6.5. Проектирование распределенной ВС
с полностью определенной информацией
о ее объектах с целью исключения алгоритмов
удаленного поиска
Одной из особенностей распределенной ВС
является возможное отсутствие информации,
необходимой для доступа к ее удаленным объектам.
Поэтому в РВС возникает необходимость
использования потенциально опасных с точки
зрения безопасности алгоритмов удаленного
поиска (п. 3.2.3.2 и 5.1.5). Следовательно, для того,
чтобы в РВС не возникало необходимости в
использовании данных алгоритмов, требуется на
начальном этапе спроектировать систему так,
чтобы информация о ее объектах была изначально
полностью определена. Это позволит, в свою
очередь, ликвидировать одну из причин успеха
удаленных атак, связанных с использованием в
распределенной ВС алгоритмов удаленного поиска.
Однако в РВС с неопределенным и достаточно
большим числом объектов (например, Internet)
спроектировать систему с отсутствием
неопределенности практически невозможно. В этом
случае отказаться от алгоритмов удаленного
поиска не представляется возможным.
Существуют два типа данных алгоритмов. Первый
типовой алгоритм удаленного поиска - с
использованием информационно-поискового
сервера, второй - с использованием
широковещательных запросов (п. 5.1.5). Применение в
РВС алгоритма удаленного поиска с
использованием широковещательных запросов в
принципе не позволяет защитить систему от
внедрения в нее ложного объекта (п. 3.2.3), а,
следовательно, использование данного алгоритма
в защищенной системе недопустимо. Применение в
распределенной ВС алгоритма удаленного поиска с
использованием информационно-поискового
сервера позволяет обезопасить систему от
внедрения в нее ложного объекта только в том
случае, если, во-первых, взаимодействие объектов
системы с сервером происходит только с созданием
виртуального канала и, во-вторых, у объектов,
подключенных к данному серверу, и у сервера
существует заранее определенная статическая
ключевая информация, используемая при создании
виртуального канала. Выполнение этих условий
сделает невозможным в распределенной ВС
передачу в ответ на запрос с объекта ложного
ответа и, следовательно, внедрения в систему
ложного объекта.
Поясним последнее утверждение. В том случае,
если виртуальный канал с
информационно-поисковым сервером создается с
использованием только динамически
вырабатываемой ключевой информации, например, по
схеме открытого распределения ключей, то ничто
не мешает атакующему - в том случае, если он может
перехватить первоначальный запрос на создание
ВК с объекта системы - послать ложный ответ и
создать виртуальный канал от имени настоящего
сервера (п. 3.2.3.2). Именно поэтому на всех объектах
системы необходима начальная ключевая
информация для создания ВК с
информационно-поисковым сервером.
В заключение предлагаются следующие
требования, которыми необходимо
руководствоваться при создании защищенных
систем связи в распределенных ВС.
Утверждение 7.
Наиболее безопасной распределенной ВС
является та система, в которой информация о ее
объектах изначально полностью определена и в
которой не используются алгоритмы удаленного
поиска.
Утверждение 8.
В том случае, если выполненить требование 7
невозможно, необходимо в распределенной ВС
использовать только алгоритм удаленного поиска
с выделенным информационно-поисковым сервером, и
при этом взаимодействие объектов системы с
данным сервером должно осуществляться только
по виртуальному каналу с применением надежных
алгоритмов защиты соединения с обязательным
использованием статической ключевой информации.
Следствие 8.1.
В распределенной ВС для обеспечения
безопасности необходимо отказаться от
алгоритмов удаленного поиска с использованием
широковещательных запросов.
Заключая эту главу, хотелось бы обратить
внимание читателя на то, что, как он, наверное, уже
понял, в сети Internet в стандарте IPv4 практически ни
одно из сформулированных требований к
построению безопасных систем связи между
удаленными объектами распределенных ВС не
выполняется. Поэтому авторы позволили себе
привести свои требования, по которым должна
строиться распределенная ВС. Кстати, учтя
собственные ошибки в разработке стандарта IPv4,
группы разработчиков уже заканчивают проект
создания нового более защищенного стандарта
сети Internet - IPv6, где будут, по-видимому, учтены
некоторые из вышеизложенных требований. Однако
разговор о том, насколько будет безопасна сеть
Internet в новом стандарте, несколько
преждевременен, и его необходимо отложить до
окончательного выхода стандарта в свет.
Содержание
|