A távoli hálózati támadás információromboló hatás egy elosztott számítástechnikai rendszerre (CS), amelyet programozottan, kommunikációs csatornákon hajtanak végre.
A kommunikáció heterogén hálózati környezetben való megszervezéséhez TCP / IP protokollokat használnak , amelyek biztosítják a kompatibilitást a különböző típusú számítógépek között. Ez a protokollkészlet az interoperabilitás és a globális internet erőforrásaihoz való hozzáférés miatt vált népszerűvé, és az internetes munka szabványává vált. A TCP/IP protokollverem mindenütt jelenléte azonban feltárta gyengeségeit is. Emiatt különösen az elosztott rendszerek érzékenyek a távoli támadásokra, mivel összetevőik általában nyílt adatátviteli csatornákat használnak , és a behatoló nem csak passzívan hallgathatja a továbbított információkat, hanem módosíthatja a továbbított forgalmat is .
A távoli támadások észlelésének nehézsége és végrehajtásának viszonylagos egyszerűsége (a modern rendszerek túlzott funkcionalitása miatt) az ilyen típusú illegális cselekményeket az első helyre helyezi a veszély mértéke szempontjából, és megakadályozza, hogy a végrehajtott támadásokra időben reagáljanak. fenyegetés, aminek következtében a támadónak megnő az esélye a sikeres támadásra.
Az elosztott számítástechnikai rendszerre (DCS) gyakorolt passzív hatás egy olyan hatás, amely közvetlenül nem befolyásolja a rendszer működését, ugyanakkor képes megsérteni annak biztonsági politikáját . Az RCS működésére gyakorolt közvetlen befolyás hiánya éppen ahhoz vezet, hogy a passzív távoli ütközés (PUV) nehezen észlelhető. A WAN tipikus PUV egy lehetséges példája a hálózat kommunikációs csatornájának hallgatása.
Az RCS-re gyakorolt aktív hatás olyan hatás, amely közvetlen hatással van a rendszer működésére (teljesítményzavar, az RCS konfigurációjában bekövetkezett változások stb.), amely sérti a benne elfogadott biztonsági politikát. Az aktív befolyás szinte minden típusú távoli támadás. Ez annak a ténynek köszönhető, hogy a káros hatás természete magában foglal egy hatóanyagot is. Az aktív és a passzív befolyás nyilvánvaló különbsége annak észlelésének alapvető lehetősége, hiszen megvalósítása következtében bizonyos változások következnek be a rendszerben. Passzív behatás esetén egyáltalán nem maradnak nyomok (amikor a támadó megtekinti valaki más üzenetét a rendszerben, valójában semmi sem változik ugyanabban a pillanatban).
Ez a jellemző, amely szerint a besorolás történik, valójában a fenyegetések három alapvető fajtájának - a szolgáltatás megtagadása , a nyilvánosságra hozatal és az integritás megsértése - közvetlen kivetítése.
Szinte minden támadás fő célja az információkhoz való jogosulatlan hozzáférés. Az információszerzésnek két alapvető lehetősége van: a torzítás és az elfogás. Az információ elfogásának lehetősége azt jelenti, hogy hozzá kell férni a változtatás lehetősége nélkül. Az információ elhallgatása ezért a titkosság megsértéséhez vezet . A hálózaton lévő csatorna hallgatása egy példa az információelfogásra. Ebben az esetben illegitim hozzáférés áll rendelkezésre az információhoz, anélkül, hogy lehetséges volna helyettesíteni. Nyilvánvalóan az információk bizalmas kezelésének megsértése passzív befolyásra utal.
Az információcsere lehetőségét vagy úgy kell érteni, mint a rendszerobjektumok közötti információáramlás teljes ellenőrzését, vagy a különböző üzenetek továbbításának lehetőségét valaki más nevében. Ezért egyértelmű, hogy az információ helyettesítése az integritás megsértéséhez vezet . Az ilyen információromboló hatás az aktív befolyásolás jellegzetes példája. Egy példa az információ integritásának megsértésére tervezett távoli támadásra távoli támadásként (UA) „hamis RCS objektumként” szolgálhat.
A támadó néhány kérést küld a támadott objektumnak, amelyekre választ vár. Következésképpen visszacsatolás jelenik meg a támadó és a támadott között, lehetővé téve az elsőnek, hogy megfelelően reagáljon a támadott objektum mindenféle változására. Ez a lényege egy távoli támadásnak, amelyet a támadó objektumtól érkező visszajelzések jelenlétében hajtanak végre. Az ilyen támadások leginkább az RVS-re jellemzőek.
A nyílt hurkú támadásokat az jellemzi, hogy nem kell reagálniuk a támadott objektum változásaira. Az ilyen támadásokat általában úgy hajtják végre, hogy egyetlen kérést küldenek a megtámadott objektumnak. A támadónak nincs szüksége válaszokra ezekre a kérésekre. Az ilyen UA-t egyirányú UA-nak is nevezhetjük. Az egyirányú támadások példája a tipikus UA „ DoS támadás ”.
A távoli befolyást, csakúgy, mint bármely mást, csak bizonyos feltételek mellett lehet végrehajtani. Az RCS-ben háromféle ilyen feltételes támadás létezik:
A támadó hatása azzal a feltétellel kezdődik, hogy a támadás lehetséges célpontja egy bizonyos típusú kérést továbbít. Az ilyen támadást a megtámadott objektum igénye szerinti támadásnak nevezhetjük . Ez a típusú UA a legjellemzőbb az RVS-re. Ilyen internetes lekérdezések például a DNS- és ARP -lekérdezések, a Novell NetWare - SAP-lekérdezés pedig .
Támadás a megtámadott objektumon várt esemény bekövetkeztekor . A támadó folyamatosan figyeli a távoli támadás célpontjának operációs rendszerének állapotát, és elindítja a hatást, ha egy adott esemény történik ebben a rendszerben. Maga a támadott tárgy a támadás kezdeményezője. Ilyen esemény például a felhasználó kiszolgálóval való munkamenetének leállítása LOGOUT parancs kiadása nélkül a Novell NetWare rendszeren.
A feltétel nélküli támadás azonnal megtörténik, függetlenül az operációs rendszer és a támadott objektum állapotától. Ezért ebben az esetben a támadó a támadás kezdeményezője.
A rendszer normál működésének megsértése esetén más célokat követnek, és a támadótól nem várható, hogy illegálisan hozzáférjen az adatokhoz. Célja, hogy letiltja az operációs rendszert a támadott objektumon, és megakadályozza, hogy a rendszer más objektumai hozzáférjenek az objektum erőforrásaihoz. Egy ilyen típusú támadásra példa az UA „ DoS attack ”.
Néhány meghatározás:
A támadás forrása (a támadás alanya) egy program (esetleg operátor), amely a támadást végrehajtja és közvetlen hatást fejt ki.
Host (host) - a hálózat részét képező számítógép.
Az útválasztó olyan eszköz, amely csomagokat irányít a hálózaton.
Az alhálózat (alhálózat) olyan gazdagépek csoportja, amelyek a globális hálózat részét képezik , és abban különböznek, hogy az útválasztó ugyanazt az alhálózati számot rendelte hozzájuk. Azt is mondhatjuk, hogy az alhálózat a gazdagépek logikai csoportosítása egy útválasztón keresztül. Az ugyanazon az alhálózaton belüli gazdagépek útválasztó használata nélkül közvetlenül tudnak kommunikálni egymással .
A hálózati szegmens a fizikai réteg gazdagépeinek társulása.
A távoli támadás szempontjából rendkívül fontos az alany és a támadás tárgyának egymáshoz viszonyított helyzete, vagyis hogy különböző vagy azonos szegmensekben vannak-e. Szegmensen belüli támadás során a támadás alanya és tárgya ugyanabban a szegmensben található. Szegmensek közötti támadás esetén a támadás alanya és tárgya különböző hálózati szegmensekben található. Ez az osztályozási jellemző lehetővé teszi a támadás úgynevezett "távolsági fokának" megítélését.
Továbbá megmutatjuk, hogy a gyakorlatban egy szegmensen belüli támadást sokkal könnyebb megvalósítani, mint egy szegmensek közötti támadást. Azt is megjegyezzük, hogy egy szegmensek közötti távoli támadás sokkal veszélyesebb, mint egy szegmensen belüli támadás. Ennek az az oka, hogy szegmensek közötti támadás esetén annak tárgya és a közvetlenül támadó sok ezer kilométeres távolságra lehet egymástól, ami jelentősen akadályozhatja a támadás visszaverését célzó intézkedéseket.
A Nemzetközi Szabványügyi Szervezet ( ISO ) átvette az ISO 7498 szabványt, amely a nyílt rendszerek összekapcsolását (OSI) írja le, amelyhez az RCS is tartozik. Minden hálózati csereprotokoll , valamint minden hálózati program valamilyen módon kivetíthető a referencia 7 rétegű OSI modellre . Egy ilyen többszintű vetítés lehetővé teszi a hálózati protokollban vagy programban használt funkciók OSI modellben történő leírását. Az UA egy hálózati program, és logikus az ISO/OSI referenciamodellre való vetítés szempontjából [2].
IP - adatcsomag hálózaton keresztüli továbbításakor ez a csomag több részre osztható . Ezt követően a cél elérésekor a csomag visszaállításra kerül ezekből a töredékekből. A támadó nagyszámú töredék küldését kezdeményezheti, ami a fogadó oldalon a programpufferek túlcsordulásához és bizonyos esetekben a rendszer összeomlásához vezet .
Ez a támadás megköveteli, hogy a támadó hozzáférjen a gyors internetes csatornákhoz .
A ping program egy ICMP ECHO REQUEST csomagot küld az idővel és annak azonosítójával. A fogadó gép kernele egy ilyen kérésre egy ICMP ECHO REPLY csomaggal válaszol. Miután megkapta, a ping megadja a csomag sebességét.
A normál üzemmódban a csomagokat bizonyos időközönként küldik, gyakorlatilag nem terhelik a hálózatot . De "agresszív" módban az ICMP visszhang kérés/válasz csomagok torlódást okozhatnak egy kis vonalon, megfosztva azt attól, hogy hasznos információkat továbbítson .
Az IP -csomag tartalmaz egy mezőt, amely megadja a beágyazott csomag protokollját ( TCP , UDP , ICMP ). A támadók a mező nem szabványos értékét használhatják olyan adatok átvitelére, amelyeket a szabványos információáramlás-vezérlő eszközök nem rögzítenek.
A törpetámadás abból áll, hogy az áldozat számítógép nevében ICMP szórási kéréseket küldenek a hálózatnak. Ennek eredményeként az ilyen sugárzott csomagokat fogadó számítógépek válaszolnak az áldozat számítógépére, ami a kommunikációs csatorna sávszélességének jelentős csökkenéséhez, és egyes esetekben a támadott hálózat teljes elszigeteléséhez vezet. A törpetámadás rendkívül hatékony és elterjedt.
Ellenintézkedések: a támadás felismeréséhez elemezni kell a csatornaterhelést, és meg kell határozni az átviteli sebesség csökkenésének okait.
A támadás eredménye az IP-cím és a tartománynév közötti kötelező megfeleltetés bevezetése a DNS-kiszolgáló gyorsítótárában. Egy ilyen támadás sikeres végrehajtásának eredményeként a DNS-kiszolgáló összes felhasználója helytelen információkat kap a tartománynevekről és az IP-címekről. Ezt a támadást nagyszámú, azonos tartománynévvel rendelkező DNS-csomag jellemzi. Ennek oka, hogy ki kell választani néhány DNS-csereparamétert.
Ellenlépés: egy ilyen támadás észleléséhez elemezni kell a DNS-forgalom tartalmát, vagy használni kell a DNSSEC -et .
Számos internetes támadás kapcsolódik az eredeti IP-cím helyettesítéséhez . Az ilyen támadások közé tartozik a rendszernapló-hamisítás, amely abból áll, hogy üzenetet küldenek az áldozat számítógépnek a belső hálózaton lévő másik számítógép nevében. Mivel a syslog protokollt a rendszernaplók karbantartására használják, hamis üzenetek küldésével az áldozat számítógépére, információkat írhat elő, vagy elfedheti a jogosulatlan hozzáférés nyomait.
Ellenintézkedések: Az IP-címhamisítási támadások észlelhetők az azonos interfész forráscímével rendelkező csomagok valamelyik interfészén történő vétel figyelésével, vagy a belső hálózat IP-című csomagjainak külső interfészen történő figyelésével .
A támadó hamis visszatérési címmel küld csomagokat a hálózatnak. Ezzel a támadással a támadó átválthat más számítógépek közötti számítógépes kapcsolataira. Ebben az esetben a támadó hozzáférési jogai egyenlővé válnak annak a felhasználónak a jogaival, akinek a szerverrel való kapcsolatát a támadó számítógépére kapcsolták.
Csak a helyi hálózati szegmensben lehetséges .
Szinte minden hálózati kártya támogatja a közös LAN -csatornán továbbított csomagok elfogását . Ebben az esetben a munkaállomás képes fogadni az ugyanazon a hálózati szegmensen lévő többi számítógéphez címzett csomagokat. Így a hálózati szegmens teljes információcseréje elérhetővé válik a támadó számára. A támadás sikeres végrehajtásához a támadó számítógépének ugyanabban a helyi hálózati szegmensben kell lennie, mint a megtámadott számítógépnek .
Az útválasztó hálózati szoftvere hozzáfér az ezen a routeren keresztül továbbított összes hálózati csomaghoz, ami lehetővé teszi a csomagszippantást. A támadás végrehajtásához a támadónak kiváltságos hozzáféréssel kell rendelkeznie legalább egy hálózati útválasztóhoz. Mivel általában sok csomagot továbbítanak a routeren keresztül, ezek teljes elfogása szinte lehetetlen. Az egyes csomagokat azonban könnyen elfoghatják és eltárolhatják egy támadó későbbi elemzés céljából. A felhasználói jelszavakat és e-maileket tartalmazó FTP -csomagok leghatékonyabb lehallgatása .
Az interneten létezik egy speciális ICMP (Internet Control Message Protocol) protokoll, amelynek egyik funkciója a gazdagépek tájékoztatása az aktuális útválasztó megváltoztatásáról. Ezt a vezérlőüzenetet átirányításnak nevezik. A hálózati szegmens bármely gazdagépe hamis átirányítási üzenetet küldhet az útválasztó nevében a megtámadott gazdagépnek. Ennek eredményeként a gazdagép aktuális útválasztási táblája megváltozik , és a jövőben ennek a gazdagépnek a teljes hálózati forgalma például azon a gazdagépen halad keresztül, amelyik a hamis átirányítási üzenetet küldte. Így lehetőség van az internet egy szegmensén belüli hamis útvonal aktív előírására.
A szabvány a szokásos TCP -kapcsolaton keresztül küldött adatok mellett sürgős (Out Of Band) adatok átvitelét is biztosítja. A TCP-csomagformátumok szintjén ez egy nem nulla sürgős mutatóban fejeződik ki. A legtöbb Windows telepített számítógépen van egy NetBIOS hálózati protokoll , amely három IP-portot használ : 137, 138, 139. Ha csatlakozik egy Windows géphez a 139-es porton, és néhány bájt OutOfBand adatot küld oda, akkor a NetBIOS megvalósítás nem tudva, hogy mit kezdjen ezekkel az adatokkal, egyszerűen leteszi vagy újraindítja a gépet. Windows 95 esetén ez általában úgy néz ki, mint egy kék szöveges képernyő, amely a TCP/IP illesztőprogram hibáját jelenti, és azt, hogy az operációs rendszer újraindításáig képtelen a hálózattal együttműködni. A szervizcsomagok nélküli NT 4.0 újraindul, az NT 4.0 ServicePack 2-vel pedig összeomlik a kék képernyőn. A hálózatról származó információk alapján a Windows NT 3.51 és a Windows 3.11 for Workgroups is ki van téve egy ilyen támadásnak.
A 139-es portra történő adatküldés vagy újraindítja az NT 4.0-t, vagy kék halált okoz a Service Pack 2 telepítésekor. Az adatok 135-ös portra és néhány más portra való küldése jelentős terhelést okoz az RPCSS.EXE folyamatban. A Windows NT WorkStation rendszeren ez jelentős lassuláshoz vezet, a Windows NT Server gyakorlatilag lefagy.
Az ilyen típusú távoli támadások sikeres végrehajtása lehetővé teszi a támadó számára, hogy munkamenetet folytasson a szerverrel egy megbízható gazdagép nevében. (A megbízható gazdagép olyan állomás, amely legálisan csatlakozott a szerverhez). Az ilyen típusú támadások végrehajtása általában abból áll, hogy a támadó állomásáról cserecsomagokat küldenek az irányítása alatt álló megbízható állomás nevében.
A hálózati és információs technológiák olyan gyorsan változnak, hogy a statikus biztonsági mechanizmusok, amelyek magukban foglalják a beléptető rendszereket, ME, hitelesítési rendszereket, sok esetben nem tudnak hatékony védelmet nyújtani. Ezért dinamikus módszerekre van szükség a biztonsági rések gyors észleléséhez és megelőzéséhez. Az egyik technológia, amely képes észlelni a hagyományos hozzáférés-vezérlési modellekkel nem azonosítható jogsértéseket, a behatolásészlelési technológia.
A behatolásészlelési folyamat lényegében a vállalati hálózaton előforduló gyanús tevékenységek értékelésének folyamata. Más szóval, a behatolásészlelés a számítástechnikai vagy hálózati erőforrásokra irányuló gyanús tevékenység azonosításának és az azokra való reagálás folyamata.
A behatolásjelző rendszer hatékonysága nagymértékben függ a kapott információk elemzésére használt módszerektől. Az 1980-as évek elején kifejlesztett első behatolásjelző rendszerek statisztikai behatolásészlelési módszereket alkalmaztak. Jelenleg számos új módszerrel bővítették a statisztikai elemzést, kezdve a szakértői rendszerekkel és a fuzzy logikával, egészen a neurális hálózatok használatáig.
A statisztikai megközelítés fő előnyei a matematikai statisztika már kidolgozott és bevált apparátusának alkalmazása és az alany viselkedéséhez való alkalmazkodás.
Először az elemzett rendszer minden alanyához profilokat határoznak meg. A használt profilnak a referenciától való bármilyen eltérése jogosulatlan tevékenységnek minősül. A statisztikai módszerek univerzálisak, mivel az elemzés nem igényel ismereteket a lehetséges támadásokról és az általuk kihasznált sebezhetőségekről. Az alábbi módszerek használatakor azonban problémák merülnek fel:
Figyelembe kell venni azt is, hogy a statisztikai módszerek nem alkalmazhatók olyan esetekben, amikor a felhasználóra nincs jellemző viselkedési minta, vagy ha a felhasználóra jellemző a jogosulatlan cselekvés.
A szakértői rendszerek olyan szabályokból állnak, amelyek rögzítik a humán szakértő tudását. A szakértői rendszerek használata a támadások észlelésének elterjedt módszere, amelyben a támadásokról szóló információkat szabályok formájában fogalmazzák meg. Ezeket a szabályokat felírhatjuk például műveletek sorozataként vagy aláírásként. Ha ezen szabályok bármelyike teljesül, döntés születik a jogosulatlan tevékenység jelenlétéről. Ennek a megközelítésnek egy fontos előnye a téves riasztások szinte teljes hiánya.
A szakértői rendszer adatbázisának tartalmaznia kell a jelenleg ismert támadások többségére vonatkozó forgatókönyveket. A szakértői rendszerek folyamatos naprakészen tartása érdekében az adatbázis folyamatos frissítését igénylik. Míg a szakértői rendszerek jó lehetőséget kínálnak a naplókban lévő adatok áttekintésére, a szükséges frissítéseket figyelmen kívül hagyhatja, vagy a rendszergazda manuálisan is elvégezheti. Ez legalább egy csökkentett képességű szakértői rendszerhez vezet. A legrosszabb esetben a megfelelő karbantartás hiánya csökkenti a teljes hálózat biztonságát, félrevezetve a felhasználókat a tényleges biztonság szintjével kapcsolatban.
A fő hátrány az ismeretlen támadások visszaverésének képtelensége. Ugyanakkor egy már ismert támadásban egy kis változtatás is komoly akadályt jelenthet egy behatolásjelző rendszer működésében.
A legtöbb modern behatolásészlelési módszer a szabályozott tér valamilyen szabályalapú elemzését vagy statisztikai megközelítést alkalmaz. A szabályozott terület lehet naplók vagy hálózati forgalom. Az elemzés előre meghatározott szabályokra támaszkodik, amelyeket a rendszergazda vagy maga a behatolásészlelő rendszer hoz létre.
A támadások időbeli vagy több támadó közötti megosztását a szakértő rendszerek nehezen észlelik. A támadások és hackerek sokfélesége miatt a szakértői rendszerszabályok adatbázisának speciális folyamatos frissítése sem garantálja a támadások teljes körének pontos azonosítását.
A neurális hálózatok használata a szakértői rendszerek ezen problémáinak leküzdésének egyik módja. Ellentétben a szakértői rendszerekkel, amelyek határozott választ tudnak adni a felhasználónak arra vonatkozóan, hogy a vizsgált jellemzők megfelelnek-e az adatbázisban lefektetett szabályoknak, a neurális hálózat elemzi az információkat, és lehetőséget ad annak felmérésére, hogy az adatok összhangban vannak-e az általa meghatározott jellemzőkkel. megtanulta felismerni. Míg a neurális háló reprezentációjának illeszkedési foka elérheti a 100%-ot, addig a választás megbízhatósága teljes mértékben a rendszer minőségétől függ a feladat példáinak elemzésében.
Először is, a neurális hálózatot arra tanítják, hogy a tartománypéldák előre kiválasztott mintáján helyesen azonosítson. A neurális hálózat reakcióját elemzik, és a rendszert úgy állítják be, hogy kielégítő eredményeket érjen el. A kezdeti betanítási perióduson kívül a neurális hálózat idővel tapasztalatokat szerez a tartományhoz kapcsolódó adatok elemzése során.
A neurális hálózatok fontos előnye a visszaélések észlelésében, hogy képesek „megtanulni” a szándékos támadások jellemzőit, és azonosítani azokat az elemeket, amelyek nem hasonlítanak a hálózatban korábban látottakhoz.
A leírt módszerek mindegyikének számos előnye és hátránya van, így ma már gyakorlatilag nehéz olyan rendszert találni, amely a leírt módszerek közül csak egyet valósít meg. Általában ezeket a módszereket kombinálva alkalmazzák.