Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf502 |
Глава 26. Компьютерный шпионаж |
реданного по «захваченному» каналу, также позволит обнаружить компрометацию обмена данными.
Однако задача защиты от «маскарада» усложняется, если на рушителем узурпирован сервер (коммутатор) сетевого провайдера, через который легальный пользователь осуществляет доступ в сеть. В этом случае, может быть только одна рекомендация - поменять недобросовестного провайдера.
С теоретической точки зрения, защита от атак типа «маска рад» сводится к аутентификации соединения. В настоящее время известно много методов и способов такой аутентификации. Но их главный недостаток в том, что для проведения процедуры аутенти фикации соединения используется это же аутентифицируемое со единение, которое может быть уже скомпрометированным.
Практическая реализация способа обнаружения атак типа «маскарад» с помощью дополнительного скрытого канала (недос тупного для нарушителя) взаимодействия двух легальных объектов Internet зависит от администратора системы безопасности или службы сетевой безопасности. Необходимо помнить одно, что «мас карад» - это театр, а театр - это искусство. Атаки типа «маскарад» под силу лишь людям искушенным и высокопрофессиональным. Поэтому и системы защиты от «маскарада» должны быть высоко профессиональными, изобретательными и оригинальными.
РАЗДЕЛ V.
КОМПЬЮТЕРНЫЙ ШПИОНАЖ
СИСТЕМООБРАЗУЮЩИХ ПРОТОКОЛОВ
И ИНФРАСТРУКТУРЫ IN T E R N E T
Наиболее опасными, с точки зрения работоспособности ИТС, яв ляются атаки (КШ), которые нацелены на системообразующие прото колы и инфраструктуру Internet-сети. Модели КШ указанных объек тов основаны, в первую очередь, на недостатках архитектуры безопас ности Internet. Более того, сами протоколы Internet-сети содержат в се бе разнообразный инструментарий для противоправных действий. Логические и процедурные характеристики Internet-протоколов обла дают уникальными свойствами, которые, на первый взгляд, не таят в себе ничего «противоестественного», однако в «профессиональных руках» они могут быть использованы в криминальных целях, причём как против пользователей, так и против самой Internet-сети.
Глава 27. Методология и основные принципы КШ DNS-системы. Модель КШ DNSсистемы
В главе 18 было показано, что DNS-система представляет собой глобальную иерархическую дублируемую распределенную систему баз данных (DNS-БД), используемую в Internet-сети в интересах IP-адресации, электронной почтовой службы и других подобных прикладных информационных (информационно-технологических) систем (отображение DNS-имен в адреса и наоборот). Кроме того, она решает ряд специальных задач, результаты которых являются чрезвычайно привлекательны для нарушителей.
27.1. Состав и назначение DNS-системы
Фактически, DNS-система является технологической подсис темой в Internet-системе. Ее главное предназначение:
оструктурирование единого пространства имен для именова ния всех объектов в Internet. Она вводит унифицированное обозначение всех прикладных сетевых компонентов;
504Глава 27. Методология и основные принципы КШ DNS-системы
ообеспечение процессов маршрутизации в различных сетевых узлах коммутации пакетов необходимой информацией при отображении различных систем адресации в IP-адресацию;
•поддержание самой себя (DNS-системы) в актуальном состоя нии, т.е. сама DNS-система должна своевременно обновлять (добавлять, удалять, модифицировать) свою распределённую базу данных, а также обеспечивать свою полную и непрерыв ную функциональность и работоспособность.
Для реализации своего основного предназначения DNS-система включает в себя следующие программно-аппаратные комплексы:
оспециализированные DNS-серверы, хранящие и обслуживаю щие DNS-БД, а именно:
-«ведомый (подчиненный) сервер» («Slave») - авторизован ный сервер, который участвует в обновлении DNS-БД путем получения запросов на обновление данных от пользовате лей и трансляции этих запросов на мастер-серверы;
-«мастер-сервер» («Master») - авторизованный сервер, кото рый является элементом DNS-БД, хранящим определенные DNS-данные;
-«главный мастер-сервер» («Primary Master») - представляет собой мастер-сервер, обслуживающий всю DNS-зону и хра нящий все DNS-данные о зоне (мастер-файлы);
оDNS-клиенты представляют собой специализированные про граммные комплексы (специализированные программные ин терфейсы), которые «извлекают» информацию из DNSсерверов в ответ на запросы DNS-пользователей. С точки зре ния DNS-клиента, DNS-система представляет собой совокуп ность неизвестного количества DNS-серверов. Каждый DNSсервер имен обладает одним или более блоками данных всего дерева сегмента/области (локальной БД), но DNS-клиент про сматривает каждую из этих баз данных;
ои собственно DNS-БД, которая представляет собой совокуп ность записей информационных ресурсов (Resource Records - RR-записи), структурированных в соответствии с определен ной древовидной иерархией DNS-имен, которые размещены в DNS-серверах. RR-записи представляют собой данные, кото рые необходимы для реализации основного предназначения DNS-системы (обеспечение маршрутизации).
DNS-система по своему составу включает (рис. 27.1):
втехнологическую часть, включающую:
-распределённую DNS-БД;
-администрации и администраторов DNS-системы;
раздел V. |
505 |
опользователей DNS-системы, которые можно разделить на две большие группы:
-простые пользователи, которые пользуются услугами DNSсистемы;
-пользователи, которые имеют собственные данные, храня щиеся в DNS-БД, и могут их обновлять (дополнять, удалять, модифицировать).
Рис. 27.1. Состав DNS-системы
Пространство имен сегментов/областей представляет собой древовидную структуру. Каждый узел и лист на дереве отображает ся в группу (подмножество) информационных ресурсов (которая может быть и пустой). Каждый узел имеет свой маркер. DNS-имя узла представляет собой перечень маркеров, которые встречаются на пути от узла к корню древовидной структуры (см. рис. 18.9).
Сегмент/область определяется своим DNS-именем и состоит из той части пространства DNS-имен, которое расположено внутри или ниже DNS-имени, определяющего сегмент/область.
DNS-серверы управляют двумя типами DNS-данных. К первому типу относятся данные, объединенные в определенные множества (группы), называемые «зонами». Каждая такая зона представляет собой полную БД для соответствующего «вырезанного» подмноже
506 |
Глава 27. Методология и основные принципы КШ DNS-системы |
ства («субдерево») иерархической древовидной структуры про странства сегментов/областей. Такие данные называются авторизо ванными. DNS-сервер периодически проводит проверку того, что его зоны своевременно пополняются новыми данными, и если это не происходит, то тогда он запрашивает новую копию информации о зонах, которая извлекается из мастер-файлов, хранящихся локаль но или в других DNS-серверах. Ко второму типу данных относятся данные, хранящиеся в кэш-памяти, которые были получены локаль ным DNS-клиентом. Эти данные могут быть не полными, но они позволяют ускорить процесс обновления данных, когда осуществля ется повторное обращение к удаленным данным. Данные, храня щиеся в кэш-памяти, в конце концов, уничтожаются по истечении времени тайм-аута.
Информационные потоки (см. рис. 18.4), обслуживаемые DNSсервером, обеспечивают, таким образом, все аспекты функциониро вания DNS-системы.
27.2. Специальные задачи, решаемые DNS-системой
Осознавая всю остроту проблемы обеспечения безопасности DNS-системы, ее разработчики предприняли ряд мер по защите информации, циркулирующей в DNS-системе. Однако эти меры касаются только защиты целостности и подлинности (аутентифи кация) данных и процедур информационного обмена. Меры по за щите конфиденциальности информации в DNS-системе практиче ски не применяются.
Ввиду того, что DNS-система является неотъемлемым техноло гическим компонентом любой сетевой структуры в рамках глобаль ной Internet-сети (с точки зрения своего прямого предназначения), причем компонентом, обладающем мощным и разветвленным ап паратом хранения и обработки данных, она теперь рассматривается как внутренняя Internet-инфраструктура, способная обеспечить технологическое обслуживание других глобальных прикладных систем (служб), сформированных в глобальной Internet.
К специальным (дополнительным) задачам, которые решает DNS-система можно отнести следующие:
вхранение открытых и секретных ключей и ЭЦП пользователей и объектов DNS-системы (в частности, открытые DSA-, RSA- и DH-ключи);
охранение электронных сертификатов пользователей DNSсистемы, в которых тоже могут содержаться различные ключе вые данные (в частности, PKIX (Х.509), SPKI, PGP);
Раздел V. |
509 |
Трафик между пользователем (объектом КШ) и DNS-клиентом.
Анализ этого трафика (рис. 27.3) позволяет определить к какой группе пользователей относится объект КШ, т.е., хранит ли он в DNS-системе какие-либо свои данные, или является администрато ром зоны, а также тип DNS-клиента (полнофункциональный или функционально-усеченный).
Кроме этого анализ данного трафика позволяет определить:
охранит ли объект КШ электронные сертификаты, ЭЦП и клю чи в DNS-системе;
охранит ли объект КШ в DNS-системе какую-либо иную ин формацию, не связанную с самой DNS-системой;
оосновные элементы стратегии обеспечения (политики) безо пасности, используемой объектом КШ, т.е. используемые алго ритмы, способы и средства аутентификации, шифрования, порядок использования, генерации, обновления и хранения ключевой информации;
оDNS-имена, адреса объектов, с которыми взаимодействует объект КШ, а также маршруты доставки IP-пакетов между ними;
отехнологические аспекты функционирования виртуального соединения между объектом КШ и DNS-клиентом (маршруты, адреса, DNS-имена и др.).
Рис. 27.3. Трафик между объектом КШ и DNS-клиентом
Трафик между DNS-клиентом и локальным (зональным) DNSсервером. Анализ этого трафика (рис. 27.4) позволяет определить:
•тип DNS-клиента (полнофункциональный или функциональ но-усеченный) и режим работы DNS-сервера (рекурсивный или итеративный);
•структуру и состав зоны (1Р-адреса, DNS-имена и другие атри буты), т.е. определить DNS-серверы, обслуживающие зону, вы-
510 |
Глава 27. Методология и основные принципы КШ DNS-системы |
явить главный мастер-сервер зоны и DNS-серверы, обеспечи вающие связь с другими зонами, а также DNS-серверы с функ циями кэширования информации;
остратегию обеспечения (политику) безопасности при инфор мационном взаимодействии DNS-клиента с DNS-серверами (используемые алгоритмы, способы и средства аутентифика ции, шифрования, порядок использования, генерации, обнов ления и хранения ключевой информации, в том числе «ме сто(а) хранения» зональных ключей);
осостав пользователей DNS-системы, входящих в данную зону, и их принадлежность к той или иной группе DNS-пользователей;
вадминистратора (администрацию) зоны и его стратегию обес печения безопасности, используемую в зоне;
опрактически (при долговременном анализе) всю зональную DNS-БД (её состав и типы данных) и частоту ее обновления, какие DNS-серверы непосредственно участвуют в обновлении зональной DNS-БД;
©хранящуюся в DNS-системе информацию, не связанную с ней, а также объекты, которые хранят такую информацию, и часто ту ее обновления;
•маршруты доставки DNS-трафика внутри зоны;
•типы DNS-сообщений, содержащих пустые (нулевые) поля.
Впределах одной DNS-зоны
Рис. 27.4. Трафик между DNS-клиентом и локальным
(зональным) DNS-сервером
Трафик между DNS-клиентом и удаленным DNS-сервером. Его анализ (рис. 27.5) позволяет определить:
орежим работы удаленного DNS-сервера (рекурсивный или итеративный);
Раздел V. |
511 |
•маршруты доставки DNS-трафика между взаимодействующи ми зонами, в частности, ретрансляционные DNS-серверы и граничные DNS-серверы, обеспечивающие перенаправление маршрутов в другие зоны;
остратегию обеспечения (политику) безопасности при инфор мационном взаимодействии DNS-клиента с удаленными DNSсерверами (используемые алгоритмы, способы и средства ау тентификации, шифрования, порядок использования, генера ции, обновления и хранения ключевой информации);
оадминистратора (администрацию) удаленной зоны и его стра тегию обеспечения безопасности, используемую при межзо нальном взаимодействии;
вналичие (при определенных условиях) в удаленной зоне ко пии мастер-файла, содержащей данные о локальной зоне;
о типы DNS-сообщений, содержащих пустые (нулевые) поля.
Локальная зона |
Удаленнаязона |
Рис. 27.5. Трафик между DNS-клиентом и удаленным DNS-сервером
Трафик между локальными DNS-серверами в границах одной DNS-зоны. Анализ этого трафика (рис. 27.6) позволяет определить:
оиерархию DNS-серверов внутри зоны (главный мастер-сервер, хранящий мастер-файл зоны, мастер-серверы, ведомые серве ры, DNS-серверы с функцией кэширования данных, ретранс ляционные DNS-серверы, DNS-серверы, хранящие данные, связанные с обеспечением безопасности - ключевые данные, электронные сертификаты, ЭЦП);
®режимы функционирования взаимодействующих между со бой зональных DNS-серверов (рекурсивный, итеративный, за щищенный, динамический) и систему их синхронизации;
•маршруты доставки DNS-трафика между взаимодействующи ми зональными DNS-серверами;