- •Аспекты и актуальность информационной безопасности гспд
- •Воздействия нарушителей (вн), виды нсд к гспд
- •Технологии передачи данных в гспд
- •1. Дейтаграммная служба
- •2. Виртуальные соединения
- •Задачи обеспечения информационной безопасности гспд
- •Характеристики защищенности информационной сферы гспд
- •Уязвимость гспд и ее проявления
- •Технологические и эксплуатационные уязвимости
- •Пути внесения уязвимостей
- •Субъекты нарушителей на информационную сферу (ис)
- •Модель воздействий нарушителя на технологическом уровне
- •Модель воздействий нарушителя на эксплуатационном уровне
- •Виды вн, нарушающие конфиденциальность информационной сферы
- •Способы реализации вн, нарушающих конфиденциальность ис
- •Виды вн, нарушающие целостность ис
- •Способы реализации вн, нарушающих целостность ис
- •Виды вн доступности ис
- •Способы реализации вн доступности ис
- •Классификация воздействий нарушителя на информационную сферу гспд
- •Угрозы информационной безопасности гспд, последствия вн, риски, ущерб от вн
- •Общее описание технологии х.25
- •Физический уровень стека протоколов технологии х.25
- •Канальный уровень стека протоколов технологии х.25
- •Воздействия нарушителя на канальном уровне стека протоколов сети х.25
- •Пакетный уровень стека протоколов технологии х.25
- •Общее описание технологии Frame Relay
- •Физический уровень технологии fr
- •Канальный уровень стека протоколов технологии fr
- •Сетевой уровень стека протоколов технологии fr
- •Общее описание технологии atm
- •Физический уровень стека протоколов технологии atm
- •Уровень атм стека протоколов технологии атм
- •Уровень адаптации стека протоколов технологии атм
- •Транспортный, сеансовый, представительский и прикладной уровни стека протоколов технологии atm
- •Краткие сведения о технологии tcp/ip
- •Уровень межсетевого взаимодействия стека протоколов технологии tcp/ip
- •Транспортный уровень стека протоколов системы управления ip-cemu
- •Прикладной уровень стека протоколов системы управления ip-cemu
Прикладной уровень стека протоколов системы управления ip-cemu
Прикладной уровень стека протоколов TCP/IP системы управления реализует функции формирования в ЦУС и маршрутизаторах сообщений, содержащих информацию управления, на основе протоколов SNMP, FTP, Telnet и др. Информационной единицей протоколов прикладного уровня стека TCP/IP является блок данных. В качестве базового протокола управления используется протокол сетевого управления SNMP (Simple Network Management Protocol), описание которого приведено ниже.
Протокол SNMP был разработан в соответствии со стандартом TMN (Telecommunication Management Network), определённым в Рекомендациях МСЭ-Т серии «М». Основой стандарта TMN является функциональное разделение системы управления любой ГСПД на два уровня: уровень элементов ГСПД (Network Elements Layer) и уровень управления элементами ГСПД (Network Elements Management Layer).
Уровень элементов ГСПД включает в себя управляемые ресурсы ГСПД, такие как коммутаторы, маршрутизаторы, ЦКП и др. На уровне управления элементами ГСПД расположен орган управления ГСПД, т.е. ЦУС. Взаимодействие между двумя уровнями TMN осуществляется согласно модели «агент-менеджер». В рамках этой модели агент представляет собой программный модуль, установленный на управляемом ресурсе ГСПД, а менеджер - модуль управления этим ресурсом, установленный в ЦУС. Процесс управления реализуется при помощи анализа и изменения менеджером набора параметров, хранящихся на стороне агента, т.е. на управляемом устройстве. Набор таких параметров называется базой данных управляющей информации MIB (Management Information Base). Так, например, база данных MIB маршрутизатора может включать в себя следующие параметры: количество портов, их тип, таблицу маршрутизации, количество дейтаграмм, прошедших через маршрутизатор, коэффициент ошибок и др. Содержимое базы данных MIB периодически обновляется управляемым устройством ГСПД. Схематично структура системы управления ГСПД, построенной в соответствии со стандартом TMN, показана на рис. 11.10.
Рисунок 11.10 – Структура системы управления ГСПД
Модель «агент-менеджер», определённая в стандарте TMN, позволяет создавать иерархические системы управления ГСПД, включающие в себя несколько взаимодействующих подсистем управления (рис. 11.11).
Протокол SNMP прикладного уровня стека протоколов TCP/IP базируется на стандарте TMN, согласно которому в качестве SNMP-менеджера выступает ЦУС, а SNMP-агента - маршрутизаторы IP-сети. Блоки данных, сформированные на основе протокола SNMP, могут содержать пять типов базовых команд, описание которых приведено в табл. 11.4.
Рисунок 11.11 - Иерархическая система управления ГСПД
Таблица 11.4. Команды протокола SNMP
Тип команды |
Описание команды |
Get-request |
Данная команда используется SNMP-менеджером для запроса одного или более параметров базы данных MIB SNMP-агента |
Get-next-request |
Команда используется SNMP-менеджером для последовательного чтения значений таблиц базы данных MIB. После запроса первой строки таблицы базы данных MIB при помощи команды get-request команда get-next-request используется для чтения значений из оставшихся строк таблицы |
Set-request |
Команда применяется SNMP-менеджером для изменения значения одной или более переменных базы данных MIB |
Get-response |
Команда возвращает ответ SNMP-агента на команды-запросы get-request, get-next-request иди set-request, сформированные SNMP-менеджером |
Trap |
Команда используется SNMP-агентом для сообщения SNMP-менеджеру о возникновении ошибок в процессе передачи команд SNMP |
Необходимо также отметить, что протокол SNMP может быть использован не только в IP-сетях, но и в сетях, построенных на базе технологий Х.25, Frame Relay и АТМ.
Кроме протокола SNMP на прикладном уровне стека протоколов TCP/IP для управления маршрутизаторами могут также использоваться такие протоколы, как Telnet и FTP. Протокол передачи файлов FTP (File Transmission Protocol) используется ЦУС для обновления программного обеспечения маршрутизаторов IP-сети, а протокол Telnet (Telecommunication Network Protocol) - для удалённого выполнения программ на стороне маршрутизаторов.
Воздействия нарушителя на прикладном уровне стека протоколов TCP/IP
ВН на прикладном уровне стека протоколов TCP/IP направлены на активизацию уязвимостей протоколов SNMP, FTP и Telnet. В качестве основного протокола системы управления IP-сети, используемого на прикладном уровне, выступает протокол SNMP, описание которого было приведено ранее. В настоящее время существует три различные версии протокола SNMP, причём первая из них не предусматривает никаких средств защиты от ВН. Тем не менее, несмотря на это, именно первая версия протокола SNMP, в настоящее время поддерживается в большинстве типов маршрутизаторов IP-сети. Ниже приведены примеры ВН, направленных на активизацию уязвимостей первой версии протокола SNMP.
Воздействия нарушителя, направленные на блокирование процесса передачи сообщений, содержащих информацию управления
ВН, направленные на блокирование процесса передачи сообщений, содержащих информацию управления, могут быть реализованы путём нарушения целостности пакетов данных SNMP, посредством которых передаются эти сообщения. Нарушение целостности пакетов данных может включать в себя: несанкционированное искажение заголовка или поля данных пакета SNMP путём внесения обнаруживаемых и необнаруживаемых ошибок, а также несанкционированное удаление пакета данных. Нарушение целостности пакетов данных SNMP аналогично рассмотренному выше нарушению целостности IP-дейтаграмм и ТСР-сегментов.
Воздействия нарушителя, направленные на получение НСД к содержимому базы данных управляющей информации маршрутизаторов
ВН, направленные на получение НСД к содержимому базы данных управляющей информации маршрутизаторов, реализуются путём ложной аутентификации нарушителя. В качестве аутентификационных параметров протокол SNMP использует пароли или так называемые «общие имена» (community strings). Общие имена передаются в IP-сети в открытом незашифрованном виде и применяются для разделения агентов и менеджеров системы управления IP-сети на различные группы. При этом агенты взаимодействуют только с теми менеджерами, которые входят вместе с ними в одну группу, т.е. с менеджерами, которые указывают в своих пакетах данных SNMP общее имя, совпадающее с именем, хранящимся в памяти агента. Каждому общему имени соответствует один из двух типов прав доступа: права доступа на чтение информации и права доступа на чтение/запись информации в базу данных MIB маршрутизатора. Таким образом, для получения НСД к содержимому базы данных MIB маршрутизатора нарушителю необходимо получить значение общего имени. Для этого нарушитель может воспользоваться полным перебором всех возможных значений общего имени или осуществить перехват пакета данных SNMP, содержащего искомое значение общего имени, в процессе его передачи через IP-сеть.
Таблица 11.5. Общие имена, используемые по умолчанию
Производитель маршрутизатора |
Общее имя, соответствующее правам доступа на чтение информации |
Общее имя, соответствующее правам доступа на чтение информации |
Ascend |
public |
write |
Bay |
public |
private |
Cisco |
public |
private |
3Com |
public, monitor |
manager, security |
Ещё одним способом получения НСД к базе данных MIB маршрутизатора является использование общих имён, применяемых по умолчанию в маршрутизаторах различных производителей. Перечень таких имён представлен в табл. 11.5.