Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Проанализируем типовые сценарии действий нарушителя по реализации удаленных атак и на этой основе выявим главные причины успешного проведения удаленных атак и сформулируем перечень рекомендаций по минимизации вероятности их проведения нарушителем.
Среди наиболее распространенных атак на распределенные системы, построенные на основе IP-протоколов, следует отметить следующие:
• анализ сетевого трафика. Целью атак подобного типа является прослушивание каналов связи и анализ передаваемых данных и служебной информации с целью изучения топологии и архитектуры построения системы, получения критической пользовательской информации (например, пароли пользователей или номера кредитных карт, передаваемых в открытом виде). Для реализации данной атаки существует большое количество программных средств, например IP-Watcher; также с успехом могут использоваться такие средства, как LanAnalyzer или NetworkMonitor. При анализе сетевого трафика нарушитель может находиться как внутри сегмента, так и между сегментами. Атакам данного типа подвержены такие протоколы, как FTP или Telnet, особенностью которых является то, что имя и пароль пользователя передаются в рамках этого протокола в открытом виде;
• подмена одной из сторон информационного обмена в распределенных системах. Существование такого типа атак является следствием недостатков в аутентификации сторон информационного обмена в стеке протоколов TCP/IP. При этом следует отметить, что в рамках стека протокола TCP/IP существует два типа протоколов транспортного уровня: TCP (с установлением виртуального канала передачи данных); UDP (без установления виртуального канала передачи данных). Виртуальный канал устанавливается за счет подтверждения приема
264 Компьютерная безопасность и практическое применение криптографии
сообщений в ходе его формирования; по нему сообщения принимаются и передаются с регистрацией их последовательности. Здесь лее осуществляется управление потоком сообщений, организовывается повторная передача искаженных пакетов и т.д. В том случае, когда стороны информационного обмена используют протокол UDP, проведение атак значительно облегчается по сравнению с протоколом TCP. В сети Internet атаки, основанные на подмене одной из сторон TCP-соединения, называются hijacking. С использованием данной атаки нарушитель может начать работу с FTP- или Telnet-сервером от имени легального пользователя. Пример проведения подобной атаки приводится ниже;
• внедрение ложного объекта распределенной системы. Внедрение ложного объекта возможно из-за недостаточной защищенности маршрутизирующих и управляющих протоколов, что позволяет осуществлять навязывание ложных маршрутов прохождения сообщений при помощи удаленной модификации служебных пакетов, передаваемых в рамках протоколов маршрутизации (например, в Internet широко применяются протоколы RIP, OSPF, ICMP и SMNP). С другой стороны, при таких атаках используется тот факт, что в глобальных распределенных системах часто приходится сталкиваться с недостатком информации, необходимой для адресации сообщений. В IP-сетях данную проблему решают протоколы удаленного поиска, такие как DNS и ARP Внедрив ложный объект, нарушитель изменяет путь прохождения трафика между легальными участниками информационного обмена, получая тем самым полный контроль над проходящим через него потоком данных, который он может модифицировать (удалять, изменять и вставлять новые сообщения). Наиболее распространенными в сети Internet угрозами являются: внедрение ложного ARP-сервера, внедрение ложного DNS-сервера (данная атака может реализовываться как при помощи перехвата DNS-запроса, так и с помощью создания направленного шторма ложных DNS-ответов на атакуемую рабочую станцию или на атакуемый DNS-сервер), а также создание ложного маршрутизатора с использованием протокола ICMP;
• отказ в обслуживании. Возможность проведения атак подобного рода осуществляется из-за неправильной обработки некорректных данных программным обеспечением атакуемой стороны или вследствие того, что сетевая ОС может иметь только ограниченное число виртуальных сетевых соединений. Подобные удаленные атаки также могут проводиться за счет генерации максимально возможного числа запросов на
Защита информации при межсетевом взаимодействии
265
соединение (направленный шторм запросов) или просто пакетов с данными. Результатом подобной атаки может являться либо временный выход из строя атакуемого хоста, либо полное «замирание» системы с необходимостью дальнейшей перезагрузки. В ситуациях, когда необходимо обеспечить оперативность обработки данных информационно-вычислительной системой, защита от такого рода атак приобретает особую актуальность. Типичным примером атак данного типа в сети Internet являются нарушения работоспособности хоста посредством направленного шторма ложных TCP-запросов на создание соединения.
Пример проведения типовой удаленной атаки в IP-сетях
Здесь приводится типовая удаленная атака, направленная на подмену одной из сторон TCP-соединения. Для начала рассмотрим схему установления TCP-соединения (рис. 3.9). В ходе установления соединения в TCP-пакете для его идентификации используются два 32-разрядных поля, выполняющие функции счетчиков пакетов: Sequence Number (SN) и Acknowledgement Number (AN), а также 6-битное поле Control Bits, содержащее управляющие флаги.
