Модель загроз у розподілених мережах
Розглянуто питання захисту інформаційних ресурсів розподіленої обчислювальної мережі; наведено характеристику та механізми реалізації загроз у розподілених мережах; запропоновано модель загроз. Рассмотрены вопросы защиты информационных ресурсов распределенной вычислительной сети, приведены характери...
Збережено в:
| Опубліковано в: : | Реєстрація, зберігання і обробка даних |
|---|---|
| Дата: | 2008 |
| Автори: | , |
| Формат: | Стаття |
| Мова: | Українська |
| Опубліковано: |
Інститут проблем реєстрації інформації НАН України
2008
|
| Теми: | |
| Онлайн доступ: | https://nasplib.isofts.kiev.ua/handle/123456789/7538 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Цитувати: | Модель загроз у розподілених мережах / О.Я. Матов, В.С. Василенко // Реєстрація, зберігання і оброб. даних. — 2008. — Т. 10, № 1. — С. 91-102. — Бібліогр.: 11 назв. — укp. |
Репозитарії
Digital Library of Periodicals of National Academy of Sciences of Ukraine| _version_ | 1860245168400105472 |
|---|---|
| author | Матов, О.Я. Василенко, В.С. |
| author_facet | Матов, О.Я. Василенко, В.С. |
| citation_txt | Модель загроз у розподілених мережах / О.Я. Матов, В.С. Василенко // Реєстрація, зберігання і оброб. даних. — 2008. — Т. 10, № 1. — С. 91-102. — Бібліогр.: 11 назв. — укp. |
| collection | DSpace DC |
| container_title | Реєстрація, зберігання і обробка даних |
| description | Розглянуто питання захисту інформаційних ресурсів розподіленої обчислювальної мережі; наведено характеристику та механізми реалізації загроз у розподілених мережах; запропоновано модель загроз.
Рассмотрены вопросы защиты информационных ресурсов распределенной вычислительной сети, приведены характеристика и механизмы реализации угроз в распределенных сетях, предложена модель угроз
The questions of information resources security of a distributed computer network are considered, characteristics and mechanisms of realization of threats in distributed networks are given, and a model of threats is offered.
|
| first_indexed | 2025-12-07T18:35:47Z |
| format | Article |
| fulltext |
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2008, Т. 10, № 1 91
УДК 004.056.2
О. Я. Матов1, В. С. Василенко2
1Інститут проблем реєстрації інформації НАН України
вул. М. Шпака, 2, 03113 Київ, Україна
2Національний авіаційний університет
вул. Космонавта Комарова, 1, 03058 Київ, Україна
Модель загроз у розподілених мережах
Розглянуто питання захисту інформаційних ресурсів розподіленої об-
числювальної мережі, наведено характеристику та механізми реалі-
зації загроз у розподілених мережах, запропоновано модель загроз.
Ключові слова: загроза, порушник, ресурси, модель загроз.
Вступ
Побудова системи захисту інформаційних об’єктів розподіленої обчислюва-
льної мережі (РОМ) передбачає детальний аналіз множини можливих загроз, ви-
значення їхніх характеристик, механізмів і наслідків впливу. Узагальнену інфор-
мацію щодо цієї множини будемо називати моделлю загроз. Для побудови такої
моделі розподілену обчислювальну мережу будемо розглядати як таку, яка скла-
дається з територіально рознесених програмно-технічних комплексів — вузлів
РОМ, що входять до складу структурних підрозділів відомства (корпорації) і за-
безпечують функціонування РОМ. Будемо вважати, що структурно РОМ є ієрар-
хічною автоматизованою системою, в якій визначаються певні рівні ієрархії. У
свою чергу, вузли різних рівнів РОМ взаємодіють між собою за визначеними пра-
вилами (протоколами) та технологією [1].
Особливістю такої системи є те, що її компоненти розподілені в просторі й
зв’язок між ними фізично здійснюється за допомогою мережних з’єднань і про-
грамно — за допомогою механізму повідомлень. При цьому всі повідомлення й
дані, що пересилаються між об’єктами розподіленої обчислювальної системи, пе-
редаються мережними комунікаціями у вигляді пакетів обміну. Ця особливість і є
основною для розглянутих у статті атак (перш за все — віддалених атак) на ін-
фраструктуру та протоколи розподілених обчислювальних мереж.
Будемо вважати (у більшості практичних випадків це є правилом), що в РОМ,
як і в других типах комп’ютерних систем, для убезпечення від загроз інформацій-
ним об’єктам, мережі чи її елементам застосовується певна множина програмно-
технічних засобів захисту, наявність, можливості та характеристики яких можуть
бути невідомими потенційним навмисним чи випадковим порушникам.
© О. Я. Матов, В. С. Василенко
О. Я. Матов, В. С. Василенко
92
Аналіз і моделювання загроз у РОМ, включаючи їхню взаємодію із засобами
захисту, надає змогу визначити як їхній склад і структуру, так і можливі значення
величин залишкового ризику системи захисту в цілому чи по окремих функціона-
льних властивостях захищеності інформаційних об’єктів та їхніх потоків.
Типові віддалені загрози в розподілених мережах.
Розвідка, аналіз трафіка
РОМ є принадливою [1] для багатьох загроз як ненавмисних, так і зловмис-
них (у першу чергу, несанкціонованих) дій, і в певних випадках ці загрози можуть
бути реалізованими успішно. Це пов’язано як із можливою високою професійніс-
тю порушників, так і з вразливістю всіх комп’ютеризованих систем. Дослідження
й аналіз інформаційної безпеки різних розподілених обчислювальних систем [2–
11] підтверджують той факт, що, незалежно від використовуваних мережних про-
токолів, топології, інфраструктури розподілених обчислювальних систем, механі-
зми реалізації загроз у РОМ є інваріантними стосовно особливостей конкретної
системи. Це пояснюється тим, що розподілені обчислювальні системи проекту-
ються на основі однакових принципів, отже мають практично однакові проблеми
безпеки. Тому виявляється, що причини успіху атак на різні РОМ однакові. Таким
чином, з’являється можливість увести поняття типової віддаленої загрози.
Типова віддалена загроза (ВЗ) — це віддалений інформаційний вплив, що
програмно здійснюється каналами телекомунікаційної мережі з метою порушення
тієї чи іншої функціональної властивості захищеності (конфіденційності, доступ-
ності, цілісності) інформаційних об’єктів, їхніх потоків чи елементів мережі та є
характерним для будь-якої розподіленої обчислювальної системи.
Цілком зрозумілим є твердження про те, що, з метою успішності атаки біль-
шість порушників здійснить хоча би поверхневий моніторинг структури мережі,
побудови її мапи, визначення точок вразливостей мережі та мережного трафіка.
Такий моніторинг часто відносять до окремого виду загроз, який називають роз-
відкою.
Найпоширенішим видом розвідки є аналіз мережного трафіка. Аналіз ме-
режного трафіка дозволяє, по-перше, вивчити логіку роботи розподіленої обчис-
лювальної системи, тобто одержати взаємно однозначну відповідність подій, що
відбуваються в системі, і команд, що пересилаються один одному її об’єктами, у
момент появи цих подій. Це досягається шляхом перехоплення й аналізу пакетів
обміну на канальному рівні. Знання логіки роботи розподіленої обчислювальної
системи дозволяє на практиці моделювати й здійснювати типові віддалені атаки.
По-друге, аналіз мережного трафіка дозволяє перехопити потік даних, якими об-
мінюються об’єкти розподіленої обчислювальної системи. Таким чином, віддале-
на атака даного типу полягає в одержанні на віддаленому об’єкті несанкціонова-
ного доступу до інформації, якою обмінюються два мережних абоненти. Відзна-
чимо, що при цьому відсутня можливість модифікації трафіка, й сам аналіз мож-
ливий тільки всередині одного сегмента мережі. Прикладом перехопленої за до-
помогою даної типової віддаленої атаки інформації можуть служити ім’я та паро-
ль користувача, що пересилаються в незашифрованому вигляді мережею.
Інформація, що отримується за результатами розвідки, може використовува-
тися для реалізації загроз (здійснення атак) того чи іншого типу.
Модель загороз у розподілених мережах
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2008, Т. 10, № 1 93
Загрози інформаційним об’єктам у розподілених мережах
Як відомо [1], уся множина загроз, що реалізуються навмисними чи випадко-
вими порушниками в будь-якій системі, у тому числі й у РОМ, може буди розгля-
нута як сукупність атак на основні функціональні властивості захищеності інфор-
маційних об’єктів та їхніх потоків — конфіденційність, цілісність, доступність
інформаційних об’єктів, системи чи її елементів.
У [2–11] та інших джерелах досить детально розглянуто сукупність можли-
вих загроз щодо ресурсів локальних обчислювальних мереж. Зокрема, показано,
що шляхами реалізації таких загроз щодо конфіденційності інформаційних ресур-
сів є:
1) несанкціонований доступ до інформаційних ресурсів із подоланням засобів
захисту в локальній мережі чи в елементах розподіленої мережі;
2) використання витоків інформації технічними каналами в локальній мережі
чи в елементах розподіленої мережі;
3) подолання неавторизованим користувачем криптографічної захищеності
інформаційних об’єктів (у разі її наявності) у локальній мережі чи в елементах
розподіленої мережі;
4) використання спеціальних типів вірусних атак, спроможних збирати та пе-
редавати конфіденційну інформацію про користувача та інформаційні об’єкти да-
ного хосту, згодом посилаючи її своїм «господарям» без відома власника хосту
(так звані програми-шпигуни — spyware), або ж таких, що переводять захищений
інформаційний ресурс із розряду конфіденційного до розряду відкритого.
У свою чергу, загрозами порушення цілісності інформаційних об’єктів, тобто
несанкціонованої модифікації інформації тим чи іншим чином, є:
1) несанкціонований доступ до інформаційних ресурсів із подоланням засобів
захисту в локальній мережі чи в елементах розподіленої мережі;
2) використання спеціальних впливів на інформацію технічними каналами в
локальній мережі чи в елементах розподіленої мережі;
3) використання спеціальних типів вірусних атак, спроможних здійснити те
чи інше порушення цілісності (модифікацію чи підміну) інформаційного об’єкта.
І, нарешті, загрозами порушення доступності інформаційних об’єктів, тобто
несанкціонованої організації блокування сервісу чи доступу тим або іншим чином
(штучна відмова в доступі, в обслуговуванні), з урахуванням визначення цієї фун-
кціональної властивості в існуючих нормативних документах, є:
1) порушення цілісності інформаційного об’єкта за вже вищевизначених
умов;
2) штучно створена відмова в обслуговуванні шляхом утримування потрібно-
го користувачеві об’єкта чи сервісу в процесі використання з порушенням правил,
які встановлені політикою безпеки щодо часу очікування авторизованим користу-
вачем доступу до інформації (користувач очікує довше заданого (малого) проміж-
ку часу, або інформація не знаходиться користувачем у той час, коли вона йому
необхідна);
3) блокування зловмисником доступу до інформаційних об’єктів чи сервісів
шляхом перевантаження системи управління доступом запитами з використанням
атак типу «спрямований шторм» (Syn Flood), анонімної електронної пошти (spam)
чи вірусних атак спеціального типу.
О. Я. Матов, В. С. Василенко
94
Аналіз цієї множини дозволяє визначити в їхньому складі основну загрозу —
загрозу несанкціонованого доступу, яка є умовою порушення всіх функціональ-
них властивостей захищеності інформаційних об’єктів та їхніх потоків, а також
підмножини вірусних атак, які є специфічними кожній із функціональних власти-
востей захищеності (використання спеціальних типів вірусних атак). Що ж стосу-
ється атак, пов’язаних із використанням витоків та спеціальних впливів на інфор-
мацію технічними каналами, то їхнє використання в РОМ є малоймовірним, і то-
му вони надалі не розглядаються.
Несанкціонований доступ у розподілених мережах.
Механізми його реалізації
Несанкціонований доступ представляє собою спробу порушника отримати
доступ до мережних ресурсів без відповідного дозволу. Несанкціонований доступ
дозволяє: неавторизовану маніпуляцію даними (читання, модифікацію, копіюван-
ня або переміщення файлів, підробку мережних адрес, переключення з’єднань,
зміну маршрутів); доступ до системи (реєстрація зі «стороннім» обліковим запи-
сом — імітація, маскування, встановлення та розсилка зловмисного програмного
забезпечення для здійснення подальших атак, несанкціоноване встановлення й
використання мережних з’єднань, несанкціоноване використання комунікаційних
протоколів, використання комунікаційних з’єднань для атак, використання хиб-
них налагоджень, використання внутрішніх помилок, відторгнення комунікацій-
них відношень); підвищення прав доступу (отримання інформації або виконання
процедур, що не є доступними при встановленому для користувача рівні доступу).
У розподілених мережах несанкціонований доступ може реалізовуватися та-
кими специфічними прийомами як подолання:
— систем адміністрування доступом до захищеного інформаційного об’єкта,
заснованих на атрибутах користувача (ідентифікатори, паролі, біометричні дані
тощо). У межах даної статті цей тип НСД не розглядається;
— систем адміністрування доступом до робочих станцій, локальних мереж і
т.п., заснованих на атрибутах робочих станцій чи засобів управління доступом і
маршрутизації відповідних мереж (файрволів, проксі-серверів, маршрутизаторів
тощо).
Останній тип НСД використовує недостатню стійкість відповідних меха-
нізмів ідентифікації та автентифікації й може мати характер імітації, маску-
вання довіреного об’єкта або суб’єкта шляхом:
— підміни довіреного об’єкта або суб’єкта розподіленої обчислювальної сис-
теми;
— впровадження в розподілену обчислювальну систему хибного об’єкта, зо-
крема, шляхом нав’язування хибного маршруту (зміна маршрутизації) чи з вико-
ристанням недоліків алгоритмів віддаленого пошуку (атаки типу «людина всере-
дині»).
Імітація має на увазі фальсифікацію (порушення цілісності) ІР-адреси, по-
вторне відтворення повідомлень (порушення доступності) з метою захоплення
сеансу зв’язку, зміну параметрів маршрутизації й змісту інформації, що переда-
ється. Згадана вище недостатня ідентифікація й автентифікація віддалених один
від одного об’єктів полягає, перш за все, у труднощах здійснення однозначної
Модель загороз у розподілених мережах
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2008, Т. 10, № 1 95
ідентифікації повідомлень, переданих між суб’єктами й об’єктами взаємодії. Зви-
чайно, у розподілених обчислювальних системах ця проблема вирішується в та-
кий спосіб: у процесі створення віртуального каналу об’єкти РОМ обмінюються
певною інформацією, що унікально ідентифікує даний канал. Такий обмін, зви-
чайно, називається «рукостисканням» (handshake). Для надійної ідентифікації й
автентифікації повідомлень, у принципі, можна використати, по-перше, геш-
функції, які обчислюються за допомогою, наприклад, відкритого ключа, динаміч-
но виробленого при встановленні каналу, й, по-друге, випадкові багатобітні лічи-
льники пакетів і мережні адреси станцій. Однак на практиці, наприклад, у прото-
колі TCP для ідентифікації використаються лише два 32-бітних лічильники.
Відзначимо, що не завжди для зв’язку двох віддалених об’єктів у РОМ ство-
рюється віртуальний канал. Практика показує, що найчастіше, особливо для слу-
жбових повідомлень (наприклад, від маршрутизаторів) використовується переда-
ча одиночних повідомлень без підтвердження.
Окрім того відомо, що для адресації повідомлень у розподілених обчислюва-
льних системах використовуються мережні адреси, що є унікальними для кожно-
го об’єкта системи (на канальному рівні моделі OSI — це апаратурна адреса ме-
режного адаптера, на мережному рівні — адреса визначається залежно від вико-
ристовуваного протоколу мережного рівня (наприклад, IP-адреса). Мережна адре-
са також може використовуватися для ідентифікації об’єктів розподіленої обчис-
лювальної системи. Однак мережна адреса не є прихованою інформацією й до-
сить просто підробляється. Звідси випливає, що одним із механізмів несанкціо-
нованого доступу є підробка (для об’єктів взаємодії — порушення цілісності)
мережних адрес тих об’єктів, що атакують. Тому використовувати мережні адре-
си, як єдиний засіб ідентифікації об’єктів, неприпустимо.
У цьому випадку є можливою також типова віддалена атака, яка полягає в
передачі мережею повідомлень від імені довільного об’єкта або суб’єкта РОМ
(маскування).
Реалізація механізму віддалених атак щодо несанкціонованого доступу з під-
робкою (порушенням цілісності) мережних адрес звичайно складається з:
1) передачі пакетів обміну з атакуючого об’єкта на мету атаки від імені дові-
реного суб’єкта взаємодії (при цьому передані повідомлення будуть сприйняті си-
стемою як коректні);
2) передачі службових повідомлень від імені мережних керуючих пристроїв,
наприклад, від імені маршрутизаторів.
Наступним механізмом несанкціонованого доступу є зміна параметрів ма-
ршрутизації. Це пов’язано з тією особливістю РОМ, що сучасні глобальні мережі
представляють собою сукупність сегментів мережі, пов’язаних між собою через
мережні вузли. Для забезпечення ефективної й оптимальної маршрутизації в роз-
поділених обчислювальних системах застосовуються спеціальні керуючі прото-
коли, що дозволяють маршрутизаторам обмінюватись інформацією один з одним,
повідомляти хости про новий маршрут, віддалено управляти маршрутизаторами.
При цьому абсолютно очевидно, що маршрутизація в глобальних мережах віді-
грає найважливішу роль і, як наслідок цього, може піддаватися атаці. Основна ме-
та атаки, пов’язаної з нав’язуванням хибного маршруту, полягає в тому, щоб змі-
нити (порушити цілісність, модифікувати) вихідну маршрутизацію на об’єкті
розподіленої обчислювальної системи так, щоб новий маршрут проходив через
О. Я. Матов, В. С. Василенко
96
хибний об’єкт — хост атакуючого. Реалізація даної типової віддаленої атаки
складається в несанкціонованому використанні протоколів керування мережею
для зміни вихідних таблиць маршрутизації.
Для зміни маршрутизації атакуючому необхідно послати по мережі для про-
токолів керування мережею спеціальні службові повідомлення від імені мережних
керуючих пристроїв (наприклад, маршрутизаторів). У результаті успішної зміни
маршруту атакуючий одержить повний контроль (можливість порушення конфі-
денційності, цілісності та доступності) над потоком інформації, яким обміню-
ються два об’єкти розподіленої обчислювальної системи, і атака перейде до дру-
гої стадії, пов’язаної з прийманням, аналізом і передачею повідомлень, одержува-
них, наприклад, від дезінформованих (у разі порушення цілісності) об’єктів РОМ.
У розподіленій обчислювальній системі часто виявляється, що її віддалені
об’єкти споконвічно не мають досить інформації, що необхідна для адресації по-
відомлень. Звичайно, такою інформацією є апаратурні (адреса мережного адапте-
ра) і логічні (наприклад, IP-адреса) адреси об’єктів РОМ. Для одержання подібної
інформації в розподілених обчислювальних системах використовуються різні ал-
горитми віддаленого пошуку, що полягають у передачі мережею спеціального ви-
ду пошукових запитів і очікуванні відповідей на запит із шуканою інформацією.
Після одержання відповіді на запит суб’єкт РОМ, що запросив, має всі необхідні
дані для адресації. Керуючись отриманими з відповіді відомостями про шуканий
об’єкт, суб’єкт РОМ, що запросив, починає адресуватися до нього, маючи можли-
вості порушення конфіденційності та доступності певної інформації чи шукано-
го об’єкта.
У випадку використання розподіленої обчислювальної системи механізмів
віддаленого пошуку існує можливість на атакуючому об’єкті перехопити посла-
ний запит і надіслати на нього хибну відповідь (здійснити маскування), де вказати
дані, використання яких приведе до адресації на атакуючий хибний об’єкт. Надалі
весь потік інформації між суб’єктом й об’єктом взаємодії буде проходити через
хибний об’єкт РОМ.
Ще одним механізмом несанкціонованого доступу є використання недолі-
ків алгоритму віддаленого пошуку, наслідком чого є впровадження зловмисни-
ками в систему об’єктів, що мають назву «Хибних об’єктів РОМ». Цей варіант
впровадження в РОМ хибного об’єкта складається в періодичній передачі на
об’єкт, що атакується, заздалегідь підготовленої хибної відповіді без приймання
пошукового запиту. Справді, для того щоб послати хибну відповідь, не завжди
обов’язково чекати приймання запиту (може, в принципі, не бути можливості пе-
рехоплення запиту). При цьому атакуючий може спровокувати об’єкт, що атаку-
ється, на передачу пошукового запиту, і тоді його хибна відповідь буде негайно
мати успіх. Дана типова віддалена атака надзвичайно характерна для глобальних
мереж, коли просто немає можливості перехопити пошуковий запит. Використан-
ня хибного об’єкта для організації віддаленої атаки на розподілену обчислюваль-
ну систему дає змогу одержати контроль над потоком інформації між об’єктами й
застосовувати різні методи впливу на перехоплену інформацію. Одним із таких
методів є селекція потоку інформації й збереження її на хибному об’єкті РОМ
шляхом перехоплення переданої між суб’єктом й об’єктом взаємодії інформації.
Важливо відзначити, що перехоплення інформації (наприклад, файлів) можливе
Модель загороз у розподілених мережах
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2008, Т. 10, № 1 97
через те, що при виконанні деяких операцій над файлами (читання, копіювання
тощо) зміст цих файлів передається мережею, а надходить на хибний об’єкт. Най-
простіший спосіб реалізації перехоплення — це збереження у файлі всіх одержу-
ваних хибним об’єктом пакетів обміну. Проте, даний спосіб перехоплення інфор-
мації виявляється недостатньо інформативним. Це відбувається внаслідок того,
що в пакетах обміну крім полів даних існують службові поля, що не представля-
ють у цьому випадку для атакуючого безпосереднього інтересу. Отже, для того
щоб одержати безпосередньо переданий файл, необхідно проводити на хибному
об’єкті динамічний семантичний аналіз потоку інформації для його селекції.
Специфічні загрози
Подолання конфіденційності інформаційних об’єктів. Окрім ознайомлен-
ня зі змістом інформаційних об’єктів унаслідок несанкціонованого доступу, мож-
ливі й деякі види специфічних загроз. До специфічних загроз конфіденційності
можна віднести використання витоків технічними каналами та специфічних віру-
сних атак шляхом впровадження програм-шпигунів (spyware), які збирають про
користувача даного ПК інформацію, згодом посилаючи її своїм «господарям» без
відома власника комп’ютера. Встановлюються вони автоматично під час Web-
серфінгу або поставляються разом із поширюваними через Internet додатками
(особливо безкоштовними). Для очищення комп’ютера від spyware розумно вико-
ристовувати тільки спеціалізоване ПО, оскільки антивіруси класифікують багато
шпигунів як безпечні програми. Вручну ж видалити шпигуна достатньо важко,
оскільки він прописується в численних ключах реєстру й не завжди в явному ви-
гляді може створювати свої копії в різних місцях файлової системи.
Порушення цілісності (вилучення, зміна чи підміна) інформаційного об’єкта
є можливим шляхом тієї чи іншої, у залежності від задач порушника, модифікації
переданих даних чи програмного коду. Для випадку текстових файлів або файлів
даних несанкціонований доступ забезпечує можливість будь-якої модифікації.
Для випадку модифікації програмного коду представляється можливим виділити
два різних за метою види модифікації коду: по-перше, впровадження руйнуючих
програмних засобів (РПЗ), по-друге, зміна логіки роботи програмного файлу. На-
решті, внаслідок модифікації чи підміни одному з учасників обміну може бути
посланою заздалегідь підготовлена дезінформація. При цьому така дезінформація,
залежно від контрольованої події, може бути сприйнята або як програмний код,
або як дані. Приклад такої дезінформації — впровадження спеціального коду за-
здалегідь написаної спеціальної програми-загарбника паролів. Ця програма вико-
нує візуально ті ж дії, що й дійсна програма входу в систему, наприклад, запитує
ім’я та пароль користувача, після чого отримані відомості пересилаються на хиб-
ний об’єкт (об’єкт, створений зловмисником), а користувачеві виводиться пові-
домлення про помилку. При цьому користувач, вважаючи, що він неправильно
ввів пароль (пароль, звичайно, не відображається на екрані) знову запустить про-
граму підключення до системи (цього разу дійсну) і з другого разу одержить до-
ступ. Результат такої атаки — ім’я та пароль користувача, збережені на хибному
об’єкті.
О. Я. Матов, В. С. Василенко
98
Загрози доступності. Нагадаємо, що доступність — це властивість ресурсу
системи (послуги, об’єкта, інформації), яка полягає в тому, що користувач і/або
процес, який має відповідні повноваження, може використовувати ресурс відпові-
дно до правил, установлених політикою безпеки, не очікуючи довше заданого
(малого) проміжку часу, тобто коли він знаходиться у вигляді, необхідному кори-
стувачеві, у місці, необхідному користувачеві, і в той час, коли він йому необхід-
ний.
Наразі в мережах вирізняють такі атаки доступності як блокування того чи
іншого сервісу (послуги) та організацію штучної відмови в обслуговуванні.
Блокування сервісу означає спробу порушити або зупинити роботу мережі,
всієї системи або окремих сервісів, що веде до відмови в обслуговуванні запитів
авторизованих користувачів. Відмова в обслуговуванні може бути викликана ви-
падково некоректними діями користувачів або адміністратора, відмовами облад-
нання або навмисними діями порушників. Атаки блокування сервісів спрямо-вані
проти маршрутизаторів периметра, бастіонного хоста або брандмауера.
Відмова в обслуговуванні (DoS атака). Одним з основних завдань, покла-
дених на мережну ОС, що функціонує на кожному з об’єктів розподіленої обчис-
лювальної системи, є забезпечення надійного віддаленого доступу з будь-якого
об’єкта мережі до даного об’єкта. Порушення працездатності відповідної послуги
надання віддаленого доступу, тобто неможливість одержання віддаленого досту-
пу з інших об’єктів РОМ — «Відмова в обслуговуванні».
У загальному випадку в розподіленій обчислювальній системі кожен суб’єкт
системи повинен мати можливість підключитися до будь-якого об’єкта РОМ й
одержати у відповідності зі своїми правами віддалений доступ до його ресурсів.
Звичайно в обчислювальних мережах можливість надання віддаленого доступу
реалізується в такий спосіб: на об’єкті РОМ у мережній ОС запускаються на ви-
конання ряд програм-серверів (наприклад, FTP-сервер, WWW-сервер і т.п.), що
надають віддалений доступ до ресурсів даного об’єкта. Дані засоби входять до
складу телекомунікаційних послуг надання віддаленого доступу. Завдання сер-
вера полягає в тому, щоб, перебуваючи в пам’яті операційної системи об’єкта
РОМ, постійно очікувати одержання запиту на підключення від віддаленого
об’єкта. У випадку одержання подібного запиту сервер повинен по можливості
передати на об’єкт, що запросив, відповідь, в якій або дозволити підключення, або
заборонити його (підключення до сервера спеціально описано дуже схематично,
тому що подробиці в цей момент не мають значення). За аналогічною схемою від-
бувається створення віртуального каналу зв’язку, яким звичайно взаємодіють
об’єкти РОМ. У цьому випадку безпосереднє ядро мережної ОС обробляє зовнішні
запити на створення віртуального каналу (ВК) і передає їх відповідно до ідентифі-
катора запиту (порт або сокет) прикладному процесу, яким є відповідний сервер.
Очевидно, що мережна операційна система здатна мати тільки обмежене чис-
ло відкритих віртуальних з’єднань і відповідати лише на обмежене число запитів.
Ці обмеження залежать від різних параметрів системи в цілому, основними з яких
є швидкодія ЕОМ, обсяг оперативної пам’яті й пропускна здатність каналу
зв’язку — максимальний трафік (чим він вище, тим більше число можливих запи-
тів за одиницю часу).
Інфраструктура РОМ дозволяє з одного з її об’єктів (якщо в розподіленій об-
числювальній системі не передбачено засобів автентифікації адреси відправника),
Модель загороз у розподілених мережах
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2008, Т. 10, № 1 99
передавати на інший об’єкт, що атакується, нескінченне число запитів (можливо
анонімних) на обробку запитів чи на підключення. У цьому випадку буде мати
успіх типова віддалена атака «Відмова в обслуговуванні». Результат застосування
цієї віддаленої атаки — порушення на об’єкті, що атакований, працездатності від-
повідної служби надання віддаленого доступу, тобто неможливість одержання
віддаленого доступу з інших об’єктів РОМ — відмова в обслуговуванні.
Другий різновид цієї типової віддаленої атаки складається в передачі на одну
адресу (на один об’єкт, що атакується) такої кількості запитів (спрямований
«шторм» запитів), яку дозволить мережний трафік. У цьому випадку, якщо в сис-
темі не передбачені правила, що обмежують число прийнятих запитів за одиницю
часу, то результатом цієї атаки може бути як переповнення черги запитів і відмова
однієї з телекомунікаційних служб, так і повна зупинка хосту, який атакується,
через неможливість його системи займатися нічим іншим, крім обробки запитів.
Для організації такого типу атаки потрібна координація зусиль певної групи
об’єктів, що, з погляду об’єкта, який атакується, є злочинним угрупуванням.
І останнім, третім різновидом атаки «Відмова в обслуговуванні» є передача
на об’єкт, що атакується, некоректного, спеціально підібраного запиту. У цьому
випадку за наявності помилок у віддаленій системі можливе зациклювання про-
цедури обробки запитів, переповнення буфера з наступним «зависанням системи»
(«Ping Death») тощо.
Модель загроз у РОМ
Розглянутий досить детальний аналіз множини можливих загроз дозволяє
здійснити наступний крок у визначенні сукупності потрібних засобів захисту ін-
формаційних об’єктів відповідної РОМ і побудові системи захисту. Цим кроком є
побудова моделі загроз. Приклад моделі загроз та їхньої ідентифікації з можливи-
ми діями порушників щодо об’єктів захисту, тобто перелік загроз із констатацією
можливих дій порушників щодо відповідних об’єктів, на порушення властивостей
захищеності яких вони спрямовані — порушення конфіденційності (к), цілісності
(ц), доступності (д) інформаційних об’єктів РОМ, а також оцінка ймовірності
здійснення загроз і рівень збитків (шкоди) від порушень по кожному з видів по-
рушень; джерело виникнення — які внутрішні чи зовнішні суб’єкти можуть іні-
ціювати загрозу, наведено в таблиці.
Методика розроблення такої моделі полягає в тому, що в один зі стовпчиків
таблиці заноситься по можливості повний перелік видів загроз; у наведеному
прикладі такий перелік наведено в стовпчику 2. Надалі для кожної з можливих
загроз шляхом їхнього аналізу (можливо й методом експертних оцінок) необхідно
визначити:
— ймовірність виникнення таких загроз. Як перший крок визначення такої
ймовірності можна використати її якісні оцінки. У таблиці можуть бути наведені
якісні оцінки їхньої ймовірності — неприпустимо висока, дуже висока, висока,
значна, середня, низька, знехтувано низька (стовпчик 3);
— на порушення яких функціональних властивостей захищеності інформації
(стовпчик 4) вона спрямована (порушення конфіденційності — к, цілісності — ц,
доступності — д);
О. Я. Матов, В. С. Василенко
100
— можливий (такий, що очікується) рівень шкоди (стовпчик 5). Приклад цієї
оцінки наведено також за якісною шкалою (відсутня, низька, середня, висока, не-
припустимо висока). Наявність таких оцінок, навіть за якісною шкалою, дозволяє
обґрунтувати необхідність забезпечення засобами захисту кожної із властивостей
захищеності інформації;
— механізми реалізації (можливі шляхи здійснення загроз) (стовпчик 6). На-
явність такої інформації дозволяє побудувати загальну модель системи захисту;
оцінити значення залишкового ризику, як функцію захищеності по кожній із фу-
нкціональних властивостей захищеності; визначити структуру системи захисту
та її основні компоненти.
Модель загроз у РОМ
№№
з/п
Вид загроз Імовір-
ність
Що по-
рушує
Рівень
шкоди
Механізм реалізації
1 2 3 4 5 6
Моніторинг (розвідка) мережі
1 Розвідка, аналіз трафіка висока к, ц, д відсутня Перехоплення інформації, що
пересилається, у незашифрова-
ному вигляді в широкомовному
середовищі передачі даних,
відсутність виділеного каналу
зв’язку між об’єктами РОМ
Несанкціонований доступ до інформаційних ресурсів із РОМ
1 Підміна (імітація) довіреного
об’єкта або суб’єкта РОМ із
підробкою мережних адрес
тих об’єктів, що атакують
висока к, ц, д середній Фальсифікація (підробка мере-
жних адрес ІР-адреси, повторне
відтворення повідомлень при
відсутності вір туального кана-
лу, недостатні ідентифікації та
автентифікації при наявності
віртуального каналу
2 Зміна маршрутизації неприпус-
тимо висо-
ка
к, ц, д низький Зміна параметрів маршрутиза-
ції й змісту інформації, що пе-
редається, внаслідок відсутнос-
ті контролю за маршрутом по-
відомлень чи відсутності фільт-
рації пакетів із невірною
адресою
3 Селекція потоку інформації
та збереження її шляхом
впровадження в розподілену
обчислювальну систему хи-
бних об’єктів (атаки типу
«людина всередині»)
висока к, ц, д високий Використання недоліків алго-
ритмів віддаленого пошуку
Модель загороз у розподілених мережах
ISSN 1560-9189 Реєстрація, зберігання і обробка даних, 2008, Т. 10, № 1 101
Продовження таблиці
1 2 3 4 5 6
4 Подолання систем адміністру-
вання доступом до робочих
станцій, локальних мереж і
захищеного інформаційного
об’єкта, заснованих на атрибу-
тах робочих станцій чи засобів
управління доступом і маршру-
тизації (маскування) відповід-
них мереж — (файрволів, про-
ксі-серверів, маршрутизаторів
тощо)
висока к, ц, д високий Використання недоліків систем
ідентифікації та автентифікації,
заснованих на атрибутах корис-
тувача (ідентифікатори, паролі,
біометричні дані та т.ін.). Недо-
статні ідентифікації та автен-
тифікації об’єктів РОМ, зокре-
ма, адреси відправника
Специфічні загрози інформаційним об’єктам
1 Подолання криптографічної
захищеності інформаційних
об’єктів, що перехоплені
низька к високий Використання витоків техніч-
ними каналами, вилучення із
мережі специфічних вірусних
атак шляхом впровадження
програм-шпигунів (spyware) із
розкриттям ключових наборів
2 Подолання криптографічної
захищеності інформаційних
об’єктів робочих станцій
низька к високий Несанкціонований доступ до
інформаційних об’єктів із ви-
користанням недоліків систем
ідентифікації та автентифікації,
заснованих на атрибутах корис-
тувача (ідентифікатори, паролі,
біометричні дані та т.ін.) із роз-
криттям ключових наборів
3 Модифікація переданих даних,
даних чи програмного коду, що
зберігаються в елементах обчи-
слювальних систем
висока ц, д високий Модифікація чи підміна інфор-
маційних об’єктів (програмних
кодів) чи їхніх частин шляхом
впровадження руйнуючих про-
грамних засобів чи зміни логіки
роботи програмного файлу із
використанням спеціальних
типів вірусних атак, спромож-
них здійснити те чи інше пору-
шення цілісності
Викривлення певної кількості
символів інформаційного
об’єкта із використанням спеці-
альних впливів на інформацію
технічними каналами в локаль-
ній мережі чи в елементах роз-
поділеної мережі
О. Я. Матов, В. С. Василенко
102
Продовження таблиці
1 2 3 4 5 6
Використання атак типу «спря-
мований шторм» (Syn Flood),
передачі на об’єкт, що атаку-
ється, некоректних, спеціально
підібраних запитів
4 Блокування сервісу чи перева-
нтаження запитами системи
управління доступом (відмова
в обслуговуванні)
висока д високий
Використання анонімних (чи із
модифікованими адресами)
запитів на обслуговування типу
електронної пошти (spam) чи
вірусних атак спеціального
типу
Слід урахувати, що наведені оцінки ймовірностей і величини можливої шко-
ди кожної із загроз у даному прикладі моделі загроз носять ілюстративний харак-
тер. Для випадків конкретних РОМ ці величини повинні бути визначеними фахів-
цями служби захисту відповідного підприємства за окремими методиками.
Таким чином, запропонований у статті аналіз множини можливих типових
віддалених загроз у розподілених мережах дає можливість із застосуванням не-
складної методики побудови моделі таких загроз визначити складові політики
безпеки інформаційних об’єктів відповідної РОМ і визначити сукупність потріб-
них засобів захисту інформаційних об’єктів від можливих загроз із середовища
РОМ.
1. Матов О.Я., Василенко В.С., Будько М.М. Оцінка захищеності в локальних обчислюваль-
них мережах // Вісті Академії інженерних наук України. — К., 2005. — № 2. — С. 59−73.
2. Maximum Security: A Hacker’s Guide to Protecting Your Internet Site and Network. —
http://zaphod.redwave.net/books/hackg/index.htm
3. TCP під прицілом. — http://www.hackzone. ru/articles/tcp.html
4. Деякі проблеми FTP. — http://www. hackzone.ru /articles/ftp.html
5. Атака на DNS, або нічний кошмар мережного адміністратора. — http://www.hackzone.ru/
articles/dns−poison.html
6. Медведовский И.Д. Семьянов П.В. Леонов Д.Г. Атака на Интернет. — М.: Видавництво
ДВК, 1999.
7. Соболев К.И. Дослідження системи безпеки з Windows NT 4.0 HackZone: Територія злому.
— 1998. — № 1−2.
8. Переповнення буфера в WIN32. — http://www.void.ru/stat/9907/20.html
9. EXPLOITи переповнення буфера на PERL’е (http://www.void.ru/stat/0102/02.html).
10. Теорія та практика атак FORMAT STRING. — http://www.void.ru/stat/0102/27.html+http:
//www.void. ru/stat/0102/28.html
11. Перехоплення пакетів TCP: Захист від флуда. — http://www.void. ru/stat/9907/19.html
Надійшла до редакції 05.11.2007
|
| id | nasplib_isofts_kiev_ua-123456789-7538 |
| institution | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| issn | 1560-9189 |
| language | Ukrainian |
| last_indexed | 2025-12-07T18:35:47Z |
| publishDate | 2008 |
| publisher | Інститут проблем реєстрації інформації НАН України |
| record_format | dspace |
| spelling | Матов, О.Я. Василенко, В.С. 2010-04-01T11:54:39Z 2010-04-01T11:54:39Z 2008 Модель загроз у розподілених мережах / О.Я. Матов, В.С. Василенко // Реєстрація, зберігання і оброб. даних. — 2008. — Т. 10, № 1. — С. 91-102. — Бібліогр.: 11 назв. — укp. 1560-9189 https://nasplib.isofts.kiev.ua/handle/123456789/7538 004.056.2 Розглянуто питання захисту інформаційних ресурсів розподіленої обчислювальної мережі; наведено характеристику та механізми реалізації загроз у розподілених мережах; запропоновано модель загроз. Рассмотрены вопросы защиты информационных ресурсов распределенной вычислительной сети, приведены характеристика и механизмы реализации угроз в распределенных сетях, предложена модель угроз The questions of information resources security of a distributed computer network are considered, characteristics and mechanisms of realization of threats in distributed networks are given, and a model of threats is offered. uk Інститут проблем реєстрації інформації НАН України Реєстрація, зберігання і обробка даних Методи захисту інформації в комп’ютерних системах і мережах Методи захисту інформації в комп’ютерних системах і мережах Модель загроз у розподілених мережах Модель угроз в распределенных сетях Model of Threats in the Distributed Networks Article published earlier |
| spellingShingle | Модель загроз у розподілених мережах Матов, О.Я. Василенко, В.С. Методи захисту інформації в комп’ютерних системах і мережах Методи захисту інформації в комп’ютерних системах і мережах |
| title | Модель загроз у розподілених мережах |
| title_alt | Модель угроз в распределенных сетях Model of Threats in the Distributed Networks |
| title_full | Модель загроз у розподілених мережах |
| title_fullStr | Модель загроз у розподілених мережах |
| title_full_unstemmed | Модель загроз у розподілених мережах |
| title_short | Модель загроз у розподілених мережах |
| title_sort | модель загроз у розподілених мережах |
| topic | Методи захисту інформації в комп’ютерних системах і мережах Методи захисту інформації в комп’ютерних системах і мережах |
| topic_facet | Методи захисту інформації в комп’ютерних системах і мережах Методи захисту інформації в комп’ютерних системах і мережах |
| url | https://nasplib.isofts.kiev.ua/handle/123456789/7538 |
| work_keys_str_mv | AT matovoâ modelʹzagrozurozpodílenihmerežah AT vasilenkovs modelʹzagrozurozpodílenihmerežah AT matovoâ modelʹugrozvraspredelennyhsetâh AT vasilenkovs modelʹugrozvraspredelennyhsetâh AT matovoâ modelofthreatsinthedistributednetworks AT vasilenkovs modelofthreatsinthedistributednetworks |