Un atac de rețea de la distanță este un efect distructiv al informațiilor asupra unui sistem de calcul distribuit (CS), efectuat în mod programatic prin canale de comunicație.
Pentru a organiza comunicațiile într-un mediu de rețea eterogen , se utilizează un set de protocoale TCP/IP , asigurând compatibilitatea între computere de diferite tipuri. Acest set de protocoale a câștigat popularitate datorită interoperabilității și accesului la resursele internetului global și a devenit un standard pentru internetworking. Cu toate acestea, ubicuitatea stivei de protocoale TCP/IP și-a expus și punctele slabe. În special, din această cauză, sistemele distribuite sunt susceptibile la atacuri de la distanță, deoarece componentele lor folosesc de obicei canale deschise de transmisie a datelor , iar intrusul nu poate doar să asculte pasiv informațiile transmise, ci și să modifice traficul transmis .
Dificultatea de a detecta un atac de la distanță și relativa ușurință de a-l efectua (datorită funcționalității excesive a sistemelor moderne) aduce acest tip de acțiuni ilegale pe primul loc în ceea ce privește gradul de pericol și împiedică un răspuns în timp util la o implementare. amenințare, ca urmare a căreia atacatorul are șanse crescute de a reuși un atac.
Un impact pasiv asupra unui sistem de calcul distribuit (DCS) este un fel de impact care nu afectează direct funcționarea sistemului, dar, în același timp, este capabil să încalce politica de securitate a acestuia . Absența unei influențe directe asupra funcționării RCS duce tocmai la faptul că impactul pasiv la distanță (PUV) este greu de detectat. Un posibil exemplu de PUV tipic într-un WAN este ascultarea unui canal de comunicație într-o rețea.
Impactul activ asupra RCS este un impact care are un impact direct asupra funcționării sistemului în sine (întreruperea performanței, modificări în configurația RCS etc.), care încalcă politica de securitate adoptată în acesta. Influențele active sunt aproape toate tipurile de atacuri de la distanță. Acest lucru se datorează faptului că însăși natura impactului dăunător include un principiu activ. Diferența evidentă dintre influența activă și cea pasivă este posibilitatea fundamentală de detectare a acesteia, deoarece, ca urmare a implementării sale, apar unele modificări în sistem. Cu un impact pasiv, nu mai există absolut nicio urmă (din cauza faptului că atacatorul vede mesajul altcuiva în sistem, nimic nu se schimbă de fapt în același moment).
Această caracteristică, conform căreia se face clasificarea, este, de fapt, o proiecție directă a celor trei soiuri de bază de amenințări - refuzul serviciului , dezvăluirea și încălcările de integritate.
Scopul principal urmărit în aproape orice atac este obținerea accesului neautorizat la informații. Există două opțiuni fundamentale pentru obținerea informațiilor: distorsiunea și interceptarea. Opțiunea de interceptare a informațiilor înseamnă obținerea accesului la ea fără posibilitatea de a le schimba. Interceptarea informațiilor duce, așadar, la încălcarea confidențialității acestora . Ascultarea unui canal în rețea este un exemplu de interceptare a informațiilor. În acest caz, există acces nelegitim la informații fără opțiuni posibile pentru înlocuirea acesteia. Evident, încălcarea confidențialității informațiilor se referă la influențe pasive.
Posibilitatea de substituire a informațiilor ar trebui înțeleasă fie ca control complet asupra fluxului de informații între obiectele sistemului, fie ca posibilitatea de a transmite diverse mesaje în numele altcuiva. Prin urmare, este clar că înlocuirea informațiilor duce la o încălcare a integrității acesteia . O astfel de influență care distruge informațiile este un exemplu caracteristic de influență activă. Un exemplu de atac la distanță conceput pentru a încălca integritatea informațiilor poate servi ca un atac la distanță (UA) „Obiect RCS fals”.
Atacatorul trimite niște solicitări obiectului atacat, la care se așteaptă să primească un răspuns. În consecință, între atacator și atacat apare un feedback, permițând primului să răspundă în mod adecvat la tot felul de modificări ale obiectului atacat. Aceasta este esența unui atac de la distanță efectuat în prezența feedback-ului de la obiectul atacator. Astfel de atacuri sunt cele mai tipice pentru RVS.
Atacurile în buclă deschisă se caracterizează prin faptul că nu trebuie să răspundă la modificările obiectului atacat. Astfel de atacuri sunt de obicei efectuate prin trimiterea de cereri unice către obiectul atacat. Atacatorul nu are nevoie de răspunsuri la aceste solicitări. Un astfel de UA poate fi numit și un UA unidirecțional. Un exemplu de atacuri unidirecționale este „ atacul DoS ” tipic UA .
Influența de la distanță, precum și orice alta, poate începe să fie efectuată numai în anumite condiții. Există trei tipuri de astfel de atacuri condiționate în RCS:
Impactul atacatorului va începe cu condiția ca potențiala țintă a atacului să transmită o solicitare de un anumit tip. Un astfel de atac poate fi numit atac la cerere din partea obiectului atacat . Acest tip de UA este cel mai tipic pentru RVS. Un exemplu de astfel de interogări pe Internet sunt interogările DNS și ARP și în Novell NetWare - interogare SAP .
Atacul la apariția unui eveniment așteptat asupra obiectului atacat . Atacatorul monitorizează continuu starea sistemului de operare al țintei atacului de la distanță și începe impactul atunci când are loc un anumit eveniment în acest sistem. Obiectul atacat însuși este inițiatorul atacului. Un exemplu de astfel de eveniment ar fi terminarea sesiunii unui utilizator cu serverul fără a emite o comandă LOGOUT pe Novell NetWare.
Un atac necondiționat este efectuat imediat și indiferent de starea sistemului de operare și a obiectului atacat. Prin urmare, atacatorul este inițiatorul atacului în acest caz.
În cazul încălcării funcționării normale a sistemului, se urmăresc alte scopuri și nu se așteaptă ca atacatorul să obțină acces ilegal la date. Scopul său este de a dezactiva sistemul de operare pe obiectul atacat și imposibilitatea accesului pentru alte obiecte ale sistemului la resursele acestui obiect. Un exemplu de atac de acest tip este UA „ Atacul DoS ”.
Câteva definiții:
Sursa atacului (subiectul atacului) este un program (eventual un operator) care conduce atacul și are un impact direct.
Gazdă (gazdă) - un computer care face parte din rețea.
Un router este un dispozitiv care direcționează pachete într-o rețea.
Subrețea (subrețea) este un grup de gazde care fac parte din rețeaua globală , diferă prin faptul că routerul le-a alocat același număr de subrețea. De asemenea, puteți spune că o subrețea este o grupare logică de gazde printr-un router. Gazdele din aceeași subrețea pot comunica direct între ele fără a utiliza un router .
Un segment de rețea este o asociere de gazde la nivelul fizic.
Din punctul de vedere al unui atac de la distanță, poziția relativă a subiectului și a obiectului atacului, adică dacă se află în segmente diferite sau în aceleași segmente, este extrem de importantă. În timpul unui atac intra-segment, subiectul și obiectul atacului sunt situate în același segment. În cazul unui atac intersegment, subiectul și obiectul atacului sunt situate în diferite segmente de rețea. Această caracteristică de clasificare face posibilă aprecierea așa-numitului „grad de îndepărtare” a atacului.
Mai mult, se va demonstra că în practică un atac intra-segment este mult mai ușor de implementat decât unul inter-segment. De asemenea, remarcăm că un atac la distanță inter-segment este mult mai periculos decât unul intra-segment. Acest lucru se datorează faptului că, în cazul unui atac intersegment, obiectul său și cel care atacă direct se pot afla la o distanță de multe mii de kilometri unul de celălalt, ceea ce poate împiedica semnificativ măsurile de respingere a atacului.
Organizația Internațională pentru Standardizare ( ISO ) a adoptat standardul ISO 7498, care descrie interconectarea sistemelor deschise (OSI), căruia îi aparține și RCS. Fiecare protocol de schimb de rețea , precum și fiecare program de rețea, pot fi proiectate cumva pe modelul OSI cu 7 straturi de referință . O astfel de proiecție pe mai multe niveluri face posibilă descrierea în termeni ai modelului OSI a funcțiilor utilizate într-un protocol sau program de rețea. UA este un program de rețea și este logic să îl luăm din punct de vedere al proiecției pe modelul de referință ISO/OSI [2].
Când se transmite un pachet de date IP printr-o rețea, acest pachet poate fi împărțit în mai multe fragmente. Ulterior, la atingerea destinației, pachetul este restaurat din aceste fragmente. Un atacator poate iniția trimiterea unui număr mare de fragmente, ceea ce duce la o depășire a bufferelor de program pe partea de recepție și, în unele cazuri, la o prăbușire a sistemului.
Acest atac necesită ca atacatorul să acceseze canalele de internet rapide .
Programul ping trimite un pachet ICMP ECHO REQUEST cu ora și identificatorul acestuia. Nucleul mașinii receptoare răspunde la o astfel de solicitare cu un pachet ICMP ECHO REPLY. După ce l-a primit, ping oferă viteza pachetului.
În modul standard de operare, pachetele sunt trimise la anumite intervale, practic neîncarcând rețeaua . Dar, în modul „agresiv”, un flux de pachete de solicitare/răspuns ecou ICMP poate provoca congestie pe o linie mică, privându-l de capacitatea sa de a transmite informații utile .
Un pachet IP conține un câmp care specifică protocolul pachetului încapsulat ( TCP , UDP , ICMP ). Atacatorii pot folosi o valoare nestandard a acestui câmp pentru a transfera date care nu vor fi înregistrate de instrumentele standard de control al fluxului de informații.
Atacul ștrumf constă în trimiterea cererilor de difuzare ICMP către rețea în numele computerului victimă. Ca urmare, calculatoarele care au primit astfel de pachete de difuzare răspund computerului victimă, ceea ce duce la o scădere semnificativă a lățimii de bandă a canalului de comunicație și, în unele cazuri, la izolarea completă a rețelei atacate. Atacul ștrumfului este excepțional de eficient și de răspândit.
Contramăsuri: pentru a recunoaște acest atac, este necesar să se analizeze încărcarea canalului și să se determine motivele scăderii debitului.
Rezultatul acestui atac este introducerea unei corespondențe impuse între adresa IP și numele domeniului în memoria cache a serverului DNS. Ca urmare a implementării cu succes a unui astfel de atac, toți utilizatorii serverului DNS vor primi informații incorecte despre numele de domenii și adresele IP. Acest atac este caracterizat de un număr mare de pachete DNS cu același nume de domeniu. Acest lucru se datorează necesității de a selecta niște parametri de schimb DNS.
Contracare: pentru a detecta un astfel de atac, este necesar să analizați conținutul traficului DNS sau să utilizați DNSSEC .
Un număr mare de atacuri pe Internet sunt asociate cu înlocuirea adresei IP originale . Astfel de atacuri includ syslog spoofing, care constă în trimiterea unui mesaj către computerul victimă în numele altui computer din rețeaua internă. Deoarece protocolul syslog este folosit pentru a menține jurnalele de sistem, prin trimiterea de mesaje false către computerul victimei, puteți impune informații sau acoperi urmele de acces neautorizat.
Contramăsuri: Atacurile de falsificare a adresei IP pot fi detectate prin monitorizarea primirii pe una dintre interfețele unui pachet cu adresa sursă a aceleiași interfețe sau prin monitorizarea primirii pachetelor cu adrese IP ale rețelei interne pe o interfață externă.
Un atacator trimite pachete în rețea cu o adresă de retur falsă. Folosind acest atac, un atacator poate trece la conexiunile sale de computer stabilite între alte computere. În acest caz, drepturile de acces ale atacatorului devin egale cu drepturile utilizatorului a cărui conexiune la server a fost comutată la computerul atacatorului.
Este posibil doar în segmentul de rețea locală .
Aproape toate plăcile de rețea acceptă capacitatea de a intercepta pachetele transmise pe un canal LAN comun . În acest caz, stația de lucru poate primi pachete adresate altor computere din același segment de rețea. Astfel, întregul schimb de informații din segmentul de rețea devine disponibil atacatorului. Pentru a implementa cu succes acest atac, computerul atacatorului trebuie să fie situat pe același segment de rețea locală ca și computerul atacat .
Software-ul de rețea al routerului are acces la toate pachetele de rețea transmise prin acest router, ceea ce permite sniffing-ul de pachete. Pentru a implementa acest atac, un atacator trebuie să aibă acces privilegiat la cel puțin un router de rețea. Deoarece sunt de obicei o mulțime de pachete transmise prin router, interceptarea lor totală este aproape imposibilă. Cu toate acestea, pachetele individuale pot fi bine interceptate și stocate pentru analiza ulterioară de către un atacator. Cea mai eficientă interceptare a pachetelor FTP care conțin parole de utilizator, precum și e-mail .
Pe Internet, există un protocol special ICMP (Internet Control Message Protocol), una dintre funcțiile căruia este de a informa gazdele despre schimbarea routerului curent. Acest mesaj de control se numește redirecționare. Este posibil ca orice gazdă dintr-un segment de rețea să trimită un mesaj de redirecționare fals în numele routerului către gazda atacată. Ca urmare, tabelul de rutare curent al gazdei se modifică și, în viitor, tot traficul de rețea al acestei gazde va trece, de exemplu, prin gazda care a trimis mesajul de redirecționare fals. Astfel, este posibil să se impună în mod activ o rută falsă într-un segment de Internet.
Alături de datele obișnuite trimise printr-o conexiune TCP , standardul prevede și transferul de date urgente (Out Of Band). La nivelul formatelor de pachete TCP, acest lucru este exprimat într-un pointer urgent diferit de zero. Majoritatea computerelor cu Windows instalat au un protocol de rețea NetBIOS care utilizează trei porturi IP pentru nevoile sale : 137, 138, 139. Dacă vă conectați la o mașină Windows pe portul 139 și trimiteți câțiva octeți de date OutOfBand acolo, atunci implementarea NetBIOS va neștiind ce să facă cu aceste date, pur și simplu închide sau repornește mașina. Pentru Windows 95, acesta arată de obicei ca un ecran cu text albastru, raportând o eroare în driverul TCP/IP și incapacitatea de a lucra cu rețeaua până când sistemul de operare este repornit. NT 4.0 fără pachete de service repornește, NT 4.0 cu ServicePack 2 se blochează pe un ecran albastru. Judecând după informațiile din rețea, atât Windows NT 3.51, cât și Windows 3.11 pentru grupuri de lucru sunt susceptibile la un astfel de atac.
Trimiterea datelor către portul 139 fie repornește NT 4.0, fie provoacă un ecran albastru de moarte cu Service Pack 2 instalat. Trimiterea datelor către portul 135 și către alte porturi provoacă o încărcare semnificativă a procesului RPCSS.EXE. Pe Windows NT WorkStation, acest lucru duce la o încetinire semnificativă, Windows NT Server este practic înghețat.
Implementarea cu succes a atacurilor de la distanță de acest tip va permite unui atacator să conducă o sesiune cu serverul în numele unei gazde de încredere. (O gazdă de încredere este o stație care s-a conectat legal la server). Implementarea acestui tip de atac constă de obicei în trimiterea de pachete de schimb de la stația atacatorului în numele unei stații de încredere aflate sub controlul acestuia.
Rețelele și tehnologiile informaționale se schimbă atât de rapid încât mecanismele de securitate statică, care includ sisteme de control al accesului, ME, sisteme de autentificare, în multe cazuri nu pot oferi o protecție eficientă. Prin urmare, sunt necesare metode dinamice pentru a detecta și a preveni rapid breșele de securitate. O tehnologie care poate detecta încălcările care nu pot fi identificate folosind modelele tradiționale de control al accesului este tehnologia de detectare a intruziunilor.
În esență, procesul de detectare a intruziunilor este procesul de evaluare a activităților suspecte care au loc într-o rețea corporativă. Cu alte cuvinte, detectarea intruziunilor este procesul de identificare și de răspuns la activități suspecte îndreptate către resursele de calcul sau de rețea.
Eficacitatea unui sistem de detectare a intruziunilor depinde în mare măsură de metodele utilizate pentru analizarea informațiilor primite. Primele sisteme de detectare a intruziunilor dezvoltate la începutul anilor 1980 au folosit metode statistice de detectare a intruziunilor. În prezent, la analiza statistică au fost adăugate o serie de noi metode, începând cu sistemele expert și logica fuzzy și terminând cu utilizarea rețelelor neuronale.
Principalele avantaje ale abordării statistice sunt utilizarea aparatului deja dezvoltat și dovedit de statistică matematică și adaptarea la comportamentul subiectului.
În primul rând, profilurile sunt determinate pentru toți subiecții sistemului analizat. Orice abatere a profilului utilizat de la referință este considerată activitate neautorizată. Metodele statistice sunt universale, deoarece analiza nu necesită cunoștințe despre posibilele atacuri și vulnerabilitățile pe care le exploatează. Cu toate acestea, apar probleme la utilizarea acestor metode:
De asemenea, trebuie luat în considerare faptul că metodele statistice nu sunt aplicabile în cazurile în care nu există un model de comportament tipic pentru utilizator sau când acțiunile neautorizate sunt tipice pentru utilizator.
Sistemele experte constau dintr-un set de reguli care captează cunoștințele unui expert uman. Utilizarea sistemelor expert este o metodă comună de detectare a atacurilor, în care informațiile despre atacuri sunt formulate sub formă de reguli. Aceste reguli pot fi scrise, de exemplu, ca o secvență de acțiuni sau ca semnătură. Atunci când oricare dintre aceste reguli este îndeplinită, se ia o decizie privind prezența unei activități neautorizate. Un avantaj important al acestei abordări este absența aproape completă a alarmelor false.
Baza de date a sistemului expert ar trebui să conțină scenarii pentru majoritatea atacurilor cunoscute în prezent. Pentru a rămâne la zi în permanență, sistemele expert necesită o actualizare constantă a bazei de date. În timp ce sistemele expert oferă o bună oportunitate de a revizui datele din jurnalele, actualizările necesare pot fi fie ignorate, fie efectuate manual de administrator. Cel puțin, acest lucru duce la un sistem expert cu capacități reduse. În cel mai rău caz, lipsa întreținerii corespunzătoare reduce securitatea întregii rețele, inducând în eroare utilizatorii săi cu privire la nivelul real de securitate.
Principalul dezavantaj este incapacitatea de a respinge atacurile necunoscute. În același timp, chiar și o mică modificare a unui atac deja cunoscut poate deveni un obstacol serios în calea funcționării unui sistem de detectare a intruziunilor.
Majoritatea metodelor moderne de detectare a intruziunilor folosesc o anumită formă de analiză bazată pe reguli a spațiului controlat sau o abordare statistică. Spațiul controlat poate fi jurnalele sau traficul de rețea. Analiza se bazează pe un set de reguli predefinite care sunt create de administrator sau de sistemul de detectare a intruziunilor însuși.
Orice împărțire a unui atac în timp sau între mai mulți atacatori este dificil de detectat de sistemele experte. Datorită varietatii mari de atacuri și hackeri, chiar și actualizările constante speciale ale bazei de date a regulilor sistemului expert nu vor garanta niciodată identificarea exactă a întregii game de atacuri.
Utilizarea rețelelor neuronale este una dintre modalitățile de a depăși aceste probleme ale sistemelor expert. Spre deosebire de sistemele expert, care pot oferi utilizatorului un răspuns cert cu privire la conformitatea caracteristicilor luate în considerare cu regulile stabilite în baza de date, o rețea neuronală analizează informațiile și oferă posibilitatea de a evalua dacă datele sunt în concordanță cu caracteristicile pe care le a învățat să recunoască. În timp ce gradul de potrivire a reprezentării rețelei neuronale poate ajunge la 100%, fiabilitatea alegerii depinde în întregime de calitatea sistemului în analiza exemplelor sarcinii.
În primul rând, rețeaua neuronală este antrenată să identifice corect pe un eșantion preselectat de exemple de domenii. Se analizează reacția rețelei neuronale și se reglează sistemul în așa fel încât să se obțină rezultate satisfăcătoare. Pe lângă perioada de pregătire inițială, rețeaua neuronală câștigă experiență în timp pe măsură ce analizează datele legate de domeniu.
Un avantaj important al rețelelor neuronale în detectarea abuzului este capacitatea lor de a „învăța” caracteristicile atacurilor deliberate și de a identifica elemente care nu sunt similare cu cele văzute în rețea anterior.
Fiecare dintre metodele descrise are o serie de avantaje și dezavantaje, așa că acum este practic dificil să găsești un sistem care să implementeze doar una dintre metodele descrise. De obicei, aceste metode sunt utilizate în combinație.