Тема: класифікація типових атак на компьютерні системи. Принципи реалізації. Методи захисту від них. (4 години).

ПТ: Квалификация угроз безопасности КС

80-90 годы такого понятия не существовало

В зависимости от объекта, подвергающегося воздействию, можно разделить:

- удаленные атаки на инфраструктуру (под инфраст. сети мы будем понимать сложившуюся систему организации отношений между объектами сети и используемые в сети сервисные службы) и протоколы сети.

- удаленные атаки на телекоммуникационные службы (дыры, программные закладки, программные ошибки)

Проведем анализ причин успеха реальных воздействий из 1 множества, которых возможна реализация данных угроз.

- использование широковещательной среды (Ethernet)

- применение не стойких алгоритмов. идент. удаленных объектов

- использование проток динамического изменения маршрутов с нестойкими алгоритм идент.

- возможность анонимного захвата одним субъектом КС множество физических или лог. каналов связи.

Приведем обобщенную квалификацию для описания удаленных воздействий и опишем механизм условия их осуществления

 

1) по характерцу воздействия

класс 1.1 пассивное

класс 1.2 активное

Пассивное воздействие - воздействие которое не оказывает не посредственное влияние на работу системы, но способна нарушать ее политику безопасности. Пассивное воздействие - практически не возможно обнаружить.

Пример: прослушивание канала связи сети. При пассивном воздействии, в отличии от активного не остается никаких следов.

Под активнымвоздействием на КС понимается воздействие, оказывающее непосредственное влияние на работу системы и нарушает принятую в ней полную безопасность

ПРИМ: практически все типы удаленных атак является активными воздействиями.

Ну и очевидно, что отличия активного от пассивного является принципиальная возможность его обнаружения, так как в системе происходит определенные изменения.

2. По целее воздействия тип атак раскрытия:

2.1 нарушение конфиденциальности информации либо ресурсов КС

2.2 нарушение целостности информации

2.3 нарушение работоспособности (доступности) КС (отказ в обслуживании)

2.1 Цель большинства атак- получить несанкционированный доступ к информации.

Существует две возможности такого доступа: перехват и искажение.

Перехват - это получение информации без возможности ее искажения (прослушивание канала сети)

2.2 Искажение информации - означает полный контроль над информационным потоком между объектами системы или возможность передачи сообщение от имени другого объекта.

Примером удаленной атаки - цель которой нарушение целостности информации может служить типовая ”ложный объект(ЛВС)”

2.3 Нарушение работоспособности системы.

Цель взломщика - добиться, что бы ОС на атакованном объекте вышли из строя.

Пример: Типовая атака ”Отказ в обслуживании”.

3.По условию начали осуществление воздействия удаленные воздействия как и любое другое может начать осуществляться только при определенных условиях:

3.1 Атака после запроса атакуемого объекта;

3.2Атака после наступления ожидаемого события на атакуемом объекте

3.3 Безусловная атака

3.1 В первом случае взломщик ожидает от потенциальной цели атаки, запроса определенного типа, который и будет условием начала осуществления воздействия.

Пример: запрос DNS и ARP.

2.2 Атакующий осуществляет постоянное наблюдения за состоянием ОС объекта атаки, и при возникновении определенного события в этой системе начинается воздействие. Как и в предыдущем случае, инициатором начала атаки выступает сам атакуемый объект.

Пример: может быть прерывание сеанса работы пользователя сервера в ОС без выдачи команды LOGOUT

2.3 При безусловной атаки ее начало не зависит о состоянии системы атакуемого объекта, то есть воздействие осуществляется немедленно. Следовательно инициатором является атакующий.

 

4. По наличию обратной связи с атакуемым объектом

4.1. С обратной связью

4.2 без обратной связи, или одно направленная атака.

4.1. Если взломщику требуется получить ответ на некоторые запросы, переданные на объект воздействия то есть между атакующим и целью атаки существует обратная связь, которая позволяет адекватно реагировать при изменении ситуации.

Подобные удаленные атаки характерны для распределенных ВС.

4.2 Инициатором удаленной атаки без обратной связи, на против, не реагирует не на какие изменения, происходящие на атакуемом объекте.

Воздействие данного вида обычно осуществляется передачей на атакуемый объект одиночных запросов, ответы на которые не нужны.

Примером подобных атак - их можно назвать одно направленными - является тип атак ”Отказ в обслуживании”.

 

5.По расположению субъекта атаки относительно атакуемого объекта:

5.1 Внутрисегментное

5.2 Межсегментное

Рассмотрим ряд определений.

Субъект атаки или источник атаки –это атакующая программа или оператор, непосредственно осуществляющий воздействие.

Хост - сетевой компьютер.

Маршрутизатор или роутер – устройство обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

Подсеть - логическая объединение, совокупность хостов являющие частью глобальной сети для которого маршрутизатором выделен одинаковый номер.

Сегмент сети - физическое объединение хостов.

Например: сегменты сети образующие совокупность хостов, подключенных к серверу ”общая шина"

При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.

Для осуществления удаленного воздействия чрезвычайно важно, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или ранних сегментах они находятся. Межсегментное воздействие осуществить значительно труднее, чем внутри сегментное, но и опасность оно представляет гораздо больше в таком случае объект и субъект атаки находятся в большом расстоянии, что существенно усложняет возможность непосредственного обнаружения атакующего и адекватной реакции на атаку

 

6.По уровню эталонной модели ISO/OSI, на которое осуществляется воздействие.

6.1 физический

6.2 канальный

6.3 сетевой

6.4 транспортный

6.5 сеансовый

6.6 представительский

6.7 прикладной

Поскольку удаленная атака является сетевой программой, представляется логическим рассматривать такие воздействия на распределенные ВС, проецируя на эталонную модель ISO/OSI.

Т: Модель механизмов реализации типовых угроз безопасности КС.

ПТ: Понятие типовой угрозы.

Из-за того что КС проектируются на основе одних и тех же принципах используют одни и те же протоколы, следовательно имеют практически одинаковые проблемы безопасности. По этому и оказывается, что причины успеха удаленных атак на различные КС одинаковые. Таким образом можно вести понятие типовая угроза безопасности.

Типовая угроза безопасности - это удаленное информационное разрушающее воздействие, программно осуществляемое по каналом связи и характерное для любой КС.

Соответственно типовая удаленная атака - это реализация типовой угрозы безопасности КС.

Рассмотрим модели типовых угроз безопасности. Это модель включает в себя:

- описание угрозы

- описание механизмов реализации угроз

- классификацию угрозы

- графовую модель взаимодействия объектов КС при реализации данной угрозы

Лекция 5