Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
• угрозы и уязвимости, возникающие вследствие отсутствия специализированных механизмов, поддерживающих функционирование средств защиты информации, или при наличии недостатков в них:
- состояния различных средств защиты ИВС, правильное функционирование которых зависит от точности отсчета времени, могут противоречить друг другу из-за неспособности верно определять значения времени;
- согласованность функционирования средств защиты на различных компонентах ИВС может быть нарушена из-за недостатков
Защита технологии «клиент-сервер»
299
протоколов удаленной идентификации/аутентификации пользователей на различных компонентах ИВС.
Говоря о безопасности клиент-серверных технологий, встречающихся в Internet, а именно о базовых версиях Web-прилолсений, необходимо выделить следующие уязвимости ИВС:
• передача трафика в открытом виде, что позволяет производить не только анализ передаваемой информации, но и ее модификацию;
• использование парольной аутентификации, причем пароли в данном случае могут передаваться в открытом виде;
• отсутствие защиты служебной информации позволяет применять атаки типа Web spoofing (подмена имени ресурса), основанные на замене нарушителем URL, содержащихся в передаваемых HTTP-запросах и ответах;
• возможность запуска CGI-скриптов и Java-апплетов, способных негативно влиять на безопасность ИВС в целом.
Как видно из приведенного выше списка, современные ИВС, построенные по принципу «клиент-сервер», обладают рядом уязвимостей, которые могут негативно сказаться на безопасности ИВС. Очевидно, что наряду с уже существующими в современных клиент-серверных приложениях механизмами защиты информации необходимо использовать дополнительные средства безопасности.
Примеры атак в Web-технологиях
Здесь рассматривается достаточно простая атака на рабочую станцию с установленными ОС Windows NT 4.0 и браузером (browser) типа Internet Explorer. Идея нападения заключается в том, что нарушитель создает HTML-страницу, содержащую ссылку вида: file:/Лserver\share\image.gif. Она относится к ресурсам в формате CIFS, и очевидно, что данный ресурс уже находится на рабочей станции нарушителя. Пользователь, желающий просмотреть данный ресурс, должен зарегистрироваться на предложенном ему сервере (обычно типа Lanman). При этом регистрация пользователя производится ОС автоматически, то есть его имя и хэши-рованиый пароль пересылаются на сервер. После чего злоумышленник, проводя подбор пароля с применением атаки по словарю, молсет получить пароль пользователя или в дальнейшем использовать его хэширо-ванный вариант.
Еще один пример атаки в Web-технологиях - Web spoofing. Для осуществления этой операции злоумышленник должен сначала привлечь внимание пользователя к ложному Web-узлу. Это молсет быть сделано
300 Компьютерная безопасность и практическое применение криптографии
несколькими способами: путем проникновения на существующий узел и подмены локаторов URL, путем внесения имитируемого узла в список механизма поиска или даже с помощью электронной почты, по которой можно оповестить пользователей о существовании адреса, который может их заинтересовать. Имитируемый узел затем помещает свой собственный адрес перед любым указателем ресурсов URL, запрашиваемым пользователем, так что адрес http://www.anyurl.com превращается в http:// www.spoofserver.com/ http://www.anyiirl.com. Правильная Web-страница затем отсылается назад пользователю через сервер, где эту информацию можно изменить, а любую информацию, которую передает пользователь, - перехватить. Процесс может быть продлен, в результате чего все другие оперативные связи будут иметь пристыкованный впереди адрес; как следствие, все запросы других локаторов URL будут нарушаться. Те два признака, которые должны насторожить пользователя и подсказать, что его соединения осуществляются через другой сервер, - статусная строка в низу экрана и адрес назначения наверху - могут быть изменены путем использования Java-an-плетов.
3.5.2. Подходы, применяемые к обеспечению информационной безопасности в клиент-серверных ИВС
На сегодняшний день большинство Web-серверов обеспечивают защиту информационных ресурсов с использованием идентификации пользователей на основе ввода ими своих идентификаторов и паролей. Эта информация часто передается на сервер в открытом виде по общедоступным каналам передачи данных. Сервер проверяет идентификатор и пароль пользователя, находящиеся в запросе, на соответствие уровню доступности информации, содержащейся в списке контроля доступа (ACL) для данного ресурса. ACL содержит информацию, указывающую, какой пользователь имеет доступ к данному ресурсу и какой при этом используется вид доступа, например: в качестве ресурса может выступать URL. Данный подход содержит ряд уязвимостей и недостатков, а именно:
• информация, применяемая системой разграничения доступа, передается по сети в открытом виде, что позволяет нарушителю, имеющему доступ к каналу передачи данных, перехватывать ее и затем успешно пользоваться этими данными от имени легального пользователя;
