Re: Проблема безопасности

Отправлено: Sergey Drazhnikov on September 10, 1999 at 19:00:12:

В ответ на: Re: Проблема безопасности posted by Виталий Белехов on September 10, 1999 at 10:32:47:

> Если надо именно ЗАШИТУ, то самое надежное - шифрование трафика, причем
> не обязательно на уровне MAC, хватит и на уровне IP.

Нет, речь шла, насколько я понял, именно о возможности подделки
устройства и несанкционированном подключении к сети провайдера.
Так называемая проблема близнецов.
То есть вопрос заключается в том, как различить два устройства,
в рамках имеющегося протокола взаимодействия.

Эта проблема решается на двух уровнях: аппаратном и административном.

В случае со старым оборудованием Arlan/WaveLAN _единственным_
критерием аппаратной идентификации устройства был MAC адрес.
Который к тому же достаточно легко поменять.

К административным мерам относится необходимость знания частоты,
на которой работает точка доступа провайдера, идентификатор
сети (SID) и карта сетевых адресов.

Итак, что мы имеем.
Злоумышленник достаточно хорошо осведомлён о состоянии дел провайдера,
и каким-то образом узнал SID, частоту и топологию сети.
Далее он приобретает совместимое оборудование и подставляет
подходящий MAC и IP адрес.
Отбросим проблемы с маршрутизацией (если это маршрутизатор), для
пытливого ума нет преград.

Вообще-то и это непросто, но допустим...

Есть ещё возможность задавать на каждом абонентском блоке специальный
Challenge пароль, который он передаёт на базовую станцию в каждом
сеансе установления связи. Такая возможность есть практически во всех
новых 11-и Мегабитных устройствах. Предусмотрена она и в Революшенах.
Но это тоже не решает проблемы.
Мы исходим из того, что подлый враг знает ВСЁ, что можно узнать.

Можно, конечно, пойти по пути Intel, зашивая идентификатор
в _каждый_ чип. Но тогда нужны мощности Intel, чтобы они были дешёвыми.
Опять же, слабым местом остаётся протокол в котором он (идентификатор)
будет использоваться.
Как показывает практика: ломается всё, _абсолютно_ всё.

И что ?
Вот она удача ?
Интернет на халяву ?
Боже мой!
Провайдеры рвут на себе волосы и в панике мечутся в поисках новой работы.

На самом деле всё не совсем так.

В любом бизнесе сохраняются законы элементарной логики.
Затраты на безопасность редко превышают стоимость охраняемого,
а затраты на взлом почти никогда не превышают ценности взламываемого.

Чтобы рассматриваемая ситуация стала реальной угрозой, нужно,
чтобы время на подбор всех необходимых параметров и осуществление
замысла было хотя бы соизмеримым с временем устранения этой проблемы.
Но на самом деле оно гораздо больше. (в противном случае, ищите среди своих)

Обычно, при возникновении подобной ситуации, с помощью нехитрых технических
и административных средств, злоумышленника достаточно легко вычисляют, отрывают ему округлые
наросты внизу туловища и грозно делают пальчиком: Низзя.
Можно и с привлечением правоохранительных органов, если таковые имеются
в данной местности.
И всё. Инцидент исчерпан.

Мне кажется, что решение нужно искать именно в этой плоскости.

Отклики:

Написать ответ

Ваше имя:
E-Mail:

Тема:

Ваше сообщение:
> > Если надо именно ЗАШИТУ, то самое надежное - шифрование трафика, причем > > не обязательно на уровне MAC, хватит и на уровне IP. > Нет, речь шла, насколько я понял, именно о возможности подделки > устройства и несанкционированном подключении к сети провайдера. > Так называемая проблема близнецов. > То есть вопрос заключается в том, как различить два устройства, > в рамках имеющегося протокола взаимодействия. > Эта проблема решается на двух уровнях: аппаратном и административном. > В случае со старым оборудованием Arlan/WaveLAN _единственным_ > критерием аппаратной идентификации устройства был MAC адрес. > Который к тому же достаточно легко поменять. > К административным мерам относится необходимость знания частоты, > на которой работает точка доступа провайдера, идентификатор > сети (SID) и карта сетевых адресов. > Итак, что мы имеем. > Злоумышленник достаточно хорошо осведомлён о состоянии дел провайдера, > и каким-то образом узнал SID, частоту и топологию сети. > Далее он приобретает совместимое оборудование и подставляет > подходящий MAC и IP адрес. > Отбросим проблемы с маршрутизацией (если это маршрутизатор), для > пытливого ума нет преград. > Вообще-то и это непросто, но допустим... > Есть ещё возможность задавать на каждом абонентском блоке специальный > Challenge пароль, который он передаёт на базовую станцию в каждом > сеансе установления связи. Такая возможность есть практически во всех > новых 11-и Мегабитных устройствах. Предусмотрена она и в Революшенах. > Но это тоже не решает проблемы. > Мы исходим из того, что подлый враг знает ВСЁ, что можно узнать. > Можно, конечно, пойти по пути Intel, зашивая идентификатор > в _каждый_ чип. Но тогда нужны мощности Intel, чтобы они были дешёвыми. > Опять же, слабым местом остаётся протокол в котором он (идентификатор) > будет использоваться. > Как показывает практика: ломается всё, _абсолютно_ всё. > И что ? > Вот она удача ? > Интернет на халяву ? > Боже мой! > Провайдеры рвут на себе волосы и в панике мечутся в поисках новой работы. > На самом деле всё не совсем так. > В любом бизнесе сохраняются законы элементарной логики. > Затраты на безопасность редко превышают стоимость охраняемого, > а затраты на взлом почти никогда не превышают ценности взламываемого. > Чтобы рассматриваемая ситуация стала реальной угрозой, нужно, > чтобы время на подбор всех необходимых параметров и осуществление > замысла было хотя бы соизмеримым с временем устранения этой проблемы. > Но на самом деле оно гораздо больше. (в противном случае, ищите среди своих) > Обычно, при возникновении подобной ситуации, с помощью нехитрых технических > и административных средств, злоумышленника достаточно легко вычисляют, отрывают ему округлые > наросты внизу туловища и грозно делают пальчиком: Низзя. > Можно и с привлечением правоохранительных органов, если таковые имеются > в данной местности. > И всё. Инцидент исчерпан. > Мне кажется, что решение нужно искать именно в этой плоскости.

Optional Link URL:
Link Title:
Optional Image URL:

E-mail: sales@comptek.ru tel: (095) 785-2525