ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
    		•
     
    Бесплатные рефераты
     

     

     

     

     

     
         
     
    Безпека Роботи в Мережі Інтернет
         

     
    Інформатика, програмування


    Основні поняття комп'ютерної безпеки 2


    Хакери і кракери, або "Що таке добре і що таке погано?" 2


    Нові закони КК РФ, пов'язані з "злочинами у сфері комп'ютерноїінформації "4


    Порушення безпеки мережі 5


    Класифікація віддалених атак на розподілені обчислювальні системи 8

    1. За характером впливу 8
    2. За цілі впливу 9
    3. За умовою початку здійснення впливу 9
    4. За наявністю зворотного зв'язку з атакується об'єктом 10
    5. За розташуванням суб'єкта атаки щодо об'єкта атакується 10
    6. За рівнем еталонної моделі ISO/OSI, на якому здійснюється вплив 11

    Методи захисту від атак з мережі 11

    Як захиститися від хибного ARP-сервера? 11
    Як захиститися від помилкового DNS-сервера? 11
    Як адміністратора мережі захиститися від помилкового DNS-сервера? 11
    Як адміністратору DNS-сервера захиститися від помилкового DNS-сервера? 12
    Як захиститися від нав'язування хибного маршруту при використанні протоколу
    ICMP? 12
    Як захиститися від відмови в обслуговуванні? 13
    Як захиститися від підміни однієї із сторін при взаємодії з використанням базових протоколів сімейства TCP/IP 13

    Список використаної літератури: 15

    Основні поняття комп'ютерної безпеки < p> Для того щоб розглядати надалі питання безпеки в
    Internet, необхідно нагадати основні поняття, якими оперує теоріякомп'ютерної безпеки. Взагалі кажучи, їх всього три: це погрози,вразливості і атаки. Хоча досвідченому читачеві сенс їх і так достатньодобре зрозумілий, постараємося неформально пояснити його.

    Отже, загроза безпеки комп'ютерної системи - це потенційноможливе пригода, неважливо, навмисне або ні, яка моженадати небажаний вплив на саму систему, а також на інформацію,що зберігається в ній. Інакше кажучи, загроза - це щось погане, що коли-небудьможе статися. Уразливість комп'ютерної системи - це деяка її невдалахарактеристика, яка робить можливим виникнення загрози. Іншимисловами, саме через наявність вразливостей в системі відбуваютьсянебажані події. Нарешті, атака на комп'ютерну систему - цедії, що робляться зловмисником, яка полягає в пошуку тавикористанні тієї або іншої уразливості. Таким чином, атака - цереалізація загрози. Зауважимо, що таке тлумачення атаки (за участюлюдини, що має злий намір), виключає присутній у визначеннізагрози елемент випадковості, але, як показує досвід, часто буваєнеможливо розрізнити навмисні і випадкові дії, і хороша системазахисту повинна адекватно реагувати на будь-яке з них.

    Далі, дослідники звичайно виділяють три основних види загрозбезпеки - це загрози розкриття, цілісності та відмови в обслуговуванні.
    Загроза розкриття полягає тому, що інформація стає відомою тому,кому не варто було б її знати. У термінах комп'ютерної безпеки загрозарозкриття має місце кожного разу, коли отримано доступ до деякоїконфіденційної інформації, що зберігається в обчислювальній системі чищо передається від однієї системи до іншої. Іноді замість слова "розкриття"використовуються терміни "крадіжка" або "витік". Загроза цілісності включає всебе будь-яке умисне зміна (модифікацію або навіть видалення) даних,що зберігаються в обчислювальній системі чи передаються з однієї системи віншу. Зазвичай вважається, що загрозу розкриття схильні більшою міроюдержавні структури, а загрозу цілісності - ділові або комерційні.
    Загроза відмови в обслуговуванні виникає кожного разу, коли в результатідеяких дій блокується доступ до деякого ресурсу обчислювальноїсистеми. Реально блокування може бути постійним, так щобзапитаний ресурс ніколи не було отримано, або воно може викликати тількизатримку запитуваного ресурсу, досить довгу для того, щоб він ставмарним. У таких випадках кажуть, що ресурс вичерпаний.

    Хакери і кракери, або "Що таке добре і що таке погано?"

    Переглядаючи велику кількість статей (головним чином, в електроннихжурналах) про проблеми комп'ютерного злому, не можна не звернути увагу натой факт, що ні в одній статті не проводиться та межа, яка, на нашудумку, чітко розділяє всіх, так чи інакше пов'язаних з комп'ютерноюбезпекою. В основному, думка комп'ютерного світу з цього приводу абосуто негативне (хакери - це злочинці), або - скромно-позитивне
    (хакери - "санітари лісу"). Насправді у цієї проблеми існує пощонайменше дві сторони: позитивна і негативна - і між нимипроходить чітка межа. Ця межа розділяє всіх професіоналів,пов'язаних з інформаційною безпекою, на хакерів (hackers) і кракерами
    (crackers). І ті, і інші багато в чому займаються вирішенням одних і тих самихзавдань - пошуком вразливостей в обчислювальних системах і здійсненням атакна дані системи ( "зломом ").

    Найголовніше і принципове розходження між хакерами і кракерамиполягає в цілях, які вони переслідують. Основне завдання хакера в тому,щоб, досліджуючи обчислювальну систему, виявити слабкі місця
    (уразливості) в її системі безпеки та інформувати користувачів ірозробників системи з метою подальшого усунення знайденихвразливостей. Інше завдання хакера - проаналізувавши існуючубезпека обчислювальної системи, сформулювати необхідні вимогита умови підвищення рівня її захищеності.
    З іншого боку, основне завдання кракерами полягає у безпосередньомуздійсненні злому системи з метою діставання несанкціонованого доступудо чужої інформації - інакше кажучи, для її крадіжки, підміни або для оголошенняфакту злому. Кракерами, по своїй суті, нічим не відрізняється від звичайного злодія,зламують чужі квартири і краде чужі речі. Він зламує чужіобчислювальні системи і краде чужу інформацію. Ось у чому полягаєкардинальна відмінність між тими, кого можна назвати хакерами і кракерами:перше - дослідники комп'ютерної безпеки, другий - простозломщики, злодії або вандали. Хакер в даній термінології - це фахівець.
    Як доказ наведемо визначення з словника Guy L. Steele:

    HACKER ім. 1. Індивід, який отримує задоволення від вивчення деталей функціонування комп'ютерних систем і від розширення їх можливостей, на відміну від більшості користувачів комп'ютерів, які вважають за краще знати тільки необхідний мінімум. 2. Ентузіаст програмування; індивідуум, що одержує задоволення від самого процесу програмування, а не від теоретизування з цього приводу.
    Дане трактування поняття "хакер" відрізняється від прийнятої в засобахмасової інформації, які, власне, і привели до підміни понять. УОстаннім часом багато фахівців з комп'ютерної безпеки почалиакуратніше ставитися до цих термінів.
    Низовина мотивів кракерами призводить до того, що 90% з них є
    "чайниками", які зламують погано адміністровані системи, в основномузавдяки використанню чужих програм (як правило, ці програми називаютьсяexploit). (Причому це думка тих же 10% професійних кракерами.)
    Такі професіонали - колишні хакери, які стали на шлях порушення закону. Їх,на відміну від кракерами-"чайників", зупинити дійсно дуже складно,але, як показує практика, зовсім не неможливо (див. протиборство
    Мітника і Шімомури у п. 4.5.2). Очевидно, що для запобігання можливогозлому або усунення його наслідків потрібно запроситикваліфікованого фахівця з інформаційної безпеки --професійного хакера. Однак, було б несправедливо змішати в одну купувсіх кракерами, однозначно назвавши їх злодіями і вандалами. На нашу думку,кракерами можна розділити на три наступні класу залежно від мети, зякої здійснюється злом: вандали, "жартівники" і професіонали.

    Вандали - найвідоміша (багато в чому завдяки повсякденності вірусів,а також витворів деяких журналістів) і, треба сказати, саманечисленна частина кракерами. Їх основна мета - зламати систему для їїруйнування. До них можна віднести, по-перше, любителів команд типу: rm-f-d
    *, Del *.*, format c:/U і т.д., і, по-друге, фахівців у написаннівірусів або "троянських коней". Цілком природно, що веськомп'ютерний світ ненавидить кракерами-вандалів лютою ненавистю. Ця стадіякракерства зазвичай характерна для новачків і швидко минає, якщо кракерамивдається удосконалюватися (адже досить нудно усвідомлювати своєперевагу над беззахисними користувачами). Кракерами, які навіть зплином часу не минули цю стадію, а тільки все більшевдосконалювали свої навички руйнування, інакше, ніж соціальнимипсихопата, не назвеш.

    "Жартівники" - найбільш нешкідлива частина кракерами (звичайно, в залежностівід того, наскільки вони вважають за краще злі жарти), основна мета яких --популярність, що досягається шляхом злому комп'ютерних систем і внесенням тудирізних ефектів, що виражають їх незадоволене почуття гумору.
    "Жартівники" звичайно не завдають істотної шкоди (хіба що моральну). Насьогоднішній день в Internet це найбільш поширений клас кракерами,зазвичай здійснюють злом Web-серверів, залишаючи там згадку про себе. До
    "жартівникам" також можна віднести творців вірусів з різними візуально -звуковими ефектами (музика, тремтіння або перевертання екрану, малюваннявсіляких картинок і т.п.). Все це, в принципі, або невинні пустощіпочатківців, або - рекламні акції професіоналів.

    Зломщики - професійні кракери, що користуються найбільшою повагоюі повагою в кракерской середовищі, основне завдання яких - зломкомп'ютерної системи з серйозними цілями, як то крадіжка або підмінащо зберігається там інформації. У загальному випадку, для того, щоб здійснитизлом системи, необхідно пройти три основні стадії: дослідженняобчислювальної системи з виявленням недоліків у ній, розробка програмноїреалізації атаки і безпосереднє її здійснення. Природно,справжнім професіоналом можна вважати того кракерами, який для досягненнясвоєї мети проходить усі три стадії. З деякою натяжкою також можнавважати професіоналом того кракерами, який, використовуючи здобуту третьоюособою інформацію про уразливість в системі, пише програмну реалізаціюданої уразливості. Здійснити третю стадію, очевидно, може в принципікожен, використовуючи чужі розробки. Але те, чим займаються зломщики - цезвичайне злодійство, якщо абстрагуватися від предмета крадіжки. На жаль, унас, в Росії, все не так просто. У країні, де велика частина програмногозабезпечення, яке використовується користувачами, є піратським, тобтоукраденим не без допомоги тих же зломщиків, майже ніхто не має моральногоправа "кинути в них камінь". Звичайно, злом комп'ютерних систем з метоюкрадіжки ні в якому разі не можна назвати гідною справою, але і дорікатикракерами-зломщиків можуть тільки ті, хто легально придбав все використовуванепрограмне забезпечення.

    Нові закони КК РФ, пов'язані з "злочинами у сфері комп'ютерноїінформації "

    Для тих, хто хоче подивитися на проблему безпеки з іншогобоку, з боку кракерами, хочеться нагадати, що з 1997 року почалидіяти нові статті КК РФ, де, на жаль, досить розпливчасто інечітко описується та можлива кримінальна відповідальність, яку можутьнести громадяни РФ за "злочини у сфері комп'ютерної інформації" (Глава
    28 КК РФ):
    Стаття 272. Неправомірне доступ до комп'ютерної інформації.

    1. Неправомірне доступ до охороняється законом комп'ютерної інформації, тобто інформації на машинному носії, в електронно-обчислювальної машини (ЕОМ), системі ЕОМ або їх мережі, якщо це діяння спричинило знищення, блокування, модифікацію або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ чи їх мережі, - карається штрафом в розмірі від двохсот до п'ятисот мінімальних розмірів оплати праці або в розмірі заробітної плати або іншого доходу засудженого за період від двох до п'яти місяців, або виправними роботами на строк від шести місяців до одного року, або позбавленням волі на строк до двох років.

    2. Те саме діяння, вчинене групою осіб за попередньою змовою або організованою групою, або особою з використанням свого службового становища, а також мають доступ до ЕОМ, системі ЕОМ або їх мережі, - карається штрафом в розмірі від п'ятисот до восьмисот мінімальних розмірів оплати праці або в розмір заробітної плати, або іншого доходу засудженого за період від п'яти до восьми місяців, або виправними роботами на строк від одного року до двох років, або арештом на строк від трьох до шести місяців, або позбавленням волі на строк до п'яти років.
    Стаття 273.Созданіе, використання і поширення шкідливих програмдля ЕОМ.

    1. Створення програм для ЕОМ або внесення змін в існуючі програми, свідомо призводять до несанкціонованого знищення, блокування, модифікації або копіювання інформації, порушення роботи ЕОМ, системи ЕОМ або їх мережі, а так само використання або розповсюдження таких програм або машинних носіїв з такими програмами, - караються позбавленням волі на строк до трьох років з штрафом у розмірі від двохсот до п'ятисот мінімальних розмірів оплати праці або в розмірі заробітної плати або іншого доходу засудженого за період від двох до п'яти місяців.

    2. Ті самі дії, що спричинили з необережності тяжкі наслідки, - караються позбавленням волі на строк від трьох до семи років.
    Стаття 274. Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі.

    1. Порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі особою, яка має доступ до ЕОМ, системі ЕОМ або їх мережі, що призвело до знищення, блокування або модифікацію охороняється законом інформації ЕОМ, якщо це діяння заподіяло істотну шкоду, - карається позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до п'яти років, або обов'язковими роботами на строк від ста вісімдесяти до двохсот сорока годин, або обмеженням волі на строк до двох років.

    2. Те саме діяння, що призвело з необережності тяжкі наслідки, - карається позбавленням волі на строк до чотирьох років.

    За своєю суттю цей закон має бути направлений саме на кракерами.
    Проте, перше, що кидається в очі, це те, що не передбачено такеправопорушення, як злом програмного забезпечення. Це дозволиловідомому Санкт-Петербурзькому кракерами відкрито здатися на 5 каналітелебачення і досхочу посміятися над прийнятим законом. З іншого боку,розпливчастість формулювань статей закону, у разі їх формальноїтрактування, дозволяє залучити до кримінальної відповідальності практичнобудь-якого програміста або системного адміністратора (наприклад, що допустивпомилку, яка спричинила за собою заподіяння визначеного законом збитку).
    Так що програми тепер краще взагалі не писати.
    Якщо ж серйозно, то застосування на практиці цього закону надзвичайноускладнене. Це пов'язано, по-перше, зі складною доказовою подібних справ
    (судячи з закордонного досвіду) і, по-друге, з природним відсутністювисокої кваліфікації в цій галузі у слідчих. Тому, мабуть,пройде ще не один рік, поки ми дочекаємося гучного успішного кримінальноїпроцесу з "злочину в сфері комп'ютерної інформації".

    Порушення безпеки мережі

    Починаючи з 1987 року користувачі персональних комп'ютерів зіштовхуються зрізними комп'ютерними вірусами. Проте здавалося, що світу мереж, великачастина з яких базувалася на ОС UNIX, ніщо не загрожує. Томуподії листопада 1988 сколихнули не тільки тих, хто мав справу зкомп'ютерами та мережами, а й широку громадськість. 2 листопада 1988випускник Корнельського університету Роберт Таппан Морріс запустив своюпрограму, яка вийшла з-під контролю автора і почала швидкопереміщатися по мережі. У короткий термін вірус-хробак заповнив багато вузли
    Internet, завантажуючи операційні системи своїми копіями, викликаючи відмови вобслуговуванні і т.п. Аналіз даної атаки буде проведений в розділі 8, зараз жевідзначимо кілька цікавих моментів.
    У мережному комп'ютерному світі ім'я Роберта Моріса було відомим. Ще в 1985році в AT & T Bell Labs ним був опублікований технічний звіт, присвяченийслабкостям реалізації TCP/IP у версії 4.2 BSD UNIX [7]. Але цей звітнаписаний ... Робертом Морісом-старшим - батьком автора хробака. Моріс-старший уцей час обіймав посаду наукового керівника Національного Центру
    Комп'ютерної Безпеки (NCSC - National Computer Security Center) --експерта з комп'ютерної безпеки. Морріс старший багато років пропрацювавв лабораторіі AT & T Bell, де в 60-х роках брав участь у розробціпрограм Core Wars. До цього необхідно додати, що літо 1988 Морріс -молодший провів у цій же лабораторії, де був зайнятий переписуванням програмсистеми безпеки для комп'ютерів, що працюють під управлінням ОС UNIX.
    До речі, інцидент з програмою-хробаком практично ніяк не позначився накар'єрі Моріса-старшого. На початку 1989 року він був обраний до спеціальногоконсультативна рада при Національному інституті стандартів і міністерствіторгівлі. У завдання цієї ради входить вироблення висновків і рекомендаційз питань безпеки обчислювальних систем урядових органів
    США, а також вирішення питань, що виникають при розробці та впровадженністандартів захисту інформації.
    Хробак Морріса інфікував 6200 комп'ютерів. Підрахував втрати, хочаформально черв'як не наносив якого-небудь збитку даним в інфікованиххостах, були розділені на прямі і непрямі. До прямих втрат буливіднесені:зупинка, тестування і перезавантаження 42700 машин;ідентифікація хробака, видалення, чистка пам'яті та відновленняпрацездатності 6200 машин;аналіз коду хробака, дізассемблірованіе та документування;виправлення UNIX систем і тестування.
    Прямі втрати були оцінені більш ніж у 32 000 000 доларів. До непрямихвтрат були віднесені:втрати машинного часу в результаті відсутності доступу до мережі;втрати доступу користувачів до мережі.
    Непрямі втрати були оцінені більш ніж у 66 000 000 доларів. Загальнівитрати були оцінені на суму в 98 253 260 доларів.
    В результаті цього інциденту світ отримав уявлення про комп'ютернунебезпеки, а Internet - постійний головний біль. Після аналізу результатіватаки була утворена CERT (Computer Emergency Response Team), якастала відслідковувати випадки атак і виробляти рекомендації з захистукомп'ютерів і мереж.

    Як приклади приведемо відносно останні випадки успішних атакна сервери Internet:
    У серпні 1996 року атакований сервер департаменту юстиції США. Протягомдекількох годин сторінки сервера були заповнені фашистською атрибутикою імістили пародію на Білль про телекомунікації.
    6 вересня 1996 атаці піддався сервер компанії PANIX, що єодним з найбільших провайдерів Internet. У результаті атаки компаніякілька днів не могла надавати послуги своїм абонентам.
    У жовтні 1996 року на сервері ЦРУ замість "Welcome to the Central
    Intelligent Agency "з'явився заголовок" Welcome to the Central Stupidity
    Agency "і непристойні тексти.
    5 листопада 1996 був атакований WWW-сервер газети Нью-Йорк Таймс, ввнаслідок чого було практично неможливо стежити за ходом президентськихвиборів.
    У листопаді 1996 року румунські кракери замінили на WWW-сервері урядупортрет президента Ілієску на портрет його суперника Константінеску.
    5 березня 1997 зламаний сервер NASA у Центрі керування космічнимипольотами Годдарда. Кракери розмістили на сторінках сервера своє звернення,в якому засуджувалася комерціалізація Internet і висловлювався протест протисудового переслідування знаменитих зломщиків Кевіна Мітника і Еда
    Каммінгс. У зверненні містилася загроза атаки на "корпоративну Америку"
    .
    20 березня був розкритий сервер Сенфорд Уоллейса - президента рекламної фірми
    Cyber Promotions. Кракери помістили в UseNet копію викраденого файлупаролів, що містить зашифровані паролі, імена і телефони клієнтів фірми.

    Хоча по кількості користувачів Internet наша країна сильно поступається США,але число порушень безпеки також збільшуються. Ось декількаостанніх випадків.
    27 жовтня 1996 російськими кракерами був зламаний сервер компанії
    РОСНЕТ, серед клієнтів якої Центральний банк РФ, Ощадбанк Росії,
    Торгово-Промислова Палата, Державний Митний Комітет РФ і багатоінші (п. 4.3.3).
    22 листопада 1996 в Білорусії на Web-вузлі опозиції, що представлявнезалежні новини з різних країн і регіонів, була стерта всяінформація.
    Численні спроби здійснити шахрайські операції з кредитнимикартками змусили компанію America OnLine 14 грудня 1996 закритикористувачам з Росії доступ до своїх служб.

    Цей список може бути продовжений. Практично кожен день приносить всенові звістки про порушення безпеки в різних районах світу. Алесумний досвід жертв кракерами, на жаль, не учить інших. На підтвердженняцього пошлемося на дослідження незалежного консультанта з безпеки
    Дена Фармера [8], проведене в листопаді-грудні 1996 року. Для дослідження
    Фармер вибрав дві групи Web-серверів: основну і контрольну. До основноїгрупу, пов'язану з діяльністю користувачів, дослідник включив 50урядових хостів, 660 банківських хостів, 274 хоста кредитнихспілок, 312 хостів газет і 451 хост секс-клубів. У контрольну групу буливключені обрані випадковим чином 469 хостів. Кожен з обраних хостівоцінювався на безпеку за допомогою вільно розповсюджується засобианалізу SATAN (розділ 8), одним з авторів якого є сам Фармер.
    Результати дослідження говорять самі за себе. За оцінкою Фармера більше 60%хостів основної групи можуть бути зруйновані шляхом вторгнення ззовні,додатково від 9 до 24% можуть бути зламані за допомогою відомих, але неусунених в даних хостах, помилок у використовуваних ними програмах wu-ftp іsendmail. Автор вважає, що ще 10-20% хостів могло бути уражено придопомогою нових атак, що відбулися останнім часом. Приблизність оцінокдослідження викликана тим, що автор, природно, не намагався проникнути вдосліджувані хости. При порівнянні з контрольною групою виявилося, щовразливість хостів основної групи вдвічі вище, ніж контрольної. Хоча авторне приховував свого імені і намірів, тільки три адміністратора досліджуваниххостів (два з основної групи і одна з контрольної) виявили фактпроведення дослідження їх хостів на безпеку.

    У чому ж причина того, що порушники проникають в чужі машини?
    Спробуємо коротко перелічити основні причини уразливості хостів мережі:відкритість системи, вільний доступ до інформації з організації мережноговзаємодії, протоколам і механізмам захисту;наявність помилок у програмному забезпеченні, операційних системах і утилітах,які відкрито публікуються в мережі;різнорідність використовуваних версій програмного забезпечення та операційнихсистем;складність організації захисту міжмережевої взаємодії;помилки конфігурації систем і засобів захисту;неправильне чи помилкове адміністрування систем;несвоєчасне відстеження і виконання рекомендацій фахівців ззахисту та аналізу випадків вторгнення для ліквідації лазівок і помилок упрограмному забезпеченні;
    "економія" на засобах і системах забезпечення безпеки абоігнорування їх;умовчання про випадки порушення безпеки свого хоста чи мережі.

    Класифікація віддалених атак на розподілені обчислювальні системи

    Основна мета будь-якої класифікації полягає в тому, щоб запропонуватитакі класифікаційні ознаки, використовуючи які можна найбільш точноописати класифікуються явища чи об'єкти. У зв'язку з тим, що в жодномуз відомих авторам науковому дослідженні не проводилося відмінності міжлокальними і віддаленими інформаційними впливами на ПС, то застосуваннявже відомих узагальнених класифікацій для опису вилучених впливівне дозволяє найбільш точно розкрити їх сутність і описати механізми іумови їх здійснення. Це пов'язано з тим, що даний клас впливівхарактеризується суто специфічними ознаками для розподіленихобчислювальних систем. Тому для більш точного опису віддалених атак іпропонується наступна класифікація.

    Отже, віддалені атаки можна класифікувати за такими ознаками:

    1. За характером впливу

    пасивне (клас 1.1)активну (клас 1.2)

    Пасивним впливом на розподілену обчислювальну систему назвемовплив, який не має безпосереднього впливу на роботусистеми, але може порушувати її політику безпеки. Саме відсутністьбезпосереднього впливу на роботу розподіленої НД призводить до того, щопасивне віддалене вплив практично неможливо виявити. Прикладомпасивного типового віддаленого впливу у РВС служить прослуховуванняканалу зв'язку в мережі.

    Під активним впливом на розподілену нд будемо розумітивплив, що надає безпосередній вплив на роботу системи
    (зміна конфігурації РВС, порушення працездатності і т. д.) іпорушує прийняту в ній політику безпеки. Практично всі типивіддалених атак є активними діями. Це пов'язано з тим, що всамій природі руйнівного впливу міститься активний початок.
    Очевидною особливістю активного впливу в порівнянні з пасивнимє принципова можливість його виявлення (природно, з більшоюабо меншим ступенем складності), тому що в результаті його здійснення всистемі відбуваються певні зміни. На відміну від активного, припасивному впливі не залишається жодних слідів (від того, що атакуючийперегляне чуже повідомлення в системі, в той же момент нічого не зміниться).


    2. За цілі впливу

    порушення конфіденційності інформації або ресурсів системи (клас 2.1)порушення цілісності інформації (клас 2.2)порушення працездатності (доступності) системи (клас 2.3)
    Цей класифікаційна ознака є прямою проекцією трьох основнихтипів загроз - розкриття, цілісності та відмови в обслуговуванні.
    Основна мета практично будь-якої атаки - дістати несанкціонований доступдо інформації. Існують дві принципові можливості доступу доінформації: перехоплення та спотворення. Можливість перехоплення інформації означаєотримання до неї доступу, але неможливість її модифікації. Отже,перехоплення інформації веде до порушення її конфіденційності. У цьому випадкує несанкціонований доступ до інформації без можливості їїспотворення. Очевидно також, що порушення конфіденційності інформаціїє пасивним впливом. Можливість спотворення інформації означаєабо повний контроль над інформаційним потоком між об'єктами системи,яку можливість передачі повідомлень від імені іншого об'єкта. Такимчином, очевидно, що спотворення інформації веде до порушення їїцілісності. Дане інформаційне руйнівний вплив представляєсобою яскравий приклад активного впливу.

    Принципово іншою метою атаки є порушення працездатностісистеми. У цьому випадку не передбачається отримання атакуючимнесанкціонованого доступу до інформації. Його основна мета - домогтися,щоб операційна система на атакується об'єкті вийшла з ладу і для всіхінших об'єктів системи доступ до ресурсів атакованого об'єкта був бинеможливий.

    3. За умовою початку здійснення впливу

    Віддалене вплив, також як і будь-яке інше, може початиздійснюватися тільки за певних умов. У розподілених ндіснують три види умов початку здійснення віддаленої атаки:
    Атака на запит від атакується об'єкта (клас 3.1)

    У цьому випадку атакуючий очікує передачі від потенційної цілі атакизапиту певного типу, який і буде умовою початку здійсненнявпливу. Важливо відзначити, що даний тип віддалених атак найбільшхарактерний для розподілених нд
    Атака по настання очікуваної події на атакується об'єкті (клас 3.2)
    У цьому випадку атакуючий здійснює постійне спостереження за станомопераційної системи віддаленої цілі атаки і при виникненні певноїподії в цій системі починає вплив. Як і в попередньому випадку,ініціатором здійснення початку атаки виступає сам атакується об'єкт.
    Прикладом такої події може бути переривання сеансу роботи користувача зсервером в ОС Novell NetWare без видачі команди LOGOUT [9].
    Безумовна атака (клас 3.3)
    У цьому випадку початок здійснення атаки безумовно по відношенню до метиатаки, тобто атака здійснюється негайно і безвідносно достаном системи і атакується об'єкта. Отже, у цьому випадкуатакуючий є ініціатором початку здійснення атаки. Приклад атакиданого виду див. у пункті 4.4.

    4. За наявністю зворотного зв'язку з атакується об'єктом

    зі зворотним зв'язком (клас 4.1)без зворотного зв'язку (односпрямований атака) (клас 4.2)

    Віддалена атака, що здійснюється за наявності зворотного зв'язку з атакуєтьсяоб'єктом, характеризується тим, що на деякі запити, надіслані наатакується об'єкт, атакуючому потрібно одержати відповідь, а, отже,між атакуючим і метою атаки існує зворотний зв'язок, що дозволяєатакуючому адекватно реагувати на всі зміни, що відбуваються наатакується об'єкті. Подібні віддалені атаки найбільш характерні длярозподілених нд На відміну від атак зі зворотним зв'язком віддалених атак беззворотного зв'язку не потрібно реагувати на будь-які зміни,що відбуваються на атакується об'єкті. Атаки даного виду звичайно здійснюютьсяпередачею на атакується об'єкт одиночних запитів, відповіді на якіатакуючому не потрібні. Подібну УА можна називати односпрямованої віддаленоїатакою.

    5. За розташуванням суб'єкта атаки щодо атакується об'єкта

    внутрісегментное (клас 5.1)межсегментное (клас 5.2)

    Розглянемо ряд визначень:
    Суб'єкт атаки (або джерело атаки) - це атакуюча програма або оператор,які безпосередньо здійснюють вплив.
    Хост (host) - мережевий комп'ютер.
    Маршрутизатор (router) - пристрій, що забезпечує маршрутизацію пакетівобміну у глобальній мережі.
    Підмережа (subnetwork) (в термінології Internet) - сукупність хостів,що є частиною глобальної мережі, для яких маршрутизатором виділенийоднаковий номер підмережі. Підмереж - логічне об'єднання хостівмаршрутизатором. Хости усередині однієї підмережі можуть взаємодіяти міжсобою безпосередньо, минаючи маршрутизатор.
    Сегмент мережі - фізичне об'єднання хостів. Наприклад, сегмент мережіутворюють сукупність хостів, підключених до сервера за схемою "загальна шина".
    При такій схемі підключення кожен хост має можливість піддаватианалізу будь-який пакет у своєму сегменті.
    З точки зору віддаленої атаки надзвичайно важливо, як по відношенню один додругу розташовуються суб'єкт і об'єкт атаки, тобто в одному або в різнихсегментах вони знаходяться. У разі внутрісегментной атаки, як випливає зназви, суб'єкт і об'єкт атаки знаходяться в одному сегменті. Примежсегментной атаці суб'єкт і об'єкт атаки знаходяться в різних сегментах.
    Даний класифікаційний ознака дозволяє судити про так звану "ступенявіддаленості "атаки.
    Надалі буде показано, що на практиці межсегментную атакуздійснити значно важче, ніж внутрісегментную. Важливо відзначити, щомежсегментная віддалена атака представляє набагато більшу небезпеку, ніжвнутрісегментная. Це пов'язано з тим, що у разі межсегментной атакиоб'єкт її і безпосередньо атакуючий можуть перебувати на відстані багатьохтисяч кілометрів один від одного, що може істотно перешкодитизаходам з відбиття атаки.

    6. За рівнем еталонної моделі ISO/OSI, на якому здійснюєтьсявплив

    фізичний (клас 6.1)канальний (клас 6.2)мережевий (клас 6.3)транспортний (клас 6.4)сеансовий (клас 6.5)представницький (клас 6.6)прикладної (клас 6.7)

    Міжнародна організація по стандартизації (ISO) прийняла стандарт ISO
    7498, що описує взаємодію відкритих систем (OSI). Розподілені ндтакож є відкритими системами. Будь-який мережевий протокол обміну, як ібудь-яку мережеву програму, можна з тим або іншим ступенем точностіспроектувати на еталонну семирiвневу модель OSI. Така багаторівневапроекція дозволить описати в термінах моделі OSI функції, закладені вмережевий протокол або програму. Віддалена атака також є мережевийпрограмою. У зв'язку з цим представляється логічним розглядати віддаленіатаки на розподілені НД, проектуючи їх на еталонну модель ISO/OSI.

    Методи захисту від атак з мережі


    Як захиститися від хибного ARP-сервера?

    У тому випадку, якщо у мережевої ОС відсутня інформація про відповідність
    IP-і Ethernet-адрес хостів усередині одного сегмента IP-мережі, данийпротокол дозволяє посилати широкомовна ARP-запит на пошукнеобхідного Ethernet-адреси, на яку атакуючий може надіслати хибнийвідповідь, і, в подальшому, весь трафік на канальному рівні виявитьсяперехоплених атакуючим і пройде через хибний ARP-сервер. Очевидно, щодля ліквідації даної атаки необхідно усунути причину, по якійможливо її здійснення. Основна причина успіху цієї віддаленої атаки --відсутність необхідної інформації в ОС кожного хоста про відповідні IP -і Ethernet-адреси всіх інших хостів усередині даного сегмента мережі.
    Таким чином, самим простим рішенням буде створення мережевимадміністратором статичної ARP-таблиці у вигляді файлу (в ОС UNIX зазвичай
    / etc/ethers), куди необхідно внести відповідну інформацію про адреси.
    Даний файл встановлюється на кожен хост усередині сегменту, і,отже, у мережевої ОС відпадає необхідність у використаннівіддаленого ARP-пошуку. Правда, відзначимо, що ОС Windows '95 це не допомагає.


    Як захиститися від помилкового DNS-сервера?

    Здійснення віддаленої атаки, заснованої на потенційних вразливостіслужби DNS, може призвести до катастрофічних наслідків для величезногочисла користувачів Internet і стати причиною масового порушенняінформаційної безпеки даної глобальної мережі. У наступних двохпунктах пропонуються можливі адміністративні методи щодо запобіганняабо утруднення даної віддаленої атаки для адміністраторів і користувачівмережі і для адміністраторів DNS-серверів.

    Як адміністратора мережі захиститися від помилкового DNS-сервера?

    Якщо відповідати на це питання коротко, то ніяк. Ні адміністративно, ніпрограмно не можна захиститися від атаки на існуючу версію служби DNS.
    Оптимальним з точки зору безпеки рішенням буде взагалі відмовитися відвикористання служби DNS у вашому захищеному сегменті! Звичайно, зовсімвідмовитися від використання імен при зверненні до хостам для користувачівбуде дуже не зручно. Тому можна запропонувати наступне компроміснерішення: використовувати імена, але відмовитися від механізму віддаленого DNS -пошуку. Ви правильно здогадалися, що це повернення до схеми,використовувалася до появи служби DNS до виділених DNS-серверами. Тодіна кожній машині в мережі існував hosts файл, в якому перебувалаінформація про відповідні імена та IP-адреси всіх хостів у мережі.
    Очевидно, що на сьогоднішній день адміністратору можна внести в подібнийфайл інформацію про лише найбільш часто відвідуваних користувачами даногосегмента серверах мережі. Тому використання на практиці даного рішеннянадзвичайно складно і, мабуть, нереально (що, наприклад, робити збраузерами, які використовують URL з іменами?). Для утрудненняздійснення даної віддаленої атаки можна запропонувати адміністраторамвикористовувати для служби DNS замість протоколу UDP, що встановлюєтьсяза замовчуванням, протокол TCP (хоча з документації далеко не очевидно, якйого змінити). Це істотно ускладнить для атакуючого передачу на хостпомилкового DNS-відповіді без прийому DNS-запиту.
    Загальний невтішний висновок такий: у мережі Internet при використаннііснуючої версії служби DNS не існує прийнятного рішення для захистувід помилкового DNS-сервера (і не відмовишся, як у випадку з ARP, і використовуватинебезпечно)!

    Як адміністратору DNS-сервера захиститися від помилкового DNS-сервера?

    Якщо відповідати на це питання коротко, то, знову ж таки, ніяк.
    Єдиним способом утруднити здійснення

         
    		 
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

    		  
     
     
    		 
    		 
        Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status