Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное бюджетное образовательное учреждение высшего
профессионального образования
«Санкт-Петербургский национальный исследовательский университет информационных
технологий, механики и оптики»
Факультет компьютерных технологий и управления
Кафедра проектирования и безопасности компьютерных систем
Отчёт по лабораторной работе модуля №1
По дисциплине:
«Защита информационных процессов в компьютерных сетях»
Задания 1, 8, 11, 33, 42
Выполнил: студент группы 4ххх
Ф.И.О.
Проверил:
Оценка__________________
Подпись_________________
«___» _________ 201хг.
г. Санкт-Петербург
201хг.
2
Содержание
Атака ..................................................................................................................................... 3
Целостность ......................................................................................................................... 4
Неотказуемость .................................................................................................................... 5
Протокол PPTP .................................................................................................................... 6
Протокол DIAMETER ......................................................................................................... 8
Список литературы............................................................................................................ 16
3
Атака
Атака - действия, направленные на реализацию угроз несанкционированного
доступа к информации, воздействия на нее или на ресурсы автоматизированной
информационной системы с применением программных и (или) технических
средств [1].
Другими словами это преднамеренные действия злоумышленника,
использующие уязвимости информационной системы и приводящие к нарушению
доступности, целостности и конфиденциальности обрабатываемой информации. То
есть атаку принято понимать, как реализацию уязвимости.
Примерами атак в сетях могут быть: отказ в обслуживании (DDoS атаки),
различные «парольные атаки» (Brute Force), элементарный перехват пакетов и их
анализ с целью получения информации, внедрение вредоносного кода в пакеты
(реализация сетевых червей).
4
Целостность
Целостность информации (ресурсов автоматизированной информационной
системы) — состояние информации (ресурсов автоматизированной
информационной системы), при котором ее (их) изменение осуществляется только
преднамеренно субъектами, имеющими на него право [2]. Если система обладает
целостностью – это значит, что ни одна ее часть не может быть изъята без ущерба
для всей системы [3].
Примеры нарушения целостности данных:
злоумышленник пытается изменить номер аккаунта в банковской
транзакции, или пытается подделать документ;
случайное изменение при передаче информации или при неисправной
работе жесткого диска;
искажение фактов средствами массовой информации с целью
манипуляции общественным мнением.
5
Неотказуемость
Неотказуемость или апеллируемость (от англ. non-repudiation) —
невозможность отказа от авторства. Неотрекаемость подразумевает, что создатель
заявления не в силах оспаривать факт своей подписи. Термин часто встречается в
юриспруденции, когда подлинность подписи ставится под сомнение [4].
Неотказуемость используется в электронной цифровой подписи, в которой
реализуется при помощи алгоритмов хеширования или сертификатов ЭЦП.
6
Протокол PPTP
PPTP [5] (Point-to-Point Tunneling Protocol — туннельный протокол «точка-
точка») — это туннельный протокол, поддержка которого впервые была
реализована в операционных системах Windows NT 4.0 и Windows 98. Протокол
PPTP является расширением протокола PPP (Point-to-Point Protocol — протокол
«точка-точка») и использует механизмы проверки подлинности, сжатия и
шифрования этого протокола. Клиентская поддержка протокола PPTP встроена в
клиент удаленного доступа Windows XP.
Поддержка PPTP VPN-серверами встроена в операционные системы
семейства Windows Server 2003. Протокол PPTP устанавливается вместе с
протоколом TCP/IP. В зависимости от параметров, выбранных в мастере настройки
сервера маршрутизации и удаленного доступа, протокол PPTP настраивается для 5
или 128 портов PPTP.
Протокол PPTP и метод шифрования MPPE (Microsoft Point-to-Point
Encryption — шифрование соединения «точка-точка») обеспечивают основные
необходимые для виртуальных частных сетей службы инкапсуляции и шифрования
частных данных.
Кадр PPP (IP-, IPX- или Appletalk-датаграмма) заключается в оболочку с
заголовком GRE (Generic Routing Encapsulation) и заголовком IP. В заголовке IP-
адреса источника и приемника соответствуют VPN-клиенту и VPN-серверу.
Рисунок 1. Инкапсуляция протоколом PPTP кадра PPP
Кадр PPP зашифровывается по методу MPPE с использованием ключей
шифрования, созданных в процессе проверки подлинности по протоколу MS-CHAP,
MS-CHAP v2 или EAP-TLS. Клиенты виртуальных частных сетей должны
7
использовать для шифрования полезных данных в кадрах PPP протокол проверки
подлинности MS-CHAP, MS-CHAP v2 или EAP-TLS. PPTP пользуется механизмами
шифрования PPP и инкапсулирует предварительно зашифрованные кадры PPP.
PPTP был объектом множества анализов безопасности, в нём были
обнаружены различные серьёзные уязвимости. Известные относятся к
используемым протоколам аутентификации PPP, устройству протокола MPPE, и
интеграции между аутентификациями MPPE и PPP для установки сессионного
ключа. Краткий обзор данных уязвимостей:
MSCHAP-v1 совершенно ненадёжен. Существуют утилиты для лёгкого
извлечения хешей паролей из перехваченного обмена MSCHAP-v1;
MSCHAP-v2 уязвим к словарной атаке на перехваченные challenge
response пакеты. Существуют программы, выполняющие данный процесс;
При использовании MSCHAP-v1, MPPE использует одинаковый RC4
сессионный ключ для шифрования информационного потока в обоих
направлениях. Поэтому стандартным методом является выполнение XOR’а
потоков из разных направлений вместе, благодаря чему криптоаналитик
может узнать ключ;
MPPE использует RC4 поток для шифрования. Не существует метода
для аутентификации цифробуквенного потока и поэтому данный поток
уязвим к атаке, делающей подмену битов. Злоумышленник легко может
изменить поток при передаче и заменить некоторые биты, чтобы изменить
исходящий поток без опасности своего обнаружения. Данная подмена битов
может быть обнаружена с помощью протоколов, считающих контрольные
суммы.
8
Протокол DIAMETER
Протокол Diameter берет свое начало из протокола RADIUS (Remote
Authentication Dial-In User Service), значительно улучшая его различные аспекты, и
предлагается, в основном, для использования в качестве протокола следующего
поколения для аутентификации, авторизации и учета (Authentication, Authorization,
Accounting - AAA). Протокол Diameter широко использовался в IMS-архитектуре
для обмена AAA-информацией между IMS-объектами. Поскольку IMS-система
может быть следующим большим направлением в отрасли телекоммуникаций, мы
считаем, что ясное понимание протокола Diameter необходимо для понимания
сущности IMS-архитектуры. В данной статье предлагается обзор протокола
Diameter и его работы. Для разработчиков, интересующихся работой AAA в IMS
или реализующих Diameter-приложения, данная статья является хорошей стартовой
точкой [6].
С развитием сетевых приложений и протоколов для аутентификации
пользователей необходимы новые требования и механизмы. Хотя существует
несколько вспомогательных протоколов, предназначенных для расширения
возможностей протокола RADIUS, ожидался более гибкий и общий протокол. На
основе RADIUS был создан протокол Diameter, предназначенный для того, чтобы
стать общей структурной основой для последующих AAA-приложений. Он широко
используется в IMS-архитектуре(IP Multimedia Subsystem) для обмена AAA-
информацией между IMS-объектами.
Diameter имеет одноранговую архитектуру (Peer-To-Peer), и каждый хост,
реализующий протокол Diameter, может выступать либо клиентом, либо сервером, в
зависимости от сетевой инфраструктуры. Поэтому термин Diameter-узел
используется для ссылки на Diameter-клиент, на Diameter-сервер или на Diameter-
агент. Узел протокола Diameter, принимающий пользовательский запрос на
соединение, выступает как Diameter-клиент. В большинстве случаев Diameter-
клиентом будет Network Access Server. После сбора информации, удостоверяющей
9
пользователя, такой как имя пользователя и пароль, он передаст сообщение запроса
на доступ одному Diameter-узлу, обслуживающему запрос. Для простоты мы
предполагаем, что это Diameter-сервер. Diameter-сервер выполняет аутентификацию
пользователя на основе предоставленной информации. Если процесс
аутентификации выполняется успешно, в ответное сообщение включаются
полномочия пользователя, и это сообщение передается обратно соответствующему
Diameter-клиенту. В противном случае передается сообщение об отказе. Кроме того,
в протоколе четко определен специальный Diameter-узел, называемый Diameter-
агентом. Обычно существует три типа Diameter-агентов:
Первый, Relay Agent используется для перенаправления сообщения
соответствующему адресату в зависимости от информации, содержащейся в
сообщении. Relay Agent является полезным, поскольку он может объединять
запросы от различных областей (или регионов) в определенную область, что
устраняет обременительную настройку серверов сетевого доступа при каждом
изменении Diameter-сервера.
Второй, Proxy Agent может также использоваться для перенаправления
сообщений, но, в отличие от Relay Agent, Proxy Agent может изменить содержимое
сообщения и, следовательно, предоставлять дополнительные службы, применять
правила для различных сообщений или выполнять задачи администрирования для
различных областей. На рисунке 2 показано, как используется Proxy Agent для
перенаправления сообщения в другой домен. Если Proxy Agent не изменяет
содержимое оригинального запроса, в этом сценарии достаточно было бы
использования Relay Agent.
10
Рисунок 2. Diameter Proxy Agent
И третий, Redirect Agent выступает в роли централизованного репозитория
конфигураций для других Diameter-узлов. Принимая сообщение, он проверяет свою
таблицу маршрутизации и возвращает ответное сообщение вместе с информацией о
перенаправлении оригинальному отправителю сообщения. Это могло бы быть очень
полезно для других Diameter-узлов, поскольку им не нужно хранить список записей
о маршрутизации локально, и они могли бы, при необходимости, искать Redirect
Agent. На рисунке 3 изображена работа Redirect Agent. Сценарий, показанный на
рисунке 3, в основном идентичен сценарию, показанному на рисунке 2, но в этот раз
Proxy Agent не знает адреса связанного Diameter-узла в example.com. Следовательно,
он ищет информацию в Redirect Agent своей собственной области для получения
адреса.
11
Рисунок 3. Diameter Redirect Agent
Кроме этих агентов существует специальный агент, называемый Translation
Agent. Обязанностью этого агента является преобразование сообщения из одного
AAA-протокола в другой. Translation Agent полезен для компании, или провайдера
служб для интеграции пользовательской базы данных двух прикладных доменов,
сохраняя их оригинальные AAA-протоколы. Другая ситуация: компания хочет
выполнить миграцию на протокол Diameter, но этот процесс состоит из нескольких
фаз. Translation Agent мог бы обеспечить обратную совместимость для плавной
миграции. На рисунке 4 показано, как один агент преобразовывает протокол
RADIUS в протокол Diameter, но, естественно, возможны также и другие типы
преобразования протоколов (например, Diameter в RADIUS, Diameter в TACACS+).
Рисунок 4. Diameter Translation Agent
12
Diameter-сообщение - это элементарный модуль для передачи команды или
доставки уведомления другим Diameter-узлам. Для различных целей протокол
Diameter имеет различные типы Diameter-сообщений, которые определяются их
кодом команды. Например, сообщение Accounting-Request распознает, что
сообщение содержит информацию об учетной записи, а сообщение Capability-
Exchange-Request распознает, что сообщение содержит информацию о
возможностях Diameter-узла, передающего сообщение. Код команды используется
для идентификации намерения сообщения, но реальные данные передаются в виде
набора пар атрибут-значение (Attribute-Value-Pair - AVP). Протокол Diameter имеет
предопределенный набор общих атрибутов и назначает каждому атрибуту
соответствующую семантику. Эти AVP передают подробности AAA (такую
информацию как маршрутизация, безопасность и возможности) между двумя
Diameter-узлами. Кроме того, каждая пара AVP ассоциируется с форматом AVP
Data Format, который определен в протоколе Diameter (например, OctetString,
Integer32), поэтому значение каждого атрибута должно следовать формату данных.
На рисунке 5 изображена взаимосвязь между Diameter-сообщениями и их AVP.
Рисунок 5. Diameter Packet Format
Соединение - это физическая связь между двумя Diameter-узлами. Для
протокола Diameter является обязательным возможность работы по TCP или SCTP.
В сравнении с UDP, используемым в RADIUS, эти два протокола обеспечивают
13
более надежную передачу, что является критичным для приложений,
обменивающихся информацией, связанной с учетными записями. Исходя из того,
что Diameter, в основном, имеет одноранговую архитектуру, для конкретного узла
можно было бы установить более одного соединения. По сравнению с соединением
сессия представляет собой логическое соединение между двумя Diameter-узлами и
может пересекать несколько физических соединений. Сессия относится к
взаимодействиям между Diameter-клиентом и Diameter-сервером в течение
определенного периода времени. Каждая сессия в протоколе Diameter ассоциируется
с генерируемым клиентом идентификатором Session-Id, который уникален
глобально и постоянно. Session-Id используется затем для идентификации
конкретной сессии во время дальнейшего обмена информацией. На рисунке 6
показаны концепции соединения и сессии:
Рисунок 6. Сессия и соединение в Diameter
Как и в большинстве моделей взаимодействия клиент-сервер, Diameter-
сессия начинается с передачи сообщения запроса от клиента серверу. В контексте
Diameter Diameter-клиент передаст сообщение auth-request, содержащее уникальный
Session-Id, Diameter-серверу (или Diameter-прокси, если необходимо
перенаправление сообщения).
Аутентификации и авторизации пары AVP зависят от приложения и что они
не определены в базовом протоколе. После приема сообщения auth-request Diameter-
сервер может включить Authorization-Lifetime AVP в ответное сообщение. Эта пара
AVP используется для указания количества времени в секундах, которое требуется
14
Diameter-клиенту для повторной авторизации. После истечения лимита времени и
допустимого Auth-Grace-Period, Diameter-сервер будет удалять сессию из своего
списка сессий и освобождать все ресурсы, выделенные для нее.
Во время сессии Diameter-сервер может инициировать запрос повторной
аутентификации или повторной авторизации. Этот тип запросов используется для
проверки продолжения использования пользователем службы, и если ответ
отрицателен, сервер удаляет сессию, чтобы остановить начисление средств. Кроме
того, для догадки об исключительном закрытии сессии используется пара AVP
Origin-State-Id. Отправитель запроса будет включать эту AVP, и, поскольку
необходимо, чтобы это значение монотонно увеличивалось, получатель запроса
может легко догадаться о том, что предыдущая сессия была закрыта либо по
аварийному завершению работы устройства доступа, либо из-за каких-либо других
исключительных ситуаций. Получатель запроса может затем удалить сессию из
своего списка, освободить ресурсы и, возможно, уведомить свои Diameter-серверы,
если он работает как прокси-сервер.
Сообщения о завершении сессии используются только в контексте
аутентификации и авторизации и только тогда, когда поддерживалось состояние
сессии. Для служб работы с учетными записями вместо этого сообщения
используется сообщение об остановке учета. Сообщение о завершении сессии
может быть инициировано либо Diameter-клиентом, либо Diameter-сервером. Когда
Diamete-клиент полагает, что нужно закрыть сессию, он передает сообщение
Session-Termination-Request Diameter-серверу. В этот запрос включается AVP
Termination-Clause, указывающая Diameter-серверу причину, почему сессия должна
быть закрыта. В свою очередь, если Diameter-сервер обнаруживает, что сессия
должна быть закрыта (возможно, из-за того, что клиент вышел за пределы
предоставленного кредита, или просто для административных целей), Diameter-
сервер передает сообщение Abort-Session-Request Diameter-клиенту. Однако, в
зависимости от различной политики или сценариев использования, Diameter-клиент
может решить не закрывать сессию, даже при получении сообщения от сервера о ее
15
завершении, и позволить пользователю продолжать пользоваться своим сервисом. В
таблицу 2 сведены некоторые значительные отличия между протоколами Diameter и
RADIUS:
Таблица 1. Сравнение протоколов Diameter и RADIUS
Diameter RADIUS
Транспортный
протокол
Ориентированные на
соединение протоколы (TCP и
SCTP)
Протокол без установления
соединения (UDP)
Защита Hop-to-Hop, End-to-End Hop-to-Hop
Поддерживаемые
агенты
Relay, Proxy, Redirect,
Translation
Полная поддержка,
означающая, что поведение
агента может быть реализовано
на RADIUS-сервере
Возможности по
согласованию
Согласовывает
поддерживаемые приложения
и уровень безопасности
Не поддерживается
Обнаружение узлов Статическая конфигурация и
динамическое обнаружение Статическая конфигурация
Сообщение
инициации сервера
Поддерживается. Например,
сообщение повторной
аутентификации, завершения
сессии
Не поддерживается
Максимальный
размер данных
атрибутов
16,777,215 октетов 255 октетов
Поддержка
сторонних
производителей
Поддерживает сторонние
атрибуты и сообщения
Поддерживает только
сторонние атрибуты
16
Список литературы
1. Р 50.1.053-2005. Рекомендации по стандартизации «Информационные
технологии. Основные термины и определения в области технической защиты
информации» — М.: Изд-во стандартов, 2006. — 5 с.
2. Р 50.1.053-2005. Рекомендации по стандартизации «Информационные
технологии. Основные термины и определения в области технической защиты
информации» — М.: Изд-во стандартов, 2006. — 3 с.
3. Информационная безопасность: Учебник для студентов вузов. — М.:
Академический Проект; Гаудеамус, 2-е изд.— 2004. — 544 C., —C.14.
4. Неотказуемость. [Электронный ресурс]: свободная энциклопедия / Википедия
— Режим доступа: http://en.wikipedia.org/wiki/Non-repudiation, свободный. — Загл. С
экрана. — Яз. англ.
5. Протокол PPTP. [Электронный ресурс]: библиотека Microsoft TechNet —
Режим доступа: http://technet.microsoft.com/ru-
ru/library/cc738852%28WS.10%29.aspx, свободный. — Загл. С экрана. — Яз. англ.,
рус.
6. Протокол DIAMETR. Технические материалы IBM [Электронный ресурс]:
Технические материалы IBM — Режим доступа:
http://www.ibm.com/developerworks/ru/library/wi-diameter/, свободный. — Загл. С
экрана. — Яз. англ.