- •Н.М. Радько, и.О. Скобелев
- •Учебное пособие Воронеж 2008
- •Воронеж 2008
- •1 Иткс как объект атак удаленного и непосредственного доступа к ее элементам
- •1.1 Основные механизмы взаимодействия элементов иткс
- •1.2 Понятие угрозы информационной безопасности иткс
- •1.3 Уязвимости иткс в отношении угроз иб
- •1.3.1 Уязвимости иткс в отношении угроз непосредственного доступа
- •1.3.2 Уязвимости иткс в отношении удаленных угроз удаленного доступа
- •1.4 Классификация и описание процессов реализации угроз непосредственного и удаленного доступа к элементам иткс
- •1.4.1 Классификация
- •1.4.1.1 Классификация угроз непосредственного доступа в операционную среду компьютера
- •1.4.1.2 Классификация угроз удаленного доступа к элементам иткс
- •1.4.2 Описание процессов реализации угроз
- •1.4.2.1 Описание процессов реализации непосредственного доступа в ос компьютера
- •1.4.2.2 Описание процессов реализации удаленных атак
- •1.5 Меры и средства защиты элементов иткс от непосредственного и удаленного доступа к ним
- •1.5.1 Меры и средства защиты от непосредственного доступа в операционную среду компьютера
- •1.5.2 Меры противодействия удаленным атакам
- •1.6 Постановка задач исследования
- •2 Аналитическое моделирование процессов реализации атак, связанных с непосредственным и удаленным доступом к элементам иткс, при помощи аппарата теории сетей петри-маркова
- •2.1 Моделирование процессов реализации сетевого анализа
- •2.1.1 Сниффинг пакетов в сети без коммутаторов
- •2.1.2 Сканирование сети
- •2.2 Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)
- •2.3 Моделирование процессов реализации внедрения в сеть ложного объекта
- •2.3.1 Внедрение в сеть ложного объекта на основе недостатков алгоритмов удаленного поиска (arp-спуфинг)
- •2.3.2 Внедрение в сеть ложного объекта путем навязывания ложного маршрута
- •2.4 Моделирование процессов реализации подмены доверенного объекта сети
- •2.4.1 Подмена доверенного объекта сети (ip-spoofing)
- •2.4.2 Подмена доверенного объекта сети. Перехват tcp-сессии (ip-hijacking)
- •2.5 Моделирование процессов реализации угроз непосредственного доступа в операционную среду компьютера
- •2.5.1 Моделирование процесса реализации непосредственного доступа в операционную среду компьютера при помощи подбора паролей
- •2.5.2 Моделирование реализации непосредственного доступа в операционную среду компьютера при помощи сброса паролей
- •Выводы по второй главе
- •3 Расчет эффективности применения мер и средств противодействия угрозам определенного типа
- •3.1 Понятие эффективности защиты информации
- •3.2 Алгоритм оценки эффективности мер и средств защиты
- •3.2.1 Определение коэффициента опасности
- •3.2.2 Определение вероятности успешной реализации атаки
- •3.2.3 Определение вероятности реализации деструктивного действия
- •3.2.4 Определение вероятности успешной реализации атак при условии применения мер и средств защиты информации
- •3.2.5 Определение показателя защищенности
- •3.3 Расчёт эффективности мер и средств защиты информации по данному алгоритму
- •3.3.1 Эффективность применения парольной защиты на вход в настройки bios
- •3.3.2 Эффективность применения парольной защиты на вход в настройки bios, при атаке путем сброса паролей
- •3.3.3 Эффективность применения пароля, состоящего из 6 символов, алфавит состоит из цифр, спецсимволов и английского алфавита (a-z) при условии, что его длина неизвестна злоумышленнику
- •3.3.4 Эффективность применения средств биометрической идентификации при входе в операционную среду
- •3.3.5 Эффективность постановки на компьютер ос Windows Server 2003 для защиты от атаки «syn-flood»
- •3.3.6 Эффективность мер и средств защиты от атаки «отказ в обслуживании» при реализации подмены доверенного объекта
- •3.3.7 Эффективность криптографических средств защиты информации
- •3.4 Расчет величины риска при применении мер и средств защиты
- •4 Методика анализа рисков при реализации комплекса угроз непосредственного и удаленного доступа к элементам иткс и ее применение при управлении рисками
- •4.1 Выбор параметров для осуществления количественного анализа рисков иткс
- •4.1.1 Определение видов ущерба иткс при реализации угроз непосредственного и удаленного доступа к ее элементам
- •4.1.2 Определение взаимосвязей между атаками и их отношения к видам наносимого ущерба
- •4.2 Определение вероятностей реализации атак
- •4.2.1 Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак
- •4.2.2 Расчет интенсивности возникновения атак
- •4.2.3 Расчет вероятности реализации атак
- •4.3 Расчет рисков реализации угроз непосредственного и удаленного доступа к элементам иткс
- •4.4 Применение методики анализа рисков при управлении рисками иткс
- •4.4.1 Задача управления рисками систем
- •4.4.2 Введение функции защищенности системы
- •4.4.3 Расчет рисков иткс при использовании мер противодействия угрозам непосредственного и удаленного доступа
- •Выводы по четвертой главе
- •394026 Воронеж, Московский просп., 14
2.4.2 Подмена доверенного объекта сети. Перехват tcp-сессии (ip-hijacking)
Для проведения данной атаки хакер должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов. При передаче данных постоянно используются два 32-битных поля-счетчика (оба поля находятся в IP-заголовке). Исходя из их значения, сервер и клиент проверяют корректность передачи пакетов. Существует возможность ввести соединение в десинхронизированное состояние, когда присылаемые сервером значения счетчиков не будут совпадать с ожидаемым значением клиента, и наоборот [6, 29, 48]. В данном случае злоумышленник, прослушивая линию, может взять на себя функции посредника, генерируя корректные пакеты отдельно для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя.Этапы реализации данной атаки и типы пересылаемых пакетов приведены на рисунке 2.17.
Рисунок 2.17 — Этапы реализации подмены доверенного объекта (IP-hijacking)
Смоделируем данную атаку с помощью сети Петри-Маркова. Обозначения элементов этой сети приведены ниже, si — позиции, tj — переходы.
s1 — A и B готовы, s2 — С готов к перехвату трафика,
t1 — обмен A и B пакетами для установления соединения, перехват S-SYN и C-ACK,
s3 — пакет S-SYN, C-ACK перехвачен,
t2 — отправка RST от имени B,
s4 — соединение A-B закрыто для A,
t4 — отправка C-SYN2 от имени B,
s5 — C-SYN2 обработан A,
t3 — отправка A S-SYN2 для B, перехват S-SYN2,
s6 — S-SYN2 перехвачен, возникновение ACK-бури между A и B
t5 — отправка S-ACK2 от имени B,
s7 — S-ACK2 прият, соединение с правами B установлено,
t6 — обмен модифицированными данными с B по ACK, с A по ACK-2,
s 8 — результат.
Вид данной сети представлен на рисунке. 2.18.
Рисунок 2.18 — Вид сети Петри-Маркова для атаки «подмена доверенного объекта сети. Перехват TCP-сессии»
В этой сети позиции не имеют инцидентных дуг, поэтому вероятности перемещения из них в переходы равны единице.
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
|
|
t1 |
t2 |
t3 |
t4 |
t5 |
t6 |
s1 |
1 |
0 |
0 |
0 |
0 |
0 |
|
s2 |
1 |
0 |
0 |
0 |
0 |
0 |
|
s3 |
s1t1∩s2t1 |
1 |
0 |
0 |
0 |
0 |
|
s4 |
0 |
1 |
1 |
0 |
0 |
0 |
|
s5 |
0 |
0 |
1 |
1 |
0 |
0 |
|
s6 |
0 |
0 |
0 |
1 |
1 |
0 |
|
s7 |
0 |
0 |
0 |
0 |
1 |
1 |
|
s8 |
0 |
0 |
0 |
0 |
0 |
1 |
Для данной сети Петри-Маркова имеет место следующая система интегро-дифференциальных уравнений [60, 62]:
(2.22)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
где λij=1/τij, где τij (i = 1..6, j = 1..4) — средние времена вышеперечисленных действий соответственно.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
,
,
, (2.23)
.
Средние времена пересылки и обработки пакетов SYN и ACK τ32 = τ43 = τ54 = τ65 = 0,1 c, τ11 = 0,2 с.
Среднее время запуска и настройки злоумышленником программы для реализации атаки τ21 = 13,5 с.
Таким образом, среднее время перехода по всей сети τ = 14,5 с, и зависимость вероятности реализации атаки от времени приобретает вид, представленный на рисунке 2.19.
. (2.24)
Рисунок 2.19 — Зависимость вероятности реализации атаки «угон TCP-сессии» от времени
Рассмотрим вероятностные характеристики реализации данной атаки с учетом применения мер противодействия.
1) Выявление ACK-бурь
С помощью специальных средств контроля за сетью возможно выявлять возникающие ACK-бури — бесконечный обмен ACK-пакетами атакуемого хоста и сервера при десинхронизации соединения, который, однако, в силу особенностей сетевых технологий длится обычно не более секунды из-за потери пакетов [33]. Таким образом, если система контроля зафиксирует ACK-бурю до ее затухания, используемая злоумышленником TCP-сессия будет прервана до того как злоумышленнику удастся начать обмен модифицированными данными. π76 → 0,
2) Криптозащита (шифрование пакетов)
В случае шифрования трафика злоумышленнику не удастся за приемлемое время проанализировать содержимое перехваченных пакетов или надлежащим образом модифицировать их. Для данной сети шифрование пакетов влечет стремление среднего времени перехода d76 τ76, а следовательно, и времени прохождения по всей сети к бесконечности.