1.2. Характеристика и механизмы реализации типовых удаленных атак
Понятие типовой удаленной атаки
Исследования и анализ информационнойбезопасности различных распределенных ВС,проводимые авторами в течение последних лет,наглядно продемонстрировали тот факт, что,независимо от используемых сетевых протоколов,топологии, инфраструктуры исследуемых распределенных ВС, механизмы реализацииудаленных воздействий на РВС инвариантны поотношению к особенностям конкретной системы. Это объясняется тем, что распределенные ВС проектируются на основе одних и тех же принципов, а, следовательно, имеют практически одинаковые проблемы безопасности; Поэтому оказывается, что причины успеха удаленных атак на различные РВС одинаковы. Таким образом, появляетсявозможность ввести понятие типовой удаленнойатаки. Типовая удаленная атака- это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной ВС. Введение этого понятия в совокупности с описанием механизмов реализации типовых УА позволяет предложить методику исследования безопасности, инвариантную по отношению к виду распределенной ВС. Методика заключается в последовательном осуществлении всех типовых удаленных воздействий всоответствии с предложенным далее их описанием и характеристиками. При этом основным элементом исследования безопасности РВС является анализ сетевого трафика . Как пояснениепоследнего утверждения рассмотрим следующую аналогию: отладчик - основное средство для хакера, соответственно анализатор сетевого трафика - основное средство для сетевого хакера.Анализатор сетевого трафика по своей сути является сетевым отладчиком. Итак, в качестве методики исследования информационной безопасности распределенной ВС предлагаетсявыполнение ряда тестовых задач, оценивающих защищенность системы по отношению к типовым удаленным воздействиям.Рассмотрим в следующих пунктах типовые удаленные атаки и механизмы их реализации.
Анализ сетевого трафика
Как уже отмечалось, основной особенностью распределенной ВС является то, что ее объекты распределены в пространстве и связь между ними физически осуществляется по сетевым соединениями программно - при помощи механизма сообщений.При этом все управляющие сообщения и данные, пересылаемые между объектами РВС, передаются посетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных ВС типового удаленного воздействия, заключающегося в прослушивании канала связи. Назовем данное типовое удаленное воздействие анализом сетевого трафика (или,сокращенно, сетевым анализом).
Анализ сетевого трафика позволяет, во-первых,изучить логику работы распределенной ВС, то естьполучить взаимно однозначное соответствие событий, происходящих в системе, и команд,пересылаемых друг другу ее объектами, в момент появления этих событий Это достигается путем перехвата и анализа пакетов обмена на канальном уровне.Знание логики работы распределенной ВС позволяет на практике моделировать и осуществлять типовые удаленные атаки, рассмотренные в следующих пунктах на примере конкретных распределенных ВС.
Во-вторых, анализ сетевого трафика позволяет перехватить поток данных, которыми обмениваются объекты распределенной ВС. Таким образом, удаленная атака данного типа заключается в получении на удаленном объекте несанкционированного доступа к информации, которой обмениваются два сетевых абонента. Отметим, что при этом отсутствует возможностьмодификации трафика и сам анализ возможен только внутри одного сегмента сети. Примером перехваченной при помощи данной типовой удаленной атаки информации могут служить имя и пароль пользователя, пересылаемые внезашифрованном виде по сети.
Подмена доверенного объекта или субъекта распределенной ВС
Одной из проблем безопасности распределенной ВС является недостаточная идентификация и аутентификация ее удаленных друг от друга объектов. Основная трудность заключается в осуществлении однозначной идентификации сообщений, передаваемых между субъектами и объектами взаимодействия. Обычно в распределенных ВС эта проблема решается следующим образом: в процессе создания виртуального канала объекты РВС обмениваютсяопределенной информацией, уникально идентифицирующей данный канал. Такой обменобычно называется "рукопожатием" (handshake).Однако, отметим, что не всегда для связи двух удаленных объектов в РВС создается виртуальный канал. Практика показывает, что зачастую,особенно для служебных сообщений (!?) (например, от маршрутизаторов) используется передача одиночных сообщений, не требующих подтверждения.
Как известно, для адресации сообщений в распределенных ВС используется сетевой адрес, который уникален для каждого объекта системы (на канальном уровне модели OSI - это аппаратный адрес сетевого адаптера, на сетевом уровне - адрес определяется в зависимости от используемого протокола сетевого уровня (например, IP-адрес).Сетевой адрес также может использоваться для идентификации объектов распределенной ВС.Однако сетевой адрес достаточно просто подделывается и поэтому использовать его вкачестве единственного средства идентификации объектов недопустимо.
В том случае, когда распределенная ВС использует нестойкие алгоритмы идентификации удаленных объектов, то оказывается возможной типовая удаленная атака, заключающаяся впередаче по каналам связи сообщений от имени произвольного объекта или субъекта РВС. При этом существуют две разновидности данной типовой удаленной атаки:
- атака при установленном виртуальном канале,
- атака без установленного виртуального канала.
В случае установленного виртуального соединения атака будет заключаться в присвоении прав доверенного субъекта взаимодействия, легально подключившегося к объекту системы, что позволит атакующему вести сеанс работы с объектом распределенной системы от имени доверенного субъекта. Реализация удаленных атак данного типа обычно состоит в передаче пакетов обмена с атакующего объекта на цель атаки о тимени доверенного субъекта взаимодействия (при этом переданные сообщения будут восприняты системой как корректные). Для осуществленияатаки данного типа необходимо преодолеть систему идентификации и аутентификации сообщений, которая, в принципе, может использовать контрольную сумму, вычисляемую с помощью открытого ключа, динамическивы работанного при установлении канала, случайные многобитные счетчики пакетов исетевые адреса станций. Однако на практике,например, в ОС Novell NetWare 3.12-4.1 для идентификации пакетов обмена используются два 8-битных счетчика - номер канала и номер пакета; впротоколе TCP для идентификации используются два 32-битных счетчика.
Как было замечено выше, для служебных сообщений в распределенных ВС часто используется передача одиночных сообщений, не требующих подтверждения,то есть не требуется создание виртуального соединения. Атака без установленного виртуального соединения заключается в передаче служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов.
Очевидно, что в этом случае для идентификации пакетов возможно лишь использование статическихк лючей, определенных заранее, что довольно неудобно и требует сложной системы управления ключами. Однако, при отказе от такой системы идентификация пакетов без установленного виртуального канала будет возможна лишь по сетевому адресу отправителя, который легко подделать.
Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы распределенной ВС (например, к изменению ее конфигурации
Ложный объект распределенной ВС
В том случае, если в распределенной ВС недостаточно надежно решены проблемы идентификации сетевых управляющих устройств (например, маршрутизаторов), возникающие при взаимодействии последних с объектами системы, то подобная распределенная система может подвергнуться типовой удаленной атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. В том случае, если инфраструктура сети такова, что для взаимодействия объектов необходимо использование алгоритмов удаленного поиска, то это так же позволяет внедрить в систему "Ложный объект РВС" .
Отказ в обслуживании
Одной из основных задач, возлагаемых на сетевую ОС, функционирующую на каждом из объектов распределенной ВС, является обеспечение надежного удаленного доступа с любого объекта сети к данному объекту. Нарушение работоспособности соответствующей службы предоставления удаленного доступа, то есть невозможность получения удаленного доступа с других объектов РВС - "Отказ в обслуживании".
Классификация типовых удаленных атак на распределенные ВС
Типовая удаленная атака
Характер воздействия
Цель воздействия
Условие начала осуществления воздействия
Наличие обратной связи с атакуемым объектом
Расположение субъекта атаки относительно атакуемого объекта
Уровень модели OSI
Класс воздействия
1.1
1.2
2.1
2.2
2.3
3.1
3.2
3.3
4.1
4.2
5.1
5.2
6.1
6.2
6.3
6.4
6.5
6.6
6.7
Анализ сетевого трафика
+
-
+
-
-
-
-
+
-
+
+
-
-
+
-
-
-
-
-
Подмена
доверенного объекта
РВС-
+
+
+
-
-
+
-
+
+
+
+
-
-
+
+
-
-
-
Внедрение в РВС
ложного объекта
путем навязывания
ложного маршрута-
+
+
+
+
-
-
+
+
+
+
+
-
-
+
-
-
-
-
Внедрение в РВС
ложного объекта
путем использования
недостатков алгоритмов
удаленного поиска-
+
+
+
-
+
-
+
+
-
+
+
-
+
+
+
-
-
-
Отказ в обслуживании
-
+
-
-
+
-
-
+
-
+
+
+
-
+
+
+
+
+
+
<<Назад К оглавлению Вперед>>