ИТО-2002 / Секция IIIПодсекция 2только публикация 

ПРОБЛЕМА ИДЕНТИФИКАЦИИ УЧАЩИХСЯ В ЛОКАЛЬНЫХ СЕТЯХ ETHERNET

Орлов Андрей Игоревич

РГУ нефти и газа имени И. М. Губкина

В случаях, когда используется клиент-серверное ПО для организации учебного процесса, иногда необходимо точно установить, кто сидит перед компьютером. Обычно для идентификации используются имя и пароль или цифровой сертификат. Но если у Вас сеть Ethernet или Token Ring, то нет никакой уверенности, что это именно тот, кто Вам нужен.

Дистанционное обучение и удаленное тестирование приобретает все большую значимость в нашем обществе. Актуальной проблемой, при этом, является задача идентификации учащегося во время обучения, а также защита ценной информации в процессе сетевого обмена ею. Ситуация заключается в том, что незаконно подключившись к локальной сети Ethernet, можно выдать свой компьютер за любой другой, имеющий достаточные права доступа к ценной информации в этой сети.

В сетях Ethernet существует такое понятие как MAC адрес (адрес контроля доступа к среде), благодаря которому драйвер сетевой карты определяет, что данный пакет адресован именно ему. Чужие пакеты не принимаются сетевой картой. В локальных сетях, как и в Интернете, используется логическая адресация с помощью IP адресов. IP адрес представляет собой 32-битное число, которое преобразуется в MAC адрес (48-битное число) средствами отправителя пакета. Ведь сетевая карта получателя не смотрит на IP адрес пакета, её интересует только MAC адрес. Таким образом, необходимо некое преобразование из IP адреса в МАС адрес. При этом данное преобразование не может быть выполнено никакими математическими средствами. Отправитель пакета определяет МАС адрес получателя, посылая широковещательный запрос по протоколу ARP. Запрос звучит примерно так: «если у Вас IP адрес x.x.x.x, то сообщите свой МАС адрес». Машина в сети, которая считает, что она имеет IP адрес x.x.x.x, посылает ARP отклик со своим МАС адресом. Отправитель знает, куда ему посылать пакеты, а MAC адрес заносится в специальный ARP кеш, в котором хранится таблица соответствия МАС и IP адресов. Время жизни каждой записи по стандарту составляет около 20 минут, затем процесс ARP запрос – ARP отклик повторяется снова.

Коммутаторы сети Ethernet реагируют на МАС адрес отправителя пакетов, заносят его в свой буфер и обратно посылают только те пакеты, которые предназначены отправителю. Концентраторы же просто посылают весь трафик по всем портам. В этом случае при использовании в сети коммутаторов получить чужие пакеты не сложнее, а проще; поскольку мы присваиваем адрес получателя себе, то реальный получатель не получит даже копии своих пакетов.

Теоретически сетевые карты не должны иметь возможность изменять свой аппаратный MAC адрес, он задается при производстве карты и является уникальным. Практически все современные сетевые карты могут так или иначе это делать. При этом возникает интересная возможность «дублировать» некий уже известный компьютер и получить все его привилегии. Поэтому использование МАС и IP адресов для идентификации компьютеров является неоднозначным. Можно ли использовать пароли? Тоже нет, так как злоумышленник может перехватить уже начавшуюся сессию. Этот перехват работает следующим образом. Два компьютера, обмениваются пакетами. Первому компьютеру вместо МАС адреса второго сообщаем адрес злоумышленника. Аналогично поступаем и со вторым компьютером. Теперь вся информация проходит через злоумышленника, который может разрывать соединения, вносить изменения, читать защищенные протоколы. Никто, в данном случае, не заметит подмены, так как большинство известных файрволов не следят за сетью на канальном уровне, где и работает протокол ARP. Уже существует несложная программа сниффер Ettercap, которая может перехватывать пароли и данные даже зашифрованных протоколов, например, SSL. Таким образом, учащиеся, при должном уровне знаний, могут изменять свои и чужие данные, а также получать информацию об ответах на поставленные вопросы в процессе тестирования.

Как защитится от данной опасности? Универсальной защиты нет. Существуют коммутаторы, которые позволяют определять соответствие МАС адреса физическому порту. Это избавит от изменения прав уже подключенных компьютеров, так как пакеты с ложными МАС адресами просто не будут доставляться в сеть. Статические таблицы ARP могут предотвратить перехват пакетов. То есть, данные таблицы IP-MAC соответствия жестко фиксируются. Этот способ не работает во всех ОС Windows. Значения таблицы все равно меняются, когда система получает ARP ответ, даже если она не посылала ARP запроса. Можно использовать также собственные зашифрованные протоколы, принцип работы которых заведомо неизвестен.