RFC: 3631
Оригинал: Security Mechanisms for the Internet
Категория: Информационный
Дата публикации:
Авторы: , ,
Перевод: Мельников Дмитрий Анатольевич

4.2. Аутентификация на основе адресов

Другим наиболее распространенным в Internet способом обеспечения ИБ являются системы аутентифкации на основе адресов. В лучшем случае такая система может работать только в тех сетевых сегментах, в которых имеют место существенные функциональные и топологические ограничения. Если сетевой сегмент включает небольшое количество компьютеров, функционирование которых жестко администрируется, системы обеспечения безопасности функционируют под управлением надежных пользователей, и если сегмент «огражден» маршрутизатором, который блокирует маршрутизацию от источника сообщений и препятствует «прослушиванию» адресов источника сообщений, а также известно, что в сегменте нет никаких беспроводных мостов, и если для компьютеров другой сети запрещена аутентификация на основе адресов, то тогда такой сегмент, скорее всего, имеет высокий уровень защищенности. Но такие условия встречаются одновременно крайне редко.

К другим угрозам безопасности можно отнести атаки типа «маскарад» с использованием ARP-пакетов, DHCP-сообщений (Dynamic Host Configuration Protocol — протокол динамической настройки IP-узлов), IP-пакетов с «украденными» IP-адресами и маршрутами доставки, установленными нарушителем, атаки с целью нарушения нормального функционирования уполномоченных серверов, компрометации маршрутных таблиц, распознавания последовательного номера сообщения и последующего изменения нумерации. Все перечисленные атаки могут повлечь за собой очнь серьезные последствия.

4.3. Аутентификация на основе DNS-имен

Системы аутентифкации на основе DNS-имен имеют те же проблемы безопасности, как и системы аутентифкации на основе адресов, но к ним добавляются и новые: атаки на DNS-систему и проблемы при отображении IP-адресов в DNS-имена и наоборот. Как минимум, процесс, который по DNS-запросу возвращает DNS-имя IP-узла, должен возвращать соответствующие записи с адресами и осуществлять сравнение этих записей в разных источниках. Однако, атаки типа «загрязнение кэш-памяти» очень часто негативно сказываются не результатах такой сверки.

DNSSEC-протокол обеспечивает защиту от такого типа атак. Однако, он ничего не делает для обеспечния достоверности запрашиваемого адреса. Более того, атаки на DNS-серверы вызывают огромное количество ложных «тревог». Однако, поиски причин таких «тревог» не обеспечивают сервер надежной информацией, немотря на то, что могут быть полезны для DNS-администратора при устранении им неисправностей, а также могут быть полезны для контроля записей доступа к системе во время реконструкции атаки, то есть как проводилась атак и что было ее целью.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.