- •Моделирование атак сети массового обслуживания
- •Введение
- •1. Описательная модель системы массового обслуживания
- •1.1. Основы структурированной проводки
- •1.2. Структурные составляющие проводки
- •1.3. Промышленное обеспечение
- •1.4. Стандарт eia/tia-568
- •1.5. Горизонтальная проводка
- •1.6. Развитие структурированных систем
- •2. Исследование угроз безопасности системы массового обслуживания
- •2.1. Угрозы информационной безопасности в структурированных системах
- •2.2. Классификация угроз информационной безопасности в структурированных системах
- •2.3. Типы воздействия угроз на информационную систему
- •2.4. Угрозы отказа в обслуживании в структурированных системах
- •3. Формализованная модель тракта телекоммуникации как системы массового обслуживания
- •3.1. Понятие о марковском процессе
- •3.2. Потоки событий
- •3.3. Уравнения Колмогорова для вероятностей состояний. Финальные вероятности состояний
- •3.4. Основные элементы теории массового обслуживания
- •3.5. Схема гибели и размножения
- •3.6. Формула Литтла
- •3.7. Многоканальная система массового обслуживания с отказами
- •4. Математическая модель оценки воздействия угроз
- •4.1. Показатели оценивания эффективности системы массового обслуживания
- •4.2. Формализации угроз отказа в обслуживании
- •4.3. Математическая модель системы массового обслуживания при атаке DoS
- •4.4. Оценка эффективности влияния угроз на элементы системы массового обслуживания
- •4.5. Методика определения величины риска от угрозы отказа в обслуживании
- •Вопросы для самоконтроля
- •394026 Воронеж, Московский просп., 14
2.3. Типы воздействия угроз на информационную систему
Представим следующие типы воздействий, которые могут иметь место в компьютерной сети:
1. Неавторизованный доступ к компьютерной сети - происходит в результате получения неавторизованным пользователем доступа к сети. Чтобы получить неавторизованный доступ, используют три метода: общие пароли, перехват пароля и угадывание пароля. Общие пароли позволяют неавторизованному пользователю получить доступ к корпоративной сети и привилегии законного доступа; угадывание пароля является традиционным способом неавторизованного доступа; перехват пароля может осуществляться при передаче пароля и идентификатора пользователя, передаваемых по сети в незашифрованном виде. Неавторизованный доступ к корпоративной сети может происходить с использованием следующих уязвимых мест: совместно используемые пароли; отсутствие или недостаточность схемы идентификации и аутентификации; недостатки управления паролями или легкие для угадывания пароли; использование известных системных уязвимых мест, которые не были исправлены; слабый физический контроль за сетевыми устройствами.
2. Несоответствующий доступ к ресурсам сети - происходит в результате доступа к ресурсам сети авторизованным или неавторизованным пользователем неавторизованным способом. Выгода данной угрозы состоит в том, что большое количество ресурсов легко доступны большому количеству пользователей. Однако не все ресурсы должны быть доступны каждому пользователю. Чтобы предотвратить компрометацию безопасности ресурса (т.е. разрушение ресурса, или уменьшение его доступности), нужно разрешить использование этого ресурса четко ограниченному количеству пользователей. Несоответствующий доступ к ресурсам сети может происходить при использовании следующих уязвимых мест: данные, хранящиеся с неадекватным уровнем защиты или вообще нет защиты; неправильное использование привилегий администратора или менеджера сети; использование при назначении прав пользователям по умолчанию таких системных установок, которые являются слишком разрешающими для пользователей.
3. Раскрытие данных - является результатом получения доступа к информации или ее чтения и возможного раскрытия информации случайным или намеренным образом, Некоторые из хранящихся и обрабатываемых данных могут требовать высокого уровня конфиденциальности. Раскрытие данных или программного обеспечения компьютерной сети происходит, когда к данным или программному обеспечению осуществляется доступ, при котором они читаются и, возможно, разглашаются некоторому лицу, которое не имеет доступа к данным. Компрометация данных сети может происходить при использовании следующих уязвимых мест: неправильной установки управления доступом; исходные тексты, хранимые в незашифрованной форме; исходные тексты приложений, хранимые в незашифрованной форме; резервные копии данных и программного обеспечения, хранимые в открытых помещениях.
4. Неавторизованная модификация данных и программ - происходит в результате модификации, удаления или разрушения данных и программного обеспечения компьютерной сети неавторизованным или случайным образом. Поскольку пользователи разделяют данные и приложения, изменения в этих ресурсах должны быть управляемы, Неавторизованная модификация данных или программного обеспечения происходит, когда в файле или программе производится неавторизованные изменения (добавление, удаление или модификация). Когда незаметная модификация данных происходит в течении длительного периода времени, измененные данные могут распространиться по корпоративной сети, искажая базы данных, электронные таблицы и другие прикладные данные. Это может привести к нарушению целостности почти всей прикладной информации. Если в программном обеспечении были произведены незаметные изменения, то все программное обеспечение ПК может оказаться под подозрением, что приводит к необходимости детального изучения (и, возможно, переустановки) всего соответствующего программного обеспечения и приложений. Эти изменения могут привести к передаче информации (или копии информации) другим пользователям, искажению данных при обработке или нанесению ущерба допустимости системы или служб компьютерной сети. Неавторизованная модификация данных и программного обеспечения может происходить при использовании следующих уязвимых мест; отсутствие средств выявления и защиты от программных воздействий; отсутствие криптографической контрольной суммы критических данных; необнаруженные изменения в программном обеспечении; разрешение на запись, предоставленные пользователям, которые требуются только разрешение на доступ по чтению.
5. Раскрытие трафика компьютерной сети - происходит в результате получения доступа к информации, или ее чтения и возможного ее разглашения случайным или намеренным образом в момент ее передачи через сеть. Трафик может быть скомпрометирован при прослушивании и перехвате в момент передачи по транспортной среде сети (при подключении к кабелю сети, прослушивании трафика, передаваемого по эфиру и т. д.). Информация, которая может быть скомпрометирована таким образом, включает системные имена и имена пользователей, пароли, сообщения электронной почты, прикладные данные и т. д. Компрометации трафика сети может происходить при использовании следующих уязвимых мест: передача открытых незашифрованных протоколов передач; передача открытых данных с использованием широковещательных протоколов передачи; неадекватная физическая защита устройства компьютерной сети и среды передачи.
6. Подмена трафика корпоративной сети - происходит в результате появления сообщений, которые имеют вид посланных законным заявленным отправителем. Данные, которые передаются по сети, не должны быть изменены неавторизованным способом в результате этой передачи либо самой сетью, либо злоумышленником. Модификация происходит, когда делается намеренное или случайное изменение в любой части сообщения, включая его содержимое и адресную информацию. Сообщения, передаваемые по сети, должны содержать некоторый вид адресной информации, сообщающий адрес отправителя сообщения и адрес получателя сообщения (помимо другой информации). Подмена трафика сети включает: способность получать сообщения, маскируясь под легитимное место назначения; способность маскироваться под машину отправителя. Получение трафика компьютерной сети может также быть осуществлено путем прослушивания сообщений, поскольку они в широковещательном режиме передаются всем узлам. Подмена трафика или его модификация может происходить при использовании следующих уязвимых мест: передача трафика в открытом виде; отсутствие отметки, показывающей время отправки и время получения; отсутствие механизма кода аутентификации сообщения или цифровой подписи.
7. Программно-математическое воздействие - это воздействие на компьютерную сеть с помощью вредоносных программ. Если сеть содержит защиту от НСД, то вредоносная программа направлена на отключение или видоизменение защитных механизмов нелегальным пользователем, а так же обеспечивает входы в систему под именем и полномочиями реального пользователя. Для того чтобы вредоносная программа смогла бы выполнить, какие либо функции по отношению к прикладной программе, она должна получить управление на себя, процессор должен начать выполнять команды, относящиеся к коду вредоносной программы. Это возможно только при выполнении одновременно:
Вредоносная программа должна находить в ОЗУ до начала работы той программы, которая является целью воздействия вредоносной программы. Следовательно, вредоносная программа должна быть загружена раньше или одновременно;
Вредоносная программа должна активизироваться по некоторому общему с прикладной программой событию, т.е. при выполнении ряда условий в программно-аппаратной среде управление передается вредоносной программе [26].