125 Кібербезпека / 4 Курс / 4.2_Управління інформаційною безпекою / Лiтература / V_P_Babak_A_A_Kliuchnykov-Teoreticheskye_osnovy_zashchity_informat
...pdf
Глава 9. Методы и средства защиты от несанкционированного доступа
(недостаточная административная поддержка, некорректное выполнение функций защиты, несвоевременное реагирование на нештатные ситуации и т.п.). Например, если пользователь оставляет свое рабочее место, не придерживаясь политики безопасности (не заканчивает сеанса работы или не блокирует компьютер), то неавторизованная сторона за время его отсутствия имеет доступ к информационным ресурсам через некорректность выполнения пользователем функций защиты (см. рис. 9.5, б).
Если НСД к ресурсу осуществляется в локализованной области его расположения (локальная вычислительная сеть, рабочая станция, принтер, носитель информации, операционная система, приложения и т.п.), то он называется локальным, а в противоположном случае - отдаленным. Например, локальный НСД может быть реализованный внутри сегмента (физического объединения станций с помощью коммутационных устройств не выше от канального уровня). При этом источник НСД и ресурс, который подвергнулся несанкционированному действию, будут находиться в пределах одного сегмента. Примеры реализаций локального и отдаленного НСД изображено соответственно на рис. 9.6, а и 9.6, б. Локальный НСД реализовывается неавторизованной стороной в одном сегменте сети, а отделенный несанкционированный доступ происходит через сеть Интернет.
НСД
НСД
Неавторизованная
сторона
ИНТЕРНЕТ
а |
б |
Рис. 9.6. Реализация локального и отдаленного НСД
Межсегментный НСД может быть примером отдаленного НСД, когда источник и ресурс находятся в разных сегментах компьютерной сети, например кампусной. В первом случае инициатором НСД бывает легальный пользователь, который, например, из файла-сервера через рабочую станцию осуществляет копирование конфиденциальных данных на внештатный носитель информации.
В результате своего действия (например, визуального просмотра данных из терминала) пассивный НСД не осуществляет непосредственного влияния на ре-
651
Глава 9. Методы и средства защиты от несанкционированного доступа
Условный НСД инициализируется в случае возникновения определенного события (механизм логической бомбы) и, в свою очередь, может быть как пассивным, так и активным. Примером инициализации пассивного условного НСД может быть передача от потенциальной цели запроса определенного типа, который и будет условием начала атаки. Например, таким условием могут быть DNS- и ARP-запросы в стеке протоколов TCP/IP.
Активный условный НСД осуществляет постоянный мониторинг состояния отдельных ресурсов, и в случае определенного изменения указанного состояния формируется сигнал инициализации. Примером такой ситуации может быть событие, связанное с прерыванием сеанса работы пользователя с сервером без стандартной команды, например LOGOFF. Момент инициализации безусловного НСД не сопровождается определенным изменением состояния ресурсов и определяется источником атаки.
Программный НСД базируется на специальных микроили макрокодированных средствах (например, суперзапингових утилитах, внутренних командах, сценариях автоматизации и т.п.), которые функционируют в пределах информационных систем для реализации своих функций.
Например, отдаленный компьютер (рис. 9.9) отправляет сообщение на рабочую станцию, к которой несанкционированно подключается неавторизованная сторона с помощью портативного компьютера и реализует заражение этой станции вирусом, который модифицирует указанное сообщение.
Начальное |
Начальное |
Модифицированное |
|
сообщение |
сообщение |
|
|
сообщение |
Вирус |
Неавторизованная
сторона
Рис. 9.9. Реализация программного НСД
Аппаратный НСД базируется на разнообразных механических, электрических, электромеханических, электронных, электронно-механических и других устройствах, которые используются автономно или в объединении с другой аппаратурой для выполнения соответствующих функций.
Например, в комнате для совещаний (рис. 9.10) может быть установлен «жучок» для прослушивания конфиденциальных разговоров. Этот пример характерный для аппаратного НСД.
653
Глава 9. Методы и средства защиты от несанкционированного доступа
Блокирование
маршрутизатора
Рис. 9.12. Реализация НСД без обратной связи
При реализации НСД происходит нарушение основных характеристик безопасности ресурсов информационных систем:
конфиденциальность - характеристика безопасности ресурсов, отражающая их свойство доступности без соответствующих полномочий. Фактически ресурсы не могут быть доступными или раскрытыми неавторизованной стороне, т.е. для нее их якобы нет. В свою очередь, авторская сторона (например, обслуживающий персонал, пользователь, программы и т.д.), которой предоставлены соответствующие полномочия, имеет полный доступ к ресурсам;
целостность - характеристика безопасности ресурсов, отражающая их свойство противостоять несанкционированному изменению. Например, пользователь, нагромождающий информацию, имеет право ожидать, что содержимое его файлов останется неизменным, несмотря на целенаправленные влияния, отказы программных или аппаратных средств. По этой характеристике ресурсы не испытывают изменений со стороны неавторизованной стороны;
доступность - характеристика безопасности ресурсов, отражающая возможности их использования в заданный момент времени соответственно предоставленным полномочиям. Фактически авторская сторона в любой момент времени получает неограниченный доступ к необходимому ресурсу.
В этом контексте по типу нарушений указанных характеристик НСД бывает:
К - действенный (нарушение конфиденциальности ресурсов); Ц - действенный (нарушение целостности ресурсов); Д - действенный (нарушение доступности ресурсов).
Если в процессе НСД нарушаются разные характеристики безопасности, то результирующий тип будет комбинированным на базе основных, например КЦД - действенный - НСД, нарушающий конфиденциальность, целостность и доступность ресурсов.
По природе взаимодействия с ресурсами информационной системы НСД бывает физическим и логическим. Для первого характерна физическая форма взаимодействия в виде разного рода прямых блокирований, повреждений, проникновений, краж и т.п., например размыкания электрических соединений, по-
655
Глава 9. Методы и средства защиты от несанкционированного доступа
номный НСД можно реализовать с помощью сканирования портов компьютера с определенным IP-адресом (рис. 9.15).
Компьютер |
Неавторизованная сторона |
неавторизованной |
реализует отдаленное |
стороны |
управление атакованного |
|
компьютера для |
|
осуществления |
|
разрушающих действий |
Рис. 9.15. Пример реализации мономономного НСД
Полимономный НСД осуществляется одновременно с нескольких (двух и больше) источников на один ресурс и направленный на достижение одной конкретной цели. Такой НСД называют также распределенным (рис. 9.16).
НСД
Неавторизованные стороны НСД одновременно проводят
сканирование портов компьютера по определенному адресу
Рис. 9.16. Пример реализации полимономного НСД
Монополичный НСД реализуется с одного источника одновременно на несколько (два и больше) ресурсов и направляется на достижение конкретной цели (рис. 9.17).
НСД
Зловмисник
НСД Неавторизованная сторона
одночасно проводить
одновременно прово т заражениезараженнядвух компьютеровдвох
комп'ютерів
Рис. 9.17. Пример монополичного НСД
657
НСД
Глава 9. Методы и средства защиты от несанкционированного доступа
НСД, реализующийся без использования значений по умолчанию (например, программная закладка BackOrifice по умолчанию использует порт 31337, но это значение можно изменить, например, на 31336), сориентировн на преодоление систем выявления атак, базирующихся на сигнатурных (шаблонных) технологиях по аналогии с антивирусами или программами, предназначенными для защиты от сигнатурных вирусов.
Скрытые атаки используют разнообразные мероприятия (подмена контрольных сумм, перехват разнообразных данных, модификация ядра операционной системы, использование стандартных или похожих на стандартные имен и т.п.), которые дают возможность оставаться невыявленными в локализованной области атакованного ресурса. Технология скрытого НСД по своей идеологии подобна технологии стелс-вирусов.
Пигибекинговый НСД базируется на НСД к временно неконтролируемому ресурсу, например путем проникновения в информационную систему в результате временного отсутствия или после некорректного завершения сеанса работы легального пользователя.
Маскарадный НСД базируется на формировании такого поведения нарушителя, которое дает ему возможность выдать себя легальным источником, например посредством обмана (spoofing) атаковать вычислительную сеть (с протоколом TC/IP), присваивая IP-адрес, с помощью которого удается обойти систему защиты.
Косвенный НСД базируется на том, что нападение осуществляется через третье лицо (посредника), а истинный источник нападения остается неизвестным.
При этом часто используются маскарадные технологии (рис. 9.20). Например, воспользовавшись вариантом нападения с перенаправлением НСД, чтобы сделать невозможным выявление реального источника, нарушитель проводит или перенаправляет свой трафик через чужой компьютер, который для ресурса (подвергнувшегося НСД) и будет исходным источником.
133.123.1.24
Компьютер неавторизированной
стороны
НСД |
123.144.55.12 |
123.144.55.12 |
(133.123.1.24) |
Компьютер 1 |
|
Неавторизованная |
|
сторона реализует |
|
НСД под чужим ІР- |
|
адресом 123.144.55.12 |
Компьютер 2 |
|
Рис. 9.20. Пример реализации косвенного НСД
659