Информационная безопасность в условиях функционирования глобальных сетей

 Опасные воздействия можно разделить на случайные и преднамеренные

Причины случайных воздействий:

1. аварийные ситуации из-за стихийных бедствий и отключения электроэнергии;
2. отказы и сбои аппаратуры;
3. ошибки в программном обеспечении;
4. ошибки в работе обслуживающего персонала и пользователей;
5. помехи в линии связи из-за воздействия внешней среды.

в) По условию начала осуществления воздействия

Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В распределенных ВС существуют три вида условий начала осуществления удаленной атаки:

1. Атака по запросу от атакуемого объекта

В этом случае атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в ОС Novell NetWare может служить SAP-запрос, а в сети Internet - DNS- и ARP-запросы. Важно отметить, что данный тип удаленных атак наиболее характерен для распределенных ВС.

2. Атака по наступлению ожидаемого события на атакуемом объекте

В этом случае атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект. Примером такого события может быть прерывание сеанса работы пользователя с сервером в ОС Novell NetWare без выдачи команды LOGOUT.

3. Безусловная атака

В этом случае начало осуществления атаки безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.

г) По наличию обратной связи с атакуемым объектом

4. с обратной связью
5. без обратной связи (однонаправленная атака)

Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а, следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте. Подобные удаленные атаки наиболее характерны для распределенных ВС.

В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную УА можно называть однонаправленной удаленной атакой. Примером однонаправленных атак является типовая УА "Отказ в обслуживании".

д) По расположению субъекта атаки относительно атакуемого объекта

1.внутрисегментное

2.межсегментное

Рассмотрим ряд определений:

Субъект атаки (или источник атаки) - это атакующая программа или оператор, непосредственно осуществляющие воздействие.

Хост (host) - сетевой компьютер.

Маршрутизатор (router) - устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

Подсеть (subnetwork) (в терминологии Internet) - совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть - логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, минуя маршрутизатор.

Сегмент сети - физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина" . При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.

С точки зрения удаленной атаки чрезвычайно важно, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте. При межсегментной атаке субъект и объект атаки находятся в разных сегментах.

Данный классификационный признак позволяет судить о так называемой "степени удаленности" атаки.

В дальнейшем будет показано, что на практике межсегментную атаку осуществить значительно труднее, чем внутрисегментную. Важно отметить, что межсегментная удаленная атака представляет гораздо большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по отражению атаки.

В общем виде все атаки делятся на:

1. внутренние атаки
2. внешние атаки

Внутренние атаки инициируются персоналом объекта, на котором установлена система, содержащая КИ. Из-за неудовлетворительной зарплаты или отношения руководства, отдельные сотрудники с высоким уровнем самооценки могут предпринять действия по выдаче информации лицам, заинтересованным в её получении.

Внешние атаки возникают благодаря непосредственной деятельности недобросовестных конкурентов, преступных элементов, иностранных разведывательных служб, из-за неумелой постановки взаимоотношений с представителями государственных структур, общественных организаций, средств массовой информации. Действия извне могут быть направлены на пассивные носители информации следующими способами:

1. похищение или снятие копий с различных носителей информации;
2. снятие информации в процессе коммуникации;
3. снятие информации в процессе её передачи по сети связи;
4. уничтожение информации или повреждение ее носителей;
5. случайное или преднамеренное доведение до сведения конкурентов документов и материалов, содержащих секретную информацию.

Действия извне могут быть также направлены на персонал компании и выражаться в формах:

§подкупа,

§угроз,

§шантажа,

§выведывания с целью получения информации,

§переманивания ведущих специалистов на конкурирующую фирму и т. п.

Внешние угрозы (в случае коммерческой информации), как правило, выступают в форме промышленного шпионажа. В ходе конкурентной борьбы использование промышленного шпионажа нельзя отнести к этическим видам деловых взаимоотношений предпринимателей. Однако любая предпринимательская деятельность, как показывает зарубежная практика, без него немыслима. Самый благоприятный общественно-экономический климат для развития предпринимательства не сможет предотвратить банкротства, если в результате удачной шпионской акции будут похищены секретные для фирмы сведения.

е) По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

1.физический

2.канальный

3.сетевой

4.транспортный

5.сеансовый

6.представительный

7.прикладной

Международная Организация по Стандартизации (ISO) приняла стандарт ISO 7498, описывающий взаимодействие открытых систем (OSI). Распределенные ВС также являются открытыми системами. Любой сетевой протокол обмена, как и любую сетевую программу, можно с той или иной степенью точности спроецировать на эталонную семиуровневую модель OSI. Такая многоуровневая проекция позволит описать в терминах модели OSI функции, заложенные в сетевой протокол или программу. Удаленная атака также является сетевой программой. В связи с этим представляется логичным рассматривать удаленные атаки на распределенные ВС, проецируя их на эталонную модель ISO/OSI.

 

 

4. Причины успеха удаленных атак на распределенные вычислительные системы

 

В предыдущей главе было показано, что общие принципы построения распределенных ВС позволяют выделить в отдельный класс угрозы, характеризующие только распределенные системы. Было введено такое понятие, как типовая удаленная атака, и были предложены механизмы реализации удаленных атак (УА) всех типов. Понятие типовой УА позволило классифицировать угрозы безопасности распределенным ВС вообще, поскольку типовые УА инвариантны по отношению к конкретному типу РВС. Инвариантность типовых УА основана на том, что они направлены на основополагающие принципы построения, заложенные в инфраструктуру любой распределенной системы.

Предложенные в этой работе описание, характеристика и классификация основных типов УА позволяют говорить о практической методике исследования безопасности РВС. Основой этой методики является последовательное осуществление УА всех типов; при этом основным средством анализа безопасности сетевого взаимодействия объектов распределенной системы будет являться сетевой анализ (анализ сетевого трафика).

Итак, в данной главе будут подробно рассмотрены основные причины, из-за которых возможны удаленные атаки. Наша цель состоит в том, чтобы сформулировать те принципы и требования, которые ликвидировали бы причины успеха УА и, руководствуясь которыми, было бы возможно построение распределенной ВС с защищенным сетевым взаимодействием ее удаленных компонентов.

Основные вопросы, на которые попытается дать ответы данная глава, это: "почему возможны удаленные атаки" и "в чем причины их успеха"? Анализ механизмов реализации типовых УА позволяет сформулировать причины, по которым данные удаленные атаки оказались возможными. Особо отметим, что рассматриваемые ниже причины основываются на базовых принципах построения сетевого взаимодействия объектов распределенной ВС.

В этой главе мы разберем только причины успеха УА на инфраструктуру и базовые протоколы сети, а не УА на телекоммуникационные службы. Для устранения причин атак первого типа зачастую необходимо либо отказаться от определенных служб (DNS, например), либо изменить конфигурацию системы (наличие широковещательной среды приводит к возможности прослушивания канала, осуществляемого программным образом), либо изменить систему в целом. Все дело в том, что причины успеха удаленных атак данного типа кроются в инфраструктуре распределенной ВС, поэтому создание таксономии причин их успеха представляется весьма важной задачей, решение которой позволит выработать принципы построения защищенного взаимодействия в РВС.

Итак, рассмотрим возможные причины успеха УА на инфраструктуру и базовые протоколы распределенных ВС.

1. Отсутствие выделенного канала связи между объектами РВС
2. Недостаточная идентификация и аутентификация объектов и субъектов РВС
3. Взаимодействие объектов без установления виртуального канала
4. Использование нестойких алгоритмов идентификации объектов при создании виртуального канала
5. Отсутствие контроля за виртуальными каналами связи между объектами РВС
6. Отсутствие в РВС возможности контроля за маршрутом сообщений
7. Отсутствие в РВС полной информации о ее объектах
8. Отсутствие в РВС криптозащиты сообщений

 

 

5. Принципы создания защищенных систем связи в распределенных вычислительных системах

 

Очевидно, что при построении защищенных систем следует бороться не с угрозами, являющимися следствием недостатков системы, а с причинами возможного успеха атак. Ясно, что для того, чтобы победить следствие, надо устранить причину. Поэтому, чтобы ликвидировать угрозы (удаленные атаки), осуществляемые по каналам связи, необходимо ликвидировать причины, их порождающие. Это основной принцип, руководствуясь которым, далее мы и сформулируем требования к защищенным системам связи в распределенных ВС.

5.1 Виртуальный канал как средство обеспечения дополнительной идентификации/аутентификации объектов в распределенной ВС

В предыдущем пункте рассматривались возможные наиболее безопасные варианты физического построения сети: как в РВС необходимо соединять объекты для обеспечения наиболее безопасного взаимодействия. Однако, для создания защищенного взаимодействия удаленных объектов подобных мер явно недостаточно, так как, во-первых, на практике обеспечить взаимодействие всех объектов по выделенному каналу достаточно сложно и, во-вторых, нельзя не предусмотреть вариант физического подключения к каналу. Следовательно, разработчик защищенной системы связи в распределенной ВС должен исходить из следующего принципа:

При построении защищенной системы связи в распределенной ВС необходимо исходить из того, что все сообщения, передаваемые по каналу связи, могут быть перехвачены, но это не должно повлечь за собой нарушения безопасности системы в целом.