Выявление и анализ основных видов сетевых атак на данную систему

 

Рассмотрим угрозы при сетевом взаимодействии. Общепринято выделять следующие основные угрозы:

угрозы целостности;

угрозы конфиденциальности;

угрозы доступности.

Эти обобщенные виды угроз не дают представления о конкретной угрозе. Поэтому, исходя из общей схемы межсетевого взаимодействия, для случая удаленных атак можно выделить два основных типа угроз.

Угрозы, вызываемые участниками информационного обмена:

отказ от получения данных после их получения;

отказ от передачи данных после их передачи;

отказ от достигнутого соглашения.

Угрозы, вызываемые третьей стороной (атакующим):

вставка данных в обмен;

отказ в обслуживании.

Среди угроз для сети организации и ее систем можно выделить старые и новые угрозы.

Старые угрозы реализуются атаками, базирующимися на использовании хорошо известных уязвимостей и скриптов атак (эксплойтов). Такие угрозы исходят от недостаточно компетентных хакеров (называемыхscript kiddies) или совершенно некомпетентных (называемых newbies). Эти категории нарушителей используют готовые скрипты атак и могут совершенно не понимать действительных механизмов применяемых (используемых) эксплойтов, а также их возможных побочных действий. Но это не уменьшает их опасность для организаций, так как реализация старых незащищенных угроз может нанести значительный ущерб, если организация не примет соответствующих мер.

Новые угрозы являются более серьезными и потенциально опасными для организации. Эти угрозы характеризуются направленными попытками нанести ущерб, получить информацию, нарушить операции функционирования и т.д. Реализуют новые угрозы обычно квалифицированные взломщики, обладающие детальными знаниями механизмов сетевого взаимодействия и логики функционирования приложений. Для получения необходимой информации нарушители используют специально разработанные средства и скрипты (которые потом могут использовать более слабые категории нарушителей для проведения своих атак). Как правило, новые угрозы используют неизвестные или только что обнаруженные уязвимости.

Все множество угроз можно разделить на внешние и внутренние. Внешними угрозами являются те, которые исходят извне. Внутренние угрозы инициируются субъектом, имеющим доступ к инфраструктуре организации. Классическим примером внутренней угрозы является случай, когда обиженный увольнением сотрудник наносит ущерб информации организации.

Каждый год открываются новые уязвимости, но знания, необходимые для проведения атаки, уменьшаются, чему в значительной мере способствует сеть Интернет.

Новые и старые внешние угрозы реализуются посредством сетевых атак или удаленных сетевых атак. Под удаленной сетевой атакой будем понимать воздействие на программные компоненты целевой системы с помощью программных средств. Таким образом, атака является попыткой получить данные или осуществить проникновение. Обычно выделяют три основных типа атак:

атаки разведки (проб, сбора информации);

атаки получения доступа;

атаки отказа в обслуживании.

Эти типы атак не всегда используются отдельно и обычно применяются в сочетании для достижения атакующим своих целей.

Атаки разведки используются для сбора информации о целевой сети или системе. Такие атаки кажутся безобидными для целевой системы и могут рассматриваться сетевыми администраторами как «сетевой шум» или надоедливое поведение. Но информация, собранная на этапе разведки, используется для проведения атаки. Средства проведения разведки могут быть как обычными, входящими в состав операционной системы (ОС), так и специально разработанными. Поскольку точные знания о целевой системе и ее уязвимостях могут обеспечить успешность атаки, атаки разведки должны рассматриваться как серьезная угроза.

Атаками получения доступа являются такие атаки, которые включают неавторизованное использование целевого хоста или группы хостов. Средство, с помощью которого атакующий получает доступ к инфраструктуре, обычно зависит от используемой уязвимости, которая присутствует в ОС, в приложении или в защитном механизме. Часто эти уязвимости открываются атакующим при проведении разведки. Атаки получения доступа могут осуществляться вручную или с использованием автоматизированных или даже автоматических средств.

Атаки получения доступа можно разбить на три вида неавторизованной деятельности:

извлечение данных (чтение, копирование, перемещение);

доступ к системе (нарушитель получает реальный доступ к системе с различным уровнем привилегий);

расширение привилегий (необходимо атакующему, как для полного управления системой, так и для скрытия своего взлома).

Третьим типом атак являются атаки отказа в обслуживании, когда атакующий пытается препятствовать доступу легальных пользователей к системе или службе. Часто эти атаки реализуются переполнением ресурсов инфраструктуры запросами (легитимными или поддельными) на доступ к службе. Такие атаки могут быть направлены как на отдельный хост, так и на сеть в целом.

Одной из серьезных проблем в области компьютерной безопасности является отсутствие единой терминологии. Данная проблема усугубляется следующими обстоятельствами:

многообразием используемых терминов, которые уже существуют в языке;

преобладанием переводных книг, в которых переводчики используют неоднозначные термины (исключением из этого правила является блестящий перевод книги «Новый словарь хакера», в котором, к сожалению, не содержатся термины, вошедшие в компьютерный обиход за последние годы);

некорректным использованием производителями и продавцами средств защиты терминов, которые должны убедить покупателя приобретать именно их продукт;

отсутствием стандартизованных списков терминов и устоявшейся терминологии.

Любая сетевая атака направлена на программное средство атакуемого хоста. В качестве атакуемого программного средства может выступать сетевой стек операционной системы, другой системный код, прикладная программа, т.е. элемент прикладного или системного программного обеспечения. Атака, как правило, возможна из-за наличия ошибок и просчетов при разработке, реализации, настройке или использовании данного программного средства.

Рассмотрим основные элементы терминологии сетевых атак.

Ошибка - погрешность в программном коде данного программного средства. Возможны ошибки, которые не проявились или еще не были использованы злоумышленниками.

Просчет - недостаток программного средства, который определяется как его программным кодом, так и недостатком самого проекта или способом применения средства.

Ошибки и просчеты представляют собой уязвимости.

Уязвимость - это недостаток программного средства, которым может воспользоваться злоумышленник.

Злоумышленник для известной ему уязвимости разрабатывает или использует готовые (разработанные другими) шаблоны атак. Экземпляр шаблона атаки, созданный для компрометации конкретного фрагмента кода программного средства, является программой атаки, или эксплойтом.

При проведении атаки злоумышленник использует сценарий атаки, который предусматривает использование различных шаблонов в зависимости от поведения (реакции) атакуемой системы. Таким образом, атака - это процесс реализации некоторого сценария атаки. В ходе атаки злоумышленник получает данные (реакции атакуемой системы), которые свидетельствуют об успехе (неудаче) применения данного шаблона или служат основанием для применения определенного шаблона атаки. Описание каждой атаки может быть основано на используемых ею уязвимостях атакуемой системы.

Успешная атака называется вторжением. При осуществлении вторжения злоумышленник достигает своей основной цели - получает доступ к системе, приобретает возможность исполнения своего программного кода или вызывает прекращение (ограничение) выполнения функций атакованной системы. Дальнейшие цели или этапы действий злоумышленника могут включать в себя расширение полученных привилегий, внедрение своего программного кода, принятие мер по маскировке своего присутствия и факта вторжения и т.д.

Обобщенный сценарий атаки

Статистика нарушений безопасности показывает, что количество атак имеет тенденцию к экспоненциальному росту. Сама сеть Интернет является благодатной почвой для вторжений в компьютерные системы. Объединение компьютеров в сети позволяет пользователям совместно использовать данные, программы и вычислительные ресурсы. Кроме того, громадное число эксплойтов доступно в Интернете. Поэтому даже пользователи с минимальными познаниями могут осуществить успешный взлом. Это связано с тем, что значительная часть пользователей Интернета не уделяет достаточного внимания проблемам обеспечения безопасности. При обнаружении уязвимости в программном продукте требуется время для ее устранения. Это время складывается из времени разработки корректирующей программы (заплатки, патча - patch), установки этого патча на соответствующий сервер компании и выставления объявления о наличии патча. Это требует от пользователя или системного администратора постоянного просмотра соответствующих сайтов производителей программного обеспечения и программных продуктов. Далее требуется установка соответствующего патча на компьютер. При наличии в организации множества компьютерных систем, множества операционных систем и программных продуктов такие операции становятся достаточно дорогими и ресурсоемкими. Поэтому значительная часть пользователей и не подозревает о наличии уязвимостей, наличии соответствующих патчей и необходимости их установки. В таком случае злоумышленнику нужно только найти соответствующую компьютерную систему.

Рассмотрим обобщенный сценарий атаки, который можно представить в виде следующих шагов:

пассивная разведка;

активная разведка;

выбор (разработка) эксплойта;

взлом целевой системы;

загрузка «полезного груза» (которым, как правило, является вредоносная программа);

сокрытие следов взлома.

Конечно, данная последовательность может быть нарушена или могут быть исключены отдельные шаги данного сценария. Кратко рассмотрим эти этапы.

 

1.4 Формирование требований защиты

 

По итогам реализации системы защиты, должны выполняться следующие требования:

Требуется защита информационного обмена при прохождении через открытый Интернет.

Требуется защита информационного обмена внутри локальных сетей.

Требуется, чтобы виртуальная защищенная сеть была невидима для всех, кто в нее не входит.

Требуется, чтобы пользователи виртуальной защищенной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов данной виртуальной защищенной сети.

 

Выводы

 

В 1 главе я рассмотрел незащищенную схему нескольких локальных сетей, связанных через Интернет, c Proxy-серверами. Затем, сформировал модель системы, которую требуется защитить. Так же были определены основные свойства системы. По итогам анализа угроз безопасности и возможных атак было выяснено, что данная система является абсолютно незащищенной и требуется разработать вариант защиты ее на основе выделенных угроз.

Был выделен основной сценарий сетевой атаки на данную систему:

пассивная разведка;

активная разведка;

выбор (разработка) эксплойта;

взлом целевой системы;

загрузка «полезного груза» (которым, как правило, является вредоносная программа);

сокрытие следов взлома.

Для построения защищённой сети, мною была выработана система требований к ней, которые должны выполняться.

В следующей главе будет подробно рассмотрено, какие меры необходимо предпринять для противодействия выделенным сетевым атакам.