Интеграл 3/2019

Posted by adminwp

stock-vector-letter-e-logo-industrial-tech-style-in-a-blue-round-sphere-concept-341776358

ВИРТУАЛИЗАЦИЯ И ЕГО ОСОБЕННОСТИ

VIRTUALIZATION AND ITS FEATURES

Детков Евгений Александрович, МГТУ им.Н.Э.Баумана, студент-магистр

Коревых Александр Александрович, МГТУ им.Н.Э.Баумана, студент-магистр

Detkov E.A., Korevyh A.A.

Аннотация: В статье рассматриваются  технологии виртуализации платформ, а так же их виды, их достоинства и недостатки. Объясняются новые возможности в ИТ-сфере, то как виртуализация платформ приводит к новым рискам и угрозам безопасности информации.

Потенциальные внутренние уязвимости виртуализации платформ могут быть выявлены лишь тестированием на проникновение, удобным и доступным инструментом для реализации которого является специализированная ОС Kali Linux.

Summary: The article discusses platform virtualization technologies, as well as their types, their advantages and disadvantages. New opportunities in the it sphere are explained, as platform virtualization leads to new risks and threats to information security.

Potential internal platform virtualization vulnerabilities can be identified only by penetration testing, a convenient and affordable tool for the implementation of which is a specialized operating system Kali Linux.

Ключевые слова: технологии виртуализации, виртуализация платформ, риски и угрозы, тестирование на проникновение.

Keywords: virtualization technologies, platform virtualization, risks and threats, penetration testing.

Виртуализация по данным аналитической компании Gartner занимает первую позицию среди ключевых трендов в ИТ-области. Существует два типа виртуализации: виртуализация ресурсов и виртуализация платформ.

Технологии виртуализации платформ в настоящее время активно развиваются и прогрессируют, имеют множество различных видов реализации (полная виртуализация, нативная виртуализация, паравиртуализация, виртуализация уровня операционной системы, виртуализация уровня приложений).

Перспективность виртуализации платформ определяется рядом ее достоинств, в число которых входят такие ее возможности, как:

  • создание требуемых аппаратных конфигураций с требуемыми параметрами;
  • создание представлений устройств, несуществующих в вычислительной системе;
  • проведение безопасных экспериментов со старыми и новыми операционными системами на одном физическом компьютере в целях проверки на совместимость;
  • безопасная работа с изолированными сомнительными и подозрительными приложениями и компонентами;
  • создание виртуальной сети из нескольких систем на одном физическом сервере;
  • проведение безопасных экспериментов и обучения в ИТ-сфере;
  • обеспечение высокой мобильности вне зависимости от платформ приложений, рабочих столов и т.д.;
  • экономия аппаратного обеспечения при виртуализации серверов; лучшая управляемость виртуальных машин по сравнению с реальными.

Несмотря на достоинства, наличие недостатков технологий виртуализации сдерживает их широкое признание и применение.

К общепризнанным недостаткам относятся:

  • невозможность создания представлений устройств, не учтенных вендорами в системах виртуализации; высокие требования к аппаратному обеспечению;
  • высокая стоимость корпоративных платформ виртуализации;
  • более низкое быстродействие виртуальных машин по сравнению с реальными;
  • появление новых малоизученных и малоисследованных рисков и угроз безопасности информации;
  • появление новых проблем, которые всегда связаны с внедрением новых технологий (например, отсутствие специалистов, необходимость изучения технологии и управления ею и т.д.).

Многие компании с настороженностью относятся к виртуализации. Это связано с несколькими факторами, среди которых существенную роль играют специфические риски и угрозы безопасности информации при виртуализации платформ, которые малоисследованы [1, 2].

Исследование рисков и угроз безопасности информации при использовании виртуализации является актуальной проблемой.

Существует достаточное количество специфических рисков виртуализации платформ, среди которых и внутренние угрозы безопасности: возможность сетевых атак между виртуальными машинами (виртуальными серверами), расположенными на одном физическом сервере; риск компрометации гипервизора (монитора) виртуальных машин (при его наличии) и/или хостовой ОС (при ее наличии); нарушение основного принципа виртуализации — изоляции процессов (виртуальных машин) и др.

Имеются различные направления работ для минимизации новых рисков и угроз технологий виртуализации платформ. Например, хорошие системы виртуализации содержат виртуальные коммутаторы и брандмауэры, которые обеспечивают защиту от сетевых атак между виртуальными машинами, расположенными на одном физическом сервере.

Гарантию изоляции процессов и данных виртуальных машин друг от друга для гипервизора виртуализации дают основные вендоры систем виртуализации – компании Microsoft, IBM, Citrix и VMware. Но следует понять, что это все работает в случае отсутствия компрометации гипервизора виртуальных машин.

Поэтому никаких гарантий исключения рисков и угроз виртуализации платформ нет. К тому же, в настоящее время сами технологии виртуализации все активнее начинают применяться для нарушения конфиденциальности, целостности и доступности информации (в шпионских и других целях).

Потенциальные внутренние уязвимости виртуализации платформ могут быть выявлены лишь тестированием на проникновение, для реализации которого может использоваться такое удобное и доступное средство каким является специализированная ОС Kali Linux [3].

Бесплатная ОС Kali Linux создана на основе Debian дистрибутива для проведения тестирования на проникновение и аудита безопасности, имеет видоизмененное специальное ядро. Это специальное ядро защищено от инъекций, что позволяет безопасно проводить аудит беспроводных сетей. Kali Linux поддерживает большое количество беспроводных устройств, является совместимым с USB и другими беспроводными устройствами, включает более 300 инструментов для проведения тестирования на проникновение и многоязычную поддержку.  Существуют рабочие инсталляции для x86 и ARMсистем.

В число инструментов для проведения тестирования на проникновение входят такие инструменты, как:

  • инструменты для разведки, используются для сбора данных по целевой сети или устройствам;
  • инструменты веб-приложений, используются для аудита и эксплуатации уязвимостей в веб-серверах;
  • инструменты для атаки на пароли и ключи аутентификации;
  • инструменты для эксплуатации уязвимостей, найденных в беспроводных протоколах;
  • инструменты для эксплуатации уязвимостей, найденных в системах;
  • инструменты для захвата сетевых пакетов, манипуляции с сетевыми пакетами,
  • создания пакетов приложениями и веб подмены;
  • инструменты создания в целевой системе или сети плацдарма нападений;
  • инструменты обратной инженерии;
  • инструменты стресс тестинга в целях открытия коммуникационных каналов и организации атак отказа в обслуживании;
  • инструменты хакинга мобильных устройств; — инструменты криминалистики в целях мониторинга и анализа компьютера, сетевого трафика и приложений;
  • инструменты отчетности результатов проникновения.

На рисунке 1 представлен результат работы Kali Linux при использовании инструмента спуфинга.

Безымянный

Получение логина и пароля в открытом виде возможно в случае отсутствии сертификата SSL. При его наличии логин и пароль представляются в зашифрованном виде (см. рис.2).

Безымянный

В заключение можно отметить, что технологии виртуализации дают новые возможности, но и предъявляют к ИТ-специалистам более высокие требования как в плане уровня профессионализма, так и в плане уровня ответственности.

Список литературы

  1. Виртуальные машины 2017. Наталия Елманова, Сергей Пахомов, КомпьютерПресс № 9, 2017.
  2. Зорин В. Технологии виртуализации и защищенность информационных систем. [Электронный ресурс] // URL: http://www.itsec.ru/articles2/Oborandteh/tehnologiivirtualizacii-i-zaschischennostj-informacionnyh-sistem (дата обращения 20.05.2019).
  3. Зверев Г. И. Угрозы и методы обеспечения информационной безопасности виртуальных сред // Молодой ученый. — 2015. №9. — c. 235-237.
  4. Леонид Черняк. Виртуализация серверов стандартной архитектуры: //Открытые системы. 2018. №7. URL: http://www.osp.ru/os/2018/03/5015349/
  5. Милосердов А., Гриднев Д. Тестирование на проникновение с помощью Kali Linux 2.0. [Электронный ресурс] // URL:https://codeby.net/forum/resources/testirovanie-naproniknovenie-s-pomoschju-kali-linux-2-0-v-pdf-formate.2 (дата обращения 20.05.2019).
  6. Медведев Ю.В. Что такое виртуализация. URL: http://pcmag.ru/reviews/detail.php≤ID=9291.

List of references

  1. Virtual machines 2017. Natalia Elmanova, Sergey Pakhomov, Computer Press № 9, 2017.
  2. Zorin V. virtualization Technologies and security of information systems. [Electronic resource] // URL: http://www.itsec.ru/articles2/Oborandteh/tehnologiivirtualizacii-i-zaschischennostj-informacionnyh-sistem (accessed 20.05.2019).
  3. Zverev G. I. Threats and methods of information security of virtual environments. Young scientist. — 2015. No. 9. — c. 235-237.
  4. Leonid Chernyak. Virtualization of servers of standard architecture: //Open systems. 2018. No. 7. URL: http://www.osp.ru/os/2018/03/5015349/
  5. Miloserdov A., Gridnev D. penetration Testing using Kali Linux 2.0. [[Electronic resource] // URL:http://codeby.net/forum/resources/testirovanie-na proniknovenie-s-pomoschju-kali-linux-2-0-v-pdf-format.2 (accessed 20.05.2009).
  6. Medvedev Yu. V. What is virtualization? URL: http://pcmag.ru/reviews/detail.php≤ID=9291.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *