Лекция 12 - Классификация удаленных угроз в вычислительных сетях. Типовые удаленные атаки и их характеристика

Вопросы: 1 Классы удаленных угроз и их характеристика 2 Удаленная атака "анализ сетевого трафика" 3 Удаленная атака "подмена доверенного объекта" 4 Удаленная атака "ложный объект" 5 Удаленная атака "отказ в обслуживании"

ВВЕДЕНИЕ

Цели изучения темы изучить классы удаленных угроз распределенным вычислительным сетям. изучить механизм реализации типовых удаленных атак и их характеристику

Требования к знаниям и умениям Студент должен знать: классы удаленных угроз и их характеристику. типовые удаленные атаки и механизмы их реализации Студент должен уметь: классифицировать удаленные угрозы. классифицировать типовые удаленные атаки по совокупности признаков

1. Классы удаленных угроз и их характеристика

При изложении данного материала в некоторых случаях корректнее говорить об удаленных атаках нежели, об удаленных угрозах объектам вычислительных сетей, тем не менее, все возможные удаленные атаки являются в принципе удаленными угрозами информационной безопасности.

Удаленные угрозы можно классифицировать по следующим признакам. По характеру воздействия: пассивные (класс 1.1); активные (класс 1.2). По цели воздействия: нарушение конфиденциальности информации (класс 2.1); нарушение целостности информации (класс 2.2); нарушение доступности информации (работоспособности системы) (класс 2.3).

По условию начала осуществления воздействия атака по запросу от атакуемого объекта (класс 3.1); атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2); безусловная атака (класс 3.3).

По наличию обратной связи с атакуемым объектом: с обратной связью (класс 4.1); без обратной связи (однонаправленная атака) (класс 4.2). По расположению субъекта атаки относительно атакуемого объекта: внутрисегментное (класс 5.1); межсегментное (класс 5.2).

По уровню модели ISO/OSI, на котором осуществляется воздействие: физический (класс 6.1); канальный (класс 6.2); сетевой (класс 6.3); транспортный (класс 6.4); сеансовый (класс 6.5); представительный (класс 6.6); прикладной (класс 6.7).

2. Удаленная атака "анализ сетевого трафика"

Основной особенностью распределенной вычислительной сети является распределенность ее объектов в пространстве и связь между ними по физическим линиям связи. При этом все управляющие сообщения и данные, пересылаемые между объектами вычислительной сети, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных вычислительных сетей типового удаленного воздействия, заключающегося в прослушивании канала связи, называемого анализом сетевого трафика.

Анализ сетевого трафика позволяет: изучить логику работы распределенной вычислительной сети, это достигается путем перехвата и анализа пакетов обмена на канальном уровне (знание логики работы сети позволяет на практике моделировать и осуществлять другие типовые удаленные атаки); перехватить поток данных, которыми обмениваются объекты сети, т. е. удаленная атака данного типа заключается в получении несанкционированного доступа к информации, которой обмениваются пользователи (примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном виде по сети).

3. Удаленная атака "подмена доверенного объекта"

Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация (определение подлинности) удаленных друг от друга объектов. Основная трудность заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимодействия. Обычно в вычислительных сетях эта проблема решается использованием виртуального канала, по которому объекты обмениваются определенной информацией, уникально идентифицирующей данный канал. Для адресации сообщений в распределенных вычислительных сетях используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI – это аппаратный адрес сетевого адаптера, на сетевом уровне – адрес определяется протоколом сетевого уровня (например, IP-адрес). Сетевой адрес также может использоваться для идентификации объектов сети. Однако сетевой адрес достаточно просто подделывается и поэтому использовать его в качестве единственного средства идентификации объектов недопустимо. В том случае, когда в вычислительной сети использует нестойкие алгоритмы идентификации удаленных объектов, то оказывается возможной типовая удаленная атака, заключающаяся в передаче по каналам связи сообщений от имени произвольного объекта или субъекта сети (т. е. подмена объекта или субъекта сети).

4. Удаленная атака "ложный объект"

Принципиальная возможность реализации данного вида удаленной атаки в вычислительных сетях также обусловлена недостаточно надежной идентификацией сетевых управляющих устройств (например, маршрутизаторов). Целью данной атаки является внедрение в сеть ложного объекта путем изменения маршрутизации пакетов, передаваемых в сети. Внедрение ложного объекта в распределенную сеть может быть реализовано навязыванием ложного маршрута, проходящего через ложный объект.

Получив контроль над проходящим потоком информации между объектами, ложный объект вычислительной сети может применять различные методы воздействия на перехваченную информацию, например: селекция потока информации и сохранение ее на ложном объекте (нарушение конфиденциальности); модификация информации: модификация данных (нарушение целостности), модификация исполняемого кода и внедрение разрушающих программных средств – программных вирусов (нарушение доступности, целостности); подмена информации (нарушение целостности).

5. Удаленная атака "отказ в обслуживании"

Одной из основных задач, возлагаемых на сетевую операционную систему, функционирующую на каждом из объектов распределенной вычислительной сети, является обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. В общем случае в сети каждый субъект системы должен иметь возможность подключиться к любому объекту сети и получить в соответствии со своими правами удаленный доступ к его ресурсам. Обычно в вычислительных сетях возможность предоставления удаленного доступа реализуется следующим образом: на объекте в сетевой операционной системе запускаются на выполнение ряд программ-серверов (например, FTP- сервер, WWW-сервер и т. п.), предоставляющих удаленный доступ к ресурсам данного объекта.

Данные программы-серверы входят в состав телекоммуникационных служб предоставления удаленного доступа. Задача сервера состоит в том, чтобы постоянно ожидать получения запроса на подключение от удаленного объекта и, получив такой запрос, передать на запросивший объект ответ, в котором либо разрешить подключение, либо нет. По аналогичной схеме происходит создание виртуального канала связи, по которому обычно взаимодействуют объекты сети. В этом случае непосредственно операционная система обрабатывает приходящие извне запросы на создание виртуального канала и передает их в соответствии с идентификатором запроса (номер порта) прикладному процессу, которым является соответствующий сервер.

Типовая удаленная атака "отказ в обслуживании" является активным (класс 1.2) однонаправленным воздействием (класс 4.2), осуществляемым с целью нарушения работоспособности системы (класс 2.3) на транспортном (класс 6.4) и прикладном (класс 6.7) уровнях модели OSI.

Выводы по теме Субъект атаки (или источник атаки) – это атакующая программа или злоумышленник, непосредственно осуществляющие воздействие. Маршрутизатор – устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети. Подсеть – совокупность узлов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Сегмент сети – физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина".

Вопросы для самоконтроля Перечислите классы удаленных угроз. Как классифицируются удаленные угрозы "по характеру воздействия"? Охарактеризуйте удаленные угрозы "по цели воздействия". Как классифицируются удаленные угрозы "по расположению субъекта и объекта угрозы"? Дайте определение маршрутизатора. Что такое подсеть и сегмент сети? Чем они отличаются? Может ли пассивная угроза привести к нарушению целостности информации? Дайте определение типовой удаленной атаки. Механизм реализации удаленной атаки "анализ сетевого трафика". Что является целью злоумышленников при "анализе сетевого трафика"? Назовите причины успеха удаленной атаки "ложный объект". Охарактеризуйте удаленную атаку "подмена доверенного объекта" по классам угроз. Поясните возможные механизмы реализации удаленной атаки "отказ в обслуживании". Какие составляющие "информационной безопасности" могут быть нарушены при реализации каждой из типовых удаленных атак?

Ссылки на дополнительные материалы (печатные и электронные ресурсы) Основные: Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. Атака из Internet. – М.: Солон-Р, Галатенко В. А. Основы информационной безопасности. – М.: Интернет-Университет Информационных Технологий - ИНТУИТ.РУ, Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. – СПб: Питер,