Подмена доверенного объекта или субъекта распределенной ВС

Одна из основных проблем безопасности распределенной ВС заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами (абонентами) взаимодействия. Обычно в РВС эта проблема решается следующим образом: в процессе создания виртуального канала объекты обмениваются определенной информацией, уникально идентифицирующей данный канал. Такой обмен называется handshake (рукопожатие). Однако отметим, что не всегда для связи двух удаленных объектов в РВС создается виртуальный канал. Практика показывает, что зачастую, как это ни странно, именно для служебных сообщений (например, от роутеров) используется передача одиночных сообщений, не требующих подтверждения.

Как известно, для адресации сообщений в распределенных ВС используется сетевой адрес, уникальный для каждого объекта системы (на канальном уровне модели OSI – это аппаратный адрес сетевого адаптера, на сетевом уровне адрес определяется в зависимости от используемого протокола сетевого уровня, например адрес IP). Сетевой адрес также может использоваться для идентификации объектов РВС, однако это средство распознавания не должно быть единственным, так как довольно просто подделывается. Если в распределенной ВС применяются нестойкие алгоритмы идентификации удаленных объектов, то возможно типовое удаленное воздействие, реализация которого заключается в передаче по каналам связи сообщений от имени любого объекта или субъекта РВС. При этом существуют две разновидности данной типовой атаки:

• атака при установленном виртуальном канале;

• атака без установленного виртуального канала.

В случае установленного виртуального соединения атака будет заключаться в передаче пакетов обмена с хоста кракера на объект атаки от имени доверенного субъекта взаимодействия (при этом переданные сообщения будут восприняты системой как корректные). Для осуществления такой атаки необходимо преодолеть систему идентификации и аутентификации сообщений, которая может использовать контрольную сумму, вычисляемую с помощью открытого ключа, динамически выработанного при установлении канала, случайные многобитные счетчики пакетов, сетевые адреса станций и т. д. Однако на практике, например в ОС Novell NetWare 3.12‑4.1, для идентификации пакетов обмена используются два 8‑битных счетчика: номер канала и номер пакета [11]; в протоколе TCP/IP для идентификации используются два 32‑битных счетчика.

Как было отмечено ранее, для служебных сообщений в распределенных ВС часто используется передача одиночных запросов, не требующих подтверждения, а следовательно, создание виртуального соединения является необязательным. Атака без создания такого соединения заключается в передаче служебных сообщений от имени сетевых управляющих устройств, например от имени маршрутизаторов. Очевидно, что в этом случае для идентификации пакетов могут использоваться только определенные заранее статические ключи, что довольно неудобно и требует сложной системы управления ключами. Однако в противном случае идентификация таких пакетов без установленного виртуального канала возможна лишь по сетевому адресу отправителя, который, как уже отмечалось, легко подделать. Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы распределенной ВС, например к изменению ее конфигурации.

Подмена доверенного объекта РВС является активным воздействием (класс 1.2), совершаемым с целью нарушения конфиденциальности (класс

2.1) и целостности (класс 2.2) информации по наступлении на атакуемом объекте определенного события (класс 3.2). Данная удаленная атака может являться как внутрисегментной (класс 5.1), так и межсегментной (класс

5.2), иметь обратную связь с атакуемым объектом (класс 4.1) или не иметь ее (класс 4.2), осуществляясь на канальном (класс 6.2), сетевом (класс 6.3) и транспортном (класс 6.4) уровнях модели OSI.

Для моделирования реализации данной угрозы воспользуемся разработанной графовой моделью взаимодействия объектов РВС в проекции на физический и сетевой уровни эталонной модели OSI. На рис. 3.6 показана модель РВС при реализации данной угрозы. Поясним ее.

Рис. 3.6. Графовая модель взаимодействия объектов РВС при реализации типовой угрозы «подмена доверенного объекта или субъекта РВС» в проекции на физический и сетевой уровни

Пусть объект X₂ взаимодействует с объектом X_M. На графе это взаимодействие на сетевом уровне показано двунаправленным ребром ls_2M, которое располагается между вершинами X₂ и X_M. Пусть с объекта X₁ осуществляется реализация данной угрозы: предположим, объект X₁ на сетевом уровне выдает себя за объект X₂ при взаимодействии с объектом X_M. Тогда, согласно введенному правилу образования ребер графа в модели РВС в проекции на сетевой уровень, на графе появляется еще одно однонаправленное ребро ls_2M, которое соединяет вершины X₁ и X_M (если объект X₁ при связи с объектом X_M выдает себя за объект X₂, то между вершинами X₁ и X_M появляется не ребро ls_1M, а ребро ls_2M). Таким образом, объект X_M, получив сообщение от имени X₂, отправленное объектом X₁, посылает ответное сообщение на X₂ (двунаправленное ребро ls_2M или однонаправленное ребро ls_M2).

Двунаправленному ребру ls_2M между вершинами X₂ и X_M на физическом уровне соответствует путь ks_2M (путь ks_2M образуется из последовательности ребер, которые нужно пройти между узлами X₂ и X_M на физическом уровне, то есть ребер ks_2M+1, ks_M+1N, ks_NM, и по закону транзитивности совокупность этих ребер образует ребро ks_2M). А однонаправленному ребру ls_2M между вершинами X₁ и X_M на физическом уровне соответствует путь ks_1M, что неверно, так как нумерация пути между узлами на физическом и сетевом уровнях должна совпадать (например, между узлами M и N пути ks_MN и ls_MN), и данному ребру на физическом уровне будет соответствовать путь ks_2M. Следовательно, реализацию данной угрозы можно определить по изменившемуся на физическом уровне пути при взаимодействии объектов X₂ и X_M.

Отсюда следует, что реализация типовой угрозы «подмена доверенного объекта или субъекта РВС» характеризуется появлением на графе однонаправленного ребра ls_2M, которому на физическом уровне соответствует путь ks_1M.