Отсутствие возможности контроля за маршрутом сообщений

Использование нестойких алгоритмов идентификации объектов при создании виртуального TCP-соединения

Взаимодействие в сети Internet объектов без установления виртуального канала

Одной из особенностей Internet является взаимодействие объектов без создания виртуального канала. Очевидно, что разработчики планировали подобное взаимодействие в том случае, если обеспечения его безопасности не требуется. Однако и для управляющих ICMP-сообщений, и для DNS-запросов используется связь без ВК, что приводит к возможности осуществления атак.

Как уже подчеркивалось, протокол TCP является единственным базовым протоколом транспортного уровня, в функции которого заложена защита соединения. Однако использование простейшего алгоритма идентификации объектов при создании виртуального ТСР-канала, особенно при условии применения в сетевых ОС простейших времязависимых законов генерации TCP-идентификаторов (ISN), сводит на нет все попытки обеспечения идентификации канала и объектов при их взаимодействии по протоколу TCP.

Невозможность контроля за виртуальными каналами связи

В существующем стандарте сети Internet нельзя обеспечить контроль за сетевыми соединениями, так как у одного субъекта сетевого взаимодействия существует возможность занять неограниченное число каналов связи с удаленным объектом и при этом остаться анонимным. Из-за этого любой хост в сети Internet может быть полностью парализован.

Невозможность контроля в Internet за виртуальными каналами обусловлено отсутствием в Сети контроля за маршрутом сообщений, а именно:

в существующем стандарте IPv4 нельзя по пришедшему на хост сообщению определить путь, через который оно прошло, а следовательно, невозможно проверить подлинность адреса отправителя.

Отсутствие полной информации об объектах Internet

Очевидно, что в глобальной сети невозможно обеспечить на каждом ее объекте наличие информации о любом другом объекте. Поэтому, как говорилось ранее, необходимо использовать потенциально опасные алгоритмы удаленного поиска. В сети Internet используются, по меньшей мере, два алгоритма удаленного поиска: ARP и DNS.

Отсутствие криптозащиты сообщений

В существующих базовых протоколах семейства TCP/IP, обеспечивающих взаимодействие на сетевом и транспортном уровнях, не предусмотрена возможность шифрования сообщений, хотя очевидно, что добавить ее в протокол TCP не составляло труда. Разработчики решили переложить задачу криптозащиты на протоколы более высоких уровней, например прикладного уровня. При этом базовые протоколы прикладного уровня (FTP, TELNET, HTTP и др.) также не предусматривали никакого шифрования сообщений. Только не так давно появился общедоступный прикладной протокол SSL, встроенный в Netscape Navigator, позволяющий как надежно зашифровать сообщение, так и подтвердить его подлинность.

В заключение хотелось бы заметить, что все описанные выше причины, по которым возможна успешная реализация удаленных атак в КС, делают сеть небезопасной (рис. 2). А следовательно, все пользователи сети могут быть атакованы в любой момент.

Дата добавления: 2014-01-13; Просмотров: 449; Нарушение авторских прав?; Мы поможем в написании вашей работы!