Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• Telnet-протокол - протокол удаленного доступа. Позволяет клиенту подключиться к любому серверу и работать с ним так, как если бы он был удаленным терминалом этого сервера;
• протокол FTP (File Transfer Protocol), позволяющий клиенту осуществлять удаленный доступ к файлам, расположенным на FTP-сервере;
• Gopher-протокол, предназначенный для поиска файлов на серверах Gopher и копирования найденных файлов на рабочую станцию клиента.
294 Компьютерная безопасность и практическое применение криптографии
В качестве современного образца программного обеспечения, построенного по принципу клиент-серверных технологий, молшо привести Internet Information Server (IIS) фирмы Microsoft, реализующий серверную часть протоколов HTTP, FTP и Gopher и использующий в качестве интерфейса взаимодействия со стеком протокол TCP/IP Windows Sockets. Клиентской частью перечисленных выше протоколов может служить, например, Internet Explorer и Netscape Navigator. Пример архитектуры взаимодействия клиентской части протоколов с серверной частью, реализованной в IIS, представлен на рис. 3.17.
^¦—^^ Клиент
Протокол прикладного уровня (FTP, HTTP, Gopher)
t
Windows Sockets
Стек протоколов TCP/IP
Уровень сетевого интерфейса
IIS
Протокол прикладного уровня (FTP, HTTP, Gopher)
Windows Sockets
Стек протоколов TCP/IP
Уровень сетевого интерфейса
Internet ) W
Рис. 3.17. Архитектура типового взаимодействия в рамках Internet
3.5.1. Типовые угрозы и обеспечение
информационной безопасности
при использовании технологии «клиент-сервер»
Учитывая, что Web-технологией пользуются практически повсеместно, важно напомнить, что именно безопасность клиент-серверных технологий играет основополагающую роль в современном развитии Internet. Особую актуальность этой проблеме придает тот факт, что в последнее время резко
Защита технологии «клиент-сервер»
295
увеличилось количество компаний, применяющих Internet в коммерческих целях; оборот денежных средств через Internet тоже имеет тенденцию к стремительному росту. Поскольку подавляющее большинство продуктов прикладного уровня, представленных в Internet, построены по технологии «клиент-сервер», понятно, что защите информации в подобных технологиях следует уделить особое внимание.
Вот почему обзор конкретных решений по защите технологии «клиент-сервер» представлен в виде анализа средств защиты информации Web-технологий.
В общем случае факты нарушения безопасности существующих ИВС могут быть следствием:
• отсутствия или недостаточности применения необходимых средств защиты;
• недостатков в системе администрирования;
• уязвимости в существующих средствах защиты;
• ошибок в программном обеспечении;
• ошибок и преднамеренных действий обслуживающего персонала.
При использовании архитектуры «клиент-сервер» реализация политики безопасности включает:
• защиту передаваемого между серверной и клиентской стороной трафика (под защитой в данном случае подразумевается обеспечение конфиденциальности, целостности, достоверности и имитозащищеииости передаваемой информации);
• разграничение доступа клиентов к информационным ресурсам, предоставляемым сервером. Например, доступ определенной группы пользователей к определенным ресурсам Web-сервера должен быть ограничен;
• обеспечение работоспособности ИВС. Информационные ресурсы сервера должны быть доступны клиентам за приемлемое для них время, например, это требование носит особую актуальность в случае предоставления через Internet результатов торгов на бирл<е, когда недоступность информации в течение часа уже молсет носить убыточный характер;
Учитывая специфику построения клиент-серверных ИВС, можно выделить следующие типовые угрозы и уязвимости информационной безопасности (список конкретных угроз и уязвимостей, приведенный ниже, не претендует на полноту, а служит исключительно для иллюстрации примеров возможных нарушений политики безопасности):
• угрозы и уязвимости, связанные с недостатками в системе разграничения доступа клиентов к ресурсам или с некорректным администрированием системы разграничения доступа. К ним относятся:
296 Компьютерная безопасность и практическое применение криптографии
- несанкционированный доступ к пользовательским данным и нарушение работы ИБС, возникающие из-за отсутствия механизмов обеспечения конфиденциальности и целостности передаваемых данных и бесперебойности обмена данными. Это часто приводит к успешным атакам на узлы сети, а также к эффективному анализу трафика;
- отсутствие механизмов контроля за применением пользовательских учетных записей как на серверной части, так и на клиентской может привести к незаконному использованию учетных записей;
- доступ к информационному ресурсу с применением не предназначенных для этого средств, что может привести к несанкционированному доступу к защищаемой информации. Во избежание подобных угроз необходимо контролировать использование специально предназначенных для этой цели средств;
- нарушитель молсет исключить легального клиента из установленного сеанса доступа к ресурсу и затем воспользоваться его именем;
