283

2)наличие ошибок в используемых сетевых протоколах, операционных системах, а также прикладных программах, перечень и описание которых легко найти в сети в открытом доступе;

3)в распределенной вычислительной сети на различных хостах могут быть установлены отличные друг от друга типы и версии операционных систем и, как следствие, различные версии прикладных программ;

4)построение системы сетевой защиты информации, требующее от администратора сети высокой квалификации;

5)возможные ошибки при настройке систем защиты информации на отдельных хостах;

6)халатное отношение пользователей к соблюдению правил информационной безопасности или их полное игнорирование;

7)ошибки, допускаемые администраторами сети в процессе администрирования информационных систем;

8)невыполнение пользователями или администраторами сети рекомендаций специалистов по защите информации в случае выявления ошибок в программном обеспечении рабочих станций, а также отсутствие систематического контроля за имевшими место случаями удаленного вторжения.

Пример уязвимости некоторых популярных служб Интернета: 1. Протокол передачи электронной почты (SMTP) предназна-

чен для отправки сообщений другим абонентам в сети Интернет. Это один из самых старых протоколов Интернета. Он разрабатывался в то время, когда проблема обеспечения информационной безопасности в компьютерных сетях еще не стояла так остро, и поэтому он имеет ряд уязвимостей, которыми могут воспользоваться злоумышленники для оказания вредоносного воздействия. Первая уязвимость протокола заключается в том, что в заголовке почтового сообщения может быть легко подменен адрес отправителя этого сообщения. Вместо действительного адреса может быть указан абсолютно любой, даже несуществующий. Так как процесс отправки сообщений проконтролировать затруднительно, злоумышленник может попытаться вывести из строя почтовый сервер сети путем отправки большого количества электронных писем. Вторая уязвимость связана с тем, что программы электронной почты при отправке сообщений используют IP-адрес компьютера отправителя. В случае перехвата письма злоумышленник сможет использовать эту информацию в своих целях.

41

2. Служба доменных имен (DNS) осуществляет преобразование имен пользователей и хостов распределенной вычислительной системы в IP-адреса компьютеров сети в соответствии с базой данных, в которой хранятся имена и адреса всех компьютеров сети, а также информация о структуре сети. Уязвимость DNS состоит в том, что неавторизованные пользователи в некоторых случаях могут получить доступ к этой базе данных, а злоумышленники – информацию

оструктуре сети и ее доверенных хостах.

3.Всемирная паутина (WWW) – это распределенная система, позволяющая пользователям Интернета получать информацию в виде связанных между собой документов, которые могут находиться на различных компьютерах сети. Связь между документами осуществляется посредством использования гипертекстовых ссылок. Уязвимость системы состоит в том, что в описании гипертекстовых переходов указывается информация о способе осуществления доступа к соответствующему узлу. Данная информация может быть использована злоумышленником для организации удаленной атаки на узел.

2.2. Классификации удаленных атак

По характеру воздействия:

1.Активное воздействие. Воздействие такого рода приводит

кнарушению действующей в системе политики безопасности в результате прямого воздействия на работу вычислительной системы или ее отдельных элементов. Подавляющее большинство удаленных атак активно воздействуют на атакуемую систему. Благодаря тому, что в результате активного воздействия в вычислительной системе обязательно происходят различного рода изменения, которые впоследствии могут быть определены системой защиты, данный тип воздействия теоретически может быть обнаружен.

2.Пассивное воздействие. Данный тип воздействия не нарушает функционирования вычислительной системы и не влияет на ее работу в целом. В связи с тем что в системе отсутствуют следы постороннего вмешательства, пассивное воздействие обнаружить практически невозможно. Одним из результатов такого воздействия является нарушение действующей в системе политики безопасности.

42

Распространенный пример пассивного воздействия – прослушивание злоумышленником каналов связи.

По цели атаки:

1.Нарушение конфиденциальности информации – перехват информации. В результате перехвата информации злоумышленник получает возможность ознакомления с ней, но не может ее изменить. Так как защищаемая информация становится доступной постороннему лицу, нарушается ее конфиденциальность. По характеру данное воздействие является пассивным.

2.Нарушение целостности информации – модификация ин-

формации. Модификация информации возможна только в случае передачи данных от имени легитимного пользователя или полного контроля над обменом информацией в распределенной системе. По характеру данное воздействие является активным. Примером такой атаки служит удаленная атака «Ложный объект распределенной вычислительной системы».

3.Нарушение функционирования (доступа) системы. Основ-

ной целью атакующего является выведение из строя операционной системы атакуемого хоста. В этом случае злоумышленник не ставит перед собой цель получения доступа к ресурсам хоста, так как выведенная из строя система не в состоянии отвечать ни на какие запросы. Главная цель атакующего – блокировать доступ легитимным пользователям сети. Например, атака «Отказ в обслуживании».

По условию начала осуществления атаки:

1.Атака по запросу от атакуемого объекта. Для инициации атаки данного типа злоумышленник ожидает от системы «жертвы» сетевой запрос нужного вида. Как правило, это обычный системный запрос, который не вызывает никаких подозрений у средств сетевой защиты и позволяет атакующему замаскировать свои действия под легитимным предлогом. Таким образом «жертва» как бы сама «провоцирует» злоумышленника на атакующие действия.

2.Атака по наступлению ожидаемого события на атакуе-

мом объекте. В данном случае стартом к началу атаки выступает заранее определенное системное событие (например, завершение сеанса). Для успешной инициации атаки злоумышленник постоянно мониторит систему «жертвы». Для автоматизации процесса наблюдения за состоянием атакуемой системы чаще всего используется специализированное программное обеспечение.

43

3. Безусловная атака. Инициатором безусловной атаки является сам атакующий. Для ее начала не требуется выполнения каких-либо условий по состоянию системы или сети, отсюда и название атаки – безусловная.

По наличию обратной связи с атакуемым объектом:

1.C обратной связью. Наличие обратной связи подразумевает, что злоумышленник не только передает команды и запросы на атакуемую систему, но и при необходимости получает ответ от системы «жертвы». Данный тип атаки имеет свои плюсы и минусы: с одной стороны, наличие обратной связи позволяет оперативно реагировать на все изменения в атакуемой системе, с другой – наличие обратного сетевоготрафика может демаскировать злоумышленника.

2.Однонаправленная атака (без обратной связи). При осуще-

ствлении такой атаки злоумышленник передает соответствующие команды и запросы на атакуемую систему, при этом ответ от системы «жертвы» не требуется. В качестве примера однонаправленной атаки можно назвать атаку «Отказ в обслуживании».

По расположению субъекта атаки:

1.Внутрисегментная. Злоумышленник и система «жертвы» физически находятся внутри одного сегмента сети. Так как для доступа к системе «жертвы» злоумышленник преодолевает минимальное количество элементов сетевого оборудования, то атака данного типа представляется наиболее простой.

2.Межсегментная. Злоумышленник и система «жертвы» физически находятся в разных сегментах сети. Так как злоумышленник осуществляет доступ к системе «жертвы» через большее количество элементов сетевого оборудования и каналов связи, то межсегментная атака реализуется значительно сложнее, чем внутрисегментная.

2.3. Примеры удаленных атак

Анализ сетевого трафика

Тот факт, что все узлы распределенной вычислительной системы соединены между собой каналами связи, которые используются для обмена данными, теоретически может стать причиной уязвимости, следствием которой является возможность перехвата злоумышленником сетевого трафика распределенной системы. Для реализации

44

удаленной атаки данного вида применяют специальные программы – анализаторы трафика или снифферы (от английского to sniff – нюхать). Главная особенность этих программ заключается в том, что они могут перехватить только тот сетевой трафик, который непосредственно проходит через устройство или рабочую станцию, на которых установлена программа сниффера.

С учетом вышесказанного перехват и последующий анализ сетевого трафика могут осуществляться посредством:

1)прослушивания сетевого интерфейса узла сниффера. В последние годы в связи с массовым переходом на использование в распределенных вычислительных системах коммутаторов вместо концентраторов данный метод малоэффективен;

2)«врезки» узла сниффера в разрыв канала связи, по которому передается основной трафик сети (например, канал связи, соединяющий между собой маршрутизаторы);

3)использования специальных устройств Network tap (сетевой тест-порт или сетевой отвод), которые монтируются в разрыв канала связи и создают полную копию проходящего через них сетевого трафика. Затем полученная копия трафика перенаправляется на узел сниффера;

4)анализа наведенного электромагнитного поля, создаваемого электрическим током в проводных каналах связи, и последующего восстановления сетевого трафика;

5)подмены доверенного узла. Весь трафик, предназначенный для получения определенным узлом распределенной вычислительной системы, направляется на узел сниффера, а уже затем передается основному адресату.

Подмена доверенного объекта системы

Под доверенным объектом понимают вычислительный узел (рабочую станцию, сервер и т. д.), легально подключенный к распределенной вычислительной системе. В результате реализации подмены доверенного объекта злоумышленник получает возможность совершать действия в сети (посылать сообщения и запросы) от имени легального пользователя или элемента сети.

В зависимости от того, какой именнообъект сети подлежит подмене, различают два вида атаки подмены доверенного объекта системы:

– без установления виртуального соединения, когда злоумыш-

ленник пытается подменить сетевое управляющее устройство

45

(например, маршрутизатор). В этом случае атакующий от имени легального объекта передает служебные сообщения, которые не требуют ответа о получении;

– с установлением виртуального соединения, когда подменяе-

мый элемент распределенной системы в процессе своей работы отправляет в сеть сообщения или команды, требующие обязательного обратного ответа. В случае успешной реализации атаки данного вида злоумышленник получает возможность действовать от имени легального пользователя объекта распределенной вычислительной системы.

Главной причиной, позволяющей проводить в системе успешные атаки типа подмены доверенного объекта, является недостаточный уровень надежности процессов идентификации и аутентификации пользователей и объектов распределенной вычислительной системы.

Внедрение ложного объекта в систему

Вотличие от атаки подмены доверенного объекта системы, когда злоумышленник внедряется в распределенную систему от чужого имени, внедрение ложного объекта подразумевает подключение

краспределенной системе дополнительного узла, через который впоследствии направляется поток данных.

Существует два способа реализации атаки внедрения ложного объекта:

– навязывание ложного маршрута;

– использование недостатков алгоритмов удаленного поиска.

Впервом случае используются уязвимости протоколов управления сетью, в частности протоколов, отвечающих за формирование маршрутов передачи сетевых пакетов. Злоумышленник может направить потоки данных через заданный узел сети, тем самым получив доступ ко всей информации, циркулирующей в сети.

Во втором случае используются уязвимости в алгоритмах удаленного поиска легитимных узлов распределенной системы. В частности, при отправке запросов на поиск удаленного узла злоумышленник имеет возможность подменить ответ, в результате чего связь будет установлена не с легитимным, а с ложным объектом сети.

Использование ложного объекта для организации удаленной атаки на систему

Успешное внедрение ложного объекта позволяет злоумышленнику полностью контролировать потоки данных между легитимными

46

объектами распределенной системы. Под контролем подразумевается не только просмотр сетевого трафика, но и возможность оказывать влияние на работу распределенной вычислительной системы в целом. Такая организация атаки представляет серьезную угрозу безопасности и является одной из целей для различных видов удаленных атак.

Виды воздействия на информационные потоки, контролируемые ложным объектом.

1.Селекция потока информации и сохранение его на ложном объекте системы. При внедрении ложного объекта в распределенную систему можно перехватить информацию, передаваемую по каналам связи. Однако в перехватываемой информации помимо полезных для атакующего данных содержится большое количество служебной информации, не представляющей интереса. Для выделения полезной информации из общего потока данных необходимо проводить динамический анализ потока перехватываемых данных

споследующей их селекцией.

2.Модификация информации. Так как перехваченный поток данных в обязательном порядке проходит через ложный объект и только потом отправляется законному адресату, то у злоумышленника появляется возможность модификации перехваченногопотока данных.

Модификация перехваченной информации осуществляется в три этапа:

– динамический анализ сетевого трафика для выделения полезной информации;

– определение типа передаваемой информации для дальнейшей обработки;

– внесение изменений в перехваченную информацию с соблюдением необходимых форматов и протоколов передачи данных.

3.Подмена информации. Частным случаем модификации информации является ее полная подмена. Обычно подмена данных происходит после возникновения в системе заданного события. Подмене подвергаются как передаваемые данные, так и внедренный в трафик исполняемый код.

4.Отказ в обслуживании. Основной целью удаленной атаки «Отказ в обслуживании» (DoS-атака, англ. Denial of Service) является выведение из строя вычислительной системы «жертвы». В результате атакованная система не в состоянии отвечать на запросы леги-

47

тимных пользователей и предоставлять им соответствующие информационные ресурсы.

Существует множество способов реализации удаленной атаки «Отказ в обслуживании», которые нацелены на слабые стороны атакуемой системы. Условно их можно разделить на три группы:

–атака на канал связи;

–атака на сетевые службы;

–атака на уязвимости конкретного сетевого приложения.

Атака на канал связи состоит в том, чтобы посредством передачи на атакуемую систему большого количества запросов полностью забить канал передачи данных. В этом случае остальные пользователи системы либо совсем не могут получить доступ к интересующим их ресурсам, либо этот доступ существенно затруднен.

Атака на сетевые службы использует особенности функционирования протоколов обмена данными. Таким образом злоумышленник воздействует на конкретную сетевую службу, вызывая ее отказ (например, на атакованной системе открывается предельно допустимое количество соединений и создание новых соединений становится невозможным), при этом сама атакованная система и другие запущенные приложения могут продолжать функционировать. Так как пользователи распределенной вычислительной системы осуществляют доступ к ресурсам с помощью соответствующих сетевых служб, то отказ в работе сетевой службы неминуемо приводит к потере доступа пользователей к атакованной системе.

Атака на уязвимости конкретного сетевого приложения использует особенности функционирования конкретных программ, например ошибки в программировании или специально созданные нештатные условия. Как правило, удаленная атака данного вида осуществляется посредством подготовки специальных «тяжелых» запросов, на обработку которых приходится выделять большое количество системных ресурсов (например, выборка большого количества данных или некорректно составленный запрос). И если создатели приложений заранее не предусмотрели способы решения нештатных ситуаций, то либо приложение, либо вся система могут перестать функционировать.

Очень часто удаленная атака «Отказ в обслуживании» для усиления эффекта совершается одновременно с большого числа компьютеров. В этом случае совокупная производительность атакующей

48

системы выше, чем у системы «жертвы», что значительно упрощает процесс вывода из строя даже хорошо защищенных и производительных систем. Атака такого типа называется «Распределенная атака „Отказ в обслуживании“» (DDoS-атака, от англ. Distributed Denial of Service).

Гарантированно защититься от атаки «Отказ в обслуживании» практически невозможно, но существуют методы противодействия DoS- и DDoS-атакам, которые позволяют значительно повысить шансы на их успешное отражение:

–использование специализированного программного обеспечения; установленное на отдельный сервер защитное программное обеспечение позволяет отразить некоторые слабые атаки;

–фильтрация; специально настроенные фильтры и сетевые экраны блокируют сетевой трафик от атакующих компьютеров;

–обратный DDoS – перенаправление сетевого трафика от системы «жертвы» на систему злоумышленника; для его реализации требуется наличие высокопроизводительной системы;

–устранение уязвимостей; метод не работает в случае атаки на канал связи;

–рассредоточение – распределение вычислительных и информационных ресурсов одновременно на несколько дублирующих систем, что позволяет сохранить работоспособность системы в целом даже при выходе из строя ее отдельных вычислительных узлов;

–наращивание производительности; при наличии запаса производительности системе проще реализовать другие методы защиты от атаки.

2.4.Организация защиты информации

всистемах передачи данных

Межсетевой экран (firewall) – это программное или аппаратнопрограммное средство защиты распределенной вычислительной системы, которое в соответствии с установленными правилами и ограничениями осуществляет фильтрацию сетевого трафика. Межсетевые экраны предназначены для защиты сегмента сети или отдельной рабочей станции от несанкционированного доступа через уязвимости в сетевых протоколах обмена данными или программном обеспечении вычислительных узлов распределенной системы.

49

Воснове работы сетевых экранов лежат правила, в соответствии

скоторыми блокируется или разрешается передача данных в сети. Структурно функционирование межсетевого экрана представляют в виде последовательности фильтров, через которые проходит сетевой трафик. Для каждого фильтра задаются индивидуальные правила обработки трафика. Правила фильтрации могут работать по одному из двух принципов:

1) «Белый список» – пропускаются только те данные, для которых определено правило фильтрации, остальные данные блокируются;

2) «Черный список» – пропускаются все данные кроме тех, для которых установлены правила фильтрации.

Взависимости от уровня обработки протоколов передачи данных межсетевые экраны можно разделить на пять типов1:

– управляемые коммутаторы;

– пакетные фильтры;

– шлюзы сеансового уровня;

– посредники прикладного уровня;

– инспекторы состояния.

Управляемые коммутаторы осуществляют управление сетевым трафиком на канальном уровне в пределах локальной сети, однако они не в состоянии обрабатывать трафик из внешних сетей. Главное преимущество управляемых коммутаторов – это их высокая скорость, главный недостаток – работа только на канальном уровне без возможности обрабатывать высокоуровневые протоколы.

Пакетные фильтры отслеживают прохождение данных на сетевом уровне, анализируя служебную информацию в заголовках сетевых пакетов. Благодаря тому, что данная фильтрация выполняется быстро и не требует большого объема системных ресурсов, пакетные фильтры часто встраиваются в маршрутизаторы, операционные системы, персональные межсетевые экраны.

Главный недостаток пакетных фильтров в том, что они уязвимы против удаленных атак, в результате которых подделывается сетевой адрес.

Шлюзы сеансового уровня выступают в роли посредника между внешними узлами и рабочими станциями, находящимися внутри

1 См.: Лебедь С. В. Межсетевое экранирование. Теория и практика защиты внешнего периметра. М.: МГТУ им. Н. Э. Баумана, 2002.

50