4. Характеристика основных классов атак, реализуемых в сетях общего пользования

Классификация сетевых атак

В общем случае существует информационный поток от отправителя (файл, пользователь, компьютер) к получателю (файл, пользователь, компьютер):

Рис. 2. Информационный поток

Все атаки можно разделить на два класса: пассивные и активные.

4.1. Пассивная атака

Пассивной называется такая атака, при которой противник не имеет возможности модифицировать передаваемые сообщения и вставлять в информационный канал между отправителем и получателем свои сообщения. Целью пассивной атаки может быть только прослушивание передаваемых сообщений и анализ трафика.

 Рис. 3. Пассивная атака

4.2.Активная атака

Активной называется такая атака, при которой противник имеет возможность модифицировать передаваемые сообщения и вставлять свои сообщения. Различают следующие типы активных атак:

4.2.1.Отказ в обслуживании - DoS-атака (Denial of Service)

Отказ в обслуживании нарушает нормальное функционирование сетевых сервисов. Противник может перехватывать все сообщения, направляемые определенному адресату. Другим примером подобной атаки является создание значительного трафика, в результате чего сетевой сервис не сможет обрабатывать запросы законных клиентов. Классическим примером такой атаки в сетях TCP/IP является SYN-атака, при которой нарушитель посылает пакеты, инициирующие установление ТСР-соединения, но не посылает пакеты, завершающие установление этого соединения. В результате может произойти переполнение памяти на сервере, и серверу не удастся установить соединение с законными пользователями.

Рис. 4. DoS-атака

4.2.2.Модификация потока данных - атака "man in the middle"

Модификация потока данных означает либо изменение содержимого пересылаемого сообщения, либо изменение порядка сообщений.

Рис. 5. Атака "man in the middle"

4.2.3.Создание ложного потока (фальсификация)

Фальсификация (нарушение аутентичности) означает попытку одного субъекта выдать себя за другого.

Рис. 6. Создание ложного потока

4.2.4.Повторное использование

Повторное использование означает пассивный захват данных с последующей их пересылкой для получения несанкционированного доступа - это так называемая replay-атака. На самом деле replay-атаки являются одним из вариантов фальсификации, но в силу того, что это один из наиболее распространенных вариантов атаки для получения несанкционированного доступа, его часто рассматривают как отдельный тип атаки.

Рис. 7. Replay-атака

Перечисленные атаки могут существовать в любых типах сетей, а не только в сетях, использующих в качестве транспорта протоколы TCP/IP, и на любом уровне модели OSI. Но в сетях, построенных на основе TCP/IP, атаки встречаются чаще всего, потому что, во-первых, Internet стал самой распространенной сетью, а во-вторых, при разработке протоколов TCP/IP требования безопасности никак не учитывались.

Для реализации информационной атаки нарушителю необходимо активизировать или, другими словами, использовать определённую уязвимость ИС. Под уязвимостью принято понимать слабое место ИС, через которое возможна успешная реализация атаки. Примерами уязвимостей ИС могут являться:

• некорректная конфигурация сетевых служб ИС,

• наличие ПО без установленных модулей обновления,

• использование нестойких к угадыванию паролей,

• отсутствие необходимых средств защиты информации и др.

Логическая связь уязвимости, атаки и её возможных последствий показана на рис. 8.

Уязвимости являются основной причиной возникновения информационных атак. Наличие самих слабых мест в ИС может быть обусловлено самыми различными факторами, начиная с простой халатности сотрудников, и заканчивая преднамеренными действиями злоумышленников.

Уязвимости информационной системы

• Ошибки в программном обеспечении системы

• Неправильная конфигурация средств защиты

• Отсутствие установленных модулей обновления (Strvicepackt, hotfixes и др.)

Информационные атаки, направленные на использование уязвимостей системы

• Атаки, направленные на несанкционированную вставку команд в SQL-запросы

• Атаки, направленные на переполнение буфера

• Атаки, направленные на активизацию уязвимости «format string»

Последствия информационных атак

• Нарушение работоспособности ИС

• Искажение информации, хранящейся в системе

• Кража конфиденциальной информации

Рис. 8. Связь уязвимости, атаки и её возможных последствий

Уязвимости могут присутствовать как в программно-аппаратном, так и в организационно-правовом обеспечении ИС. Основная часть уязвимостей организационно-правового обеспечения обусловлена отсутствием на предприятиях нормативных документов, касающихся вопросов информационной безопасности. Примером уязвимости данного типа является отсутствие в организации утверждённой концепции или политики информационной безопасности, которая бы определяла требования к защите ИС, а также конкретные пути их реализации. Уязвимости программно-аппаратного обеспечения могут присутствовать в программных или аппаратных компонентах рабочих станций пользователей ИС, серверов, а также коммуникационного оборудования и каналов связи ИС.

Уязвимости ИС могут быть внесены как на технологическом, так и на эксплуатационном этапах жизненного цикла ИС. На технологическом этапе нарушителями могут быть инженерно-технические работники, участвующие в процессе проектирования, разработки, установки и настройки программно-аппаратного обеспечения ИС.

Внесение эксплуатационных уязвимостей может иметь место при неправильной настройке и использовании программно-аппаратного обеспечения ИС. В отличие от технологических, устранение эксплуатационных уязвимостей требует меньших усилий, поскольку для этого достаточно изменить конфигурацию ИС. Характерными примерами уязвимостей этого типа являются:

• наличие слабых, не стойких к угадыванию паролей доступа к ресурсам ИС. При активизации этой уязвимости нарушитель может получить несанкционированный доступ к ИС путём взлома пароля при помощи метода полного перебора или подбора по словарю;

• наличие в системе незаблокированных встроенных учётных записей пользователей, при помощи которых потенциальный нарушитель может собрать дополнительную информацию, необходимую для проведения атаки. Примерами таких учётных записей являются запись "Guest" в операционных системах или запись "Anonymous" в FTP-серверах;

• неправильным образом установленные права доступа пользователей к информационным ресурсам ИС. В случае если в результате ошибки администратора пользователи, работающие с системой, имеют больше прав доступа, чем это необходимо для выполнения их функциональных обязанностей, то это может привести к несанкционированному использованию дополнительных полномочий для проведения атак. Например, если пользователи будут иметь права доступа на чтение содержимого исходных текстов серверных сценариев, выполняемых на стороне Web-сервера, то этим может воспользоваться потенциальный нарушитель для изучения алгоритмов работы механизмов защиты Web-приложений и поиска в них уязвимых мест;

• наличие в ИС неиспользуемых, но потенциально опасных сетевых служб и программных компонентов. Так, например, большая часть сетевых серверных служб, таких как Web-серверы и серверы СУБД поставляются вместе с примерами программ, которые демонстрируют функциональные возможности этих продуктов. В некоторых случаях эти программы имеют высокий уровень привилегий в системе или содержат уязвимости, использование которых злоумышленником может привести к нарушению информационной безопасности системы. Примерами таких программ являются образцы CGI-модулей, которые поставляются вместе с Web-приложениями, а также примеры хранимых процедур в серверах СУБД;

• неправильная конфигурация средств защиты, приводящая к возможности проведения сетевых атак. Так, например, ошибки в настройке межсетевого экрана могут привести к тому, что злоумышленник сможет передавать через него пакеты данных.

Уязвимости могут использоваться злоумышленниками для реализации информационных атак на ресурсы ИС. Согласно разработанной классификации любая атака в общем случае может быть разделена на четыре стадии:

1. Стадия рекогносцировки. На этом этапе нарушитель осуществляет сбор данных об объекте атаки, на основе которых планируются дальнейшие стадии атаки. Примерами такой информации являются: тип и версия операционной системы (ОС), установленной на узлах ИС, список пользователей, зарегистрированных в системе, сведения об используемом прикладном ПО и др. При этом в качестве объектов атак могут выступать рабочие станции пользователей, серверы, а также коммуникационное оборудование ИС.

2. Стадия вторжения в ИС. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех узлов ИС, по отношению к которым совершается атака.

3. Стадия атакующего воздействия на ИС. Данный этап направлен на достижение нарушителем тех целей, ради которых предпринималась атака. Примерами таких действий могут являться нарушение работоспособности ИС, кража конфиденциальной информации, хранимой в системе, удаление или модификация данных системы и др. При этом атакующий может также осуществлять действия, которые могут быть направлены на удаление следов его присутствия в ИС.

4. Стадиядальнейшего развития атаки. На этом этапе выполняются действия, которые направлены на продолжение атаки на ресурсы других узлов ИС.

Стадия Стадия вторжения

рекогносцировки в систему