Файловый архив студентов. Файловый архив студентов.
1302 вуза, 5117 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный исследовательский ядерный университет (МИФИ)
Предмет:
Программно-аппаратная защита информации
Файл:

Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

.pdf
Скачиваний:
778
Добавлен:
15.07.2016
Размер:
20.96 Mб
Скачать

522

Глава 28. Методология и основные принципы КЩ

отрафик между SNMP-менеджером канала управления и SNMP-агентом;

отрафик между уполномоченным SNMP-агентом и SNMPагентом.

КШ SNMPv3-apxHTeKTypbi

р

SNMPv3-apxHteKTypa, как источник КШ SNMPv3-apxnTeKtypa, как объектнет КШ |

 

П а с с и в ,нь,е

 

 

-Z X

 

 

 

А{сги в ны е

М ероП р и я ти я

 

 

м е р о п р И ятиЯ

В интересах активных

Залват и модификация

 

 

мероприятий КШ

 

СУ (ее компонентов)

 

 

 

сетевыми ресурсами

 

ВNMPv3-архитектуры

 

 

 

и средствами

 

 

 

 

 

I I

Контроль,перехват и

Управляющий SNMP-узсп- Промежуточный SHMP-мсноджср

ЦД I

анализайSNMP-трафика

> SNMP-агснт . Уполномоченный SNMP-агекг

 

SNMP-меисджер канала управления ’

 

 

 

 

|~ В интересах крилтоанапиааи дешифрования j

 

 

Управляющий SNMP.yaen —

 

 

Несанкционированный

 

БНМР-ятвнт

 

доступ кSNMP-MIB объекта КШ

 

Управляющий SNMP yien —

 

 

 

 

 

уполномоченный SNMP-агекг

 

 

Преднамеренное искажение

 

Управляющий SNMP-узел —

 

 

SNMP-MIB объекта Ш

 

 

 

 

-------------Т

промежуточный SNMP-менедкер

 

 

 

 

 

 

 

Внедрение вредоносных

 

Управляощий SNMP узел —

 

 

программных средств

SNMP менеджер канала управления

 

.

-

" Г

Промежуточный SNMP-ыенвджер—

 

 

 

И спользование скры ты х каналов

 

SNMP-агенг

 

управления д л я воздействия на объект КШ

 

 

 

Промежуточный SNMP менеджер —

 

 

 

 

 

уполномоченный SNMP агент

 

 

 

 

Промежуточный SNMP менеджер —

 

 

 

 

SNMP менеджер канала управления

 

 

 

 

SNMP менеджер канала управления —

 

 

 

 

 

SMMParcHT

 

Активные мероприятия против объекта

SNMP менеджер канала управления —

 

КШ(егоблокирование, разрушение и др.) с

 

использованиемSNMPv3-архитектуры в

 

уполномоченный SNMP агент

 

качестве средства, обеспечивающего НСД

 

 

 

к СУобъектом КШ

Уполномоченный SNMP агент—

SNMP агент

Рис. 28.3. Структура и содержание КШ SNMPv3-apxnTeKTypbi

Анализ (и криптоанализ) этих видов трафика может быть чрезвычайно продуктивен и существенно «облегчить» последую­ щие мероприятия КШ.

Раздел V.

523

28.2. Структура и содержание

КШ БИМРуЗ-архитектуры

По аналогии с КШ DNS-системы, КШ БЫМРуЗ-архитектуры, с одной стороны, предусматривает проведение пассивных мероприя­ тий (контроль, перехват и анализ SNMP-трафика) и в таком случае сама SNMPv3-apxHTeKTypa выступает как источник дополнительной информации об объектах КШ. С другой стороны, КШ SNMPv3-ap- хитектуры предусматривает проведение активных мероприятий, и в таком случае SNMPv3-apxnTeKTypa выступает одновременно и как источник дополнительной информации об объектах КШ, и, либо как объект захвата и последующего несанкционированного управ­ ления соответствующим объектом КШ, либо как объект нанесения поражающего воздействия в целях нарушения функционирования соответствующего объекта КШ. Структура и содержание КШ SNMPv3-apxHTeKTypbi представлены на рис. 28.3.

Основная особенность КШ СУ Internet-сети заключается в том, что комплекс активных мероприятий может быть направлен на за­ хват («узурпацию») управления нарушителем с последующим мас­ кированием этого захвата в целях формирования у администрации сетевого управления иллюзии корректного функционирования СУ сетевыми компонентами и ресурсами. При этом нарушитель должен определённое время «поддерживать» такое состояние «иллюзорно­ сти», чтобы не быть раскрытым администратором Су. На этом этапе КШ нарушитель должен с особой тщательностью контролировать и анализировать SNMP-трафик, который формируется и транслирует­ ся правомочным субъектом управления (администратором СУ).

С другой стороны, SNMPv3-apxHTeKTypa может выступать в роли средства, обеспечивающего несанкционированный доступ к объекту КШ. В таком случае, используя SNMP-трафик, можно воздействовать на объект КШ, вплоть до его блокирования и нарушения его работо­ способности (т.е. проведение активных мероприятий, нацеленных на объект КШ, с использованием SNMPv3-apxnTeKTypbi).

Контроль, перехват и анализ того или иного вида SNMPтрафика составляют основу пассивных мероприятий КШ, кото­ рые могут быть направлены на решение задач криптоанализа и де­ шифрования трафика, связанного с объектом КШ, и/или подготов­ ки к проведению активных мероприятий, нацеленных на объект КЩ, и позволяют определить:

0 состав и топологию сетевого (ых) сегмента (ов), обслуживаемо­ го(ых) управляющим SNMP-узлом, а также его принадлеж­ ность (торговую марку) и прикладные системы и службы, ко­ торые находятся под его управлением;

524

Глава 28. М ет одология и основны е принципы КШ

омодели обработки SNMP-сообщений, обеспечения безопасно­ сти и обеспечения доступа к объектам управления;

процедурную и логическую характеристики SNMPv3-npo- токола обмена управляющей информацией, включая специ­ фические коды управления и настройки (коды команд и управляющих операций/процедур), которые являются уни­ кальными для определенной фирмы-производителя сетевого оборудования;

«наличие «пустых» или не используемых полей в SNMPv3-coo6- щениях, которые можно использовать для формирования скры­ тых каналов несанкционированного управления сетевыми объ­ ектами и модификации и уничтожения компонентов MIB;

вспецифику использования криптографических алгоритмов аутентификации и шифрования данных, включая вопросы формирования и обмена ключевыми данными;

онаиболее уязвимые места СУ сетевыми компонентами и ресур­ сами;

возможные варианты захвата и необходимые условия несанк­ ционированного управления сетевыми компонентами и ре­ сурсами, включая объекты модификации в MIB;

возможные варианты и необходимые условия для нанесения по­ ражающего воздействия на СУ сетевыми компонентами и ресур­ сами, включая объекты MIB, если Су является объектом КШ;

ввозможные варианты и необходимые условия для внедрения в программный модуль объекта КШ вредоносного ПО с исполь­ зованием БЫМРуЗ-архитектуры;

«возможные варианты и необходимые условия для поражающе­ го воздействия (блокирование, разрушение) на объект КШ с использованием БЫМРуЗ-архитектуры.

Активные мероприятия, исходя из задач, поставленных на­ рушителем, могут иметь следующие цели:

1)захват Су, как объекта КШ, сетевого сегмента на основе ком­ прометации SNMP-менеджера (управляющего SNMP-узла);

2)захват Су объектом КШ на основе компрометации его SNMPагента;

3)разрушение Су, как объекта КШ, сетевого сегмента на основе нарушения работоспособности SNMP-менеджера (управляю­ щего SNMP-узла);

4)нарушение работоспособности объекта КШ на основе наруше­ ния работоспособности его SNMP-агента, т.е. использование 5ЫМРуЗ-архитектуры для прямого воздействия на объект КШ.

Раздел V.

525

Достижение указанных целей КШ БЫМРуЗ-архитектуры мо­ жет быть основано на проведении следующих мероприятий:

1)несанкционированный доступ в SNMP-MIB для получения разного рода необходимой информации, включая данные о криптографических алгоритмах и средствах защиты, а также управляющие коды и команды;

2)преднамеренное искажение данных, хранящихся в SNMP-MIB (навязывание системе ложных данных) в различных целях;

3)размещение различного рода ЗПС в компонентах объекта КШ и его СУ;

4)передача специальных сообщений и скрытое управление с помощью пустых (неиспользуемых) полей SNMP-сообщений и генерации ложных SNMP-сообщений, например, с целью инициализации функционирования ЗПС;

5)несанкционированный захват СУ (или её компонентов) и осу­ ществление скрытого управления объектом КШ в различных целях, вплоть до навязывания ложного отказа от перехода в другие режимы функционирования;

6)разрушение компонентов SNMP-MIB (вывод из строя SNMPменеджера или SNMP-агента) в целях нарушения функцио­ нирования Су ИТС;

7)нарушение функционирования (работоспособности) объекта КШ (его блокирование, разрушение) с помощью узурпирован­ ной, либо СУ (или её компонентов) самим объектом КШ, либо СУ (или её компонентов) обслуживающей его инфраструктурой.

Глава 29. Модель КШ системы сетевого времени (синхронизации) и его возможные последствия

Система синхронизации времени в ИТС - обязательная и чрез­ вычайно важная подсистема, которая влияет на функционирование практически каждого сетевого компонента и ресурса. Точность сете­ вого времени (синхронизации) имеет не только технологическое зна­ чение, но и становится фактором, влияющим на надёжность и каче­ ство проведения разного рода юридически значимого электронного документооборота, основанного на применении меток времени, и выполнение криптографических функций и вычислений. Вместе с тем, поддержание качественной синхронизации сетевого времени зависит от надёжности (корректности) функционирования:

программно-аппаратных модулей времени, имеющихся в ОС каждого компьютера, сервера и сетевого устройства. Послед­ нее напрямую зависит от надёжности (корректности) функ­ ционирования ОС;

оподсети синхронизации (инфраструктура сетевого времени), которая реализована на основе ЫТРу4-протокола.

Компрометация одного из перечисленных компонентов (мо­ дулей времени, ОС и подсети синхронизации или её сегментов) приводит к дискредитации целых прикладных систем и служб.

29.1.Система формирования меток времени

впрограммно-аппаратном комплексе

Влюбом программно-аппаратном комплексе (компьютере, сервере, коммутаторе и др.) имеется генератор тактовой частоты, который является основой генерации времени и частоты синхрони­ зации. Блок-схема формирования системного времени, используе­ мого в метке времени, представлена на рис. 29.1.

Всовременных программно-аппаратных комплексах систем­ ное время формируется на основе генератора тактовых импульсов и двух счётчиков секунд (основного и дублёра). Другими словами, да­ та (число, месяц и год) и время (часы, минуты и секунды) описыва­

ются определённым количеством секунд (как степень числа 2), а точность текущего времени определяется дробной частью, кото­ рая описывает доли секунды (см. рис. 19.4). Основной счётчик вре-

Раздел V.

527

мени функционирует постоянно, прерываясь только на корректиров­ ку значения текущего времени, при этом учитывается необходимый интервал времени, затраченный на корректировку. Счётчик-дублёр полностью повторяет значение времени, показываемое основным счётчиком, и используется для считывания текущего времени в инте­ ресах системных и прикладных процессов, а также для формирования корректирующего значения времени ЫТРу4-протоколом (в опреде­ лённые интервалы).

Прикладной или системный процесс

Рис. 29.1. Блок-схема формирования системного времени

В некоторых ОС дробная часть дублирующего счётчика секунд используется в качестве генератора случайных чисел. В реальной си­ туации момент считывания текущего значения времени является слу­ чайным событием, и поэтому дробная часть секунды может воспри­ ниматься как случайное двоичное число. Действительно, практически невозможно предугадать прошедшее число миллисекунд, микросе­ кунд и тем более наносекунд с момента целого числа секунд.

528

Глава 29. Модель КШ системы сетевого времени

29.2. Модель КШ по модификации системного времени в программно аппаратном комплексе

Одним из требований (условий) обеспечения высокого уровня информационной безопасности является надёжность (гарантирован­ ность) функционирования программно-аппаратных комплексов, обеспечивающих, в свою очередь, функционирование средств за­ щиты данных. Любая процедура, напрямую обеспечивающая реа­ лизацию способа безопасности или доступ к услуге по обеспечению безопасности, должна заслуживать доверия.

В настоящее время буквально повсеместно используются ОС, которые не отвечают указанному требованию и являются не дове­ ренными (не надёжными). Другими словами, такие ОС весьма труд­ но проверить на корректность функционирования тех или иных сис­ темных и прикладных процессов. К сожалению, «жизнь» подтвер­ ждает парадигму министерства обороны США - «компьютерам, в принципе, доверять нельзя» (это относится к массовым коммерче­ ским компьютерам).

Рассмотрим следующую возможную атаку на систему форми­ рования текущего времени в программно-аппаратном комплексе (рис. 29.2). В основе этой атаки лежит внедрение ЗПС в не доверенную ОС для модификации текущего значения времени. Сущность функ­ ционирования ЗПС заключается в изменении по заранее известному алгоритму дробной части (долей секунд) системного времени. Напри­ мер, алгоритм формирования дробной части может быть основан на определённой процедуре преобразования целой части значения те­ кущего времени, т.е. дробная часть текущего времени будет напрямую зависеть (будет функцией) целой части текущего времени. Сформи­ рованная таким образом метка времени будет состоять из реальной (истинной) целой части текущего времени и модифицированной дробной части (не случайной, а псевдослучайной).

Нарушитель, который внедрил ЗПС в не доверенную ОС, зна­ ет алгоритм преобразования целой части текущего времени в его дробную часть. Следовательно, нарушителю не обязательно знать географическое место скомпрометированного программно-аппарат­ ного комплекса, ему достаточно знать часовой пояс, в котором нахо­ дится указанный комплекс. С точки зрения обнаружения такого ЗПС, выявить модификацию дробной части текущего времени бу­ дет чрезвычайно трудно по следующим причинам:

овесьма трудно только по каким-либо внешним признакам от­ личить случайную дробную часть текущего значения времени от псевдослучайной, учитывая, что дробная часть состоит из миллисекунд, микросекунд и даже наносекунд, например, при использовании дробной части в качестве основы при форми­ ровании случайного числа;

Раздел V.

529

одаже если вести определённую статистику формируемых меток текущего времени, вряд ли удастся вскрыть алгоритм преобразо­ вания целой части в дробную, при условии, что нарушитель ис­ пользовал в ЗПС криптографически сложную функцию;

весли в течение одной секунды будет востребовано несколько меток времени, то тогда в ЗПС можно добавить соответствую­ щие коэффициенты усложнения, которые будут вносить раз­ личие между дробными частями меток времени при модифи­ кации одного и того же целого числа секунд. Число таких ко­ эффициентов усложнения зависит от быстродействия ском­ прометированного программно-аппаратного комплекса;

«при такой модели КШ функционирование ЗПС не влияет на работу других компонентов программно-аппаратного ком­ плекса, а также на процедуры, осуществляемые программным ЫТРу4-модулем. Другими словами, корректно встроенное ЗПС «не позволит себя обнаружить» через какие-либо системные или прикладные процессы.

Прикладной или системный процесс

Рис. 29.2. Модель КШ на основе внедрения ЗПС в целях

модификации текущего значения времени

При реализации рассмотренной модели КШ (на основе встраивания ЗПС) последующие мероприятия нарушителя могут привести к чрезвычайно тяжелым последствиям.

530

Глава 29. Модель КШ системы сетевого времени

29.3. Возможные последствия КШ на основе

модификации системного времени

в программно-аппаратном комплексе

Основная цель модификации системного времени - это вскры­ тие секретного ключа объекта КШ на основе знания метки времени и перехвата его ЭЦП в инфраструктуре открытых ключей (PKI). С точки зрения компрометации ИБ внедрение ЗПС обеспечивает «практи­ чески» безграничный несанкционированный доступ к защищаемой информации.

Содержание мероприятий КШ после внедрения ЗПС может быть следующее:

вперехват ЭЦП объекта КШ (владельца скомпрометированного компьютера);

врегенерация метки времени в ЭЦП. Количество вариантов метки времени зависит от выбранного интервала анализа вре­ мени, но не более 5 минут, числа секунд в минуте (60 секунд) и числа коэффициентов усложнения. Общее количество вари­ антов не будет превышать 3000;

взная месторасположение метки времени в ЭЦП, можно полу­ чить последовательность «чистой шифргаммы» (точнее 3000 её вариантов) и провести целенаправленный криптоанализ. Длина шифргаммы зависит от используемой метки времени и может составлять 128 бит. В результате дешифровки можно вскрыть секретный ключ объекта КШ (в том случае, если ЗПС внедрено в его компьютер);

весли же объект КШ ведёт информационный обмен с владельцем скомпрометированного компьютера, то, используя вскрытый секретный ключ последнего, можно вскрыть ключ объекта КШ;

в дальнейшем, поэтапно можно вскрыть секретные ключи всех пользователей, которые осуществляют защищённый инфор­ мационный обмен с владельцем скомпрометированного ком­ пьютера.

Более детальный анализ показывает, что компрометация не­ скольких программно-аппаратных комплексов может привести к компрометации всей системы (инфраструктуры) открытых ключей. Естественно, компрометация не произойдет в один момент, это бу­ дет целый комплекс целенаправленных и последовательных меро­ приятий КШ. Но конечный результат очевиден.

Аналогичная ситуация может сложиться с протоколом Kerbe­ ros (RFC-4120), который уязвим к атакам на системы сетевой син­ хронизации и меток времени. Системы с одноразовыми паролями также «бессильны» перед КШ на основе модификации системного времени в программно-аппаратном комплексе.

Раздел V.

531

29.4. Другие модели КШ системы сетевой синхронизации

Рассмотренная ранее модель КШ системы сетевой синхрони­ зации на основе внедрения ЗПС относится к группе мероприятий КШ, при реализации которых эту система рассматривают как ис­ точник КШ. Однако такая система становится источником, только после внедрения ЗПС, а при проведении комплекса мероприятий КШ по внедрению «закладки» система сетевой синхронизации рас­ сматривается как объект КШ.

Инфраструктура сетевой синхронизации на основе NTPv4-npo- токола может выступать в двух аспектах:

1)вспомогательный, как источник и/или средство проведение КШ против выбранного объекта;

2)целевой, как объект КШ.

Сточки зрения функциональных мероприятий КШ инфра­ структуры сетевого времени включает:

вкомплекс пассивных мероприятий;

вкомплекс активных мероприятий.

Конкретные мероприятия, входящие в указанные комплексы,

представлены на рис. 26.1.

Соседние файлы в предмете Программно-аппаратная защита информации
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности