Диплом: Обеспечение информационной безопасности в сетях IP 
приведет к адресации на атакующий ложный объект. В дальнейшем весь поток
информации между субъектом и объектом взаимодействия будет проходить через
ложный объект РВС.
Другой вариант внедрения в РВС ложного объекта использует недостатки
алгоритма удаленного поиска и состоит в периодической передаче на атакуемый
объект заранее подготовленного ложного ответа без приема поискового запроса.
В самом деле, атакующему для того, чтобы послать ложный ответ, не всегда
обязательно дожидаться приема запроса (он может, в принципе, не иметь
подобной возможности перехвата запроса). При этом атакующий может
спровоцировать атакуемый объект на передачу поискового запроса, и тогда его
ложный ответ будет немедленно иметь успех. Данная типовая удаленная атака
чрезвычайно характерна для глобальных сетей, когда у атакующего из-за
нахождения его в другом сегменте относительно цели атаки просто нет
возможности перехватить поисковый запрос.
Ложный объект РВС - активное воздействие, совершаемое с целью нарушения
конфиденциальности и целостности информации, которое может являться атакой по
запросу от атакуемого объекта а также безусловной атакой. Данная удаленная
атака является как внутрисегментной, так и межсегментной, имеет обратную
связь с атакуемым объектом и осуществляется на канальном и прикладном уровнях
модели OSI.
Использование ложного объекта для организации удаленной атаки на
распределенную ВС[13]
Получив контроль над проходящим потоком информации между объектами, ложный
объект РВС может применять различные методы воздействия на перехваченную
информацию. В связи с тем, что внедрение в распределенную ВС ложного объекта
является целью многих удаленных атак и представляет серьезную угрозу
безопасности РВС в целом, то в следующих пунктах будут подробно рассмотрены
методы воздействия на информацию, перехваченную ложным объектом.
Селекция потока информации и сохранение ее на ложном объекте РВС
Одной из атак, которую может осуществлять ложный объект РВС, является
перехват передаваемой между субъектом и объектом взаимодействия информации.
Важно отметить, что факт перехвата информации (файлов, например) возможен из-
за того, что при выполнении некоторых операций над файлами (чтение,
копирование и т. д.) содержимое этих файлов передается по сети, а, значит,
поступает на ложный объект. Простейший способ реализации перехвата - это
сохранение в файле всех получаемых ложным объектом пакетов обмена.
Тем не менее, данный способ перехвата информации оказывается недостаточно
информативным. Это происходит вследствие того, что в пакетах обмена кроме
полей данных существуют служебные поля, не представляющие в данном случае для
атакующего непосредственного интереса. Следовательно, для того, чтобы
получить непосредственно передаваемый файл, необходимо проводить на ложном
объекте динамический семантический анализ потока информации для его селекции.
Модификация информации
Одной из особенностей любой системы воздействия, построенной по принципу
ложного объекта, является то, что она способна модифицировать перехваченную
информацию. Следует особо отметить, что это один из способов, позволяющих
программно модифицировать поток информации между объектами РВС с другого
объекта. Ведь для реализации перехвата информации в сети необязательно
атаковать распределенную ВС по схеме "ложный объект" . Эффективней будет
атака, осуществляющая анализ сетевого трафика, позволяющая получать все
пакеты, проходящие по каналу связи, но, в отличие от удаленной атаки по схеме
"ложный объект" , она не способна к модификации информации.
Далее рассмотрим два вида модификации информации:
§ модификация передаваемых данных;
§ модификация передаваемого кода.
Одной из функций, которой может обладать система воздействия, построенная по
принципу "ложный объект" , является модификация передаваемых данных. В
результате селекции потока перехваченной информации и его анализа система
может распознавать тип передаваемых файлов (исполняемый или текстовый).
Соответственно, в случае обнаружения текстового файла или файла данных
появляется возможность модифицировать проходящие через ложный объект данные.
Особую угрозу эта функция представляет для сетей обработки конфиденциальной
информации.
Другим видом модификации может быть модификация передаваемого кода. Ложный
объект, проводя семантический анализ проходящей через него информации, может
выделять из потока данных исполняемый код. Известный принцип неймановской
архитектуры гласит, что не существует различий между данными и командами.
Следовательно, для того, чтобы определить, что передается по сети - код или
данные, необходимо использовать определенные особенности, свойственные
реализации сетевого обмена в конкретной распределенной ВС или некоторые
особенности, присущие конкретным типам исполняемых файлов в данной локальной
ОС.
Представляется возможным выделить два различных по цели вида модификации кода:
§ внедрение РПС (разрушающих программных средств);
§ изменение логики работы исполняемого файла. В первом случае при
внедрении РПС исполняемый файл модифицируется по вирусной технологии: к
исполняемому файлу одним из известных способов дописывается тело РПС ,а также
одним из известных способов изменяется точка входа так, чтобы она указывала
на начало внедренного кода РПС. Описанный способ, в прин-ципе, ничем не
отличается от стандартного заражения исполняемого файла вирусом, за
исключением того, что файл оказался поражен вирусом или РПС в момент передачи
его по сети! Такое возможно лишь при использовании системы воздействия,
построенной по принципу "ложный объект" . Конкретный вид РПС, его цели и
задачи в данном случае не имеют значения, но можно рассмотреть, например,
вариант использования ложного объекта для создания сетевого червя - наиболее
сложного на практике удаленного воздействия в сетях, или в качестве РПС
использовать сетевые шпионы.
Во втором случае происходит модификация исполняемого кода с целью изменения
логики его работы. Данное воздействие требует предварительного исследования
работы исполняемого файла и, в случае его проведения, может принести самые
неожиданные результаты. Например, при запуске на сервере (например, в ОС
Novell NetWare) программы идентификации пользователей распределенной базы
данных ложный объект может так модифицировать код этой программы, что
появится возможность беспарольного входа с наивысшими привилегиями в базу
данных.
Подмена информации
Ложный объект позволяет не только модифицировать, но и подменять
перехваченную им информацию. Если модификация информации приводит к ее
частичному искажению, то подмена - к ее полному изменению.
При возникновении в сети определенного контролируемого ложным объектом
события одному из участников обмена посылается заранее подготовленная
дезинформация. При этом такая дезинформация в зависимости от контролируемого
события может быть воспри-нята либо как исполняемый код, либо как данные.
Рассмотрим пример подобного рода дезинформации.
Предположим, что ложный объект контролирует событие, которое состоит в
подключении пользователя к серверу. В этом случае он ожидает, например,
запуска соответствующей программы входа в систему. В случае, если эта
программа находится на сервере, то при ее запуске исполняемый файл передается
на рабочую станцию. Вместо того, чтобы выполнить данное действие, ложный
объект передает на рабочую станцию код заранее написанной специальной
программы - захватчика паролей. Эта программа выполняет визуально те же
действия, что и настоящая программа входа в систему, например, запрашивая имя
и пароль пользователя, после чего полученные сведения посылаются на ложный
объект, а пользователю выводится сообщение об ошибке. При этом пользователь,
посчитав, что он неправильно ввел пароль (пароль обычно не отображается на
экране) снова запустит программу подключения к системе (на этот раз
настоящую) и со второго раза получит доступ. Результат такой атаки - имя и
пароль пользователя, сохраненные на ложном объекте.
Отказ в обслуживании
Одной из основных задач, возлагаемых на сетевую ОС, функционирующую на каждом
из объектов распределенной ВС, является обеспечение надежного удаленного
доступа с любого объекта сети к данному объекту. В общем случае в
распределенной ВС каждый субъект системы должен иметь возможность
подключиться к любому объекту РВС и получить в соответствии со своими правами
удаленный доступ к его ресурсам. Обычно в вычислительных сетях возможность
предоставления удаленного доступа реализуется следующим образом: на объекте
РВС в сетевой ОС запускаются на выполнение ряд программ-серверов (например,
FTP-сервер, WWW-сервер и т.п.), предоставляющих удаленный доступ к ресурсам
данного объекта. Данные программы-серверы входят в состав
телекоммуникационных служб предоставления удаленного доступа. Задача сервера
состоит в том, чтобы, находясь в памяти операционной системы объекта РВС,
постоянно ожидать получения запроса на подключение от удаленного объекта. В
случае получения подобного запроса сервер должен по возможности передать на
запросивший объект ответ, в котором либо разрешить подключение, либо нет
(под-ключение к серверу специально описано очень схематично, так как
подробности в данный момент не имеют значения). По аналогичной схеме
происходит создание виртуального канала связи, по которому обычно
взаимодействуют объекты РВС. В этом случае непосредственно ядро сетевой ОС
обрабатывает приходящие извне запросы на создание виртуального канала (ВК) и
передает их в соответствии с идентификатором запроса (порт или сокет)
прикладному процессу, которым является соответствующий сервер.
Очевидно, что сетевая операционная система способна иметь только ограниченное
число открытых виртуальных соединений и отвечать лишь на ограниченное число
запросов. Эти ограничения зависят от различных параметров системы в целом,
основными из которых являются быстродействие ЭВМ, объем оперативной памяти и
пропускная способность канала связи (чем она выше, тем больше число возможных
запросов в единицу времени).
Основная проблема состоит в том, что при отсутствии статической ключевой
информации в РВС идентификация запроса возможна только по адресу его
отправителя. Если в распределенной ВС не предусмотрено средств аутентификации
адреса отправителя, то есть инфраструктура РВС позволяет с одного объекта
системы передавать на другой атакуемый объект бесконечное число анонимных
запросов на подключение от имени других объектов, то в этом случае будет
иметь успех типовая удаленная атака "Отказ в обслуживании". Результат
применения этой удаленной атаки - нарушение на атакованном объекте
работоспособности соответствующей службы предоставления удаленного доступа,
то есть невозможность получения удаленного доступа с других объектов РВС -
отказ в обслуживании!
Вторая разновидность этой типовой удаленной атаки состоит в передаче с одного
адреса такого количества запросов на атакуемый объект, какое позволит трафик
(направленный "шторм" запросов). В этом случае, если в системе не
предусмотрены правила, ограничивающие число принимаемых запросов с одного
объекта (адреса) в единицу времени, то результатом этой атаки может являться
как переполнение очереди запросов и отказа одной из телекоммуникационных
служб, так и полная остановка компьютера из-за невозможности системы
заниматься ничем другим, кроме обработки запросов.
И последней, третьей разновидностью атаки "Отказ в обслуживании" является
передача на атакуемый объект некорректного, специально подобранного запроса.
В этом случае при наличии ошибок в удаленной системе возможно зацикливание
процедуры обработки запроса, переполнение буфера с последующим зависанием
системы и т. п.
Типовая удаленная атака "Отказ в обслуживании" является активным
воздействием, осуществляемым с целью нарушения работоспособности системы
безусловно относительно цели атаки. Данная УА является однонаправленным
воздействием как межсегментным, так и внутрисегментным, осуществляемым на
транспортном и прикладном (7) уровнях модели OSI.
В таблице приведена схема классификации типовых удаленных атак на РВС
Табл. 1. Классификация типовых удаленных атак на распределенные ВС |
4. Причины успеха удаленных атак на распределенные вычислительные системы
В предыдущей главе было показано, что общие принципы построения
распределенных ВС позволяют выделить в отдельный класс угрозы,
характеризующие только распределенные системы. Было введено такое понятие,
как типовая удаленная атака, и были предложены механизмы реализации удаленных
атак (УА) всех типов. Понятие типовой УА позволило классифицировать угрозы
безопасности распределенным ВС вообще, поскольку типовые УА инвариантны по
отношению к конкретному типу РВС. Инвариантность типовых УА основана на том,
что они направлены на основополагающие принципы построения, заложенные в
инфраструктуру любой распределенной системы.
Предложенные в этой работе описание, характеристика и классификация основных
типов УА позволяют говорить о практической методике исследования безопасности
РВС. Основой этой методики является последовательное осуществление УА всех
типов; при этом основным средством анализа безопасности сетевого
взаимодействия объектов распределенной системы будет являться сетевой анализ
(анализ сетевого трафика).
Итак, в данной главе будут подробно рассмотрены основные причины, из-за
которых возможны удаленные атаки. Наша цель состоит в том, чтобы
сформулировать те принципы и требования, которые ликвидировали бы причины
успеха УА и, руководствуясь которыми, было бы возможно построение
распределенной ВС с защищенным сетевым взаимодействием ее удаленных
компонентов.
Основные вопросы, на которые попытается дать ответы данная глава, это:
"почему возможны удаленные атаки" и "в чем причины их успеха"? Анализ
механизмов реализации типовых УА позволяет сформулировать причины, по которым
данные удаленные атаки оказались возможными. Особо отметим, что
рассматриваемые ниже причины основываются на базовых принципах построения
сетевого взаимодействия объектов распределенной ВС.
В этой главе мы разберем только причины успеха УА на инфраструктуру и базовые
протоколы сети, а не УА на телекоммуникационные службы. Для устранения причин
атак первого типа зачастую необходимо либо отказаться от определенных служб
(DNS, например), либо изменить конфигурацию системы (наличие
широковещательной среды приводит к возможности прослушивания канала,
осуществляемого программным образом), либо изменить систему в целом. Все дело
в том, что причины успеха удаленных атак данного типа кроются в
инфраструктуре распределенной ВС, поэтому создание таксономии причин их
успеха представляется весьма важной задачей, решение которой позволит
выработать принципы построения защищенного взаимодействия в РВС.
Итак, рассмотрим возможные причины успеха УА на инфраструктуру и базовые
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13
|
