Безопасность информационных систем. Учебное пособие
Шрифт:
4. По расположению субъекта атаки относительно атакуемого объекта: внутрисегментное, межсегментное.
Рассмотрим ряд определений: Субъект атаки (или источник атаки) – это атакующая программа, осуществляющая воздействие.
Хост (host) – сетевой компьютер. Маршрутизатор (router) – устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.
Подсеть (subnetwork) (в терминологии Internet) – совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть – логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, минуя маршрутизатор.
Сегмент сети – физическое объединение хостов. Например, сегмент сети образуют совокупность
Важно как по отношению друг к другу располагаются субъект и объект атаки, т. е. в одном или в разных сегментах они находятся. В случае внутрисегментной атаки субъект и объект атаки находятся в одном сегменте. На практике межсегментную атаку осуществить труднее, чем внутрисегментную.
5. По уровню эталонной модели ISO OSI, на котором осуществляется воздействие: физический, канальный, сетевой, транспортный, сеансовый, представительный, прикладной.
Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI). Сетевые операционные системы являются открытыми системами. Любой сетевой протокол обмена, также как и любую сетевую программу можно спроецировать на эталонную семиуровневую модель OSI. Такая многоуровневая проекция позволит описать в терминах модели OSI функции, заложенные в сетевой протокол или сетевую программу. Удаленная атака также является сетевой программой.
Анализ сетевого трафика
Особенностью сетевой операционной системы является то, что ее компоненты распределены в пространстве, и связь между ними физически осуществляется при помощи сетевых соединений и программно – при помощи механизма сообщений. Все управляющие сообщения и данные, пересылаемые одной компонентой сетевой операционной системы другой компоненте, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного только для сетей ЭВМ типового удаленного воздействия, заключающегося в прослушивание канала в сети или сетевой анализ. Анализ сетевого трафика позволяет:
1. Изучить логику работы сетевой операционной системы. Это достигается путем перехвата и анализа пакетов обмена на канальном уровне. Знание логики работы сетевой операционной системы позволяет на практике моделировать и осуществлять удаленные атаки.
2. Перехватить поток данных, которыми обмениваются компоненты сетевой операционной системы. Удаленная атака данного типа заключается в получение на удаленном компьютере несанкционированного доступа к информации, которой обмениваются две сетевые ЭВМ. При анализе сетевого трафика отсутствует возможность его модификации. Анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой атаки информации могут служить имя и пароль пользователя, пересылаемые в незашифрованном открытом виде по сети.
По характеру воздействия анализ сетевого трафика является пассивным воздействием. Осуществление данной атаки ведет к перехвату информации внутри одного сегмента сети на канальном уровне OSI. При этом начало осуществления атаки безусловно по отношению к цели атаки.
Навязывание хосту ложного маршрута
Современные глобальные сети представляют собой совокупность сегментов сети, связанных между собой через сетевые узлы. При этом маршрутом называется последовательность узлов сети, по которой данные пересылаются от источника к приемнику, а маршрутизацией называется выбор маршрута. Узел, обеспечивающий маршрутизацию, называется маршрутизатором. Каждый маршрутизатор имеет специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальный маршрут. Таблицы маршрутизации существуют не только у маршрутизаторов, но и у любых хостов в глобальной сети. Для обеспечения эффективной и оптимальной маршрутизации в сетях ЭВМ существуют специальные управляющие протоколы, позволяющие маршрутизаторам обмениваться информацией друг с
другом (RIP (Routing Internet Protocol), OSPF (Open Shortest Path First)), уведомлять хосты о новом маршруте (ICMP (Internet Control Message Protocol)), удаленно управлять маршрутизаторами (SNMP (Simple Network Management Protocol)). Все названные протоколы позволяют изменять маршрутизацию в сети, т. е. являются протоколами управления сетью.Основная цель атаки, связанной с навязыванием хосту ложного маршрута, – изменить исходную доверенную маршрутизацию хоста, так, чтобы новый маршрут проходил через хост или сеть злоумышленника.
Реализация данной типовой атаки состоит в несанкционированном использовании протоколов управления сетью для изменения исходной маршрутизации. Для изменения маршрутизации атакующему требуется послать по сети определенные указанными протоколами управления сетью специальные служебные сообщения от имени сетевых управляющих устройств (например, маршрутизаторов).
В результате успешного изменения маршрута атакующий хост получит полный контроль над потоком информации, которой обмениваются два доверенных хоста и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей пакетов, получаемых от обманутых хостов. Данная стадия атаки полностью совпадает со второй стадией типовой атаки ложный сервер.
Навязывание хосту ложного маршрута – активное воздействие, совершаемое с целью перехвата и искажения информации безусловно, по отношению к цели атаки. Данная удаленная атака осуществляется внутри одного сегмента и на сетевом уровне модели OSI.
Подмена доверенного хоста
Проблема заключается в однозначной идентификации получаемых станцией пакетов обмена. В сетевых операционных системах эта проблема решается следующим образом: в процессе создания виртуального канала хосты обмениваются определенной информацией, уникально идентифицирующей данный канал. Такой обмен обычно называется «рукопожатием» (handshake). Однако не всегда для связи двух удаленных компонент в сети создается виртуальный канал. Часто, например, от маршрутизаторов используется посылка одиночных пакетов, не требующих подтверждения.
Для адресации пакетов в компьютерных сетях используется сетевой адрес, который уникален для каждой станции (на канальном уровне модели OSI – это аппаратный адрес сетевого адаптера, на сетевом уровне – адрес определяется в зависимости от используемого протокола сетевого уровня (например, IP-адрес)). Сетевой адрес может использоваться для идентификации пакетов обмена. Сетевой адрес подделывается, и поэтому использовать его в качестве единственного средства идентификации является неправильным.
Если в сетевой операционной системе используются слабые средства идентификации ее удаленных компонент, тогда возможна типовая удаленная атака, которая заключается в передачи по сети сообщений от имени любого хоста. Существуют две разновидности данной типовой удаленной атаки:
• атака при установленном виртуальном канале;
• атака без установленного виртуального канала.
В случае установленного виртуального соединения атака будет заключаться в присвоении прав доверенного хоста, легально подключившегося к серверу, что позволит злоумышленнику вести сеанс работы с сервером от имени доверенного хоста. Реализация данного типа атак состоит в посылке пакетов обмена с атакующей станции на сервер от имени доверенной станции и при этом посланные пакеты будут восприняты сервером как корректные. Для осуществления атаки данного типа необходимо преодолеть систему идентификации пакетов, которая может использовать контрольную сумму, вычисляемую с помощью открытого ключа, динамически выработанного при установлении канала, случайные многобитные счетчики пакетов и сетевые адреса станций. Однако в операционной системе Novell NetWare 3.12 для идентификации пакетов обмена используются два 8-битных счетчика – номер канала и номер пакета; в протоколе TCP для идентификации используются два 32-битных счетчика. Для служебных сообщений используется посылка одиночных пакетов, не требующих подтверждения, т. е. не требуется обязательного создания виртуального соединения.