Типовые удаленные атаки и их характеристика

Как уже было показано ранее, распределенные вы­числительные сети проектируются на основе одних и тех же принципов, а следовательно, имеют практиче­ски одинаковые проблемы безопасности, причем в боль­шинстве случаев независимо от используемых сетевых протоколов, топологии и инфраструктуры вычислитель­ной сети.

С учетом этого специалисты в области информацион­ной безопасности используют понятие типовой удален­ной угрозы (атаки)1, характерной для любых распреде­ленных вычислительных сетей. Введение этого поня­тия в совокупности с описанием механизмов реализа­ции типовых удаленных угроз позволяет выработать методику исследования безопасности вычислительных сетей, заключающуюся в последовательной умышлен­ной реализации всех типовых удаленных угроз и на­блюдению за поведением системы.

Типовая удаленная атака — это удаленное инфор­мационное разрушающее воздействие, программно осу­ществляемое по каналам связи и характерное для лю­бой распределенной вычислительной сети.

Основной особенностью распределенной вычислитель­ной сети является распределенность ее объектов в про­странстве и связь между ними по физическим линиям связи. При этом все управляющие сообщения и дан­ные, пересылаемые между объектами вычислительной сети, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению спе­цифичного для распределенных вычислительных сетей типового удаленного воздействия, заключающегося в прослушивании канала связи, называемого анализом сетевого трафика.

Анализ сетевого трафика позволяет:

■ изучить логику работы распределенной вычисли­тельной сети, это достигается путем перехвата и анализа пакетов обмена на канальном уровне (зна­ние логики работы сети позволяет на практике моделировать и осуществлять другие типовые уда­ленные атаки);

■ перехватить поток данных, которыми обменивают­ся объекты сети, то есть удаленная атака данного типа заключается в получении несанкционирован­ного доступа к информации, которой обменивают­ся пользователи (примером перехваченной при по­мощи данной типовой удаленной атаки информа­ции могут служить имя и пароль пользователя, пе­ресылаемые в незашифрованном виде по сети).

Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентифи­кация (определение подлинности) удаленных друг от друга объектов. Основная трудность заключается в осу­ществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимо­действия. Обычно в вычислительных сетях эта пробле­ма решается использованием виртуального канала, по которому объекты обмениваются определенной инфор­мацией, уникально идентифицирующей данный канал. Для адресации сообщений в распределенных вычисли­тельных сетях используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI — это аппаратный адрес сетевого адаптера, на сетевом уровне — адрес определяется про­токолом сетевого уровня (например, IP-адрес). Сетевой адрес также может использоваться для идентификации объектов сети.

В том случае, когда в вычислительной сети использу­ют нестойкие алгоритмы идентификации удаленных объектов, оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи со­общений от имени произвольного объекта или субъекта сети, то есть подмена объекта или субъекта сети.

Недостаточно надежная идентификация сетевых управляющих устройств (например, маршрутизаторов) является причиной возможного внедрения в сеть лож­ного объекта путем изменения маршрутизации паке­тов, передаваемых в сети.

Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные пе­редаются от источника к приемнику. Каждый маршру­тизатор имеет специальную таблицу, называемую таб­лицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Таблицы маршру­тизации существуют не только у маршрутизаторов, но и у любых хостов (узлов) в глобальной сети. Для обес­печения эффективной и оптимальной маршрутизации в распределенных ВС применяются специальные управ­ляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уве­домлять хосты о новом маршруте — ICMP (Internet Control Message Protocol), удаленно управлять маршру­тизаторами (SNMP (Simple Network Management Pro­tocol)). Эти протоколы позволяют удаленно изменять маршрутизацию в сети Интернет, то есть являются про­токолами управления сетью.

Реализация данной типовой удаленной атаки заклю­чается в несанкционированном использовании протоко­лов управления сетью для изменения исходных таблиц маршрутизации. В результате успешного изменения мар­шрута атакующий получит полный контроль над пото­ком информации, которой обмениваются объекты сети, и атака перейдет во вторую стадию, связанную с при­емом, анализом и передачей сообщений, получаемых от дезинформированных объектов вычислительной сети.

Получив контроль над проходящим потоком инфор­мации между объектами, ложный объект вычислитель­ной сети может применять различные методы воздей­ствия на перехваченную информацию, например:

1) селекция потока информации и сохранение ее на ложном объекте (нарушение конфиденциальности);

2) модификация информации:

■ модификация данных (нарушение целостности);

■ модификация исполняемого кода и внедрение раз­рушающих программных средств — программных вирусов (нарушение доступности, целостности);

3) подмена информации (нарушение целостности). Одной из основных задач, возлагаемых на сетевую операционную систему, функционирующую на каждом из объектов распределенной вычислительной сети, яв­ляется обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. В общем слу­чае в сети каждый субъект системы должен иметь воз­можность подключиться к любому объекту сети и полу­чить в соответствии со своими правами удаленный до­ступ к его ресурсам. Обычно в вычислительных сетях возможность предоставления удаленного доступа реа­лизуется следующим образом: на объекте в сетевой опе­рационной системе запускаются на выполнение ряд про­грамм-серверов (например, FTP-сервер, WWW-сервер и т. п.), предоставляющих удаленный доступ к ресур­сам данного объекта. Данные программы-серверы вхо­дят в состав телекоммуникационных служб предостав­ления удаленного доступа. Задача сервера состоит в том, чтобы постоянно ожидать получения запроса на подточение от удаленного объекта и, получив такой зап­рос, передать на запросивший объект ответ на разреше­ние подключения либо на отказ. По аналогичной схеме происходит создание виртуального канала связи, по ко­торому обычно взаимодействуют объекты сети. В этом случае непосредственно операционная система обраба­тывает приходящие извне запросы на создание вирту­ального канала и передает их в соответствии с иденти­фикатором запроса (номер порта) прикладному процес­су, которым является соответствующий сервер. В зави­симости от различных параметров объектов вычисли­тельной сети, основными из которых являются быстро­действие ЭВМ, объем оперативной памяти и пропуск­ная способность канала связи, количество одновремен­но устанавливаемых виртуальных подключений огра­ничено, соответственно ограничено и число запросов, обрабатываемых в единицу времени. С этой особеннос­тью работы вычислительных сетей связана типовая уда­ленная атака «отказ в обслуживании».

Результат применения этой удаленной атаки — на­рушение на атакованном объекте работоспособности со­ответствующей службы предоставления удаленного до­ступа, то есть невозможность получения удаленного до­ступа с других объектов вычислительной сети — отказ в обслуживании. Одна из разновидностей этой типовой удаленной атаки заключается в передаче с одного адре­са такого количества запросов на атакуемый объект, которое позволяет трафик. В этом случае, если в систе­ме не предусмотрены правила, ограничивающие число принимаемых запросов с одного объекта (адреса) в еди­ницу времени, то результатом этой атаки может являться как переполнение очереди запросов и отказа одной из телекоммуникационных служб, так и полная останов­ка компьютера из-за невозможности системы занимать­ся ничем другим, кроме обработки запросов. И после­дней, третьей разновидностью атаки «отказ в обслужива­нии», является передача на атакуемый объект некорректного, специально подобранного запроса.

Типовая удаленная атака	Характер воздействия	Цель воздействия	Условие начала	Наличие обратной связи	Расположение субъекта атаки	Уровень модели OSI
Класс воздействия	1.1	1.2	2.1	2.2	2.3	3.1	3.2	3.3	4.1	4.2	5.1	5.2	6.1	6.2	6.3	6.4	6.5	6.6	6.7
Анализ сетевого трафика	+	-	+	-	-	-	-	+	-	+	+	-	-	+	-	-	-	-	-
Подмена доверенного объекта сета	-	+	+	+	-	-	+	-	+	+	+	+	-	-	+	+	-	-	-
Ложный объект сети	-	+	+	+	+	-	-	+	+	+	+	+	-	-	+	-	-	-	-
Отказ в обслуживании	-	+	-	-	+	-	-	+	-	+	+	+	-	+	+	+	+	+	+

 

В этом слу­чае при наличии ошибок в удаленной системе возмож­но зацикливание процедуры обработки запроса, пере­полнение буфера с последующим зависанием системы.

Основными причинами успеха удаленных угроз в вычислительных сетях являются:

1. Отсутствие выделенного канала связи между объек­тами сети.

2. Недостаточная идентификация объектов и субъек­тов сети.

3. Взаимодействие объектов без установления вирту­ального канала.

4. Отсутствие в распределенных вычислительных се­тях полной информации о ее объектах.

5. Отсутствие в распределенных вычислительных се­тях криптозащиты сообщений.

 

Контрольные вопросы по разделу №3

1. В чем заключаются особенности обеспечения «инфор­мационной безопасности» компьютерных сетей?

2. Дайте определение понятия «удаленная угроза».

3. В чем заключается специфика методов и средств защи­ты компьютерных сетей?

4. Поясните понятие «глобальная сетевая атака», приведи­те примеры.

5. Какие протоколы образуют модель TCP/IP?

6. Какой протокол обеспечивает преобразование логиче­ских сетевых адресов в аппаратные?

7. Проведите сравнительную характеристику моделей пе­редачи данных TCP/IP и OSI/ISO.

8. На каком уровне модели OSI/ISO реализуется сервис безопасности «неотказуемость» (согласно «Общим кри­териям»)?

9. Для чего предназначен DNS-сервер?

10. Перечислите классы удаленных угроз.

11. Как классифицируются удаленные угрозы «по характе­ру воздействия»?

12. Охарактеризуйте удаленные угрозы «по цели воздей­ствия».

13. Может ли пассивная угроза привести к нарушению це­лостности информации?

14. Дайте определение типовой удаленной атаки.

15. Что является целью злоумышленников при «анализе сетевого трафика»?

16. Назовите причины успеха удаленной атаки «ложный объект».

 

ГЛАВА 4