Защита от подмены одной из сторон

ЗАЩИТА ОТ ОТКАЗА В ОБСЛУЖИВАНИИ

ЗАЩИТА ОТ НАВЯЗЫВАНИЯ ЛОЖНОГО МАРШРУТА

Данная удаленная атака реализуется путем передачи на узел ложного сообщения ICMP Redirect о смене исходного маршрута. Приводит как к перехвату нарушителем информации, так и к нарушению работоспособности атакуемого узла. Для того чтобы защититься от такой атаки, необходимо либо фильтровать данное сообщение (используя Firewall или фильтрующий маршрутизатор), не допуская его попадания на конечную систему, либо соответствующим образом выбирать сетевую ОС, которая проигнорирует это сообщение. Однако обычно не существует административных способов повлиять на сетевую ОС так, чтобы запретить ей изменять маршрут и реагировать на данное сообщение.

Приемлемых способов защиты от отказа в обслуживании для стандарта IPv4 сети Internet нет. Это связано с тем, что в IPv4 невозможен контроль маршрута сообщений. Поэтому нельзя обеспечить надежный контроль сетевых соединений, так как у одного субъекта сетевого взаимодействия есть возможность занять неограниченное число каналов связи с удаленным объектом и при этом остаться анонимным. Из-за этого любой сервер в Internet может быть полностью парализован при помощи соответствующей удаленной атаки.

Единственное, что можно предложить для повышения надежности работы системы, подвергаемой данной атаке – использование более мощных компьютеров. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный шторм ложных запросов на создание соединения. Кроме того, необходимо использование соответствующих вашим вычислительным мощностям операционных систем с внутренней очередью, способной вместить большое число запросов на подключение.

Единственным базовым протоколом семейства TCP/IP, в котором изначально предусмотрена функция обеспечения безопасности соединения и его абонентов, является протокол транспортного уровня - протокол TCP. Что касается базовых протоколов прикладного уровня (FTP, TELNET, r-служба, NFS, HTTP, DNS, SMTP), то ни один из них не предусматривает дополнительной защиты соединения на своем уровне, и решение всех проблем по обеспечению безопасности соединения останется за протоколом более низкого транспортного уровня – TCP. Однако при использовании базовых протоколов семейства TCP/IP обеспечить безопасность соединения практически невозможно. Это происходит из-за того, что все базовые протоколы сети Internet сильно устарели с точки зрения обеспечения информационной безопасности.

Единственным способом защиты только от межсегментных атак на соединения, может являться использование в качестве базового "защищенного" протокола TCP и сетевые ОС, в которых начальное значение идентификатора TCP-соединения действительно генерируется случайным образом.

Стоит подчеркнуть, что рассматривались только базовые протоколы семейства TCP/IP, а все защищенные протоколы типа SSL, S-HTTP, Kerberos и т. д. не являются базовыми.

Дата добавления: 2014-01-07; Просмотров: 261; Нарушение авторских прав?; Мы поможем в написании вашей работы!