Информационная безопасность Модели управления доступом Разграничение доступа Глобальные сети Средства анализа и управления сетями Примеры скриптов на JavaScript Примеры программирования на Java

Информационная безопасность

Управление доступом к разделяемым сетевым ресурсам

В разделяемых сетевых ресурсах — устройствах и файловых объектах (общих папках), как в объектах файловой системы, могут быть реализованы все рассмотренные выше возможности, т.е. дискреционный и мандатный механизмы разграничения прав доступа.

Однако особенностью данных ресурсов является то, что они сетевые - т.е. расположены на другом компьютере. Вследствие этого возможны альтернативные подходы к реализации механизма управления доступом к разделяемым ресурсам (распределенная и централизованные схемы управления). Это определяется тем, что при реализации разграничительной политики доступа к разделяемым ресурсам возможны два подхода:

разграничение на компьютере, с которого осуществляется запрос (схема распределенного разграничения доступа);

» разграничение на компьютере, на котором располагается разделяемый ресурс (схема централизованного разграничения доступа).

В частности, второй подход реализован в ОС Windows для NTFS. К достоинствам данного подхода можно отнести простоту настройки разграничительной политики доступа, в предположении, что все разделяемые ресурсы располагаются на одном компьютере (файл-сервере). В общем же случае — на каждом компьютере присутствуют свои разделяемые ресурсы (при распределенном общем ресурсе). Соответсвенно настройку разграничительной политики доступа следует осуществлять для каждого компьютера, что огарничивает применение данного подхода. К недостаткам также можно отнести ограниченные, по сравнению с первым подходом, возможности разграничений. В частности, любой доступ к разделяемому ресурсу может задаваться для пользователей сети, вне зависимости от их расположения (на каких компьютерах в сети они зарегистрированы). При этом отметим, что в принципе не предотвращается возможность атаки собственно на протокол NETBIOS, т.к. фильтруется не исходящий, а входящий трафик.

Программная атака

Без специализированного компьютерного оборудования, ведущего параллельный поиск ключей, атака методом тотального перебора имеет значительно меньше шансов на успех. Однако если вы не припасли лишний миллион долларов, который можно потратить на изготовление такого оборудования, есть другой, более дешевый, способ попытаться вскрыть интересующий вас ключ. В мире имеется огромное количество компьютеров (по оценкам экспертов, в 1996 г. их число достигло 200 млн), которые, чтобы не простаивать, могли бы опробовать ключи. Эксперимент, проведенный в начале 1997 г., показал, что таким способом за две недели можно вскрыть 48-битный ключ. И хотя этот ключ был найден методом тотального перебора после проверки чуть более половины всех возможных ключей, полученный результат впечатляет, поскольку в ходе атаки одновременно использовались не более 5 тысяч компьютеров из существующих 200 миллионов, а в общей сложности в атаке оказались задействованными лишь 7 тысяч компьютеров.

Основное препятствие на пути к использованию миллионов вычислительных устройств, разбросанных по всему миру, заключается в невозможности сделать так, чтобы их владельцы приняли участие в атаке. Можно, конечно, вежливо попросить каждого из них об услуге, но во-первых, на это уйдет уйма времени, а во-вторых, ответом в большинстве случаев будет, скорее всего, твердое “нет”. Можно попытаться тайком проникнуть на чужие компьютеры через сеть, но на это понадобится еще больше времени, да вдобавок вас могут арестовать.

Более разумным представляется создание компьютерного вируса, который вместо того, чтобы стирать файлы с жесткого диска и выдавать на дисплей глупые сообщения, незаметно для владельца компьютера будет перебирать возможные ключи. Проведенные исследования показывают, что в распоряжении вируса будет от 70 до 90% процессорного времени зараженного им компьютера. После вскрытия ключа вирус может породить новый вирус, содержащий информацию о найденном ключе, и отправить его странствовать по компьютерной сети до тех пор, пока он не доберется до своего хозяина.

При более тонком подходе вирус, обнаруживший ключ, выдаст на экран компьютера информацию вида:

В ВАШЕМ КОМПЬЮТЕРЕ ОБНАРУЖЕНА СЕРЬЕЗНАЯ ОШИБКА!!!

ПОЖАЛУЙСТА, ПОЗВОНИТЕ ПО ТЕЛЕФОНУ (095)123-45-67

И ЗАЧИТАЙТЕ ОПЕРАТОРУ СЛЕДУЮЩЕЕ 48-БИТОВОЕ ЧИСЛО:

XXXXXXXX XXXXXXX XXXXXXX XXXXXXX XXXXXXX XXXXXXX

ПЕРВОМУ, КТО СООБЩИТ ОБ ЭТОЙ ОШИБКЕ, ГАРАНТИРОВАНО ВОЗНАГРАЖДЕНИЕ В РАЗМЕРЕ 100 (СТА) ДОЛЛАРОВ.

Если вирусу удастся заразить 10 млн компьютеров, каждый из которых станет проверять хотя бы 1 тыс. ключей в секунду, то 56-битный ключ будет найден менее чем через 3 месяца. Дополнительно придется раскошелиться на подкуп производителей антивирусных программ, однако к компьютерной криптографии, о которой сейчас идет речь, эта проблема никакого отношения не имеет.

Общие принципы построения вычислительных сетей