Атака на Internet
Шрифт:
Очевидно, что при построении защищенных систем следует бороться не с угрозами, основанными на недостатках системы, а с причинами возможного их успеха. Поэтому для ликвидации угроз, осуществление которых возможно по каналам связи, необходимо устранить причины, их порождающие. Это основной принцип, руководствуясь которым, мы и сформулируем требования к защищенным системам взаимодействия объектов в распределенных ВС.
Выделенный канал связи
Все объекты распределенной ВС взаимодействуют между собой по каналам связи. Ранее рассматривалась причина успеха удаленных атак, состоящая в использовании в РВС для связи между хостами широковещательной среды передачи, что означает подключение всех объектов РВС к одной общей шине (сетевая топология «общая шина», рис. 7.1). Это приводит
Рис. 7.1. Сетевая топология «общая шина»
Очевидно, что идеальным с точки зрения безопасности будет взаимодействие объектов РВС по выделенным каналам. Существуют два возможных способа организации топологии распределенной ВС с выделенными каналами. В первом случае каждый объект связывается физическими линиями связи со всеми объектами системы (рис. 7.2). Во втором случае в системе может использоваться сетевой коммутатор (switch), через который осуществляется связь между объектами (топология «звезда», рис. 7.3).
Следует заметить, что в этом случае нарушается один из принципов построения Internet: сеть должна функционировать при выходе из строя любой ее части.
Плюсы распределенной ВС с выделенными каналами связи между объектами состоят в следующем:
• передача сообщений осуществляется напрямую между источником и приемником, минуя остальные объекты системы. В такой системе при отсутствии доступа к объектам, через которые осуществляется передача сообщения, не существует программной возможности анализа сетевого трафика;
• имеется возможность идентифицировать объекты распределенной системы на канальном уровне по их адресам без использования специальных криптоалгоритмов шифрования трафика, поскольку система построена так, что по данному выделенному каналу осуществима связь только с одним определенным объектом. Появление в такой распределенной системе ложного объекта невозможно без аппаратного вмешательства (подключение дополнительного устройства к каналу связи);
• система с выделенными каналами связи – это система, в которой отсутствует неопределенность с информацией о ее объектах. Каждый объект в такой системе однозначно идентифицируется и обладает полной информацией о других объектах системы.
Но у РВС с выделенными каналами есть и минусы:
• сложность реализации и высокие затраты на создание системы;
• ограниченное число объектов системы (зависит от числа входов у коммутатора);
• сложность внесения в систему нового объекта.
Очевидно также, что создание глобальной РВС с выделенными каналами на сегодняшний день невозможно.
Анализируя плюсы и минусы использования выделенных каналов для построения защищенных систем взаимодействия объектов РВС, можно сделать вывод, что создание распределенных систем только с выделенными каналами или только с использованием широковещательной среды передачи неэффективно. Поэтому при построении распределенных вычислительных
Следует иметь в виду, что выбор безопасной топологии РВС является необходимым, но отнюдь не достаточным условием для создания защищенных систем связи между объектами распределенных ВС.
Итак, сформулируем первый принцип защищенного взаимодействия объектов РВС.
Наилучшее с точки зрения безопасности взаимодействие объектов в распределенной ВС возможно только по физически выделенному каналу.
Виртуальный канал связи
Рассмотрим вопрос создания виртуальных каналов как средства обеспечения дополнительной идентификации и аутентификации объектов в распределенной ВС. Ранее рассматривались наиболее безопасные варианты физического построения сети, однако подобных мер явно недостаточно для создания защищенного взаимодействия удаленных объектов, так как, во-первых, обеспечить взаимодействие всех объектов по выделенному каналу на практике очень сложно и, во-вторых, нельзя не предусмотреть вариант физического подключения к каналу. Следовательно, разработчик защищенной РВС должен исходить из принципа возможного перехвата передаваемых по каналу связи сообщений.
При разработке принципов защищенного взаимодействия объектов распределенной ВС необходимо исходить из того, что все сообщения, передаваемые по каналу связи, могут быть перехвачены, но это не должно нарушить безопасность системы в целом.
Таким образом, данное утверждение накладывает на разработчика следующие требования: необходимо ввести дополнительные средства идентификации объектов в распределенной ВС и установить криптозащиту передаваемых по каналу связи сообщений.
Ранее уже отмечалось, что идентификация объектов РВС в отсутствии статической ключевой информации возможна лишь при взаимодействии объектов с использованием виртуального канала. В дальнейшем рассматривается только распределенная ВС, у объектов которой отсутствует ключевая информация для связи друг с другом, – в подобной системе решить задачу безопасного взаимодействия несколько сложнее. Следовательно, чтобы ликвидировать причину успеха удаленных атак, а также исходя из только что сформулированного утверждения, необходимо руководствоваться правилом, регламентирующим осуществление всех взаимодействий в ВС по виртуальному каналу связи.
Любое, сколь угодно критичное взаимодействие двух объектов в распределенной ВС должно проходить по виртуальному каналу связи.
Рассмотрим, как в РВС виртуальный канал связи (ВК) может использоваться для надежной, независимой от топологии и физической организации системы идентификации удаленных объектов.
Для этого при создании ВК могут использоваться криптоалгоритмы с открытым ключом (например, недавно принятый в Internet стандарт защиты ВК, называемый Secure Socket Layer (SSL). Данные криптоалгоритмы основаны на результатах исследований, полученных в 70-х годах У. Диффи. Он ввел понятие односторонней функции с потайным входом. Это не просто вычисляемая в одну сторону функция, обращение которой невозможно, она содержит trapdoor (потайной вход), позволяющий вычислять обратную функцию лицу, знающему секретный ключ. Суть криптографии с открытым ключом (или двухключевой криптографии) в том, что ключи, имеющиеся в криптосистеме, входят в нее парами, и каждая пара удовлетворяет следующим двум свойствам: