Анализ операционной системы МСВС на предмет наличия уязвимостей
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?уальным построение эффективной защиты на уровне локальной сети. Более того, надёжность на системном уровне, может быть сведена на нет на сетевом уровне. Защита информации на сетевом уровне имеет определённую специфику, и ещё не может похвастаться такой же гибкостью, как на системном.
Основной особенностью любой распределенной вычислительной системы (РВС) является то, что ее компоненты распределены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений и программно при помощи механизма сообщений. При этом все управляющие сообщения и данные передаются по сетевым соединениям в виде пакетов обмена.
В случае сетевой конфигурации, становится возможен перехват пользовательских имён и паролей. Это заставляет вновь пересматривать задачу аутентификации, но уже в распределённом случае. Кроме аутентификации пользователей, в распределённой системе должна производиться также аутентификация машин - клиентов. Также немаловажное значение имеет аудит событий и своевременное оповещение и реакция на всевозможные нарушения.
Учитывая тот факт, что локальные вычислительные сети многих организаций обычно связаны между собой и имеют выход в Internet, возникает угроза удаленного вторжения и НСД к информации.
Условно можно классифицировать сетевые атаки как:
Пассивные;
Активные.
Рассмотрим подробнее данные типы атак, выясним предполагаемые уязвимости (ОС и сетевых технологий и протоколов) и проанализируем причины успеха удаленных атак.
Пассивные атаки
При пассивных атаках злоумышленник никаким образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи.
Одной из атак является подслушивание (Sniffing), что представляет собой перехват сетевого потока и его анализе. Для осуществления подслушивания злоумышленнику необходимо иметь доступ к машине, расположенной на пути сетевого потока, который необходимо анализировать, например, к шлюзу или маршрутизатору. При получении достаточных прав на этой машине с помощью специального программного обеспечения сможет просматривать весь трафик, проходящий через данный интерфейс. Второй вариант - злоумышленник получает доступ к машине, которая расположена в одном сегменте сети с системой, которой имеет доступ к сетевому потоку. Например, в сети Ethernet сетевая карта может быть переведена в режим, в котором она будет получать все пакеты, циркулирующие по сети, а не только адресованной ей конкретно.
Поскольку TCP/IP-трафик, как правило, не шифруется, злоумышленник, используя соответствующий инструментарий, может перехватывать TCP/IP-пакеты и извлекать из них имена пользователей и их пароли.
Следует заметить, что данный тип атаки невозможно отследить, не обладая доступом к системе злоумышленника, поскольку сетевой поток не изменяется.
Активные атаки
Целью активных атак является взаимодействие злоумышленника с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое пакетов. Злоумышленник предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой.
Существует атака основанная на предсказании TCP sequence number (IP spoofing). В данном случае цель - притвориться другой системой, которой "доверяет" система-жертва, например в случае использования протокола rlogin/rsh для беспарольного входа.Hijacking. Если в случае IP spoofingа злоумышленник инициировал новое соединение, то в данном случае он перехватывает весь сетевой поток, модифицируя его и фильтруя произвольным образом. Метод является комбинацией подслушивания и IP spoofingа. В этом случае злоумышленник, прослушивая линию, может взять на себя функции посредника, генерируя корректные пакеты для клиента и сервера и перехватывая их ответы. Метод позволяет полностью обойти такие системы защиты, как, например, одноразовые пароли, поскольку злоумышленник начинает работу уже после того, как произойдет авторизация пользователя.
Пассивное сканирование часто применяется злоумышленником для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта.
Одной из атак является использование интересной особенности тестовой программы. Традиционное название данной атаки ping flood. Дело в том, что программа ping, предназначенная для оценки качества линии, имеет ключ для "агрессивного" тестирования. В этом режиме запросы посылаются с максимально возможной скоростью и программа позволяет оценить, как работает сеть при максимальной нагрузке. Случай с ping является частным случаем более общей ситуации, связанный с перегрузкой каналов.
Один из вариантов данной атаки - посылать ICMP echo request - пакеты с исходным адресом, указывающем на жертву, на broadcast-адреса крупных сетей. В результате каждая из машин ответит на этот фальшивый запрос, и машина-отправитель получит больше количество ответов, что приводит, как правило к зависанию или сбою в работе данной системы.flooding - самая известная атака. Затопление sun-пакетами основано на переполнении очереди сервера, после чего сервер перестает отвечать на запросы пользователей. Суть данной атаки будет заключаться в передаче на атакуемый хост, как можно большего числ?/p>