Необхідність захисту даних. Класифікація видалених атак на розподілені обчислювальні системи. Характеристика і механізми реалізації типових видалених атак. Принципи створення захищених систем зв'язку в розподілених обчислювальних системах, страница 18

Отже, на завершення чергова вимога до захищених систем зв'язку в розподілених ОС.

Твердження 6.

Для забезпечення доступності ресурсів розподіленої ОС необхідний контроль за віртуальними з'єднаннями між її об'єктами.

Слідство 6.1.

Необхідно забезпечити контроль за створенням з'єднання, ввівши обмеження на число оброблюваних в секунду запитів з однієї підмережі.

Слідство 6.2.

Необхідно забезпечити контроль за використовуванням з'єднання, розриваючи його по тайм-ауту у разі відсутності повідомлень.

Проектування розподіленої ОС з повністю певною інформацією про її об'єкти з метою виключення алгоритмів видаленого пошуку

Однією з особливостей розподіленої ОС є можлива відсутність інформації, необхідної для доступу до її видалених об'єктів. Тому в РОС виникає необхідність використовування потенційно небезпечних з погляду безпеки алгоритмів видаленого пошуку. Отже, для того, щоб в РОС не виникало необхідності у використовуванні даних алгоритмів, вимагається на початковому етапі спроектувати систему так, щоб інформація про її об'єкти була спочатку повністю визначена. Це дозволить, у свою чергу, ліквідовувати одну з причин успіху видалених атак, пов'язаних з використовуванням в розподіленій ОС алгоритмів видаленого пошуку.

Проте в РОС з невизначеним і достатньо великим числом об'єктів (наприклад, Internet) спроектувати систему з відсутністю невизначеності практично неможливо. В цьому випадку відмовитися від алгоритмів видаленого пошуку не представляється можливим.

Існують два типи даних алгоритмів. Перший типовий алгоритм видаленого пошуку - з використанням інформаційно-пошукового серверу, другий - з використанням широкомовних запитів. Застосування в РОС алгоритму видаленого пошуку з використанням широкомовних запитів у принципі не дозволяє захистити систему від упровадження в неї помилкового об'єкту, а, отже, використовування даного алгоритму в захищеній системі неприпустимо. Застосування в розподіленій ОС алгоритму видаленого пошуку з використанням інформаційно-пошукового серверу дозволяє забезпечити систему від упровадження в неї помилкового об'єкту тільки в тому випадку, якщо, по-перше, взаємодія об'єктів системи з сервером відбувається тільки із створенням віртуального каналу і, по-друге, у об'єктів, підключених до даного серверу, і у серверу існує наперед певна статична ключова інформація, використовувана при створенні віртуального каналу. Виконання цих умов зробить неможливим в розподіленій ОС передачу у відповідь на запит з об'єкту помилкової відповіді і, отже, упровадження в систему помилкового об'єкту.

Пояснимо останнє твердження. В тому випадку, якщо віртуальний канал з інформаційно-пошуковим сервером створюється з використовуванням ключової інформації, що тільки динамічно виробляється, наприклад, по схемі відкритого розподілу ключів, то ніщо не заважає атакуючому - в тому випадку, якщо він може перехопити первинний запит на створення ВК з об'єкту системи - послати помилкову відповідь і створити віртуальний канал від імені справжнього серверу. Саме тому на всіх об'єктах системи необхідна початкова ключова інформація для створення ВК з інформаційно-пошуковим сервером.

На закінчення пропонуються наступні вимоги, якими необхідно керуватися при створенні захищених систем зв'язку в розподілених ОС.

Твердження 7.

Найбезпечнішої розподіленої ОС є та система, в якій інформація про її об'єкти спочатку повністю визначена і в якій не використовуються алгоритми видаленого пошуку.

Твердження 8.

В тому випадку, якщо виполненіть вимога 7 неможлива, необхідно в розподіленій ОС використовувати тільки алгоритм видаленого пошуку з виділеним інформаційно-пошуковим сервером, і при цьому взаємодія об'єктів системи з даним сервером повинна здійснюватися тільки по віртуальному каналу із застосуванням надійних алгоритмів захисту з'єднання з обов'язковим використовуванням статичної ключової інформації.

Слідство 8.1.

У розподіленій ОС для забезпечення безпеки необхідно відмовитися від алгоритмів видаленого пошуку з використанням широкомовних запитів.