- •Правила оформления работы
- •1. Содержание работы
- •2. Содержимое основной части
- •3. Правила оформления текста работы
- •3.1. Иллюстрации
- •3.2. Таблицы
- •3.3. Формулы и уравнения
- •3.4. Ссылки
- •3.5. Перечисления
- •4. Приложения
- •Реферат
- •Содержание
- •Перечень сокращений
- •Введение
- •Проблема удаленных атак
- •1.1. Недостатки семейства протоколов tcp/ip
- •1.2. Удаленные атаки в Internet
- •2. Средства защиты от удаленных атак
- •2.1. Программно-аппаратные методы защиты
- •2.1.1. Межсетевые экраны
- •2.1.2. Программные методы защиты
- •2.1.2.1. Протокол skip
- •2.1.2.2. Протокол s-http
- •2.1.2.3. Протокол ssl
- •2.2. Сетевые мониторы безопасности
- •3. Систематизация удаленных атак
- •3.1. Обзор существующих классификаций
- •3.2. Построение классификации удаленных атак
- •3.3. Разработка метода обнаружения удаленных атак
- •Заключение
- •Список использованных источников
- •Приложение
3.1. Обзор существующих классификаций
Основная цель любой классификации состоит в том, чтобы предложить такие классификационные признаки, используя которые можно наиболее точно описать классифицируемые явления или объекты. Поскольку между локальными и удаленными воздействиями на ВС существует большая разница, то применение уже известных обобщенных классификаций для описания удаленных воздействий не позволяет достаточно точно описать именно удаленные воздействия. Это связано с тем, что такие воздействия характеризуются сугубо специфичными признаками для распределенных вычислительных систем.
Основной особенностью распределенной системы является то, что ее компоненты рассредоточены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений, а программно – при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.
Исходя из этого удаленные атаки можно классифицировать по следующим признакам /3/:
-
по характеру воздействия;
-
по цели воздействия;
-
по условию начала осуществления воздействия;
-
по наличию обратной связи с атакуемым объектом;
-
по уровню модели протоколов в сети Internet.
Кроме того, существуют такие классификации как [3]:
-
список терминов;
-
список категорий;
-
матрицы.
Все эти классификации направлены на то, чтобы классифицировать воздействия, присущие РВС, и систематизировать знания об удаленных атаках, которые осуществлены на данный момент времени. Но они не могут быть использованы для разработки метода обнаружения удаленных воздействий, поскольку не затрагивают механизмов их осуществления. Все эти классификации основаны на анализе последствий удаленных атак и условий их возникновения.
Основным достоинством этих классификаций является простота. Их основным недостатком является то, что все они разрабатывались с точки зрения последствий, к которым приводят данные атаки.
3.2. Построение классификации удаленных атак
На основе проведенного анализа предлагается систематизировать атаки с точки зрения причин, благодаря которым атака была успешно осуществлена. Систематизация по причинам успеха удаленных атак включает в себя следующие основные признаки: неправильное использование протокола, нарушение ресурсных ограничений, ошибки в реализации политики безопасности. Тогда расширенная классификация атак будет включать в себя:
-
Неправильное использование протокола:
-
Ошибки в полях заголовков пакетов. Форматы Internet протоколов четко специфицированы и меняться не могут. Ошибки (намеренные или нет) возможны в некоторых полях протоколов. Например, ошибкой можно считать в IP пакете равенство адресов приемника и источника, неверное значение контрольной суммы и т.д. В первую очередь необходимо производить анализ на наличие таких, казалось бы, очевидных ошибок.
-
Некорректная динамика использования. Под динамикой использования подразумевается то, что для некоторых действий, таких как пересылка больших данных, установка TCP соединения, характерна отправка не одного, а нескольких пакетов. Тогда каждый отдельный пакет может быть корректным, а все пакеты, собранные вместе, могут приводить к нежелательным последствиям. Примером такой динамики использования может служит IP фрагментация, когда данные передаются не в одном, а нескольких IP пакетах и уже упомянутая установка TCP соединения.
-
Некорректное использование протоколов, позволяющих изменять информацию на хосте или маршрутизаторе или предназначенных для разрешения адресов. Возможность проведения той или иной атаки иногда вытекает из назначения самого протокола. Например, есть т.н. управляющие протоколы (например, DNS) и управляющие сообщения (например, ICMP Redirect). С помощью таких пакетов можно менять информацию, например, на маршрутизаторе. DNS – служба имен доменов и предназначен для разрешения имен; т.е., например, по имени некоторого сайта можно получить его IP адрес. В этом случае с помощью этого протокола можно направить пользователя, например, вместо www.microsoft.com на www.playboy.com.
Нарушение ограничений, накладываемых на ресурсы.
Многие атаки осуществляются из-за того, что не хватает ресурсов системы для того, чтобы, обработать все входящие пакеты, отправить ответ, или существует неявное ограничение на количество соединений на одном порте и т.д. Например, в сетевых ОС существуют ограничение на количество соединений на определенных портах (например, FTP порте). Тогда для того чтобы этот порт стал недоступен для подключения злоумышленнику достаточно открыть на этом порте максимально возможное количество соединений.
-
Ошибки в ограничениях, накладываемых политикой безопасности.
Наиболее трудно выявляемый класс атак, связан, по большей части, с ошибками администрирования. Для того чтобы предотвратить атаки, использующие «дыры» в политике безопасности, необходимо проанализировать эту политику. Здесь также возникает ряд проблем, связанных, прежде всего, с критериями, в соответствие с которыми необходимо анализировать политику, с системой, к которой применяется политика безопасности и т.д. Примером ошибки администрирования может служит включение пользователя Guest в группу Domain Admins (в Windows NT).
Построенная классификация является средством, на основании которого можно разработать общий метод обнаружения удаленных воздействий. Поскольку классификация учитывает все возможные пути осуществления удаленных атак, представляется возможным перекрыть эти пути. Построенный таким образом механизм позволит обнаруживать удаленные атаки (даже те, которые еще не были осуществлены).