-100-
необходимо обратить внимание на необходимости двунаправленной фильтрации - для входящих и для исходящих пакетов).
В литературе описаны два основных подхода к процедуре фильтрации: пакетная фильтрация (или трансляция адресов) (анализируется и/или преобразуется адресная часть пакетов) и фильтры прикладного уровня (ФПУ) (в зарубежной литературе proxy service или application proxy). ФПУ анализирует содержательную часть пакетов, исходя из особенностей работы прикладных телекоммуникационных программ (приложений), которые порождают поток пакетов (обычно ФПУ ориентирован на распространенные приложения типа FTP или Telnet). Для конкретной программы принципиально возможно по последовательности пакетов установить, к какому объекту обращается то или иное приложение (субъект). Однако в общем случае проблема установления факта доступа к объекту высокого уровня по информации низкого уровня иерархии для произвольного порождающего поток субъекта является практически неразрешимой. При этом ФПУ, будучи с точки зрения надежности фильтрации более надежным методом, тем не менее проигрывают в совместимости с приложениями (в смысле необеспечения корректной работы всех используемых в КС типов телекоммуникационных субъектов).
Описанные технические решения межсетевых экранов практически не поддаются осмыслению с точки зрения надежностных характеристик защиты, т.е. не удается сделать ни детерминированных, ни вероятностных выводов о качестве фильтра. В связи с этим ниже вводится ряд уточняющих определений, описывающих процесс фильтрации с учетом логического уровня представления объектов и доказывается ряд утверждений относительно гарантий работы экрана в рамках введенных понятий.
Предлагается рассматривать ситуацию, при которой на рабочих местах корпоративной ЛВС уже установлены средства защиты. Общепринятое исполнение программно-технических средств защиты предполагает реализацию политики безопасности с полным проецированием прав пользователя на права любого субъекта локального сегмента (т.е. если пользователю разрешен запуск какой-либо программы (т.е. произошла активизация субъекта), то порожденный процесс обращается к объектам с правами инициировавшего его пользователя). Ниже будет показано, что такой подход некорректен для защиты при воздействии извне, поскольку доступ злоумышленника к локальным объектам через управляемый им телекоммуникационный модуль на локальном месте пользователя будет происходить с правами локального пользователя. Следовательно, политика безопасности при использовании локальных механизмов защиты нуждается в некоторой конструктивной коррекции.
4.2.Модели воздействия внешнего злоумышленника на локальный сегмент компьютерной системы
Определим использованные выше понятия локального и внешнего сегмента КС.
-101-
Определение 1. Локальный сегмент КС (ЛС КС) - подмножество субъектов
иобъектов КС, выделяемое по одному из следующих критериев:
-критерию группирования в одно множество всех субъектов с возможностью непосредственного управления субъектами (если такая возможность присутствует в субъекте),
-критерию локализации некоторого подмножества объектов и субъектов в рамках некоторой технической компоненты КС,
-критерию присвоения объектам и субъектам ЛС КС некоторой информации, однозначно характеризующей субъект или объект (которая, как правило, называется адресом или сетевым адресом ЛС КС).
Определение 2. Внешний сегмент КС - дополнение множества субъектов и объектов локального сегмента до всего множества объектов КС.
Очевидно, что во внешнем сегменте могут быть выделены несколько локальных. Ниже будем полагать, что рассматривается один произвольно выделенный ЛС КС.
Непосредственное управление (рассматриваемое как один из критериев выделения ЛС КС) подразумевает возможность изменения состояния субъекта непосредственно через органы управления конкретной ЭВМ.
На практике, как правило, локальный сегмент включает в себя одну ЭВМ либо сегмент ЛВС.
Удаленным субъектом будем называть субъект, принадлежащий множеству субъектов внешнего сегмента КС. Очевидно, что множества субъектов локального и внешнего сегмента КС не пересекаются.
Доступ удаленного субъекта к локальному объекту подразумевает организацию сложного потока от удаленного субъекта к ассоциированным объектам локального субъекта, т.е. фактически управление локальным субъектом со стороны удаленного субъекта. Целью удаленного злоумышленника (пользователя, управляющего удаленным субъектом) является организация потоков от локальных объектов, не принадлежащих множеству L.
В случае разделения КС на локальный и внешний сегменты множество всех потоков “семантически” можно разделить на четыре (поток между субъектом и объектом означает поток между ассоциированными объектами субъекта и объектом):
1. Потоки между локальными субъектами и локальными объектами.
2. Потоки между локальными субъектами и удаленными объектами
3. Потоки между удаленными субъектами и локальными объектами.
4. Потоки между удаленными субъектами и удаленными объектами. Четвертая конструкция описывает взаимодействие субъектов какого-либо
локального сегмента, отличного от выделенного, либо с локальными объектами (конструкция 1), либо удаленными относительно этого сегмента (конструкция 2). Третья конструкция описывает фактически взаимодействие между ассоциированными объектами субъектов локального сегмента и удаленными субъектами. Вторая конструкция также описывает потоки, которые могут реализоваться лишь через ассоциированные объекты удаленных субъектов.
-102-
Первая конструкция подробно изучалась выше. Вторая и третья конструкция по смыслу тождественны, поскольку выбор локального сегмента КС произволен. Итак, будем рассматривать потоки между внешними субъектами и локальными объектами с учетом замечания об обязательном участии в потоке локального субъекта.
В терминах потоков рассмотрим межсубъектное взаимодействие между удаленным субъектом X и локальным субъектом Si. Целью данного взаимодействия является реализация потока между локальным объектом Oj и ассоциированным объектом Ox субъекта X, причем данный поток проходит через ассоциированные объекты локального субъекта Si.
Говоря о потоках, нельзя опускать потенциально возможное свойство порождения субъектом Si нового субъекта Si*: Create(Si,Ov)->Si*
Порождение данного субъекта может произойти из объекта-источника:
1.локального сегмента КС,
2.внешнего сегмента КС.
К объектам локального сегмента можно отнести и ассоциированные объекты самого активизирующего субъекта Si.
На рис. 1 схематически представим рассматриваемое взаимодействие субъектов Si и X.
Рис. 1. К моделям воздействия внешнего злоумышленника на локальный сегмент КС
-103-
Введем следующие обозначения: Х - субъект внешнего сегмента КС, который инициирует поток через Si, Si - телекоммуникационный субъект, принадлежащий подмножеству субъектов локального сегмента КС, Oj - объект локального сегмента КС, Si* - субъект локального сегмента, порожденный субъектом Si. Ok - ассоциированный объект субъекта Si.
Рассмотрена следующая упрощенная модель работы территориально распределенной КС, которая состоит из двух ЭВМ. Имеются две ЭВМ, соединенных каналом связи. На рассматриваемых ЭВМ установлено телекоммуникационное ПО (ТПО), обеспечивающее совместную работу прикладных программ и аппаратуры передачи данных (модемов) для обмена информацией по каналу связи. Отметим, что передаваемая и принимаемая информация представляется в различных частях КС на различных уровнях (файлы, части файлов, пакеты). Очевидно также, что в телекоммуникационном ПО обеих ЭВМ имеется возможность чтения/записи на внешние носители прямого доступа, управляемая посылками из канала связи (в противном случае невозможно хранение принятой информации). Запись происходит с участием собственно телекоммуникационного ПО, либо прикладной программы принимающей станции. Кроме того, всегда существует возможность записи в оперативную память принимающей ЭВМ (буферизация). Буферизации могут подвергаться команды управления, поступающие от передающей ЭВМ, либо передаваемые данные.
Злоумышленника полагаем в данном случае лицом, которое имеет доступ к каналу связи и располагает идентичным по отношению к передающей ЭВМ комплексом программных и аппаратных средств. Таким образом, работу злоумышленника можно представить как работу либо передающей ЭВМ, либо принимающей, производящую посылку (или прием) на принимающую ЭВМ управляющей и содержательной информации. Обычно говорят о том, что на атакуемой злоумышленником ЭВМ работает некий программный субъект, который традиционно называется телекоммуникационным субъектом. Как правило, современный телекоммуникационный субъект обладает развитым сервисом, причем работает с информацией на уровне файлов ОС (например, продукты FTP SOftware). Злоумышленные действия в рассматриваемом случае возможны двух основных видов:
-пассивное воздействие, связанное с чтением данных с атакуемой ЭВМ и транспортировкой их на ЭВМ злоумышленника (воздействие инициировано с активной ЭВМ).
-активное воздействие, связанное с навязыванием данных (новых файлов) и модификацией уже существующих.
Обобщим данную модель и сформулируем ее на языке потоков.
Обозначим потоки от ассоциированного объекта Ox субъекта X к ассоциированному объекту Ok субъекта Si и наоборот Stream(X,Ox)->Ok и Stream(X, Ok)->Ox. Предположим также, что свойства субъекта Si таковы, что возможно существование потоков вида Stream(Si, Oj)->Ok и Stream(Si, Ok)->Oj.