Петров А.А. Комп без-ть
.pdfЗащита в локальных сетях |
251 |
Аутентификация сессии состоит из следующих шагов:
1. Клиент вычисляет сеансовые ключи на основе пароля пользователя, инициализирует номер сессии, создает список поддерживаемых алго ритмов и их параметров, а также другие параметры сессии (на них мы подробно останавливаться не будем) и посылает серверу запрос на про хождение аутентификации со списком параметров сессии (СопЬех1 С).
С: К 5= М Б 4(Р(11))
Ка - [ К 8] < 7 >
Кв - [ К 8] < 7 : 7 >
Кс = [К 3] < 2 : 14 >, 2 (5 )
С-^3: Соп1:ех1; С.
2.Сервер выбирает параметры сессии (СопЪехЪ 3) и посылает клиенту: 5-*С: Соп1ех1: 3, СЗ.
3.Клиент вычисляет ответ серверу, МАС-ключ, М АС от предполагаемо го на данном шаге сообщения и посылает серверу свое имя, вычислен ные значения и параметры запроса (идентификатор алгоритма и др. - Мзезз);
С: К - {С 5 }К а, {С 5 }К в, {С З }К с
КМ= К 5,К
5Ы = 0
М С - [М Б 5 (К м, ЗЫ, Мзезз, П, К )] < 8 >
ЗЫ = 1
С-+5: Мзезз, II, К, МС;
4.Сервер посылает имя пользователя, СЗ и К (из предыдущего шага) ключевому серверу (К З ) по защищенному каналу.
З - К З : I], СЗ;
Ключевой сервер, получив имя пользователя, вычисляет сеансовый ключ К 3 , после чего вычисляет К.' и проверяет К = К ’; если оно выпол няется, посылает К 3'. В противном случае серверу возвращается отри цательный результат сравнения и аутентификация заканчивается.
КЗ: КЗ' = М Б 4(Р(11))
К А- - |
[К ,] < 7 > |
К в. - [К 8 ] < 7 : 7 > |
|
К е - |
[К 8.] < 2 : 14 >, 2 (5 ) |
К ’ - |
{С5}К а, {С5}Кв, {С5}К с |
КЗ-^З: К 5.
252Компьютерная безопасность и практическое применение криптографии
5.Сервер вычисляет М АС-ключ и М АС на сообщение, полученное от клиента (М С ’), и производит сравнение М С = М С ’. В случае его вы полнения клиент аутентифицирован успешно, и клиенту отправляет ся ответ сервера вместе с параметрами сессии (Мзеззг).
3: К м- - К 3, К
М С ’ - |
[М Б 5 (К м, ЗЫ, Мзезз, II, К )] < 8 > |
М5 - |
[М Б 5 (К м, ЗЫ, Мзеззг)] < 8 > |
5— С: Мзеззг, М3
6.Клиент проверяет равенство М3' = М3, и, если оно верно, считается, что сервер аутентифицирован клиентом, после чего клиент устанавли вает свой номер шага равным 2 и производит следующие вычисления:
С: М3' - [М Б 5(К м, ЗИ, Мзеззг)] < 8 > З И - 2
Для последующих взаимодействий клиента и сервера используется аутентификация сообщений, которую можно описать так:
1. Клиент посылает серверу запрос совместно с М АС на данный запрос с использованием текущего значения номера шага (ЗИ ), после чего увеличивает ЗИ на единицу.
С - 3 :
Мгер, [М Б 5 (К м, ЗЫ, М гер)] < 8 > Мгер - параметры сессии со стороны клиента С: ЗИ + ЗИ + 1
2.Сервер проверяет М АС и посылает клиенту ответ, после чего увели чивает свой ЗЫ' на 2.
3 - С : Мгзр, [М Б 5 (К м, ЗЫ' + 1, М гзр)] < 8 >
3: ЗЫ’ = 5 Н + 2
3.Клиент проверяет МАС, и, если он корректен, считается, что аутенти фикация завершена успешно.
С: ЗИ = ЗИ + 1
На практике варианты протокола могут изменяться:
• сеансовый ключ К 5 может вычисляться различными способами;
•протокол аутентификации сообщений может не применяться;
•пароль может передаваться в открытом виде.
Безопасность РРТР-протокола
Этот раздел тесно связан с разделом, посвященным созданию виртуаль
ных частных сетей (УРЫ ), однако здесь рассматривается и безопасность
Защита в локальных сетях |
253 |
конкретного протокола, используемого для создания УРЫ, - |
туннельного |
протокола типа точка-точка (Р Р Т Р ). Общие сведения по вопросам созда ния У Р И и защите информации и информационных ресурсов в рамках УРЫ можно найти в разделе 3.4.2.
Р Р Т Р - протокол, который позволяет выполнять туннелирование РРР - соединений по 1Р-сети для создания У Р К Таким образом, удаленный хост в сети X может туннелировать трафик иа шлюз в сети У и имитировать подключение с внутренним (в сети X ) 1Р-адресом к сети У. Ш лю з получа ет трафик для внутреннего 1Р-адреса и передает его удаленной машине в сети X. Существует два основных способа применения РРТ Р: с исполь зованием 1п1егпе1: и с использованием коммутируемых линий. Функцио нирование Р Р Т Р заключается в инкапсулировании пакетов виртуальной сети в пакеты РРР, которые, в свою очередь, инкапсулируются в пакеты ОКЕ (С еп еп с КоиПп§ 1псарзи1а1;юп), передаваемые по 1Р от клиента к шлюзу-серверу Р Р Р и обратно. Совместно с каналом инкапсулирован ных данных существует управляющий сеанс на базе ТСР. Пакеты управ ляющего сеанса позволяют запросить статус и сопровождать сигнальную информацию между клиентом и сервером. Канал управления иницииру ется клиентом иа сервере на ТСР-порте 1723. В большинстве случаев это двунаправленный канал, по которому клиент посылает запросы на сервер и наоборот. В рамках Р Р Т Р не оговариваются конкретные алгоритмы аутентификации и шифрования, протокол обеспечивает интерфейс для применения различных алгоритмов.
В данном разделе речь идет о реализации Р Р Т Р от МдсгозоК, который является частью ОС \УтсЬ\уз 1ЧТ Зегуег (данное П О можно бесплатно по лучить с \УеЪ-сайта Мхсгозой). Сервер МшгозоЙ Р Р Т Р может существовать только для \Утс1о\У5 ИТ, хотя клиентское П О есть и для Уйпбоу/з ЫТ/95/ 98. В протоколе Р Р Т Р фирмы МгсгозоК реализовано несколько вариантов аутентификации:
•с использованием текстового пароля. Клиент передает серверу Пароль в открытом виде;
•хэшированный пароль. Клиент передает серверу хэш-код пароля;
•аутентификация типа «запрос-ответ».
Необходимо отметить, что последний вариант аутентификации шиф рует передаваемые данные с использованием 40или 128-битиых ключей, но не все О С У йпйолуз поддерживают шифрование трафика. Так, ОС
\\йпс!о\уз И Т его поддерживает, в то время как базовые версии О С \Утс1о\У5 95/98 не имеют такой возможности.
Несмотря на широкое распространение данной реализации РРТР, в ней существует достаточное количество уязвимостей. Брюс Шнеер и Питер
254 Компьютерная безопасность и практическое применение криптографии
Мадж провели криптоанализ данной реализации протокола и обнаружи
ли в ней ряд существенных уязвимостей.
Их можно разделить на:
•уязвимости в реализации и применении функций хэширования паро лей в ОС \Утс1о\уз ИТ;
•уязвимости протокола аутентификации (С Н А Р ), используемого в РРТР;
•уязвимости, связанные с протоколом шифрования в одноранговых се
тях (М Р Р Е ), используемым в Р РТ Р;
•уязвимости реализации протокола РРТР, обусловленные некоррект ной реализацией логики работы самого протокола.
Уязвимости, связанные с применением хэш-функций
В ОС АУшс1о\у5 Ш 1применяются две однонаправленные хэш-функции - Ьап Мапа^ег (с использованием алгоритма О ЕЗ) и ^У тбо^з ЫТ (с исполь зованием алгоритма М Б 4).
Хэш-функция Ьап Мапа^ег вычисляется следующим образом:
1.Пароль превращается в 14-символьную строку. Для этого можно отсе кать более длинные пароли либо дополнять короткие пароли нулевы ми элементами.
2.Все символы нижнего регистра заменяются символами верхнего ре гистра; цифры и специальные символы остаются без изменений.
3.14-байтная строка разбивается на две 7-байтные половины.
4.Каждая половина строки используется в роли ключа БЕЗ, осуществ ляется шифрование фиксированной константы с помощью каждого ключа, получаются две 8-байтные строки.
5.Две строки объединяются для создания одного 16-разрядного значе ния хэш-функции.
Хэш-функция \Ушс1о\у5 1МТ вычисляется так:
1.Осуществляется преобразование пароля длиной до 14 символов с раз личением регистров.
2.Происходит хэширование пароля с помощью 1УШ4 и получение 16-сим вольного значения хэш-функции.
Причины успешного проведения словарных атак на приведенные здесь хэш-функции заключаются в следующем:
•преобразование символов верхнего регистра в нижний, что уменьшает число возможных паролей (Ьап Мапа§ег);
•отсутствие индивидуальной привязки хэш-значения пароля к пользо вателю. Два пользователя с одинаковыми паролями будут иметь оди наковые хэш-значения (Ьап Мапа^ег и Шпбо^/з ЫТ);
Защита в локальных сетях |
255 |
• разбиение пароля на две половины и необходимость работы с каж дой из них в отдельности приводит к тому, что атаку методом «гр у бой силы » можно провести на каждую половину (это выполнить зна чительно легче, нежели провести атаку на весь хэш-код в целом (Ьап Мапа&ег)).
Очевидно, что хэш-функция ^ т б о ^ з О Т обладает более высокими по казателями, чем хэш-функция Ьап Мапа^ег. Вторая используется для со вмещения с ранним версиями О С ЧУтбочуз, и применять ее в сетях ОС АУтбо^з О Т нет необходимости, тем не менее хэш-код Ьап Мапа^ег пере дается совместно с хэш-кодом \Уш <1о \у 5 О Т в сетях О С А У тбо^з ОТ. Эта качественная характеристика приводит к тому, что появляется возмож ность проводить атаки на более слабую хэш-функцию Ьап Мапа^ег даже в случае использования хэш-функции ЧУтбочуз ОТ.
Уязвимости протокола аутентификации
Аутентификация в РРТР -п ротоколе очень похожа на аутентификацию в (ЛЕЗ, поэтому все уязвимости, описанные для протокола аутентифика ции в СЛЕЗ, имеют место и при аутентификации в протоколе РРТР. С ле дует добавить, что применение хэш-функций в ходе аутентификации де лает протокол аутентификации более уязвимым к возможным атакам, поскольку используемые хэш-функции являются уязвимыми.
Кроме того, данный протокол аутентифицирует только клиента. Атаку ющий злоумышленник, выполняющий подмену соединения, может триви ально замаскироваться под сервер. Если шифрование разрешено, атакую щий не сможет посылать и принимать сообщения (пока не взломает шифр), однако, используя старое значение вызова, он в состоянии получить дан ные двух сессий, зашифрованные одним ключом.
Уязвимости протокола МРРЕ
Формально М РРЕ не может считаться полноценным протоколом, в соот ветствии с которым происходит шифрование пакетов Р Р Т Р (с использо ванием поточного шифра КС4 с 40или 128-битным ключом). Необходи мо, чтобы при включенном режиме шифрования данных шифровались только те пакеты, чьи номера протоколов лежат в диапазоне 0x0021 - 0x001а. Типы пакетов, шифрование которых осуществляется/не осущест вляется, регламентируются в НЕС 1700.
В М РРЕ степень защиты ключа не превышает степени защиты пароля, поскольку ключи генерируются с использованием хэш-кода пароля и слу чайного числа, пересылаемого от сервера клиенту (только для 128-битиых ключей). Большая часть паролей имеет длину существенно меньше 40 бит и раскрывается с помощью словарных атак.
256 Компьютерная безопасность и практическое применение криптографии
Общая же степень защиты определяется не длиной 40 или 128 бит, а количеством битов энтропии пароля, поэтому любая программа, кото рая использует словарь слабых паролей, способна прочитать зашифро ванный трафик. Кроме того, наличие стилизованных участков Р Р Т Р - пакета позволяет набрать статистику для облегчения последующего вскрытия кода.
128-битный КС4 использует в процессе генерации ключей 64-битную случайную величину. Такой подход делает словарную атаку непрактичной. Тем не менее метод «грубой силы» применительно к паролям более эффек тивен, нежели тот же метод по отношению к ключам. Случайное число также означает, что для двух сессий с одним паролем будут использованы разные 128-битные ключи КС4, хотя для шифрования текста в обоих на правлениях будет применен один и тот же ключ.
Поскольку КС4 является поточным алгоритмом шифрования, атакую щий имеет возможность изменять передаваемый трафик, при этом изме нения могут быть не обнаружены. Так, например, замена или частичная подмена управляющего бита или байта в зашифрованном пакете может привести к самым неприятным последствиям.
Еще одной проблемой при употреблении М Р Р Е является механизм син хронизации ключей. Так, атакующий может либо подавать запросы на рас синхронизацию, либо выбрасывать МРРЕ-пакета с неверным значением счетчика пакетов. Если перед обменом 256-го пакета, когда происходит смена сеансового ключа, постоянно выполнять эту операцию, атакующий может добиться успеха - сеансовый ключ не будет изменен.
Уязвимости протокола РРТР
Существует несколько возможных путей проведения атак на протокол РРТР, а именно:
•использование снифферов позволяет получать некоторое количество служебной информации о пользователе, а также набрать статистику для последующего подбора паролей. Так, если атакующий регулярно передает пакеты РРТР_5ТА К Т _5Е 531(Ж _К Е а11Е 5Т, он может на блюдать создание новых и закрытие существующих соединений. Таким образом, злоумышленник может собрать информацию о системе и шаб лонах ее использования, при этом ему не нужно быть поблизости;
•открытость для атаки этапа конфигурации соединения. Дело в том, что пакеты согласования параметров Р Р Р передаются до начала шифро вания и после его окончания и реальная аутентификация пакетов не производится. В этом случае возможна так называемая атака методом «внедрение ложного сервера»;
Защита в локальных сетях |
257 |
•успешное проведение атак типа «отказ в обслуживании» с использо ванием управляющего канала РРТР-протокола.
Таким образом, протокол Р Р Т Р от ЗУПсгозоЙ; весьма уязвим при реали зации и обладает серьезными недостатками с точки зрения теории прото колов. С учетом перечисленных недостатков в МтсгозоЙ: была произведена его доработка, но, как утверждают Брюс Шнеер и Питер Мадж, изменения носили «косметический» характер, так что обновленная версия РРТР-про токола унаследовала большинство недостатков предыдущей версии.
3.3.4. Система Зесге1 Л/е* Л/Г
Система ЗесгеЪ ЫеГ ЫТ (Информзащита) предназначена для организации защиты информации в Л В С на основе сетевой О С Щ п бо^ з ЫТ. Она по зволяет организовать эффективную защиту отдельного домена локальной сети Ш пйош ИТ.
Система Зесге* ЫеГ ЫТ не подменяет собой систему разграничения до ступа сетевой ОС '\Упк1о\уз ЫТ, а дополняет ее в части защиты рабочих станций сети, позволяя тем самым повысить защищенность всей автома тизированной системы обработки информации в целом. Иначе говоря, система ЗесгеГ Ые* ЫТ является специализированным программно-техни ческим продуктом, дополняющим О С АУтбомт» ЫТ функциями защиты от несанкционированного доступа к различным ресурсам рабочих станций и серверов домена локальной сети \Утс1оу/з ЫТ, который позволяет цент рализованно управлять этой защитой в рамках данного домена.
Дополнительно к стандартным механизмам защиты, реализованным
вОС \УтсЬ\У5 ЫТ, система ЗесгеЪ Ые* ЫТ обеспечивает:
•опознание (идентификацию) пользователей при помощи специальных аппаратных средств (ТоисЬ Мешогу и Зтаг* Саг<1). Возможна организа ция усиленной аутентификации пользователя сервером управления доступом;
•полномочное (мандатное) управление доступом пользователей к дан ным. Дополнительно к избирательному (дискреционному) управле нию доступом, реализованному в \\Тпс1о \у 5 ЫТ, возможно также раз граничение доступа к файлам (иа локальны х и удаленных дисках) в соответствии со степенью конфиденциальности сведений, хранящих ся в файле, и уровнем допуска пользователя;
•возможность подключения и использования средств криптографи ческой защиты данных, передаваемых по сети, и данных, хранящих ся в файлах на внешних носителях (жесткие и гибкие магнитные дис ки и т.д.). В сети возможно определение рабочих станций, обмен
9 - 3
258 Компьютерная безопасность и практическое применение криптографии
данными между которыми будет осуществляться в криптографичес
ки защищенном виде;
•централизованное оперативное управление доступом пользователей к совместно применяемым ресурсам (каталогам и принтерам) как в од норанговой, так и в доменной сети;
•оперативный контроль работы пользователей сети;
•оповещение администратора безопасности о событиях несанкциониро ванного доступа;
•централизованный сбор и анализ содержимого журналов;
•контроль целостности программ, используемых О С и пользователем.
Система Зесте* Ме*: ЫТ состоит из двух основных частей (рис. 3.8), которые при установке системы защиты в домене локальной сети \Утс1о\уз ЫТ размещаются иа различных серверах и рабочих станциях, входящих в состав домена. Серверная часть системы Зесге!: Ые* ЫТ всегда уста навливается на основной контроллер домена (Р п т а г у О о т а т СопГго11ег).
Клиентская часть системы Зесге* Ые* ЫТ может быть установлена иа любом сервере или рабочей станции домена, включая и основной контрол лер. При этом на некоторые рабочие станции клиентская часть может не устанавливаться. В подобном случае эти рабочие станции останутся неза щищенными. В дальнейшем, для простоты изложения, все серверы и рабо чие станции домена, отличные от основного контроллера домена, будем называть рабочими станциями.
Серверная часть системы Зесге* Ые* ЫТ состоит из следующих компо нентов и подсистем:
•сервер управления доступом;
•программа управления Ые1:Ас1гтп;
•подсистема ведения базы данных системы защиты.
Клиентская часть системы Зесге* Ые* ЫТ состоит из следующих компо нент и подсистем:
•компонент обеспечения загрузки легальной копии ОС;
•агент сервера управления доступом;
•подсистема опознавания пользователя;
•подсистема контроля целостности;
•подсистема полномочного управления доступом;
•подсистема криптографической защиты;
•локальная база данных системы защиты.
Защита в локальных сетях |
259 |
Серверная часть
Сервер СУБД управления
доступом
|
БД |
|
|
|
Ые1Ас1т|п |
системы |
Подсистема |
|
Агент сервера |
защиты |
|
|||
|
|
|||
|
полномочного |
управления |
||
|
|
|||
|
|
управления доступом |
доступом |
|
БД контроллера |
|
п |
л |
|
|
домена |
|
||
|
|
|
|
|
|
|
Подсистема |
|
|
|
|
криптографической |
Локальная БД |
|
|
|
защиты |
|
|
|
|
Подсистема |
-------------- |
Подсистема |
|
|
контроля |
опознавания |
|
|
|
целостности |
|
пользователей |
Рис. 3.8. Архитектура Зесге! Д/е/ ЫТ
При правильном выборе конфигурации системы и режимов использо вания ОС \Дбп(1о'\у$ ЫТ, а также при соответствующей настройке имеющихся средств защиты и корректно осуществляемой организационно-админист ративной поддержке их применения О С ^хп до^з 1МТ позволяет создавать защищенные распределенные автоматизированные системы обработки данных.
Для применения ОС \Уйк1о>у$ К Т с целыо обеспечения защиты в Л В С необходимо соблюдать следующие условия:
•использовать ОС Щпбо\У5 ДГТ 4.0 Зепчсе Раск 3. П осле инсталляции ОС \Утс1о\*/8 N 1 необходимо установить необходимые права доступа пользователей к различным каталогам на жестких дисках и ключам реестра;
•система ОС 'УДпсЬ^з N 7 должна быть установлена на раздел с файло вой системой Ш Т 5 . Необходимо, чтобы иа диске отсутствовали иные операционные системы. В Л В С должен присутствовать основной до мен-контроллер. Обмен данными между рабочими станциями Л В С должен осуществляться с использованием протокола ТСР/1Р;
•система ЗесгеГ ЫеС ДГГ должна быть установлена с платой защиты от загрузки и настроена следующим образом:
-для всех пользователей системы должны быть подготовлены ключе вые носители (дискеты или 1;оисЬ шешогу), и для всех пользователей
9*
260 Компьютерная безопасность и практическое применение криптографии
системы должен быть установлен режим усиленной аутентифи
кации;
-на всех компьютерах локальной сети (за исключением основного контроллера домена) должен быть установлен режим шифрования трафика;
-должно быть установлено принудительное затирание файла под качки страниц, а также затирание данных на жестком диске в один проход;
•организационными мерами защиты должна быть обеспечена сохран ность ключевой информации пользователей, а также управление на стройками компьютера с основного контроллера домена.
3.4. Защита информации
при межсетевом взаимодействии
3.4.1. Общие сведения
Появление локальных и глобальных сетей передачи данных предоставило пользователям удивительные возможности для оперативного обмена ин формацией. Если до недавнего времени подобные сети создавались только в специфических и узкоиаправленных целях (академические сети, сети во енных ведомств и т.д.), то развитие 1п1егпе1: и аналогичных систем приве ло к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека.
Повсеместное распространение 1п1;егпе1: привело к необходимости при менять в телекоммуникационном оборудовании и информационных услу гах открытые и универсальные решения. Сама жизнь требовала обеспе чить совместимость и интегрируемость предоставляемых продуктов и услуг в рамках 1пГегпе1;, но для реализации такого подхода пришлось пожертвовать безопасностью создаваемых систем. Недостатки в защи те отправляемых по 1Щегпе1; данных являются неизбежным следствием недоработанности вопросов сохранения конфиденциальности в базовом стеке протоколов 1п1егпе1: - ТСР/1Р у 4. Поскольку существующая вер сия стека протоколов ТСР/1Р была разработана в 70-х годах, соответ ственно его создатели даже предположить не могли, что через некоторое время их детище получит статус международного промышленного стандар та. Первые нарушения безопасности в сети ЫГегпеГ были зафиксированы