Читаем Защита от хакеров корпоративных сетей полностью

Защита от хакеров корпоративных сетей

Это не означает, что идентификационные данные в оперативном режиме не могут быть повторно переданы или представлены. Это означает, что до тех пор, пока не будут предприняты эффективные меры установления и сохранения идентификационных данных внутри самих передаваемых данных, у получателя каждого сообщения не будет возможности идентифицировать отправителя полученного сообщения. По большей части любые случайные инциденты не вызывают доверия. Хотя целый класс анализа уязвимостей концентрируется вокруг использования случайных отклонений в поведении TCP/IP, позволяя определить тип операционной системы удаленного хоста. Можно найти одну характерную особенность: легитимным удаленным хостам соединение нужно либо для получения, либо для отправки данных. Здесь может быть заложена асимметричность. Возможно, что с помощью асимметричных способов в значительной степени удастся добиться того, что легитимный пользователь сравнительно легко сможет получить предназначенные ему данные, потому что в сетях по правильному направлению данные будут передаваться значительно быстрее, чем по неверному. Вероятно, что будет потребовано возвращение какой-либо части данных обратно или будет затребован пароль, которым доверенная сторона будет располагать с большей вероятностью, чем недоверенная. В криптографии есть даже раздел, основанный на использовании внутренней асимметричности. Этот раздел применяется для представления доверительных отношений (одно– или двусторонних связей между доменами, позволяющими осуществлять сквозную аутентификацию). Подобных методов много, и вкратце они будут рассмотрены.

...

Примечание

Остаточная аналоговая информация, присущая передаваемым данным до начала работы цифровых повторителей, теряется не всегда. Как известно, в сотовой связи контролируются характеристики передаваемого клиентскими сотовыми телефонами сигнала, ищутся случаи клонирования сигнала сотовым телефоном, радиочастотные характеристики которого не совпадают с характеристиками законного телефона. Различие между характеристиками, которые легко скопировать программным способом, и физическими характеристиками аппаратных средств, которые скопировать почти невозможно, делает контроль аналогового сигнала хорошим методом проверки несанкционированного клонирования контролируемого телефона. Это вполне выполнимо, потому что для любого сотового телефона его оператор сотовой связи является единственным, а контролируемый телефон в один и тот же момент времени может использовать только один номер сотовой связи. Если у абонента нет достаточных законных оснований для переключения выделенной ему линии, то мошенничество может быть разоблачено на основе выявленных различий в аналоговых сигналах.

Возврат части данных отправителю сообщения

Интернет предусматривает, что пакеты данных содержат адрес отправителя и номер порта, по которому отправитель ожидает ответа сервера. Так записано в Запросах на комментарии RFC, и это можно обнаружить при трассировке пакетов. Клиенты перед посылкой серверу пакета вставляют в него адрес отправителя и номер порта, по которому они ожидают ответ от сервера. Подобный алгоритм работы был бы безупречен при работе с доверенными клиентами, но если все клиенты доверяют друг другу, то отпадает необходимость в системе защиты. Достаточно было бы просто узнать у клиентов, считают ли они себя допущенными к той или иной порции данных, и довериться их мнению по этому поводу.

Поскольку клиент определяет свой собственный адрес отправителя и для отправки пакета из какого-либо пункта сети в пункт B требуется указать только адрес получателя, данные об адресе отправителя должны считаться подозрительными до тех пор, пока не будет установлено, что можно доверять каждому сетевому домену, через который прошли эти данные. Ввиду глобальности Интернета подобное допущение не может быть выполнено с достаточной для этого заключения точностью.

Перейти на страницу: