33665

Проблемы безопасности протоколов прикладного уровня

Доклад

Информатика, кибернетика и программирование

Проблемы безопасности протоколов прикладного уровня Прикладной уровень в семействе TCP IP представлен следующими службами: Служба разрешения имён DNS. Для защиты DNS существуют два направления: переход на защищённый протокол DNSSec; разделение пространства имён с целью сокрытия внутреннего пространства имён от внешнего мира. Разделение пространства имён. В то же время для внешнего пользователя достаточно иметь доступ только к небольшой части внутреннего пространства имён.

Русский

2013-09-06

39 KB

23 чел.

34. Проблемы безопасности протоколов прикладного уровня

Прикладной уровень в семействе TCP/IP представлен следующими службами:

  •  Служба разрешения имён (DNS).
  •  Электронная почта (SMTP, РОРS, ЕМАР).
  •  Протокол HTTP
  •  Передача файлов (FTP)
  •  Протокол удалённого терминала (TELNET).
  •  Сетевая файловая система (NFS)
  •  Удалённое выполнение процедур (RPC)
  •  Мониторинг и управление сетью (SNMP).

Практически все прикладные службы работают по схеме «клиент/сервер».

Протоколы FTP, HTTP, TELNET, POPS спроектированы так, что передаваемая информация не шифруется и может быть легко перехвачена и проанализирована. То есть имеются все предпосылки для осуществления атак типа «пассивное прослушивание». Имена и пароли пользователей передаются в открытом, незашифрованном виде.

Протокол SMTP не предполагает вообще никакой аутентификации, в результате легко могут быть отправлены электронные письма с любым обратным адресом при работе напрямую с командами этого протокола. Кроме того, протокол SMTP поддерживает команды VRFY и EXPN, которые позволяют получить информацию о пользователях. Эти команды лучше отключить на уровне конкретного почтового сервера.

Служба DNS имеет две основных проблемы: во-первых, она предназначена для работы с общедоступными данными и может быть использована нарушителем для получения критичной информации о системе, во-вторых, главное назначение DNS - хранение соответствий между именами и адресами узлов и нарушение этого соответствия может привести к нарушению работы многих узлов Internet.

Службы Internet прикладного уровня реализуются по схеме клиент/сервер. Клиентская и серверная части представляют собой обычные приложения.

Как правило, порт серверного процесса (23) находится в «слушающем» режиме. В случае поступления запроса на обслуживание, telnet (имеется ввиду ОС UNIX) назначает каждому удаленному клиенту псевдотерминал (pty) в качестве стандартного файла ввода (stdin), стандартного файла вывода (stdout) и стандартного файла ошибок (stderr). В качестве транспорта TELNET использует протокол TCP.

Примерно также реализованы и остальные службы (FTP, POP3 и т. п.).

Проблемы безопасности в данном случае связаны с ошибками реализации службы, т. е. с ошибками программистов. Атаки, использующие подобные уязвимости, имеют механизм реализации «запуск приложений на удалённом узле».

Меры защиты прикладного уровня

Для защиты применяется регулярное обновление программного обеспечения WEB-серверов, FTP-серверов, почтовых серверов с целью устранения обнаруженных ошибок реализации.

Для защиты DNS существуют два направления:

  •  переход на защищённый протокол DNSSec;
  •  разделение пространства имён с целью сокрытия внутреннего пространства имён от внешнего мира.

Дня ликвидации ограничений протокола DNS была создана рабочая группа, обеспечивающая аутентификацию и целостность информации, содержащейся в DNS посредством шифрования.

DNSSec реализует три механизма:

  •  Key Distribution - механизм распределения открытых ключей
  •  Data Origin Authentication and Integrity - обеспечение целостности и аутентичности информации DNS
  •  Transaction and request authentication - аутентификация транзакции Key Distribution

1. Обеспечение целостности и аутентичности достигается путём шифрования с открытыми ключами для подписи информации, содержащейся в DNS. Такие криптографические подписи обеспечивают целостность за счет вычисления криптографического хэша (т. е. уникальной контрольной суммы) данных и затем защиты вычисленной величины от несанкционированных изменений посредством ее шифрования. Хэш шифруется с помощью личного ключа из пары ключей, чтобы любой желающий мог воспользоваться открытым ключом для его дешифровки. Если дешифрованное получателем значение хэша совпадает с вычисленным, то данные достоверны (не подвергались несанкционированному изменению).

2. Аутентификация транзакций. Предполагает шифрование сообщения с помощью секретного ключа. Один и тот же ключ используется как для генерации подписи, так и для ее проверки (т. е. вся процедура является закрытой) и общий секретный ключ (также называемый "общим секретом") известен только узлам из одной локальной сети или (в крайнем случае) в одной территориальной сети.

3. Разделение пространства имён. Служба DNS - один из источников информации о структуре сети. В то же время, для внешнего пользователя достаточно иметь доступ только к небольшой части внутреннего пространства имён. Поэтому необходимо разделение пространства имён. Таким образом:

  •  Внутренние узлы имеют доступ к внутреннему пространству имён
  •  Часть внутренних узлов имеет доступ к глобальному пространству имён (это узлы с доступом в Internet)
  •  Внешние узлы имеют доступ к необходимой (минимальной) части внутреннего пространства имён


 

А также другие работы, которые могут Вас заинтересовать

4134. Типи зображень по глибині кольору 532 KB
  Типи зображень по глибині кольору Установка глибини кольору необхідна на початку роботи із зображенням і визначає його тип і кількість можливих відтінків тони (кольори). Розглянемо можливості перенесення кольорів і поняття глибини кольору, використо...
4135. Спусковое регенеративное устройство триггер 502 KB
  Триггеры Триггер — это спусковое регенеративное устройство с двумя или более устойчивыми состояниями, переключаемыми в соответствии с сигналом, поступающим на информационные входы. Существует большое количество разновидностей триггеров, к...
4136. Шифраторы и дешифраторы 375.5 KB
  Шифраторы и дешифраторы Шифратор – специфический преобразователь кодов, - устройство, обеспечивающее выдачу определенного кода в ответ на возбуждение одного из входов. Шифраторы реализуют преобразование унитарного кода (другое название – к...
4137. Дослідження роботи служби www 107.91 KB
  Дослідження роботи служби www 1.Мета роботи Дослідити різноманітні види пошуку та пошукових систем, які використовуються в Internet Хід роботи Досить вказати пошуковий запит і клацнути мишкою на відповідній кнопці, на екрані буде відобра...
4138. Санітарний паспорт кабінету інформатики та інформаційно-комунікаційних технологій 43.5 KB
  Санітарний паспорт кабінету інформатики та інформаційно-комунікаційних технологій Паспортна частина Адреса: Смільчинецький навчально-виховний комплекс Черкаська обл. Лисянський район, с.Смільченці Побудована: по типовому проекту Розташ...
4139. Вивчення закону Ома 110.5 KB
  Вивчення закону Ома Мета роботи. Встановити залежність сили струм від напруги у зразку з монокристалу визначеної речовини та визначити його опір, питому електропровідність та концентрацію носіїв струму. Теоретичні відомості. Електричним струмом пров...
4140. Дослідження залежності моменту інерції тіла від положення осі обертання 192.5 KB
  Дослідження залежності моменту інерції тіла від положення осі обертання Мета роботи. Визначити момент інерції тіла при трьох різних положеннях осі обертання. Теоретичні відомості. Вектор лінійної швидкості спрямований по дотич...
4141. Мультиплексоры и демультиплексоры 372.5 KB
  Мультиплексоры и демультиплексоры относятся к классу комбинационных устройств, которые предназначены для коммутации потоков данных в линиях связи по заданным адресам. Большая часть данных в цифровых системах передае...
4142. Робота зі спільними ресурсами в середовищі Windows 2000/XP 60.68 KB
  Робота зі спільними ресурсами в середовищі Windows 2000/XP Мета навчитисьвідкривати доступ до ресурсів компьютера тавикористовуватимережеві ресурси в ОС Windows. Хід роботи Завдання Створюємо в своєму каталозі папку і наз...