33665

Проблемы безопасности протоколов прикладного уровня

Доклад

Информатика, кибернетика и программирование

Проблемы безопасности протоколов прикладного уровня Прикладной уровень в семействе TCP IP представлен следующими службами: Служба разрешения имён DNS. Для защиты DNS существуют два направления: переход на защищённый протокол DNSSec; разделение пространства имён с целью сокрытия внутреннего пространства имён от внешнего мира. Разделение пространства имён. В то же время для внешнего пользователя достаточно иметь доступ только к небольшой части внутреннего пространства имён.

Русский

2013-09-06

39 KB

26 чел.

34. Проблемы безопасности протоколов прикладного уровня

Прикладной уровень в семействе TCP/IP представлен следующими службами:

  •  Служба разрешения имён (DNS).
  •  Электронная почта (SMTP, РОРS, ЕМАР).
  •  Протокол HTTP
  •  Передача файлов (FTP)
  •  Протокол удалённого терминала (TELNET).
  •  Сетевая файловая система (NFS)
  •  Удалённое выполнение процедур (RPC)
  •  Мониторинг и управление сетью (SNMP).

Практически все прикладные службы работают по схеме «клиент/сервер».

Протоколы FTP, HTTP, TELNET, POPS спроектированы так, что передаваемая информация не шифруется и может быть легко перехвачена и проанализирована. То есть имеются все предпосылки для осуществления атак типа «пассивное прослушивание». Имена и пароли пользователей передаются в открытом, незашифрованном виде.

Протокол SMTP не предполагает вообще никакой аутентификации, в результате легко могут быть отправлены электронные письма с любым обратным адресом при работе напрямую с командами этого протокола. Кроме того, протокол SMTP поддерживает команды VRFY и EXPN, которые позволяют получить информацию о пользователях. Эти команды лучше отключить на уровне конкретного почтового сервера.

Служба DNS имеет две основных проблемы: во-первых, она предназначена для работы с общедоступными данными и может быть использована нарушителем для получения критичной информации о системе, во-вторых, главное назначение DNS - хранение соответствий между именами и адресами узлов и нарушение этого соответствия может привести к нарушению работы многих узлов Internet.

Службы Internet прикладного уровня реализуются по схеме клиент/сервер. Клиентская и серверная части представляют собой обычные приложения.

Как правило, порт серверного процесса (23) находится в «слушающем» режиме. В случае поступления запроса на обслуживание, telnet (имеется ввиду ОС UNIX) назначает каждому удаленному клиенту псевдотерминал (pty) в качестве стандартного файла ввода (stdin), стандартного файла вывода (stdout) и стандартного файла ошибок (stderr). В качестве транспорта TELNET использует протокол TCP.

Примерно также реализованы и остальные службы (FTP, POP3 и т. п.).

Проблемы безопасности в данном случае связаны с ошибками реализации службы, т. е. с ошибками программистов. Атаки, использующие подобные уязвимости, имеют механизм реализации «запуск приложений на удалённом узле».

Меры защиты прикладного уровня

Для защиты применяется регулярное обновление программного обеспечения WEB-серверов, FTP-серверов, почтовых серверов с целью устранения обнаруженных ошибок реализации.

Для защиты DNS существуют два направления:

  •  переход на защищённый протокол DNSSec;
  •  разделение пространства имён с целью сокрытия внутреннего пространства имён от внешнего мира.

Дня ликвидации ограничений протокола DNS была создана рабочая группа, обеспечивающая аутентификацию и целостность информации, содержащейся в DNS посредством шифрования.

DNSSec реализует три механизма:

  •  Key Distribution - механизм распределения открытых ключей
  •  Data Origin Authentication and Integrity - обеспечение целостности и аутентичности информации DNS
  •  Transaction and request authentication - аутентификация транзакции Key Distribution

1. Обеспечение целостности и аутентичности достигается путём шифрования с открытыми ключами для подписи информации, содержащейся в DNS. Такие криптографические подписи обеспечивают целостность за счет вычисления криптографического хэша (т. е. уникальной контрольной суммы) данных и затем защиты вычисленной величины от несанкционированных изменений посредством ее шифрования. Хэш шифруется с помощью личного ключа из пары ключей, чтобы любой желающий мог воспользоваться открытым ключом для его дешифровки. Если дешифрованное получателем значение хэша совпадает с вычисленным, то данные достоверны (не подвергались несанкционированному изменению).

2. Аутентификация транзакций. Предполагает шифрование сообщения с помощью секретного ключа. Один и тот же ключ используется как для генерации подписи, так и для ее проверки (т. е. вся процедура является закрытой) и общий секретный ключ (также называемый "общим секретом") известен только узлам из одной локальной сети или (в крайнем случае) в одной территориальной сети.

3. Разделение пространства имён. Служба DNS - один из источников информации о структуре сети. В то же время, для внешнего пользователя достаточно иметь доступ только к небольшой части внутреннего пространства имён. Поэтому необходимо разделение пространства имён. Таким образом:

  •  Внутренние узлы имеют доступ к внутреннему пространству имён
  •  Часть внутренних узлов имеет доступ к глобальному пространству имён (это узлы с доступом в Internet)
  •  Внешние узлы имеют доступ к необходимой (минимальной) части внутреннего пространства имён


 

А также другие работы, которые могут Вас заинтересовать

28140. Интроспективная психология 40 KB
  Интроспекция лат. В качестве особого метода интроспекция была обоснована в работах Р. Виды интроспекции: аналитическая интроспекция; систематическая интроспекция; феноменологическое самонаблюдение. Человек в отличие от животных наделен разумной душой сознанием по отношению к которому применительна интроспекция.
28141. Европейский функционализм 44 KB
  Предметом психологии функционализм обозначает сознание и функционалистов не интересует строение сознания. Их интересуют два главных вопроса::Какова роль сознания психики в жизнедеятельности организмовУ истоков европейского функционализма стоял австрийский психолог Франц Брентано 18381917. Главной для новой психологии он считал проблему сознания. Для обозначения этого признака сознания Брентано предложил термин интенция .
28142. Американский функционализм 24 KB
  Не требует особых комментариев положение о том насколько существен для научной теории этот аспект анализа реальной работы производимой как внутри состава собственно психического акта так и в процессе его организующего воздействия на приспособление организма к среде и на активное преобразование последней. Стимул перестает быть независимым по отношению к организму и его реакции Объект становится производным от акта или функции. Дьюи выступал с резкой критикой детерминистической концепции рефлекторного акта в которой объект действия не...
28143. Методы психологии труда 173.5 KB
  ПТ пытается решить две основных макрозадачи: 1 повышение производительности и эффективности трудовой деятельности 2 гуманизация трудовой деятельности содействие развитию личности в ней. как регуляторов трудовой деятельности и их развития в деятельности. Изучение основных психических свойств субъекта трудовой деятельности и ее эффективности. Изучение проблемы мотивации трудовой деятельности.
28144. Виды и функции речи 61 KB
  Существуют различные виды речи: речь жестов и звуковая речь письменная и устная речь внутренняя и внешняя речь. Выделять виды речь можно по разным основаниям и благодаря этому подчеркиваются разные стороны речевой деятельности. В зависимости от выявленности речевой деятельности вовне различают внешнюю и внутреннюю речь. Это речь обращенная к другому человеку это речь для другого.
28145. Психологическая готовность ребенка к школьному обучению 26.85 KB
  Вопрос готовности ребёнка к школьному обучению начал решаться с перевода детей на обучение с 6ти лет. Важна задача не снабжения знаниями ребёнка а его развитие. Выделяется 3 аспекта зрелости: интеллектуальный дифференцированное восприятие концентрация внимания аналитическое мышление способность постигать основные связи между явлениями способность логического запоминания умение воспринимать образец развитие тонкой моторики и координации; эмоциональный уменьшение импульсивных реакций возможность длительное время выполнять...
28146. Концепция В. Дильтея 37 KB
  В период открытого кризиса его описательная психология как наука о духе занимала одно из центральных мест. Дильтей считал что господствовавшая психология атомистическая элементаристическая не дает адекватной картины духовной жизни человека она строится на объяснительных методах заимствованных из естествознания и как наука о личности должна быть отвергнута. Описательная психология рассматривает также развитие личности каждый этап которого определяется характерной для него ценностью все более возрастающей. Описательная психология по...
28147. Динамика становления психологической культуры у субъектов образования 73.5 KB
  Однако в психологической науке отсутствует целостное представление о данном феномене. Он выделяет следующие компоненты психологической культуры: Презентативный компонент его образует комплекс представлений о природе психики ее возможностях закономерностях функционирования; стереотипы восприятия понимания интерпретации психических феноменов в том числе индивидуальных особенностей психики. Другими авторами выделяются когнитивный процессуально деятельностный и эмоциональнооценочный компоненты психологической культуры.
28148. Уровни нравственного развития личности (по Колбергу) 128 KB
  Ребёнка любят и он это чувствует. Все потребности ребёнка быстро удовлетворяются. Ребёнок считает что мир это уютное место а люди любят ребёнка людей можно любить и им можно доверять. 2 готовность ребёнка без тревоги и гнева переносить исчезновение матери из поля зрения.