Методические указания по изучению вопросов темы При изучении учебных вопросов: изучить тему 2 «Угрозы информации»



бет10/11
Дата18.03.2023
өлшемі61,25 Kb.
#75366
түріМетодические указания
1   2   3   4   5   6   7   8   9   10   11
Байланысты:
Lecture 2 20 21 (2)

2.6. Удаленные атаки на интрасети


Цель предпринимаемых злоумышленниками атак на компьютеры из интрасетей, подключенных к Интернету, состоит в получении доступа к их информационным и сетевым ресурсам. Примером первого типа ресурсов могут быть базы данных, файл-серверы и т.п. Ко второму типу ресурсов относятся различные сетевые сервисы, например, Интернет, электронная почта, телеконференции и т.д.
Принципиальным отличием атак, осуществляемых злоумышленниками в открытых сетях, является фактор расстояния от ПК, выбранного в качестве жертвы, или «прослушиваемого» канала связи до местоположения злоумышленника. Этот фактор нашел выражение в определении подобного вида атак как «удаленных».
Под удаленной атакой (УА) принято понимать несанкционированное информационное воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи.
Для удаленных атак можно выделить наиболее общие схемы их осуществления. Такие удаленные атаки получили название типовых.
Тогда типовая удаленная атака – это удаленное несанкционированное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной системы.
Объектом удаленных атак могут стать следующие виды сетевых устройств:

  • оконечные устройства;

  • каналы связи;

  • промежуточные устройства: ретрансляторы, шлюзы, модемы и т.п.

Рассмотрим классификацию удаленных атак по следующим шести основным критериям:
1. по характеру воздействия удаленные атаки делятся на пассивные и активные (примером первого типа атак является, например, прослушивание каналов связи и перехват вводимой с клавиатуры информации; примером второго типа является атака «третий посередине», когда злоумышленник может, например, подменять данные информационного обмена между двумя пользователями Интернета и/или интрасети или между пользователем и запрашиваемым им сетевым сервисом, пересылаемые в обоих направлениях)
2. по цели воздействия, т.е. в зависимости от нарушения трех основных возможных свойств информации и информационных ресурсов – их конфиденциальности, целостности и доступности, плюс нарушение доступности всей системы или ее отдельных служб (пример атаки – «отказ в обслуживании);
3. по условию начала осуществления воздействия атака может быть безусловной (предпринимается злоумышленником в любом случае), или может активизироваться либо при посылке определенного запроса от атакуемого объекта, либо при наступлении ожидаемого события на атакуемом объекте;
4. по наличию обратной связи с атакуемым объектом различают атаки с обратной связью или без обратной связи (такая атака называется однонаправленной);
5. по расположению субъекта атаки относительно атакуемого объекта атаки бывают внутрисегментными (средства взлома сети или, например, прослушивания каналов связи должны располагаться в том же сегменте сети, который интересует злоумышленника) или межсегментными (в этом случае дальность расстояния от жертвы до злоумышленника не имеет значения);
6. по уровню эталонной модели взаимосвязи открытых систем OSI Международной организации стандартизации (ISO), на котором осуществляется воздействие. Атака может реализовываться на всех семи уровнях – физическом, канальном, сетевом, транспортном, сеансовом, представительном и прикладном. Средства обеспечения безопасности интрасетей на основе такой модели регламентируются стандартом ISO7492-2. Эти же рекомендации могут применяться и для разработки, создания аналогичных механизмов в Интернет-сетях, так как группа протоколов ТСР/IР соответствует уровням 1-4 модели, а прикладной уровень в сетях Интернет соответствует верхним уровням (5-7).
Среди вышеперечисленных УА можно выделить пять основных и наиболее часто предпринимаемых в настоящее время типовых удаленных атак:
1. Анализ сетевого трафика (или прослушивание канала связи с помощью специальных средств – снифферов). Эта атака позволяет:

  • изучить логику работы сети – получить соответствие событий, происходящих в системе, и команд, пересылаемых при этом хостами, в момент появления данных событий (в дальнейшем это позволит злоумышленнику на основе задания соответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней);

  • перехватить поток передаваемых данных, которыми обмениваются компоненты сетевой ОС – для извлечения секретной или идентификационной информации (например, паролей пользователей), ее подмены, модификации и т.п.

2. Подмена доверенного объекта или субъекта распределенной вычислительной сети и передача по каналам связи сообщений от его имени с присвоением его прав доступа.
Такая атака эффективно реализуется в системах, где применяются нестойкие алгоритмы идентификации/аутентификации хостов, пользователей и т.д. Под доверенным объектом будем понимать станцию, легально подключенную к серверу (в более общем смысле «доверенная» система – это система, которая достигает специфического уровня контроля за доступом к информации, обеспечивая механизм предотвращения (или определения) неавторизованного доступа).
3. Ложный объект распределенной вычислительной сети. Он внедряется двумя способами:

  • навязыванием ложного маршрута из-за недостатков в алгоритмах маршрутизации (т.е. проблем идентификации сетевых управляющих устройств), в результате чего можно попасть в сеть жертвы, где с помощью определенных средств можно «вскрыть» ее компьютер;

  • использованием недостатков алгоритмов удаленного поиска (SAP(NetWare), и DNS (Internet)…).

Эта атака позволяет воздействовать на перехваченную информацию следующим образом:

  • проводить селекцию потока информации;

  • модифицировать информацию;

  • подменять информацию.

4. Отказ в обслуживании. Атака может быть предпринята, если нет средств аутентификации адреса отправителя и с хоста на атакуемый хост можно передавать бесконечное число анонимных запросов на подключение от имени других хостов. В этом способе проникновения используется возможность фрагментирования пакетов, содержащаяся в спецификации IР. Нападающий передает слишком много фрагментов пакетов, которые должны быть смонтированы принимающей системой. Если общий объем фрагментов превышает максимально допустимый размер пакета, то система «зависает» или даже выходит из строя.
Результатом осуществления данной атаки может стать:

  • нарушение работоспособности соответствующей службы предоставления удаленного доступа на атакуемый хост;

  • передача с одного адреса такого количества запросов на подключение к атакуемому хосту, какое максимально может «вместить» трафик (атака – направленный «шторм запросов»), что влечет за собой переполнение очереди запросов и отказ одной из сетевых служб или полная остановка ПК из-за невозможности системы заниматься ничем другим, кроме обработки запросов.

5. Удаленный контроль над станцией в сети. Атака заключается в запуске на атакуемом компьютере программы «сетевого шпиона», основная цель которой – получение удаленного контроля над станцией в сети. Схематично основные этапы работы сетевого шпиона выглядят следующим образом:

  • инсталляция в памяти;

  • ожидание запроса с удаленного хоста, на котором запущена головная сервер-программа и обмен с ней сообщениями о готовности;

  • передача перехваченной информации на головную сервер-программу или предоставление ей контроля над атакуемым компьютером.




Достарыңызбен бөлісу:
1   2   3   4   5   6   7   8   9   10   11




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет