- •Н.М. Радько, и.О. Скобелев
- •Учебное пособие Воронеж 2008
- •Воронеж 2008
- •1 Иткс как объект атак удаленного и непосредственного доступа к ее элементам
- •1.1 Основные механизмы взаимодействия элементов иткс
- •1.2 Понятие угрозы информационной безопасности иткс
- •1.3 Уязвимости иткс в отношении угроз иб
- •1.3.1 Уязвимости иткс в отношении угроз непосредственного доступа
- •1.3.2 Уязвимости иткс в отношении удаленных угроз удаленного доступа
- •1.4 Классификация и описание процессов реализации угроз непосредственного и удаленного доступа к элементам иткс
- •1.4.1 Классификация
- •1.4.1.1 Классификация угроз непосредственного доступа в операционную среду компьютера
- •1.4.1.2 Классификация угроз удаленного доступа к элементам иткс
- •1.4.2 Описание процессов реализации угроз
- •1.4.2.1 Описание процессов реализации непосредственного доступа в ос компьютера
- •1.4.2.2 Описание процессов реализации удаленных атак
- •1.5 Меры и средства защиты элементов иткс от непосредственного и удаленного доступа к ним
- •1.5.1 Меры и средства защиты от непосредственного доступа в операционную среду компьютера
- •1.5.2 Меры противодействия удаленным атакам
- •1.6 Постановка задач исследования
- •2 Аналитическое моделирование процессов реализации атак, связанных с непосредственным и удаленным доступом к элементам иткс, при помощи аппарата теории сетей петри-маркова
- •2.1 Моделирование процессов реализации сетевого анализа
- •2.1.1 Сниффинг пакетов в сети без коммутаторов
- •2.1.2 Сканирование сети
- •2.2 Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)
- •2.3 Моделирование процессов реализации внедрения в сеть ложного объекта
- •2.3.1 Внедрение в сеть ложного объекта на основе недостатков алгоритмов удаленного поиска (arp-спуфинг)
- •2.3.2 Внедрение в сеть ложного объекта путем навязывания ложного маршрута
- •2.4 Моделирование процессов реализации подмены доверенного объекта сети
- •2.4.1 Подмена доверенного объекта сети (ip-spoofing)
- •2.4.2 Подмена доверенного объекта сети. Перехват tcp-сессии (ip-hijacking)
- •2.5 Моделирование процессов реализации угроз непосредственного доступа в операционную среду компьютера
- •2.5.1 Моделирование процесса реализации непосредственного доступа в операционную среду компьютера при помощи подбора паролей
- •2.5.2 Моделирование реализации непосредственного доступа в операционную среду компьютера при помощи сброса паролей
- •Выводы по второй главе
- •3 Расчет эффективности применения мер и средств противодействия угрозам определенного типа
- •3.1 Понятие эффективности защиты информации
- •3.2 Алгоритм оценки эффективности мер и средств защиты
- •3.2.1 Определение коэффициента опасности
- •3.2.2 Определение вероятности успешной реализации атаки
- •3.2.3 Определение вероятности реализации деструктивного действия
- •3.2.4 Определение вероятности успешной реализации атак при условии применения мер и средств защиты информации
- •3.2.5 Определение показателя защищенности
- •3.3 Расчёт эффективности мер и средств защиты информации по данному алгоритму
- •3.3.1 Эффективность применения парольной защиты на вход в настройки bios
- •3.3.2 Эффективность применения парольной защиты на вход в настройки bios, при атаке путем сброса паролей
- •3.3.3 Эффективность применения пароля, состоящего из 6 символов, алфавит состоит из цифр, спецсимволов и английского алфавита (a-z) при условии, что его длина неизвестна злоумышленнику
- •3.3.4 Эффективность применения средств биометрической идентификации при входе в операционную среду
- •3.3.5 Эффективность постановки на компьютер ос Windows Server 2003 для защиты от атаки «syn-flood»
- •3.3.6 Эффективность мер и средств защиты от атаки «отказ в обслуживании» при реализации подмены доверенного объекта
- •3.3.7 Эффективность криптографических средств защиты информации
- •3.4 Расчет величины риска при применении мер и средств защиты
- •4 Методика анализа рисков при реализации комплекса угроз непосредственного и удаленного доступа к элементам иткс и ее применение при управлении рисками
- •4.1 Выбор параметров для осуществления количественного анализа рисков иткс
- •4.1.1 Определение видов ущерба иткс при реализации угроз непосредственного и удаленного доступа к ее элементам
- •4.1.2 Определение взаимосвязей между атаками и их отношения к видам наносимого ущерба
- •4.2 Определение вероятностей реализации атак
- •4.2.1 Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак
- •4.2.2 Расчет интенсивности возникновения атак
- •4.2.3 Расчет вероятности реализации атак
- •4.3 Расчет рисков реализации угроз непосредственного и удаленного доступа к элементам иткс
- •4.4 Применение методики анализа рисков при управлении рисками иткс
- •4.4.1 Задача управления рисками систем
- •4.4.2 Введение функции защищенности системы
- •4.4.3 Расчет рисков иткс при использовании мер противодействия угрозам непосредственного и удаленного доступа
- •Выводы по четвертой главе
- •394026 Воронеж, Московский просп., 14
1.5.2 Меры противодействия удаленным атакам
1) Анализ трафика
Данная атака является пассивной, и сам факт ее реализации не оставляет в системе никаких фиксируемых изменений, к тому же активность хоста в процессе ее реализации существенно не отличается от нормальной. Однако в результате проведения такой атаки возможен перехват передаваемой по сети важной информации, такой как имена пользователей и пароли, которые при использовании протоколов FTP и telnet передаются в открытом виде. Таким образом, единственной возможностью минимизировать опасность от реализации данной атаки является применение средств криптографической защиты передаваемых сообщений на различных уровнях OSI [40, 52, 53, 54].
2) Отказ в обслуживании
Для предотвращения атак с использованием ICMP Echo Request/Reply могут быть использованы самые различные способы.
В качестве одного из таких эффективных мероприятий можно использовать запрещение приема и распространения сообщений типа directed broadcast. Использование данной меры рекомендовано документом RFC 1122, в соответствии с которым должны строиться правила функционирования маршрутизаторов в сети IP. В частности, в этом документе указано, что сообщения ICMP Echo Request, которые направлены в адрес типа directed broadcast, могут быть уничтожены без формирования какого либо диагностического сообщения [29].
Радикальным способом противодействия атакам типа smurf является запрещение трафика ICMP Echo Request/Reply на входных интерфейсах [34]. Однако данная мера лишает многих пользователей возможности использования эффективных инструментов, которые широко используются для определения статуса данного компонента сети — утилит ping, tracert и т.д.
3) Подмена доверенного объекта
Для защиты TCP-соединения при создании виртуального канала (атака IP-спуфинг) существует несколько путей.
Простейшим сигналом реализации данной атаки служат пакеты с адресами внутренней подсети, пришедшие из-за ее пределов. Программное обеспечение маршрутизатора может предупредить об этом администратора. Однако эта мера справедлива только в случае межсегментной атаки. Также можно усложнить или сделать невозможным угадывание начального номера сообщения ISS (ключевой элемент атаки). Например, можно увеличить скорость изменения ISS на сервере или выбирать коэффициент его увеличения случайно (желательно, используя для генерации случайных чисел криптографически стойкий алгоритм).
Кроме того, следует минимизировать доверие машин друг другу. В идеале не должно существовать способа, позволяющего напрямую попасть на соседнюю машину сети, получив права пользователя на одной из них.
Поэтому более надежным способом является анализ загруженности сети, отслеживание возникающих так называемых ACK-бурь. (При десинхронизации соединения клиент и сервер продолжают посылать друг другу сообщения с запросом на синхронизацию.) Это можно реализовать при помощи конкретных средств контроля за сетью [28].
Шифрование TCP/IP-потока решает в общем случае проблему IP-спуфинга (при условии, что используются криптографически стойкие алгоритмы).
4) Внедрение ложного объекта
В основе рассматриваемых способов противодействия ARP-атакам лежат два совершенно раличных принципа, каждый из которых обладает как достоинствами, так и недостатками.
Оба способа, помимо того, что они надёжно защищают от ARP-спуфинга имеют ещё то преимущество, что позволяют полностью контролировать трафик — не только тот, что проходит через шлюз, но и тот, который циркулирует между машинами (В случае использования PPPoE машины могут по взаимному согласию обмениваться данными между собой напрямую. В случае использования VLAN такой возможности они лишены полностью.)
Можно бороться со слабостями протокола ARP кардинально — просто не использовать его. ARP-таблицу можно сформировать вручную, при этом она становится неуязвимой к ARP-атакам. Для этого нужно добавить необходимые MAC-адреса в таблицу.
Если при этом отключить использование ARP на сетевых интерфейсах, то доступны будут только те системы, MAC-адреса которых добавлены в ARP-таблицу нашего узла, и наш MAC-адрес добавлен в ARP-таблицы узлов, с которыми производится обмен трафиком [28].
Если не отключать использование ARP на сетевых интерфейсах, MAC-адрес заданный статически имеет приоритет. Если MAC-адрес для какого-то IP-адреса не задан, используется ARP-запрос.
Преимущества и недостатки:
Метод ручного формирования ARP-таблиц имеет следующие недостатки:
а) добавляется много рутинной работы, связанной с добавлением и модификацией MAC-адресов. Каждое изменение в сети, связанное с заменой или перестановкой сетевых карт, должно сопровождаться редактированием ARP-таблиц в файлах.
б) клиентские узлы остаются по-прежнему уязвимыми к ARP-спуфингу.
Существует патчи для ядер Linux/FreeBSD, которые позволяют свести к минимуму опасность успешного выполнения атаки ARP-спуфинга против данных систем.
При приеме ARP-ответа производится сравнение старого и нового MAC-адресов, и при обнаружении его изменения запускается процедура верификации. Посылается ARP-запрос, требующий всем хозяевам IP-адреса сообщить свои MAC-адреса. Если выполняется атака, настоящая система, имеющая этот IP-адрес, ответит на запрос, и, таким образом, атака будет распознана. Если же изменение MAC-адреса было связано не с атакой, а со стандартными ситуациями, ответа, содержащего старый MAC-адрес, не будет, и по прошествию определенного таймаута система обновит запись в КЭШе [32].
К сожалению, этот метод не применим к Windows-системам, и другим системам, работающим под управлением ОС, исходный код которых недоступен.