3.1.2 Телекоммуникационный сервер

На телекоммуникационный сервер установлена служба уда­ленного доступа (RAS — Remote Access Service). Она управляет регистрацией удаленных пользователей в сети Windows NT, включая регистрации по телефону и через Internet. На самом деле служба RAS работает совместно с локальным ведомством безопасности (LSA — Local Security Authority), диспетчером безопас­ности учетных записей (SAM - Security Account Manager) и монитором ссылок безопасности (SRM — Security Reference Monitor). С их помощью к сети могут присоединяться и такие пользователи, которые не присоединены к сети физически. Служба RAS устанавливает соединение почти так же, как это делает сетевая служба. Удаленный компьютер передает полученное с помощью MD4 смешан­ное значение пароля и имя пользователя серверу Windows NT. Сервер, в свою очередь, сверяет смешанное значение с элементами базы данных паролей. Однако по умолчанию служба RAS зашифровывает только пароль. Чаще всего ком­пьютеры пересылают данные RAS «открытым текстом» [7].

Очевидно, что служба RAS создает огромное количество проблем, связанных с безопасностью сети. Пользователи с правами надежного доступа могут считывать и записывать файлы на машину, выполняющую службу удаленного досту­па. Благодаря этому хакер может получить доступ ко всей сети в целом.

Телекоммуникационный сервер может быть подвержен угрозам как по коммутируемым линиям, так и через Internet. Рассмотрим подробнее эти угрозы:

1. НСД по коммутируемым линиям связи. Наличие в системе удаленного доступа пользователей по обычным телефонным линиям потенциально предполагает наличие дополнительных угроз и может свести на нет всю политику безопасности, реализованную с помощью межсетевых экранов. Злоумышленник может каким-либо образом узнать номера телефонных линий, к которым подключены модемы, и начать процедуру входа в систему, используя подбор (или перехват) паролей. Особенно опасны варианты удаленного доступа, при которых предоставляется доступ к критичным информационным ресурсам (базам данных, архивам и т.п.). Практически любое приложение удаленного доступа несет в себе потенциальную угрозу для системы. Например, ПО удаленного узла позволяет злоумышленнику копировать на свой компьютер конфиденциальную информацию, распространять по сети данные и вирусы, а также портить файлы и сетевые ресурсы. С помощью ПО дистанционного управления злоумышленник может просматривать информацию и уничтожать или модифицировать файлы.

2. Со стороны Internet возможны следующие сетевые атаки [8].

1. Прослушивание сетевого трафика. Основной особенностью распределенной ВС (РВС) является то, что ее объекты распределены в пространстве, и связь между ними физически осуществляется по сетевым соединениям и программно – при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами РВС, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных ВС типового удаленного воздействия, заключающегося в прослушивании канала связи. В случае, когда среда передачи данных не позволяет создавать выделенный канал для соединения, злоумышленник, запрограммировавший сетевой интерфейс своей рабочей станции на прием всех проходящих по каналу сетевых пакетов, может просматривать весь сетевой трафик. Анализ сетевого трафика осуществляется с помощью специальной программы-анализатора пакетов (sniffer), перехватывающей все пакеты, передаваемые по сегменту сети, и выделяющей среди них те, в которых передаются идентификатор пользователя и его пароль. Схема осуществления анализа сетевого трафика представлена на рисунке 3.1.

Рисунок 3.1 – Схема осуществления анализа сетевого трафика

Анализ сетевого трафика позволяет, во-первых, изучить логику работы распределенной ВС, то есть получить взаимно однозначное соответствие событий, происходящих в системе, и команд, пересылаемых друг другу ее объектами, в момент появления этих событий. Это достигается путем перехвата и анализа пакетов обмена на канальном уровне. Знание логики работы распределенной ВС позволяет на практике моделировать и осуществлять типовые удаленные атаки.

Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются объекты распределенной ВС. Таким образом, удаленная атака данного типа заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети.

2. Подмена доверенного объекта распределенной вычислительной системы. Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация ее удаленных друг от друга объектов. В этом случае оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта РВС.

Как известно, для адресации сообщений в распределенных ВС используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI – это аппаратный адрес сетевого адаптера, на сетевом уровне – IP-адрес). Однако сетевой адрес достаточно просто подделывается, что позволяет реализовать стандартную сетевую атаку подмены адреса (IP spoofing). Данная атака позволит злоумышленнику выдать свой пакет как привилегированный и получить доступ к дополнительным службам.

3. Отказ в обслуживании. Одной из основных задач, возлагаемых на сетевую ОС, функционирующую на каждом из объектов РВС, является обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. В общем случае в РВС каждый субъект системы должен иметь возможность подключиться к любому объекту РВС и получить в соответствии со своими правами удаленный доступ к его ресурсам. Обычно в вычислительных сетях возможность предоставления удаленного доступа реализуется следующим образом: на объекте РВС в сетевой ОС запускается на выполнение ряд программ-серверов, предоставляющих удаленный доступ к ресурсам данного объекта. Данные программы-серверы входят в состав телекоммуникационных служб предоставления удаленного доступа. Задача сервера состоит в том, чтобы, находясь в памяти ОС объекта РВС, постоянно ожидать получения запроса на подключение от удаленного объекта. В случае получения подобного запроса сервер должен по возможности передать на запросивший объект ответ, в котором либо разрешить подключение, либо нет. По аналогичной схеме происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты РВС. В этом случае непосредственно ядро сетевой ОС обрабатывает приходящие извне запросы на создание виртуального канала (ВК) и передает их в соответствии с идентификатором запроса (порт или сокет) прикладному процессу, которым является соответствующий сервер.

Сетевая ОС способна иметь только ограниченное число открытых виртуальных соединений и отвечать лишь на ограниченное число запросов. Эти ограничения зависят от различных параметров системы в целом, основными из которых являются ЭВМ, объем оперативной памяти и пропускная способность канала связи (чем она выше, тем больше число возможных запросов в единицу времени).

Основная проблема состоит в том, что при отсутствии статической ключевой информации в РВС идентификация запроса возможна только по адресу его отправителя. Если в РВС не предусмотрено средств аутентификации адреса отправителя, то есть инфраструктура РВС позволяет с одного объекта системы передавать на другой атакуемый объект бесконечное число анонимных запросов на подключение от имени других объектов, то в этом случае будет иметь успех типовая удаленная атака «Отказ в обслуживании». Результат применения этой удаленной атаки – нарушение на атакованном объекте работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов РВС.

Вторая разновидность этой типовой атаки состоит в передаче с одного адреса количества запросов на атакуемый объект, какое позволит трафик (направленный «шторм» запросов). В этом случае, если в системе не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в единицу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная остановка компьютера из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

Третьей разновидностью атаки «Отказ в обслуживании» является передача на атакуемый объект некорректного, специально подобранного запроса. В этом случае при наличии ошибок в удаленной системе возможно зацикливание процедуры обработки запроса, переполнение буфера с последующим зависанием системы.