Файловый архив студентов. Файловый архив студентов.
1306 вузов, 5172 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Московский государственный университет приборостроения и информатики
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
вирусы.docx
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
483.63 Кб
Скачать
►Содержание►

. Методы и средства защиты от удалённых атак через Internet

6.1. Взаимодействие вычислительных процессов. Сетевые протоколы и интерфейсы

На рабочих местах вычислительной сети идут вычислительные процессы, которые могут быть изолированными (локальными) или обменивающимися сообщениями. При пересылке сообщений из одного процесса в другой приходится решать множество задач от пересылки байта по каналу связи до преодоления различий представления одних и тех же данных различными процессами. Эти задачи решаются специальными программами, которые называются сетевыми драйверами.

По важности и содержанию задачи и сетевые драйверы распределены по множеству уровней (рис. 6.1) и образуют иерархическую систему. На рис. 6.1. уровни показаны двойными линиями и пронумерованы цифрами. На рабочих местах А и В идут процессы РА и РВ. Процесс РА послал сообщение SA процессу РВ. При передаче сообщения драйверы каждого уровня добавляют к сообщению свою служебную информацию, которая обозначена цифрами, помещенными около сообщения. На нижнем уровне происходит передача сообщения по каналу связи, который показан в виде цилиндра.

Рис. 6.1. Схема четырёхуровневой модели взаимодействия процессов

При приёме драйверы уровней при обработке сообщения изымают свою служебную информацию из сообщения. На самом последнем уровне дополнительно происходит преобразование форматов представления данных в процессах, вследствие чего получается сообщение SB в формате представления данных процесса РВ.

Драйверы взаимодействуют между собой по определённым наборам правил. Наборы правил взаимодействия драйверов одного уровня называются протоколами, а наборы правил взаимодействия драйверов соседних уровней – интерфейсами. Набор протоколов, участвующих в информационном обмене, называется стеком протоколов. В настоящее время в качестве стандарта продвигается модель OSI, имеющая семь уровней: приложений (А), представительный (Р), сеансовый (S), транспортный (Т), сетевой (N), канальный (L) и физический (Phy). Де-факто существует множество стеков протоколов, разработанных различными фирмами, которые развивают свои стеки и не собираются от них отказываться. Например, стек IPX/SPX фирмы Novell.

Одним из самых распространённых стеков протоколов информационного обмена в сети Internet является пятиуровневый стек протоколов TCP/IP, который предусматривает пять уровней: прикладной (Application), транспортный (Transport), уровень межсетевого взаимодействия (Internet-уровень), сетевой интерфейс (Network Interface) и физический (Hardware).

На прикладном уровне работает множество протоколов, в частности протокол пересылки файлов FTP, почтовый протокол SMTP, гипертекстовые службы WWW и многие другие.

На транспортном уровне работают протоколы TCP и UDP. Первый их них обеспечивает надёжную информационную связь между источником и приёмником и предусматривает разделение сообщения на множество отдельных частей (пакетов), которые маркируются так, что каждый из них содержит информацию для правильной сборки пакетов на компьютере адресата. Каждый пакет обрабатывается и передаётся от узла к узлу как независимая единица информации (датаграмма). Протокол UDP обеспечивает передачу пакетов от приложения к приложению. При прохождении транспортного уровня к пакету добавляется в соответствии с рис. 6.1 TCP-заголовок.

На уровне Internet работает протокол IP. Он добавляет к сообщению с заголовком ТСР заголовок IP, реализующий концепцию передачи данных посредством коммутации пакетов, а не фрагментов линий связи. IP-заголовок содержит IP-адреса источника и приёмника. IP-адрес состоит из четырёх целых чисел, разделённых точкой1. Он позволяет любому компьютеру, получившему пакет, определить ближайшего по условиям связи соседа2, которому полученный пакет должен быть передан в целях доставки пакета конечному адресату.

На уровне сетевого интерфейса располагается аппаратно зависимое программное обеспечение, реализующее распространение данных на том или ином отрезке среды передачи данных. Драйверы сетевого интерфейса добавляют к IP-пакету сетевой заголовок, например Ethernet-заголовок.

6.2. "Врождённые слабости" служб Internet

К числу служб Internet относятся:

  • SMTP – простой протокол передачи электронной почты;

  • Sendmail – программа электронной почты;

  • DNS – служба сетевых имён;

  • Telnet – служба эмуляции удалённого терминала;

  • WWW – всемирная паутина;

  • FTP – протокол передачи файлов FTP;

  • X Windows – графическая оконная система.

В этом списке требуют пояснения службы DNS, Telnet и WWW.

Служба DNS представляет собой распределённую в пространстве базу данных, которая хранит информацию о структуре сети компании и предназначена для преобразования символьных имён пользователей, серверов и хостов (компьютеров с фиксированным IP-адресом) в их IP-адреса.

Telnet – служба, обеспечивающая взаимодействие с удалёнными устройствами. Предполагает наличие Telnet-клиента, Telnet-сервера и TELNET-прото­кола. Служба позволяет, в частности, управлять удалённым компьютером, пользуясь клавиатурой и монитором другого компьютера в режиме командной строки.

WWW – распределённая система, предоставляющая доступ множеству компьютеров, присоединённых к сети Internet, к связанным между собой гипертекстовым документам, находящихся на разных компьютерах. Служба WWW обеспечивает функционирование этой системы на конкретном компьютере.

Всем службам присущи "врождённые слабости", являющиеся следствием недостаточного внимания их создателей к обеспечению безопасности телекоммуникаций (табл. 6.1).

Таблица 6.1. Службы Internet и их врождённые слабости

Служба

Описание слабостей

Возможные последствия

SMTP

Отсутствие у пользователя возможности проверить по заголовку письма адрес отправителя

Возможность блокирования хакером почтового сервера посредством направления на него большого количества писем

Sendmail

Использование для работы IP-ад­реса отправителя

Возможность использования IP-ад­реса хакером для атаки "подмена адресов"

DNS

Трудность скрытия базы данных службы от неавторизированных пользователей

Использование хакерами базы данных службы как источника информации об именах доверенных хостов

Telnet

Работа компьютера после аутентификации пользователя в режиме незащищённого терминала

Возможность переконфигурирования Telnet-сервера так, чтобы сервер записывал имена и пароли пользователей

WWW

Наличие в гиперссылках информации об обеспечении доступа к узлам сети

Получение хакерами возможности хищения файлов с Web-узлов и даже их разрушения

FTP

Хранение на FTP-серверах текс­товых и двоичных файлов при на­личии опции "Анонимный FTP-сер­вер" (свободный доступ).

Возможность хищения файлов с сервера

X Windows

Наличие элементов управления ActiveX, получающих управление процессами

Возможность изменения хакерами кодов элементов ActiveX в целях по­лучения контроля над процессами

Дополнительные слабости вносит и стек протоколов TCP/IP, который создавался в системе организаций широко использовавших операционную систему UNIX. Открытость этой системы отсутствие реальных стимулов защиты передаваемой по сети информации в период создания этого стека протоколов привели к наличию в нём слабостей, которые можно считать "врождёнными", т.к. на создание его оказали существенное влияние архитектура UNIX и методология программирования в среде этой операционной системы. Слабости протоколов указанного стека выражаются в его слабой защищённости от множества удалённых атак по сети. Перечень атак протоколов стека TCP/IP [17] приведён в табл. 6.2.

Таблица 6.2. Атаки протоколов стека TCP/IP

Атака

Описание атаки

Программные и аппаратные средства реализации, приёмы

Подслушивание (слежение, sniffing, snooping)

Прослушивание линии связи и считывание трафика в целях хищения незащищённой информации и получения конфиденциальных данных (имен, паролей и т.д.)

Снифферы (перехват­чики) пакетов, идущих через домен

Парольные атаки

Несанкционированное получение логина и пароля в целях получения доступа к ресурсам общего пользования

IP-спуфинг, сниффинг пакетов, полный перебор вариантов, "тро­янский конь"

Изменение данных

Изменение данных в пакете даже при отсутствии у злоумышленника сведений об отправителе или получателе

Предшествующие парольные атаки

Угадывание ключа

Подбор или вычисление ключа шифра для получение доступа к защищённым данным

Подмена доверенного субъекта

(IP-спуфинг)

Некорректное присвоение IP-адреса данным, отправляемым злоумышленником в целях получения доступа к сети для дальнейших незаконных изменения, удаления и перенаправления данных

Специальные программы

Перехват сеанса

Переключение установленного соединения на хост злоумышленника и разрыв соединения с истинным источником данных. В дальнейшем возможно:

  • посылкой некорректных данных вызвать аварийное завершение или некорректную работу приложений;

  • наводнение компьютера или сети трафиком до отказа системы вследствие перегрузки;

  • блокирование доступа к сетевым ресурсам авторизованным пользователям

Продолжение табл. 6.2.

Атака

Описание атаки

Программные и аппаратные средства реализации, приёмы

Посредничество

Активное подслушивание, перехват и управление передаваемыми данными скрытым промежуточным узлом при взаимодействии компьютеров на низких сетевых уровнях

Посредничество в обмене незашифрованным ключом

Подмена злоумышленником открытых ключей у легальных абонентов сети в целях кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, анализа трафика и получения информации о сети и её пользователях, искажения передаваемых данных, ввода посторонней информации в текущие сессии, проведения атаки "Отказ в обслуживании"

Снифферы пакетов, транспортные протоколы и протоколы маршрутизации.

В эти нарушения могут быть замешаны со­­­трудники провайдера, т.к. они имеют дос­туп ко всем пакетам, проходящим через него

Отказ в обслуживании (DoS, DDos)

Блокирование сети для легальных пользователей за счёт превышения допустимых пределов использования.

Internet-протоколы TCP, ICMP и т.д.

Общие слабости системной архитектуры

Атака на уровне приложений

Получение доступа к компьютеру от имени пользователя с высокими правами (вплоть до администратора), работающего с привилегированными приложениями

Злоупотребление доверием

Злонамеренное использование отношений доверия, существующих между элементами сети. Например, серверы DNS, SMTP и HTTP доверяют друг другу, и взлом одного приводит ко взлому остальных

Вирусы и "Троянские кони"

Внесение в сеть вредоносных программ, которые могут загрузить рабочие станции ненужной работой, разрушить информацию, нарушить работу программ, передать конфиденциальную информацию, например логины и пароли

Сетевая разведка

Сбор информации о сети с помощью общедоступных данных и приложений в целях добывания данных для последующих атак.

Запросы DNS,

Эхо-тес­тирование (ping sweep),

Сканирование портов

Слабостями протоколов стека TCP/IP являются: аутентификация пользователя только по его IP-адресу, выполнение аутентификации только на стадии установления соединений и передача по сети важнейших сведений о системе в незашифрованном виде.

6.3. Межсетевые экраны

6.3.1. Общие понятия межсетевых экранов

На рис. 6.2 показана обобщённая схема взаимодействующей с Internet локальной сети, построенной администратором-идеалистом. В этой сети отсутствуют выделенные средства защиты информации. На рис. 6.3. показаны основные угрозы безопасности информации со стороны злоумышленников, которые могут быть внешними (находящимися вне пределов локальной сети) и внутренними (сотрудниками предприятия).

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности