33665

Проблемы безопасности протоколов прикладного уровня

Доклад

Информатика, кибернетика и программирование

Проблемы безопасности протоколов прикладного уровня Прикладной уровень в семействе TCP IP представлен следующими службами: Служба разрешения имён DNS. Для защиты DNS существуют два направления: переход на защищённый протокол DNSSec; разделение пространства имён с целью сокрытия внутреннего пространства имён от внешнего мира. Разделение пространства имён. В то же время для внешнего пользователя достаточно иметь доступ только к небольшой части внутреннего пространства имён.

Русский

2013-09-06

39 KB

22 чел.

34. Проблемы безопасности протоколов прикладного уровня

Прикладной уровень в семействе TCP/IP представлен следующими службами:

  •  Служба разрешения имён (DNS).
  •  Электронная почта (SMTP, РОРS, ЕМАР).
  •  Протокол HTTP
  •  Передача файлов (FTP)
  •  Протокол удалённого терминала (TELNET).
  •  Сетевая файловая система (NFS)
  •  Удалённое выполнение процедур (RPC)
  •  Мониторинг и управление сетью (SNMP).

Практически все прикладные службы работают по схеме «клиент/сервер».

Протоколы FTP, HTTP, TELNET, POPS спроектированы так, что передаваемая информация не шифруется и может быть легко перехвачена и проанализирована. То есть имеются все предпосылки для осуществления атак типа «пассивное прослушивание». Имена и пароли пользователей передаются в открытом, незашифрованном виде.

Протокол SMTP не предполагает вообще никакой аутентификации, в результате легко могут быть отправлены электронные письма с любым обратным адресом при работе напрямую с командами этого протокола. Кроме того, протокол SMTP поддерживает команды VRFY и EXPN, которые позволяют получить информацию о пользователях. Эти команды лучше отключить на уровне конкретного почтового сервера.

Служба DNS имеет две основных проблемы: во-первых, она предназначена для работы с общедоступными данными и может быть использована нарушителем для получения критичной информации о системе, во-вторых, главное назначение DNS - хранение соответствий между именами и адресами узлов и нарушение этого соответствия может привести к нарушению работы многих узлов Internet.

Службы Internet прикладного уровня реализуются по схеме клиент/сервер. Клиентская и серверная части представляют собой обычные приложения.

Как правило, порт серверного процесса (23) находится в «слушающем» режиме. В случае поступления запроса на обслуживание, telnet (имеется ввиду ОС UNIX) назначает каждому удаленному клиенту псевдотерминал (pty) в качестве стандартного файла ввода (stdin), стандартного файла вывода (stdout) и стандартного файла ошибок (stderr). В качестве транспорта TELNET использует протокол TCP.

Примерно также реализованы и остальные службы (FTP, POP3 и т. п.).

Проблемы безопасности в данном случае связаны с ошибками реализации службы, т. е. с ошибками программистов. Атаки, использующие подобные уязвимости, имеют механизм реализации «запуск приложений на удалённом узле».

Меры защиты прикладного уровня

Для защиты применяется регулярное обновление программного обеспечения WEB-серверов, FTP-серверов, почтовых серверов с целью устранения обнаруженных ошибок реализации.

Для защиты DNS существуют два направления:

  •  переход на защищённый протокол DNSSec;
  •  разделение пространства имён с целью сокрытия внутреннего пространства имён от внешнего мира.

Дня ликвидации ограничений протокола DNS была создана рабочая группа, обеспечивающая аутентификацию и целостность информации, содержащейся в DNS посредством шифрования.

DNSSec реализует три механизма:

  •  Key Distribution - механизм распределения открытых ключей
  •  Data Origin Authentication and Integrity - обеспечение целостности и аутентичности информации DNS
  •  Transaction and request authentication - аутентификация транзакции Key Distribution

1. Обеспечение целостности и аутентичности достигается путём шифрования с открытыми ключами для подписи информации, содержащейся в DNS. Такие криптографические подписи обеспечивают целостность за счет вычисления криптографического хэша (т. е. уникальной контрольной суммы) данных и затем защиты вычисленной величины от несанкционированных изменений посредством ее шифрования. Хэш шифруется с помощью личного ключа из пары ключей, чтобы любой желающий мог воспользоваться открытым ключом для его дешифровки. Если дешифрованное получателем значение хэша совпадает с вычисленным, то данные достоверны (не подвергались несанкционированному изменению).

2. Аутентификация транзакций. Предполагает шифрование сообщения с помощью секретного ключа. Один и тот же ключ используется как для генерации подписи, так и для ее проверки (т. е. вся процедура является закрытой) и общий секретный ключ (также называемый "общим секретом") известен только узлам из одной локальной сети или (в крайнем случае) в одной территориальной сети.

3. Разделение пространства имён. Служба DNS - один из источников информации о структуре сети. В то же время, для внешнего пользователя достаточно иметь доступ только к небольшой части внутреннего пространства имён. Поэтому необходимо разделение пространства имён. Таким образом:

  •  Внутренние узлы имеют доступ к внутреннему пространству имён
  •  Часть внутренних узлов имеет доступ к глобальному пространству имён (это узлы с доступом в Internet)
  •  Внешние узлы имеют доступ к необходимой (минимальной) части внутреннего пространства имён


 

А также другие работы, которые могут Вас заинтересовать

658. Проектирование широкополосного усилительного устройства 643.5 KB
  Структурная схема усилителя. Выбор рабочей точки и расчет параметров транзистора. Расчет входного усилительного каскада. Методы исследования, расчета и проектирования широкополосных усилителей гармонических сигналов и импульсных сигналов
659. Товароведная характеристика и экспертиза качества питьевого молока вырабатываемого и реализуемого ГУСП ПЗ Тополя предприятия Московский Тюменского района 410.5 KB
  Состав и потребительские свойства молока. Упаковка, маркировка, хранение и транспортирование питьевого молока. Изучение ассортимента молочных продуктов, вырабатываемых ГУСП ПЗ Тополя. Результаты токсиколого-гигиенических исследований качества молока. Обеспеченность предприятия основными средствами производства и трудовыми ресурсами.
660. Психология развития, возрастная психология 113.5 KB
  Предмет задачи и методы психологий развития. Психология обучения и развития. Психология дошкольного возраста. Методика исследования типологических особенностей личности (К. Юнг). Психология подросткового возраста. Методика исследования агрессивного поведения подростков (А. Бас и А. Даки.).
661. Теория макроэкономического равновесия 125 KB
  Макроэкономическое равновесие: совокупный спрос и совокупное предложение. Идеальная модель. Классическая и кейнсианская модели макроэкономического равновесия. Нисходящая кривая совокупного спроса объясняется другими факторами: (ценовые факторы).
662. Дефицитарность общения у детей и подростков 136.5 KB
  Ранний детский аутизм (клинические проявления). Дефицитарность общения при других видах психической патологии. Еще раз о дефицитарности общения при ранней детской шизофрении. Механизмы социальной и школьной дизадаптации, профилактика и коррекция при дефицитарности общения у детей и подростков.
663. Перинатальная патология нервной системы 123.5 KB
  Перинатальные поражения нервной системы. Гипоксия плода и новорожденного. Внутричерепная родовая травма. Травма спинного мозга. Родовые травматические повреждения плечевого сплетения. Родовой парез диафрагмы. Гемолитическая болезнь новорожденных. Родовые поражения периферических нервов.
664. Анализ функционирования фирмы в конкурентной среде 114 KB
  Анализ конкуренции на рынке. Конкурентные условия на различных рынках никогда не бывают одинаковыми из-за различия процессов развития в социальной, технологической, политической сферах. Определение конкурентного положения фирм. Определение конкурентоспособности фирмы и товара.
665. Разработка дизайна выставочного стенда 123.5 KB
  Проект организации участия фирмы Zippo в выставке. Эксклюзивные нестандартные выставочные стенды. Проектные обоснования организации участия в выставки фирмы Zippo. Анализ эффективности участия в выставке.
666. Статичний розрахунок на робочу стійкість і визначення вантажопідйомності крана 119 KB
  Виліт стріли для різних кутів нахилу. Вертикальна проекція відстані від оголовка рейкового шляху крана до центра ваги стріли. Вітрове навантаження на інші елементи крана. Момент, створюваний вітровим навантаженням. Побудова вантажний характеристики та її аналіз.