
2. Прокладка високочастотного кабелю має бути виконана прихованим способом або в коробах з подальшим опечатанням коробів «стикерами».
3. Довжина високочастотного кабельного сегменту має бути мінімальною.
4. Доступ в приміщення з радіомодемами, радіомостами і станціями, оснащеними радіомережевими адаптерами повинен строго контролюватися службою безпеці підприємства.
5. Адміністратор мережі повинен детально документувати процедури налаштування радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.
6. Адміністратор мережі повинен регулярно міняти реквізити авторизації для видаленого управління цими пристроями.
7. Адміністратор мережі повинен виділити окремий адресний пул для адміністрування цих пристроїв по мережі.
8. Адміністратор мережі повинен відключити невживані функції радіомодемів, радіомостів і станцій, оснащених радіомережевими адаптерами.
9. Адміністратор повинен активувати функції радіомодему або радіомоста забезпечуючі «тунелирование» і криптографічний захист передаваних повідомлень, що приймаються.
10. Адміністратор повинен контролювати доступ до радіомодемів, радіомостів і станцій, оснащених радіоадаптерами з боку вузлів комп'ютерної мережі підприємства. Одін з можливих способів контролю -- використання міжмережевого екрану.
4.3.2 Авторизація доступу на канальному рівні організації комп'ютерних мереж
Забезпечення безпеки розділення середовища передачі комунікаційними засобами канального рівня. Протоколи і стандарти цього рівня описують процедури перевірки доступності середовища передачі і коректності передачі даних. Здійснення контролю доступності середовища необхідне оскільки специфікації фізичного рівня не враховують те, що в деяких мережах лінії зв'язку можуть розділяється між декількома взаємодіючими вузлами і фізичне середовище передачі може бути зайнята. Переважна більшість комп'ютерних мереж побудована на основі технологій Ethernet, Fast Ethernet і Gigabit Ethernet. Алгоритм визначення доступності середовища для всіх технологій однаковий і заснований на постійному прослуховуванні середовища передачі всіма підключеними до неї вузлами. Ця особливість використовується зловмисниками для організації різних видів атак на комп'ютерні мережі. Навіть за умови дотримання рекомендацій щодо виключення розділення середовища передачі зловмисник може здійснити прослуховування трафіку між довільно вибраною парою вузлів комп'ютерної мережі. Причому використання простих комутаторів не є серйозною перешкодою для зловмисника. Твердження про повну захищеність мереж, побудованих на основі топології фізичних зв'язків «зірка» і оснащених простими комутаторами, є серйозною помилкою. Далі ми розглянемо недоліки застосування простих комутаторів як засоби забезпечення інформаційного обміну в комп'ютерних мережах на канальному рівні.
Процес передачі інформації від одного вузла (А) до іншого (Б) через простій комутатор відбувається поетапно і дані передаються блоками. Розмір блоків визначений стандартом канального рівня. Блок даних, яким оперує протокол канального рівня, називається кадром. Припустимо, що передавальний вузол (А) визначив доступність середовища і початків передачу. У першому передаваному кадрі буде широкомовний запит до всіх вузлів мережі про пошук вузла з необхідним мережевою адресою. Цей запит містить апаратна адреса вузла відправника (А) і його мережева адреса (в даному випадку мова йде про IP як протоколі мережевого рівня). Відмітимо, що комутатор відповідно до вимог специфікацій канального рівня зобов'язаний передати цей широкомовний запит всім підключеним до його портів вузлам. Звернемо увагу також на те, що в нашій комп'ютерній мережі виконана вимога про виключення розділення середовища передачі між двома вузлами, і кожен вузол підключений безпосередньо до свого порту комутатора. Проте, незважаючи, на виконання даної рекомендації, зловмисник отримає широкомовний запит вузла (А), оскільки вузол його (зловмисника може) опинитися шуканим. Таким чином, зловмисник отримуватиме нарівні зі всіма останніми широкомовні запити на дозвіл мережевих адрес. Накопичуючи відомості з широкомовних запитів, зловмисник матиме уявлення про мережеву активність всіх вузлів. Тобто про те - хто, і в який час і з ким намагався почати інформаційний обмін. За допомогою цієї нескладної техніки зловмисник може визначити апаратні і мережеві адреси вузлів що є серверами або маршрутизаторами. Кількість запитів на дозвіл мережевої адреси сервера або маршрутизатора буде на декілька порядків вище, ніж звичайній робочій станції. Сформувавши таким чином відомість мережевої активності і карту мережі з адресами передбачуваних серверів і маршрутизаторів, зловмисник може відразу приступити до реалізації атак відмови в доступі до цих вузлів. Відмітимо при цьому, що в процесі збору широкомовних пакетів зловмисник не проявляв ніякої мережевої активності, тобто залишався невидимим для всіх вузлів мережі окрім простого комутатора, до порту якого він підключений.
Розглянемо, що відбувається після того, як вузол призначення (Б) отримав кадр із запитом на дозвіл своєї мережевої адреси. Згідно вимог специфікацій канального рівня, вузол, що отримав широкомовний кадр, що містить запит на дозвіл своєї мережевої адреси, зобов'язаний передати відправникові цього кадру відповідь, що містить власні мережеву і апаратну адреси. Відповідь вузла (Б) буде вже не широкомовною, а адресованою вузлу (А). Комутатор, зобов'язаний транслювати відповідь вузла (Б) тільки на той порт, до якого підключений вузол (А). Таким чином, кадр канального рівня, що містить відповідь вузла (Б) вже ніяк не потрапить до зловмисника. Це пояснюється тим, що середовище передачі, використовуване для підключення зловмисника до комутатора, буде вільне у момент передачі відповіді. Після отримання кадру з відповіддю, вузол (А) дізнається апаратна (MAC) адреса вузла (Б) і зможе почати передачу пакетів мережевого рівня на аресу вузла (Б). Подальші аспекти взаємодії вузлів знаходяться поза компетенцією протоколів канального рівня. Завдання протоколу канального рівня вважається за виконане, якщо що обмінюються даними вузли знають апаратні адреси один одного і можуть інкапсулювати мережеві пакети в кадри канального рівня, що ідентифікуються комутатором по MAC-адресам вузлів.
Уразливість системи дозволу мережевих адрес, описаної вище (у IP-сетях ця система називається ARP -- Address Resolution Protocol) полягає в тому, що вузол (А) довіряє вмісту кадру з відповіддю. Тобто дані, передані у відповідь на запит про дозвіл мережевої адреси, ніяк не перевіряються і нічим не підтверджуються. Цією уразливістю і скористається зловмисник, охочий підмінити собою вузол (Б) або прослуховувати потік кадрів, передаваних між будь-якими двома вузлами мережі. Відбувається це таким чином. Зловмисник, вузол якого далі позначимо літерою (Х), завчасно визначає апаратну і мережеву адреси вузлів, що атакуються. Потім починає безперервно відправляти на аресу вузла (А) помилкові відповіді з вказівкою мережевої адреси вузла (Б) і апаратної адреси свого вузла (Х). Отримуючи помилкові відповіді вузол (А) перебудовує свою таблицю дозволу мережевих адрес і з цієї миті всі кадри, що відправляються їм на аресу вузла (Б) матимуть в заголовку апаратну адресу вузла зловмисника. Оскільки простий комутатор ухвалює рішення про трансляцію кадру на той або інший порт тільки на підставі апаратної адреси, вказаної в заголовку цього кадру, зловмисник отримуватиме всі повідомлення, адресовані вузлу (Б). Якщо зловмисникові необхідно організувати прослуховування трафіку між вузлами (А) і (Б) він здійснює помилкову розсилку відповідей на аресу обох вузлів і отримані в свою адресу кадри після перегляду і аналізу транслює вузлу, якому вони призначалися.
Описана вище техніка підміни апаратних адрес (у народі відома під англомовною назвою ARP spoofing) не є новою, різні варіанти її реалізації доступні користувачам мережі Інтернет у вигляді готових програм з докладним керівництвом користувача. Проте, практика показує, що в комп'ютерних мережах підприємств продовжується використання дешевих простих комутаторів на відповідальних ділянках при підключенні критично важливих для підприємства вузлів (серверів, маршрутизаторів і так далі). Комп'ютерні мережі, оснащені багатофункціональними керованими комутаторами, часто також залишаються уразливими до подібного роду атакам. У багатьох випадках функції захисту і розмежування доступу до середовища передачі, реалізовані в цих виробах, залишаються незатребуваними у зв'язку з недоліком кваліфікації або недбалістю системних адміністраторів. Крім того, ефективне розмежування доступу засобами канального рівня можливо тільки за умови повної інвентаризації вузлів мережі і формалізації правил взаємодії між ними. На практиці керівництво підприємства неохоче виділяє кошти на проведення подібних робіт, не розуміючи їх важливості для забезпечення захисту комп'ютерної мережі.
Нижче приведені рекомендації, проходження яким дозволяє додатково захистити комп'ютерну мережу підприємства засобами канального рівня.
1. Адміністратор служби безпеці повинен вести інвентаризаційну відомість відповідності апаратних і мережевих адрес всіх вузлів мережі підприємства.
2. Службою безпеці, спільно з відділом інформаційних технологій, має бути розроблена політика захисту комп'ютерної мережі засобами канального рівня, що визначає допустимі маршрути передачі кадрів канального рівня. Розроблена політика повинна забороняти зв'язки типу «один-ко-многим», не обгрунтовані вимогами інформаційної підтримки діяльності підприємства. Політикою також мають бути визначені робочі місця, з яких дозволена конфігурація засобів комутації канального рівня.
3. Засоби комутації канального рівня, використовувані в комп'ютерній мережі підприємства, мають бути такими, що настроюються і забезпечувати розмежування доступу між вузлами мережі відповідно до розробленої політики. Як правило, такі засоби підтримують технологію VLAN, що дозволяє в рамках одного комутатора виділити групи апаратних адрес і сформувати для них правила трансляції кадрів.
4. Адміністратор мережі повинен виконати налаштування підсистеми управління VLAN комутатора, і інших підсистем, необхідних для реалізації розробленої політики захисту. У обов'язку адміністратора входить також відключення невживаних підсистем комутатора.
5. Адміністратор мережі повинен регулярно контролювати відповідність конфігурацій комутаторів розробленій політиці захисту.
6. Адміністратор мережі повинен вести моніторинг мережевої активності користувачів з метою виявлення джерел аномально високої кількості широкомовних запитів.
7. Служба безпеці повинна контролювати регулярність зміни реквізитів авторизації адміністратора в підсистемах управління комутаторами.
8. Служба безпеці повинна контролювати регулярність виконання адміністратором заходів, пов'язаних з моніторингом мережі, здійсненням профілактичних робіт по налаштуванню комутаторів, а також створенням резервних копій конфігурацій комутаторів.
9. Служба безпеці повинна забезпечити строгий контроль доступу в приміщення, в яких розташовані комутатори і робочі станції, з яких дозволено управління комутаторами. На рис. 4.3 приведений приклад формалізованої політики захисту комп'ютерної мережі засобами канального рівня.
Рис. 4.3. Приклад формалізованого запису політики захисту комп'ютерної мережі засобами канального рівня.
В центрі схеми знаходиться керований комутатор, що забезпечує реалізацію правил політики безпеки. Атрибути комутатора перераховані у верхній частині блоку, а його операції (функції) в нижней. Вузли мережі згруповані за функціональною ознакою. Приклад запису правил фільтрації трафіку керованим комутатором приведений з права у відповідній нотації.
4.3.3 Авторизація доступу на мережевому рівні організації комп'ютерних мереж
Використання в комп'ютерній мережі протоколів мережевого рівня є необхідною умовою для забезпечення взаємодії між вузлами мереж з різними канальними протоколами. Мережеві протоколи дозволяють подолати обмеження, що накладаються специфікаціями канального рівня. Наприклад, дозволяють об'єднати комп'ютерну мережу підприємства з мережею інтернет-провайдера з використанням телефонних мереж загального користування. Зробити це тільки засобами канальних протоколів досить складно. Крім того, об'єднання двох різних за призначенням мереж з використанням мостів украй негативно позначається на рівні захищеності об'єднуваних мереж. В більшості випадків адміністратор і служба безпеці підприємства не можуть повністю проинвентаризировать вузли мережі, що підключається, і, отже, формалізувати правила обміну кадрами канального рівня.
Другий важливий аспект використання протоколів мережевого рівня -- це розмежування доступу до ресурсів усередині мережі підприємства, що використовує тільки один стандарт канального рівня. Використання для цієї мети протоколів мережевого рівня вельми ефективно навіть для мереж, побудованих з використанням тільки одного стандарту канального рівня. Проблема сумісності в таких мережах не актуальна, і тому корисні властивості мережевих протоколів можна використовувати для захисту від дії на мережу зловмисника. Однією з таких властивостей є використання протоколами мережевого рівня роздільної схеми адресації мережі (тобто групи комп'ютерів) і окремо узятого вузла цієї групи. Зокрема адреса протоколу мережевого рівня IP складається з двох частин -- номера мережі, і номера вузла. При цьому максимально можлива кількість вузлів в мережі або її адресний простір визначається значенням мережевої маски або (раніше, до введення безкласової маршрутизації CIDR) класом мережі.
Дану особливість адресації можуть використовувати як адміністратор мережі, так і зловмисник. Одним із завдань адміністратора мережі і співробітників служби безпеці є захист адресного простору мережі від можливості його використання зловмисником. Частково цю функцію виконують механізми маршрутизації, реалізовані модулями протоколу мережевого рівня. Тобто здійснення обміну між вузлами мереж з різними номерами неможливе без попереднього налаштування локальних таблиць маршрутизації вузлів цих мереж, або без внесення змін до конфігурації маршрутизатора, що здійснює обмін пакетами (пакетом називається блок даних, з яким працює протокол мережевого рівня).
Проте майже завжди в адресному просторі мережі залишається частина адрес, не зайнятих зараз і тому доступних для експлуатації зловмисником. Це пояснюється форматом представлення номера мережі і номера вузла IP-протокола. Кількість вузлів в мережі -- це завжди 2n, тобто 4,8,16,32,64 і так далі Реальна ж кількість вузлів не буває такою. Крім того, адміністратор завжди прагне зарезервувати адресний простір для нових вузлів. Саме цей резерв може і буде використаний зловмисником для здійснення атак на функціонуючі вузли комп'ютерної мережі.
Вирішення проблеми очевидне -- потрібно використовувати весь адресний простір і не дати зловмисникові можливості захопити адреси невживаних вузлів. Одним із способів є застосування служби моніторингу мережі і підтримки віртуальних вузлів в резервному діапазоні адрес. Дана служба постійно використовує вільний адресний простір мережі, створюючи власні віртуальні хосты (нові віртуальні хосты створюються відразу після відключення від мережі реально функціонуючих довірених вузлів). Таким чином, служба підміняє собою відсутні зараз робочі станції, сервери, маршрутизатори і так далі
4.3.4 Авторизація доступу на транспортному рівні організації комп'ютерних мереж
Використання властивостей транспортних протоколів створює найбільш ефективну перешкоду діяльності зловмисника. Тут для захисту використовуються ознаки, що містяться в заголовках сегментів (сегмент -- блок даних з якими працює транспортний протокол) транспортного протоколу. Цими ознаками є тип транспортного протоколу, номер порту і прапор синхронізації з'єднання.
Якщо засобами канального рівня можна захистити апаратуру комп'ютерної мережі, а протоколи мережевого рівня дозволяють розмежувати доступ до окремих хостам і підмереж, то транспортний протокол використовується як засіб комунікації мережевих застосувань, що функціонують на платформі окремих вузлів (хостов). Будь-яке мережеве застосування використовує транспортний протокол для доставки оброблюваних даних. Причому у кожного класу додатків є специфічний номер транспортного порту. Ця властивість може бути використане зловмисником для атаки на конкретний мережевий сервіс або службу, або адміністратором мережі для захисту мережевих сервісів і служб.
Адміністратор формує політику захисту мережі засобами транспортного рівня у вигляді відомості відповідності хостов, використовуваних ними мережевих адрес і довірених застосувань, що функціонують на платформах цих хостов. Формалізований запис цієї відомості є табличною структурою, що містить:
-- перелік вузлів (хостов), їх символьні імена;
-- відповідні цим вузлам (хостам) мережеві адреси;
-- перелік використовуваних кожним вузлом (хостом) транспортних протоколів;
-- перелік мережевих застосувань, що функціонують в кожному вузлі і відповідні цим застосуванням порти транспортного протоколу;
-- по кожному мережевому застосуванню необхідно встановити, чи є воно споживачем або постачальником ресурсу, тобто чи дозволено йому ініціювати витікаючі з'єднання або приймати що входять.
Реалізація політики захисту засобами транспортного рівня здійснюється за допомогою міжмережевих екранів (firewall). Міжмережевий екран -- це спеціалізоване програмне забезпечення, що реалізовує фільтрацію трафіку відповідно до правил політики захисту мережі засобами транспортного рівня. Як правило, дане програмне забезпечення функціонує на платформі маршрутизатора, керівника інформаційними потоками вузлів різних мереж.
4.4 Висновок
Таким чином, авторизація проводиться з метою розмежування прав доступу до мережевих і комп'ютерних ресурсів і є процедурою засобу захисту інформації від несанкціонованого доступу. Для централізованого вирішення завдань авторизації в крупних мережах предназначена мережева служба Kerberos. Вона може працювати в середовищі багатьох популярних операційних систем.
Висновки
Головним результатом даної роботи є дослідження засобів здійснення авторізації доступу до каналів комп'ютерних мереж.
До основних результатів дипломної роботи відносяться:
1. Аналіз фізичної сутності та порядка використання каналів передачі даних в комп'ютерних мережах показав, що:
використання каналів передачі даних при побудові комп'ютерних мережах відбувається в рамках структурованої кабельної системи;
типова ієрархічна структура структурованої кабельної системи включає: горизонтальні підсистеми; вертикальні підсистеми; підсистему кампусу;
використання структурованої кабельної системи дає багато переваг: універсальність, збільшення терміну служби, зменшення вартості добавлення нових користувачів і зміни місць їх розташування, можливість легкого розширення мережі, забезпечення ефективнішого обслуговування, надійність;
при виборі типу кабелю приймають до уваги такі характеристики: пропускна спроможність, відстань, фізична захищеність, електромагнітна перешкодозахищеність, вартість;
найбільш поширеними є такі типи кабелю: кручена пара (екранована і неекранована), коаксіальний кабель, оптоволоконний кабель (одно- і багатомодовий);
для горизонтальної підсистеми найбільш прийнятним варіантом є неекранована кручена пара, для вертикальної підсистеми і підсистеми кампусу - оптоволоконний кабель або коаксіал;
2. Аналіз методів доступу до загального поділюваного середовища передачі даних показав, що випадкові методи доступу передбачають можливість захвату загального поділюваного середовища передачі даних будь-яким вузлом мережі у довільний випадковий момент часу, якщо в даний момент він вважає середовище вільним. Детерміновані методи, навпаки, передбачають можливість надання загального середовища в розпорядження вузла мережі за суворо визначеним (детермінованим) порядком.
3. Практична настройка мережевих служб для авторизації доступу до мережі Інтернет та рекомендації щодо забезпечення доступу до каналів комп'ютерної мережі підприємства.
Страницы: 1, 2, 3, 4
|