Научная литература
booksshare.net -> Добавить материал -> Электротехника -> Мельников В.П. -> "Информационная безопасность и защита информации" -> 116

Информационная безопасность и защита информации - Мельников В.П.

Мельников В.П. Информационная безопасность и защита информации: Учебное пособие для вузов — М.: Академия, 2008. — 336 c.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка): infbezopas2008.djvu
Предыдущая << 1 .. 110 111 112 113 114 115 < 116 > 117 118 119 120 121 122 .. 143 >> Следующая

Общепринятым даже в локальных IP-сетях является создание DNS (Domain Name System)-cepBepoB. Это упрощает решение проблемы назначения IP-адресов и избавляет пользователей локальных станций от утомительного занятия записывания имен станций и соответствующих им IP-адресов в файле hosts. Кроме того, пользователь локальной станции не знает и не может знать все IP-адреса. Нормальное функционирование нескольких локальных сетей, а тем более глобальных, невозможно без DNS-сервера.
Однако, как только возникает какое-либо соединение между рабочей станцией и сервером, необходима реализация идентификации и аутентификации этой связи. В случае реализации DNS-сервера, видимо, считалось, что для обеспечения защиты его функционирования достаточно средств протоколов семейства IP.
Идея реализации ложного DNS-сервера достаточно проста — прослушивание по сети DNS запроса и формирование ложного DNS-ответа. При этом вместо искомого IP-адреса в ответе на запрос подставляется адрес ложного IP-сервера. Реализация этой идеи реальна по двум причинам.
Во-первых, в силу существования определенной иерархии DNS-серверов (для больших сетей она может быть весьма большой и неизвестной) время выполнения DNS-запроса может существенно превышать время обработки прослушанного запроса и посылки ответа ложным DNS-сервером;
Во-вторых, если первичный DNS-сервер не нашел искомого имени у себя, то он пересылает DNS-запрос следующему DNS-серверу, и т.д.
272
Для адресации в Ethernet-сети используется протокол ARP, который позволяет установить взаимно-однозначное соответствие IP- и Ethernet-адресов.
Идея подмены маршрутизатора основана на свойствах реализации протокола ARP. Любая рабочая станция, подключаясь к сети, рассылает широковещательный ARP-запрос для получения Ethernet-адресов. Прослушивая сеть, ложный маршрутизатор выдает в сеть ARP ответ, в котором указывает свой Ethernet-адрес. Известно, что можно написать соответствующие программы для сетевой карты для установки любого Ethernet-адреса.
Реализация этой подмены возможна в силу того, что все станции, получившие ARP-запрос, сначала заносят Ethernet-адрес рабочей станции в свои ARP-таблицы, а затем посылают ответ.
В рамках межсетевого общения в UNIX-сетях применяют методологию доверительных отношений.
Доверительные отношения представляют собой одно из самых удобных средств межсетевого общения в UNIX-сетях. Вместе с тем установление доверительных отношений в UNIX-сетях приводит к полной их открытости.
Существует два способа установления доверительных отношений в UNIX-сетях.
Первый способ — через создание файла /etc/hosts.equiv.
В файле /etc/hosts.equiv прописываются имена компьютеров, пользователи которых могут входить на данную машину без ввода пароля при эквивалентности имен. Это удобно для пользователей как при регистрации на других UNIX-машинах в сети, так и при удаленном выполнении команд (rlogin, rsh и т.д.).
Тем не менее это является большой брешью в защите UNIX-систем, так как не составляет особого труда подменить доверенную машину, сформировав ложной машине соответствующие имя и IP-адрес. При круглосуточной работе сети это возможно при сбоях или отключении от сети доверенной машины. В противном случае доверенной машиной станет та, которая будет подключена первой.
Второй способ — создание каждым пользователем в своем домашнем справочнике файла .rhosts. В этом файле пользователь может прописать имена доверенных машин, с которых он может входить на данную машину или выполнять удаленные команды без ввода пароля. Угрозы безопасности от создания файлов .rhosts аналогичны с той лишь разницей, что количество файлов .rhosts может быть весьма значительным и трудно будет проконтролировать их содержимое.
Особое положение занимает технология работы UNIX с сетевой файловой системой.
Сетевая файловая система (NFS — Network File System) предназначена для «прозрачного» доступа пользователей к файловым системам UNIX-машин по сети.
273
Эта удобная возможность имеет несколько недостатков с точки зрения безопасности.
Администратор может сделать доступными ваши файлы, не спрашивая вас.
Рассмотрим некоторые аспекты обеспечения безопасности при использовании NFS.
Файл /etc/exportfs является одним из основных файлов в конфигурации NFS. В этом файле описываются экспортируемые (доступные) по сети каталоги. Для каждого имени каталога могут быть указаны дополнительные ограничения на доступ:
1) имена машин (< 10), с которых может осуществляться доступ;
2) флаг только чтения;
3) специальное ключевое слово «root», которое позволяет с указанных после него имен машин осуществлять доступ к экспортируемому справочнику суперпользователю.
Дело в том, что для NFS суперпользователь является последним по правам доступа среди всех пользователей. Это, видимо, связано с попыткой ограничения работы суперпользователей в сети.
Существенным недостатком NFS с точки зрения безопасности является возможность администратора предоставить доступ по сети к любому справочнику файловой системы независимо от его владельца.
Предыдущая << 1 .. 110 111 112 113 114 115 < 116 > 117 118 119 120 121 122 .. 143 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed