Yazov_ITKS
.pdfТаблица 3.5
Классификация типовых сетевых атак на ИТКС
|
|
|
|
|
|
|
|
|
|
|
|
Располо- |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Наличие |
жение |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
субъекта |
|
|
|
|
|
|
|
|
|
||||
|
Харак- |
|
|
|
Условие нача- |
обратной |
|
|
|
|
|
|
|
|
|
||||||||
Типовая |
|
|
|
атаки от- |
|
|
|
|
|
|
|
|
|
||||||||||
тер ата- |
Цель атаки |
ла осуществ- |
связи с |
|
|
Уровень модели OSI |
|
|
|||||||||||||||
атака |
носитель- |
|
|
|
|
||||||||||||||||||
|
ки |
|
|
|
ления атаки |
атакуемым |
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
но атакуе- |
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
объектом |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
мого объ- |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
екта |
|
|
|
|
|
|
|
|
|
|
Класс атаки |
1.1 |
|
1.2 |
2.1 |
2.2 |
2.3 |
3.1 |
3.2 |
3.3 |
4.1 |
4.2 |
5.1 |
|
5.2 |
6.1 |
6.2 |
|
6.3 |
6.4 |
6.5 |
|
6.6 |
6.7 |
Анализ сете- |
+ |
|
- |
+ |
- |
- |
- |
- |
+ |
- |
+ |
+ |
|
- |
- |
+ |
|
|
- |
|
|
- |
- |
вого трафика |
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Подмена |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
доверенного |
- |
|
+ |
+ |
+ |
- |
- |
+ |
- |
+ |
|
+ |
|
+ |
- |
- |
|
+ |
+ |
- |
|
- |
- |
объекта сети |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Внедрение в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
сеть ложного |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
объекта путем |
- |
|
+ |
+ |
+ |
+ |
- |
- |
+ |
+ |
+ |
+ |
|
+ |
- |
- |
|
+ |
- |
- |
|
- |
- |
навязывания |
|
|
|
|
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ложного |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
маршрута |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Внедрение в |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
сеть ложного |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
объекта путем |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
использования |
- |
|
+ |
+ |
+ |
- |
+ |
- |
+ |
+ |
- |
+ |
|
+ |
|
+ |
|
|
+ |
- |
|
- |
- |
недостатков |
|
|
|
|
|
|
|||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
алгоритмов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
удаленного |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
поиска |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отказ в об- |
- |
|
+ |
- |
- |
+ |
- |
- |
+ |
- |
+ |
+ |
|
+ |
- |
+ |
|
+ |
+ |
+ |
|
+ |
+ |
служивании |
|
|
|
|
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
221
Практически все типы атак являются активными воздействиями.
2. По цели воздействия атаки могут быть направлены на нарушение конфиденциальности информации (класс 2.1), нарушение целостности информации (класс 2.2), нарушение работоспособности (доступности) системы (класс 2.3). Нарушение конфиденциальности информации является пассивным действием.
Возможность нарушения целостности (искажения, модификации, уничтожения) информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Данное информационное разрушающее воздействие представляет собой яркий пример активной атаки.
Принципиально другой целью атаки является нарушение работоспособности системы. В этом случае не предполагается получение атакующим несанкционированного доступа к информации. Его основная цель - добиться, чтобы операционная система на атакуемом объекте или прикладная программа вышла из строя и для всех остальных объектов системы доступ к ресурсам атакованного объекта или к прикладной программе был бы невозможен.
3. По условию начала осуществления атаки име-
ют место три класса атак:
Атака по запросу от атакуемого объекта (класс 3.1). В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа (например, TCP-запроса на соединение), который и будет условием начала осуществления воздействия. Важно отметить, что данный тип удаленных атак наиболее характерен для ИТКС.
222
4.По наличию обратной связи с атакуемым объек-
том имеют место два класса атак с обратной связью (класс 4.1) и без обратной связи (однонаправленная атака) (класс 4.2). Атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные атаки весьма характерны для ИТКС.
В отличие от атак с обратной связью при атаках без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную атаку можно называть однонаправленной атакой.
5.По расположению субъекта атаки относительно атакуемого объекта различают внутрисегмент-
ные (класс 5.1) и межсегментные (класс 5.2) атаки. Сегмент сети - физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме «общая шина». При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте. Данный классификационный признак позволяет судить о так называемой «степени удаленности» атаки. На практике межсегментную атаку осуществить значительно труднее, чем внутрисегментную.
6.По уровню эталонной модели взаимодействия открытых систем (модель OSI), на котором осуществляется воздействие, различают атаки на физическом (класс 6.1),
223
канальном (класс 6.2), сетевом (класс 6.3), транспортном (класс 6.4), сеансовом (класс 6.5), представительном (класс 6.6) и прикладном (класс 6.7) уровнях. Классификация по этому признаку обусловлена тем, что любой сетевой протокол, используемый при реализации атаки, как и любую сетевую программу, можно с той или иной степенью точности спроецировать на эталонную семиуровневую модель OSI.
Приведенная классификация, конечно, не является всеобъемлющей, но дает достаточно полное представление о возможных угрозах безопасности информации в ИТКС.
Сегодня имеются и иные подходы к классификации угроз. В частности в соответствии с [23] угрозы безопасности персональных данных разделяются на типы. При этом имеют место:
угрозы 1-го типа, если в ИТКС в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в ИТКС (см. раздел 2.6);
угрозы 2-го типа, если имеются недокументированные (недекларированные) возможности только в прикладном программном обеспечении, используемом в ИТКС;
угрозы 3-го типа, если имеются иные угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, ис-
пользуемом в информационной системе. Выявление таких угроз связано с анализом недекла-
рированных возможностей системного и прикладного программного обеспечения, установленного в ИТКС.
224
3.5. Краткая характеристика типовых сетевых атак в информационно-телекоммуникационных системах
Большинство распределенных сетей функционируют и проектируются с учетом использования в них технологии межсетевого взаимодействия, реализованной в Internet. При этом, как правило, ИТКС базируется на применении стека протоколов межсетевого взаимодействия TCP/IP, в связи с этим в них могут реализовываться большинство атак, характерных для Internet.
Типовая атака в общем случае состоит (рис. 3.9) из четырех этапов [24 - 26]:
сбора информации;
вторжения (проникновения в операционную среду);
реализации деструктивных действий;
ликвидации следов атаки.
На этапе сбора информации нарушителя могут интересовать различные сведения об атакуемой ИТКС, в том числе:
а) о топологии сети, в которой функционирует ата-
куемая система. При этом может исследоваться область вокруг атакуемой сети (например, нарушителя может интересовать адреса доверенных, но менее защищенных хостов).
Сбор информации может быть также основан на запросах: 1) к DNS-серверу о списке зарегистрированных (и, вероятно, активных) хостов;
2) к маршрутизатору на основе протокола RIP (см. раздел 1) об известных маршрутах (информация о топологии сети);
3) к некорректно сконфигурированным устройствам, поддерживающим протокол SNMP, позволяющий получать информацию о топологии сети.
225
Этапы атаки
|
Сбор информа- |
|
|
Вторжение (проник- |
|
|||||
|
ции об объекте |
|
|
новение в операци- |
|
|||||
|
|
|
атаки |
|
|
|
онную среду) |
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
О топологии сети |
|
|
|
Установление связи |
|||
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
с атакуемым хостом |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
О функционирую- |
|
|
|
Выявление уязви- |
|||
|
|
|
щих сервисах (от- |
|
|
|
||||
|
|
|
|
|
|
мостей и ошибок |
||||
|
|
|
крытых портах) |
|
|
|
||||
|
|
|
|
|
|
администрирования |
||||
|
|
|
|
|
|
|
|
|
||
|
|
|
О версии операци- |
|
|
|
Расширение приви- |
|||
|
|
|
онной системы |
|
|
|
||||
|
|
|
|
|
|
легий, в том числе |
||||
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
за счет внедрения |
|
|
|
|
|
|
|
|
|
|
||
|
|
|
О наименее защи- |
|
|
|
вредоносных про- |
|||
|
|
|
щенных хостах и их |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|||
|
|
|
доступности |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Получение досту- |
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
па к командам |
|
|
|
|
|
|
|
|
|
|
операционной |
|
|
|
|
|
|
|
|
|
|
системы, утили- |
|
|
|
|
|
|
|
|
|
|
там, исполняемым |
|
|
|
|
|
|
|
|
|
|
файлам и т.п. |
|
Реализация несанкционированных действий
Уничтожение
Копирование
Модификация
Блокирование
Перемещение
Несанкционированный запуск приложений
Формирование «черного входа»
Рис. 3.9. Этапы сетевых атак
226
Ликвидация следов атаки
Удаление записей из журналов аудита
Восстановление временно модифицированной информации
Подмена IP-адреса атакующего
Создание фальшивых пакетов
Использование чужих компьютеров в качестве базы атаки
Шифрование атаки
Фрагментация атаки
Сокрытие процессов за счет применения специальных утилит и вредоносных программ
Если атакуемая сеть находится за межсетевым экраном (МЭ), возможен сбор информации о конфигурации МЭ и о топологии сети за МЭ, в том числе путем посылки пакетов на все порты всех предполагаемых хостов внутренней (защищаемой) сети;
б) о типе операционной системы (ОС) на атакуе-
мых хостах. Например, широко применяется способ определения типа ОС хоста, основанный на том, что различные типы ОС по-разному реализуют требования стандартов RFC к стеку TCP/IP и реагируют на некоторые запросы. Это позволяет нарушителю удалённо идентифицировать тип операционной системы, установленной на хосте ИТКС путём посылки специальным образом сформированных запросов и анализа полученных ответов. Существуют специальные средства, реализующие данные методы, в частности, nmap и queso. Можно отметить также такой способ определения типа операционной системы, как простейший запрос на установление соединения по протоколу удаленного доступа telnet (telnet-соединения), в результате которого по «внешнему виду» ответа можно определить тип операционной системы хоста. Наличие определенных сервисов также может служить дополнительным признаком для определения типа ОС хоста;
в) о функционирующих на хостах сервисах. Опреде-
ление сервисов, исполняемых на хосте, основано на способе выявления «открытых портов», направленном на сбор информации о доступности хоста. Например, для определения доступности UDP-порта необходимо получить отклик в ответ на посылку UDP-пакета соответствующему порту, при этом:
если в ответ пришло сообщение ICMP port unreacheble, то соответствующий сервис не доступен;
227
если данное сообщение не поступило, то порт «открыт» или фильтруется, например, пакетным
фильтром.
Возможны весьма разнообразные вариации использования этого метода в зависимости от используемого протокола в стеке протоколов TCP/IP. Для автоматизации сбора информации об объекте нападения разработано множество программных средств. В качестве примера можно отметить следующие из них:
1)Strobe, Portscanner – оптимизированные средства определения доступных сервисов на основе опроса портов;
2)Nmap – средство сканирования доступных сервисов, предназначенное для ОС Linux, FreeBSD, Open BSD, Solaris Windows NT. Является самым популярным в настоящее время средством сканирования сетевых сервисов;
3)Queso – высокоточное средство определения ОС хоста сети на основе посылки цепи корректных и некорректных TCP-пакетов, анализа отклика и сравнения его с множеством известных откликов различных ОС. Данное средство также является популярным на сегодняшний день средством сканирования;
4)Cheops – сканер топологии сети позволяет получить топологию сети, включая картину домена, области IPадресов и т.д. При этом определяется ОС хоста, а так же возможные сетевые устройства (принтеры, маршрутизаторы и т.д.);
5)Firewalk – сканер МЭ, использующий методы программы traceroute для анализа отклика на IP-пакеты для определения конфигурации сетевого фильтра и построения топологии сети.
Кроме того, используется целый ряд стандартных утилит, входящих в состав операционной системы, приведенных в табл. 3.6 [26].
228
Таблица 3.6 Сетевые утилиты, для сбора данных об объекте атаки
Наименование ути- |
Назначение и возможности |
литы (команда) |
|
ipconfig |
Позволяет выявить параметры текущей конфи- |
|
гурации стека протоколов TCP/IP, принуди- |
|
тельно изменять эту конфигурацию и настраи- |
|
вать с применением сервера DHCP |
nbtstat |
Проверяет подключения по протоколам стека |
|
TCP/IP, отображает статистику подключений и |
|
настройки, касающиеся протокола NetBIOS |
netstat |
Отображает статистику текущих соединениях |
nslookup |
Позволяет тестировать работу DNS-сервера, |
|
получать информацию о ресурсных записях, |
|
запрашивая DNS-серверы |
ping |
Проверяет правильность настройки стека про- |
|
токолов TCP/IP и тестирует наличие связи с |
|
другими узлами |
tracert |
Применяется для трассировки маршрута IP- |
|
пакета от источника до получателя |
На этапе вторжения исследуется наличие типовых уязвимостей в системных сервисах или ошибок в администрировании системы. Успешным результатом использования уязвимостей обычно является получение процессом нарушителя привилегированного режима выполнения (доступа к привилегированному режиму выполнения командного процессора), внесение в систему учетной записи незаконного пользователя, получение файла паролей или нарушение работоспособности атакуемого хоста.
На этапе реализации несанкционированных дей-
ствий осуществляется собственно достижение цели атаки, то есть выполнение тех действий, ради которых осуществлялась атака:
копирование;
229
уничтожение;
искажение информации;
внедрение вредоносных программ и др.
На этом же этапе, если атака не принесла нарушителю наивысших прав доступа в системе, возможны попытки расширения этих прав до максимально возможного уровня. Для этого могут использоваться уязвимости не только сетевых сервисов, но и уязвимости системного программного обеспечения хостов ИТКС. После указанных действий, как правило, формируется так называемый «черный вход» в виде одного из сервисов (демонов), обслуживающих некоторый порт и выполняющих команды нарушителя. «Черный вход» оставляется в системе в интересах обеспечения:
возможности получить доступ к хосту, даже если администратор устранит использованную для успешной атаки уязвимость;
возможности получить доступ к хосту как можно более скрытно;
возможности получить доступ к хосту быстро (не повторяя заново атаку).
«Черный вход» позволяет нарушителю внедрить в сеть или на определенный хост вредоносную программу, например, «анализатор паролей» (password sniffer) – программу, выделяющую пользовательские идентификаторы и пароли из сетевого трафика при работе протоколов высокого уровня (ftp, telnet, rlogin и т.д.). Объектами внедрения вредоносных программ могут быть программы аутентификации и идентификации, сетевые сервисы, ядро операционной системы, файловая система, библиотеки и т.д.
230