Реферат. Содержание

Вид материалаРеферат

Содержание


2. Содержимое основной части
3. Правила оформления текста работы
Перечень сокращений 11
3. Систематизация удаленных атак 23
Перечень сокращений
Проблема удаленных атак
1.1. Недостатки семейства протоколов TCP/IP
1.2. Удаленные атаки в Internet
2. Средства защиты от удаленных атак
2.1. Программно-аппаратные методы защиты
2.1.1. Межсетевые экраны
2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на МЭ-хосте.
3. Создание приватных сетей (Virtual Private Network - VPN) с "виртуальными" IP-адресами.
2.1.2. Программные методы защиты
2.1.2.1. Протокол SKIP
2.1.2.2. Протокол S-HTTP
2.1.2.3. Протокол SSL
2.2. Сетевые мониторы безопасности
3. Систематизация удаленных атак
3.1. Обзор существующих классификаций
...
Полное содержание
Подобный материал:


ПРАВИЛА ОФОРМЛЕНИЯ РАБОТЫ



Дипломная работа (далее просто работа) выполняется на листах формата А4 с размерами полей: сверху – 20 мм, снизу –20мм, справа- 15мм, слева –30-35 мм (в зависимости от брошюровки).


1. СОДЕРЖАНИЕ РАБОТЫ


Работа должна содержать следующие разделы:
  • Титульный лист.
  • Задание.
  • Реферат.
  • Содержание.
  • Перечень сокращений.
  • Основная часть (содержимое основной части будет рассмотрено далее).
  • Список использованных источников.
  • Приложение (если приложений несколько, то они перечисляются все: приложение 1, приложение 2 и т. д.).


По согласованию с руководителем, что отражается в задании, могут быть опущены реферат и перечень сокращений.


Реферат должен содержать:
  • сведения об объеме работы, количество иллюстраций (рисунков), таблиц, приложений, количество использованных источников;
  • перечень ключевых слов (от 5 до 10 слов или словосочетаний) из текста работы, которые в наибольшей степени характеризуют ее содержание и обеспечивают возможность информационного поиска. Ключевые слова пишутся в именительном падеже прописными буквами через запятые;
  • текст реферата, в котором в пределах одного-двух абзацев описывается объект исследований, цель работы, методы исследования, полученные результаты, область применения и предположения по дальнейшему развитию и использованию.


Содержание выполняется с использованием функций MS Word.

В текст работы могут вводиться сокращения (аббревиатуры), которые вводятся после текста. Например, «автоматизированные системы (АС)». Предложения начинать с аббревиатуры не рекомендуется.

Перечень сокращений выполняется в виде таблицы, в которой сокращения располагаются по алфавиту: сначала на русском языке, потом на английском. Английские сокращения должны быть переведены.

Список используемых источников составляется по следующим правилам:
  1. Каждая ссылка на используемый источник начинается с цифры. Ссылка с первым номером должна быть первой ссылкой в тексте работы и т. д .
  2. В ссылках указываются все необходимые данные. Если в работе делается ссылка на работу или статью, которая получена из Internet, то она должна содержать соответствующий URL.



2. СОДЕРЖИМОЕ ОСНОВНОЙ ЧАСТИ


Основная часть должна включать следующие разделы:
  • Введение.
  • Необходимое число разделов, название каждого из разделов должно начинаться с арабской цифры, после которой ставится точка. Названия не должны заканчиваться точкой.
  • Заключение.


Во введении должны быть освещены вопросы современного состояния решаемой задачи (рассматриваемой проблемы, которой, естественно, является проблема информационной безопасности), какие исходные данные необходимы для решения задачи, актуальность и новизна. Значение решаемой задачи для решения вопросов обеспечения информационной безопасности.

Как правило, введение не содержит номера и не должно содержать подразделов.

Основная часть должна содержать данные, отражающие существо, методику и основные результаты выполненной работы.

Заключение должно содержать:
  • Краткие выводы по результатам выполненной работы.
  • Оценку полноты решений поставленных задач.
  • Рекомендации по использованию результатов работы.
  • Значимость (значение) работы для обеспечения информационной безопасности.


Аналогично введению заключение не нумеруется и не должно содержать подразделов.

Разделы основной части (помимо введения и заключения) пишутся заглавными буквами и нумеруются арабскими цифрами, они не должны содержать точки в конце. Разделы могут содержать подразделы, пункты и подпункты. Заголовки подразделов и пунктов печатаются с прописной буквы и не должны иметь точки в конце.

Рекомендуется разделы основной части начинать с новой страницы, включая список использованных источников и приложения.

3. ПРАВИЛА ОФОРМЛЕНИЯ ТЕКСТА РАБОТЫ


Заголовки основного раздела (введение, названия разделов, заключение, список использованных источников) располагаются в середине строки без точки в конце и пишутся прописными буквами (для формата А4: заголовок 1 в MS Word, шрифтом Arial, кегль 14, жирный).

Заголовки подразделов и пунктов печатаются с прописной буквы без точки в конце (заголовок 2 и т. д. в MS Word, шрифтом Arial, жирный).

Если заголовок включает несколько предложений, их разделяют точками. Переносы в заголовках не допускаются.

Расстояние между заголовками и текстом должны быть не менее 2-х интервалов.

Разделы, подразделы, пункты и подпункты начинаются с арабских цифр разделенных точками.

Если раздел или подраздел имеет только один пункт или пункт имеет один подпункт, то его нумеровать не надо.

Текст работы должен быть выровнен по ширине.

Нумерация страниц работы выполняется арабскими цифрами в правом верхнем углу. Нумерация страниц начинается с титульного листа, но номера страниц на титульном листе, задании и реферате не ставятся. Поэтому номера страниц появляются, только начиная с содержания (обычно страница № 4).


3.1. Иллюстрации


Чертежи, графики, схемы, диаграммы и рисунки (далее рисунки) располагаются в работе непосредственно после текста, в котором они упоминаются впервые или на следующей странице, если рисунок не помещается на оставшемся до конца страницы поле. На все рисунки в работе должны быть ссылки. Рисунки располагаются в пределах поля, предназначенного для текста работы.

Рисунки нумеруются арабскими цифрами порядковой нумерации в пределах всей работы. После каждого рисунка следует надпись: «Рисунок Х. Название рисунка.», где Х- номер рисунка.


3.2. Таблицы


На все таблицы должны быть ссылки в работе. Таблицы нумеруются арабскими цифрами в пределах всей работы. Перед таблицей пишется «Таблица Х.», где Х- номер таблицы. Эта надпись смещается в крайнюю правую позицию строки.


3.3. Формулы и уравнения


Уравнения и формулы (далее формулы) следует выделять в отдельную строку. Формулы нумеруются последовательной нумерацией в пределах всей работы арабскими цифрами в круглых скобках в крайнем правом положении на строке.

Пояснения значений символов и числовых коэффициентов даются под формулой в той же последовательности, в какой они приведены в формуле. Значения каждого символа начинается с новой строки. Первую строку пояснения начинают со слова «где» без двоеточия.

Пример записи уравнения:

,

где k – число степеней, и т. д.


3.4. Ссылки


Ссылки на использованные источники помещаются в скобки вида «/ /» или «[ ]», допускается приведение ссылок в подстрочном примечании.

В тексте работы возможно применение ссылок на элементы работы, при этом они даются в виде:
  • «в разделе 2» или «в разд. 2»;
  • « в п. 3.3.4.»;
  • « в подпункте 2.3.4.2.»;
  • « на рис.8»;
  • « в приложении 2»;
  • «в таблице 4».



3.5. Перечисления


Необходимые перечисления выполняются следующим образом:
  • при использовании знаков «», «» и цифры со скобкой: каждое перечисление начинается с маленькой буквы и заканчивается точкой с запятой. При наличии в перечислении нескольких предложений, они оформляются так, как это сделано в настоящем перечислении;
  • при использовании цифры с точкой: перечисление начинается с прописной буквы и заканчивается точкой.



4. ПРИЛОЖЕНИЯ


Каждое приложение начинается с новой страницы и должно иметь содержательный заголовок. Сверху страницы в правом углу пишется «ПРИЛОЖЕНИЕ Х», где Х- номер приложения. Если приложение одно, то номер 1 не пишется. Далее по центру строки пишется содержательный заголовок приложения. Слово «ПРИЛОЖЕНИЕ Х» оформляется как «Заголовок 1». Аналогично разделам основной части приложения могут содержать подразделы, пункты и подпункты, которые нумеруются в пределах приложения и оформляются шрифтами, соответствующими соответствующим заголовкам основной части без использования функций заголовков MS Word.

Таблицы, рисунки и формулы приложения нумеруются в пределах приложения.


Далее приводится «псевдо образец» выполнения указанных требований.

РЕФЕРАТ



Работа состоит из: 76 страниц, 12 рис., 7 табл., 13 источников.


АНАЛИЗ УДАЛЕННЫХ АТАК, СЕТЕВАЯ безопасность, ПРОТОКОЛЫ TCP/IP, ОБНАРУЖЕНИЕ АТАК


Настоящая дипломная работа содержит результаты анализа удаленных атак и разработку … Далее краткая сводка о выполненной работе.

СОДЕРЖАНИЕ





РЕФЕРАТ 9

СОДЕРЖАНИЕ 10

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ 11

ВВЕДЕНИЕ 12

1.ПРОБЛЕМА УДАЛЕННЫХ АТАК 14

1.1. Недостатки семейства протоколов TCP/IP 14

1.2. Удаленные атаки в Internet 15

2. СРЕДСТВА ЗАЩИТЫ ОТ УДАЛЕННЫХ АТАК 17

2.1. Программно-аппаратные методы защиты 17

2.1.1. Межсетевые экраны 18

2.1.2. Программные методы защиты 20

2.2. Сетевые мониторы безопасности 22

3. СИСТЕМАТИЗАЦИЯ УДАЛЕННЫХ АТАК 23

3.1. Обзор существующих классификаций 23

3.2. Построение классификации удаленных атак 24

3.3. Разработка метода обнаружения удаленных атак 26

ЗАКЛЮЧЕНИЕ 28

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 29

ПРИЛОЖЕНИЕ 30

ПЕРЕЧЕНЬ СОКРАЩЕНИЙ





AC

Автоматизированная система

БД

База данных

ОС

Операционная система

ПО

Программное обеспечение

СВТ

Средства вычислительной техники

СУБД

Система управления базой данных

ЭМВОС

Эталонная модель взаимодействия открытых систем

ACL

Access Control List – Список контроля доступа

APC

Asynchronous Procedure Call – Вызов асинхронной процедуры

API

Application Programming Interface – Интерфейс прикладного программирования

ASO

Advanced Security Option – Расширенные опции безопасности

CD ROM

Compact Disk Read Only Memory – Компакт диск с памятью только для чтения

DAC

Discretionary Access Control – Дискреционный контроль доступа



ВВЕДЕНИЕ




Повсеместное распространение сетевых технологий привело к объединению отдельных машин в локальные сети, совместно использующие общие ресурсы, а применение технологии клиент-сервер привело к преобразованию таких сетей в распределенные вычислительные среды, в частности к появлению такого уникального явления, как Internet. Развитие Internet привело к росту числа подключенных к нему людей, организаций, которые используют возможности, предоставляемые этой сетью. Но широкое распространение Internet вызвало рост интереса к проблеме безопасности и заставило частично пересмотреть ее основные положения. Дело в том, что Internet обеспечивает злоумышленнику невообразимые возможности для осуществления несанкционированного доступа и нарушения работоспособности систем по всему миру. Поэтому задача выявления сетевых атак и организация защиты от них является актуальной. Для решения этих задач необходима разработка архитектуры системы выявления удаленных атак. Под удаленной атакой понимается удаленное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной системы. В работе под удаленной атакой будем понимать удаленное информационное воздействие, программно осуществляемое по каналам связи сети Internet посредством передачи некоторого числа Internet пакетов (рис.1).

Основной проблемой в вопросе обеспечения сетевой безопасности является защита от удаленных атак, которая включает и их обнаружение.





Рис.1. Удаленные атаки через Internet


Рынок средств обнаружения удаленных воздействий в настоящее время достаточно развит и на нем представлено много продуктов от разных фирм /1,2/, однако механизмы обнаружения атак разрабатываются только после их осуществления, что является большим недостатком данных продуктов.

  1. ПРОБЛЕМА УДАЛЕННЫХ АТАК




Разработка метода обнаружения удаленных сетевых атак является очень важным аспектом в деле обеспечения безопасности компьютеров в глобальных и локальных сетях, использующих для передачи данных стек TCP/IP протоколов. По причине незащищенности использующихся IP протоколов возможно огромное количество атак, которые приводят к отказу системы в обслуживании, нарушению целостности, несанкционированному доступу к данным и, даже, к потере данных.

В настоящее время значительная часть методов обнаружения базируется на анализе данных аудита после совершения атаки. Такой подход к проблеме удаленных атак имеет свои достоинства и свои недостатки. К достоинствам можно отнести возможность детального изучения атаки и выявления условий, при которых она возникает и достигает своего результата. К недостаткам можно отнести тот факт, что, по крайней мере, одна атака будет успешно осуществлена. Для дальнейшего рассмотрения введем понятие сигнатуры для удаленной атаки. Под сигнатурой будем понимать последовательность действий, которая приводит к реализации данной атаки, и набор условий, при которых атака произойдет.


1.1. Недостатки семейства протоколов TCP/IP




Протоколами называют распределенные алгоритмы, определяющие, каким образом осуществляется обмен данными между физическими устройствами или логическими объектами (процессами). Под семейством протоколов TCP/IP обычно понимают весь набор реализаций, описанных в RFC (Requests For Comments), а именно:
  • Internet Protocol (IP).
  • Address Resolution Protocol (ARP).
  • Internet Control Message Protocol (ICMP).
  • User Datagram Protocol (UDP).
  • Transport Control Protocol (TCP).
  • Domain Name System (DNS) и другие.

Общим и основополагающим элементом этого семейства является IP протокол. Все протоколы сети Internet являются открытыми и доступными. Все спецификации протоколов доступны из RFC.

Одной из причин популярности TCP/IP является тщательная проработка протоколов семейства TCP/IP, их функциональность и открытость, а также возможность наращивания функциональных возможностей. Хотя к настоящему времени достаточно очевидно, что они имеют и множество недостатков, особенно тех, которые связаны с безопасностью, например, нет встроенных средств аутентификации, что и делает возможным осуществление атак, основанных на подмене клиента.

Схема уровневой модели семейства протоколов TCP/IP приведена на рисунке 2.


Прикладной (Application)

Транспортный (Transport)

Сетевой (Network)

Канальный (Data Link)

Физический (Physical)


Рис. 2. Уровневая модель протоколов в сети Internet


Каждый уровень модели использует определенный формат сообщений. При переходе с высшего уровня на низший уровень сообщение форматируется по правилам низшего уровня и снабжается заголовком. На низших уровнях выполняются следующие действия:
  • на физическом уровне осуществляется физическое соединение между компьютерной системой и физической средой передачи;
  • на канальном уровне осуществляется пакетирование данных при передаче и раскрытие пакетов при приеме. Единица данных на этом уровне называется фреймом;
  • на сетевом уровне осуществляется маршрутизация данных в сети. Единицей данных этого уровня является датаграмма.



1.2. Удаленные атаки в Internet




С середины 90-х годов значительно увеличилось число удаленных атак в сети Internet, а также возрос ущерб, причиняемый этими атаками. Статистика организации CERT, посвященная зарегистрированным сетевым атакам, произошедшим с 1995 по 1999 год /3/ приведена в таблице 1.


Таблица 1.

Год

Число зарегистрированных нарушений

1995

2412

1996

2573

1997

2134

1998

3734

1999

6844

2000

25 000



Данные табл. 1 показывают возрастающую степень угрозы для пользователей Internet, тем самым подчеркивая необходимость изучения механизмов удаленных атак и разработки средств защиты от них.

2. СРЕДСТВА ЗАЩИТЫ ОТ УДАЛЕННЫХ АТАК




В настоящий момент среди средств предотвращения удаленных атак наиболее широкое распространение получили такие системы как межсетевые экраны (МЭ) и сетевые мониторы безопасности. Межсетевой экран предназначен для фильтрации сетевого трафика. Сетевой монитор безопасности – это средство, предназначенное для обнаружения сетевых атак. Лидером в производстве МЭ является компания CISCO, сетевых мониторов безопасности – фирма ISS (Internet Security Systems).

Необходимо заметить, что компания CISCO производит МЭ как отдельное устройство. Существуют также и такие МЭ, которые представляют собой программный продукт, устанавливаемый на обыкновенный компьютер с двумя и более сетевыми картами, одна из которых является внешней. Одним из таких продуктов является FireWall-1 – продукт фирмы Checkpoint. Основным достоинством МЭ является возможность централизованно осуществлять сетевую политику безопасности в защищаемом фрагменте сети.

Сетевые мониторы безопасности предназначены для отслеживания сетевого трафика и выдачи предупреждений при подозрении на осуществлении удаленной атаки или предотвращении удаленной атаки. Наиболее известным сетевым монитором является RealSecure (фирма ISS). Для обнаружения атак используются сигнатуры. В базе данных RealSecure есть следующие виды сигнатур удаленных атак:
  • отказ в обслуживании;
  • попытки несанкционированного доступа;
  • подготовка к атакам;
  • подозрительная активность;
  • подозрительные команды на уровне протоколов.



2.1. Программно-аппаратные методы защиты




К программно-аппаратным средствам обеспечения информационной безопасности в вычислительных сетях можно отнести:
  • аппаратные шифраторы сетевого трафика;
  • МЭ, реализуемый на базе программно-аппаратных средств;
  • криптопротоколы;
  • программно-аппаратные анализаторы сетевого трафика;
  • защищенные сетевые ОС.

Существует огромное количество литературы / /, посвященной этим средствам защиты, предназначенным для использования в Internet.

Кратко рассмотрим особенности данных средств защиты, применяемых в Internet.

2.1.1. Межсетевые экраны




В общем случае МЭ реализует следующие основные три функции:


1. Многоуровневая фильтрация сетевого трафика.

Фильтрация обычно осуществляется на трех уровнях:
  • сетевом (IP);
  • транспортном (TCP, UDP);
  • прикладном (FTP, TELNET, HTTP, SMTP и т. д.).


Фильтрация сетевого трафика является основной функцией систем МЭ и позволяет администратору безопасности сети централизованно осуществлять необходимую сетевую политику безопасности в выделенном сегменте IP-сети, то есть, настроив соответствующим образом МЭ, можно разрешить или запретить пользователям как доступ из внешней сети к соответствующим службам хостов или к хостам, находящихся в защищаемом сегменте, так и доступ пользователей из внутренней сети к соответствующим ресурсам внешней сети. Можно провести аналогию с администратором локальной ОС, который для осуществления политики безопасности в системе назначает необходимым образом соответствующие отношения между субъектами (пользователями) и объектами системы (файлами, например), что позволяет разграничить доступ субъектов системы к ее объектам в соответствии с заданными администратором правами доступа. Те же рассуждения применимы к МЭ-фильтрации: в качестве субъектов взаимодействия будут выступать IP-адреса хостов пользователей, а в качестве объектов, доступ к которым необходимо разграничить, - IP-адреса хостов, используемые транспортные протоколы и службы предоставления удаленного доступа.


2. Proxy-схема с дополнительной идентификацией и аутентификацией пользователей на МЭ-хосте.


Proxy-схема позволяет, во-первых, при доступе к защищенному МЭ сегменту сети осуществить на нем дополнительную идентификацию и аутентификацию удаленного пользователя и, во-вторых, является основой для создания приватных сетей с виртуальными IP-адресами. Смысл proxy-схемы состоит в создании соединения с конечным адресатом через промежуточный proxy-сервер (proxy от англ. полномочный) на хосте МЭ. На этом proxy-сервере и может осуществляться дополнительная идентификация абонента.


3. Создание приватных сетей (Virtual Private Network - VPN) с "виртуальными" IP-адресами.


В том случае, если администратор безопасности сети считает целесообразным скрыть истинную топологию своей внутренней IP-сети, то ему можно порекомендовать использовать системы МЭ для создания приватной сети (VPN-сеть). Хостам в VPN-сети назначаются любые "виртуальные" IP-адреса. Для адресации во внешнюю сеть (через МЭ) необходимо либо использование на хосте МЭ описанных выше proxy-серверов, либо применение специальных систем роутинга (маршрутизации), только через которые и возможна внешняя адресация. Это происходит из-за того, что используемый во внутренней VPN-сети виртуальный IP-адрес не пригоден для внешней адресации (внешняя адресация - это адресация к абонентам, находящимся за пределами VPN-сети). Поэтому proxy-сервер или средство роутинга должно осуществлять связь с абонентами из внешней сети со своего настоящего IP-адреса. Кстати, эта схема удобна в том случае, если вам для создания IP-сети выделили недостаточное количество IP-адресов (в стандарте IPv4 это случается сплошь и рядом, поэтому для создания полноценной IP-сети с использованием proxy-схемы достаточно только одного выделенного IP-адреса для proxy-сервера).

Однако системы МЭ не являются гарантией абсолютной защиты от удаленных атак в сети Internet, так как МЭ лишь запрещают какой-либо вид доступа, но большинство атак имеют другие цели и именно против них МЭ бессильны.

Поэтому применение методики МЭ является необходимым, но недостаточным условием. МЭ – хороший инструмент администрирования и может предотвращать некоторые разновидности сетевых атак (такие как навязывание хосту ложного маршрута с использованием протокола ICMP), но не может полностью обезопасить защищаемую сеть от удаленных атак.

2.1.2. Программные методы защиты



К программным методам защиты в сети Internet можно отнести прежде всего криптопротоколы, с использованием которых появляется возможность защиты соединения.

Другим классом программных методов защиты от удаленных атак являются программы, основная цель которых - анализ сетевого трафика на предмет наличия одного из известных активных удаленных воздействий и противодействие обнаруженным воздействиям.

Одна из основных причин успеха удаленных атак на распределенные ВС кроется в использовании сетевых протоколов обмена, которые не могут надежно идентифицировать удаленные объекты, защитить соединение и передаваемые по нему данные. Поэтому совершенно естественно, что в процессе функционирования Internet были созданы различные защищенные сетевые протоколы, использующие криптографию как с закрытым, так и с открытым ключом. Классическая криптография с симметричными криптоалгоритмами предполагает наличие у передающей и принимающей стороны симметричных (одинаковых) ключей для шифрования и дешифрирования сообщений. Эти ключи предполагается распределить заранее между конечным числом абонентов, что в криптографии называется стандартной проблемой статического распределения ключей. Применение классической криптографии с симметричными ключами возможно лишь на ограниченном множестве объектов. В сети Internet для всех ее пользователей решить проблему статического распределения ключей не представляется возможным. Однако одним из первых защищенных протоколов обмена в Internet был протокол Kerberos, основанный именно на статическом распределении ключей для конечного числа абонентов.

Для того чтобы дать возможность защититься всему множеству пользователей сети Internet, а не ограниченному его подмножеству, необходимо использовать динамически вырабатываемые в процессе создания виртуального соединения ключи при использовании криптографии с открытым ключом. Далее мы рассмотрим основные на сегодняшний день подходы и протоколы, обеспечивающие защиту соединения.


2.1.2.1. Протокол SKIP




Протокол SKIP (Secure Key Internet Protocol) – определяет стандарт инкапсуляции IP-пакетов, позволяющий в существующем стандарте IPv4 на сетевом уровне обеспечить защиту соединения и передаваемых по нему данных. Это достигается следующим образом: SKIP-пакет представляет собой обычный IP-пакет, поле данных которого представляет из себя SKIP-заголовок определенного спецификацией формата и криптограмму (зашифрованные данные). Такая структура SKIP-пакета позволяет беспрепятственно направлять его любому хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете). Конечный получатель SKIP-пакета по заранее определенному разработчиками алгоритму расшифровывает криптограмму и формирует обычный TCP- или UDP-пакет, который и передает соответствующему обычному модулю (TCP или UDP) ядра операционной системы. В принципе, ничто не мешает разработчику формировать по данной схеме свой оригинальный заголовок, отличный от SKIP-заголовка.


2.1.2.2. Протокол S-HTTP




Протокол S-HTTP (Secure HTTP) – это разработанный компанией Enterprise Integration Technologies (EIT) специально для Web защищенный HTTP-протокол. Протокол S-HTTP позволяет обеспечить надежную криптозащиту только HTTP-документов Web-севера и функционирует на прикладном уровне модели OSI. Эта особенность протокола S-HTTP делает его абсолютно специализированным средством защиты соединения, и, как следствие, невозможное его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др.).


2.1.2.3. Протокол SSL




Протокол SSL (Secure Socket Layer) - разработка компании Netscape - универсальный протокол защиты соединения, функционирующий на сеансовом уровне OSI. Этот протокол, использующий криптографию с открытым ключом является универсальным средством, позволяющим динамически защитить любое соединение с использованием любого прикладного протокола (DNS, FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL, в отличие от S-HTTP, функционирует на промежуточном сеансовом уровне OSI (между транспортным - TCP, UDP, - и прикладным - FTP, TELNET и т. д.). При этом процесс создания виртуального SSL-соединения происходит по схеме Диффи и Хеллмана, которая позволяет выработать криптостойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-соединения для шифрования передаваемых сообщений. Протокол SSL сегодня уже практически оформился в качестве официального стандарта защиты для HTTP-соединений, то есть для защиты Web-серверов. Конечно, для установления SSL-соединения с Web-сервером еще необходимо и наличие Web-сервера, поддерживающего SSL. Такие версии Web-серверов уже существуют (SSL-Apachе, например).

2.2. Сетевые мониторы безопасности




Сетевой монитор безопасности осуществляет анализ сетевого трафика на предмет выявления известных сетевых атак. Такие средства получили распространение сравнительно недавно, и законодателем мод в этом направлении по праву считается компания ISS (Internet Security Systems). В частности один из ее продуктов, RealSecure, как раз и является таким монитором безопасности. Этот продукт служит для контроля некоторого IP сегмента сети и оповещает администратора, если имеет место нарушение сетевой безопасности. Эта система обнаруживает многие известные атаки, например, такие, которые связаны с фрагментацией IP пакетов и др.

Обнаружение атак строится на выявлении сигнатур атак. Для этого продукта существует база данных, содержащая сигнатуры уже известных атак. Именно эти удаленные воздействия и способен обнаружить RealSecure.

3. СИСТЕМАТИЗАЦИЯ УДАЛЕННЫХ АТАК




Для того чтобы разработать общий подход к обнаружению удаленных воздействий, необходимо систематизировать причины успеха удаленных атак. Как уже отмечалось, использующийся в настоящее время подход заключается в определении сигнатур атак после того, как они были осуществлены. Предлагаемый подход заключается в анализе причин успеха удаленных атак, систематизации этих причин на основе этой информации и обнаружение удаленных воздействий на основании приведенной систематизации.


3.1. Обзор существующих классификаций




Основная цель любой классификации состоит в том, чтобы предложить такие классификационные признаки, используя которые можно наиболее точно описать классифицируемые явления или объекты. Поскольку между локальными и удаленными воздействиями на ВС существует большая разница, то применение уже известных обобщенных классификаций для описания удаленных воздействий не позволяет достаточно точно описать именно удаленные воздействия. Это связано с тем, что такие воздействия характеризуются сугубо специфичными признаками для распределенных вычислительных систем.

Основной особенностью распределенной системы является то, что ее компоненты рассредоточены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений, а программно – при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

Исходя из этого удаленные атаки можно классифицировать по следующим признакам /3/:
  • по характеру воздействия;
  • по цели воздействия;
  • по условию начала осуществления воздействия;
  • по наличию обратной связи с атакуемым объектом;
  • по уровню модели протоколов в сети Internet.

Кроме того, существуют такие классификации как [3]:
  • список терминов;
  • список категорий;
  • матрицы.


Все эти классификации направлены на то, чтобы классифицировать воздействия, присущие РВС, и систематизировать знания об удаленных атаках, которые осуществлены на данный момент времени. Но они не могут быть использованы для разработки метода обнаружения удаленных воздействий, поскольку не затрагивают механизмов их осуществления. Все эти классификации основаны на анализе последствий удаленных атак и условий их возникновения.

Основным достоинством этих классификаций является простота. Их основным недостатком является то, что все они разрабатывались с точки зрения последствий, к которым приводят данные атаки.


3.2. Построение классификации удаленных атак




На основе проведенного анализа предлагается систематизировать атаки с точки зрения причин, благодаря которым атака была успешно осуществлена. Систематизация по причинам успеха удаленных атак включает в себя следующие основные признаки: неправильное использование протокола, нарушение ресурсных ограничений, ошибки в реализации политики безопасности. Тогда расширенная классификация атак будет включать в себя:
  • Неправильное использование протокола:
    1. Ошибки в полях заголовков пакетов. Форматы Internet протоколов четко специфицированы и меняться не могут. Ошибки (намеренные или нет) возможны в некоторых полях протоколов. Например, ошибкой можно считать в IP пакете равенство адресов приемника и источника, неверное значение контрольной суммы и т.д. В первую очередь необходимо производить анализ на наличие таких, казалось бы, очевидных ошибок.
    2. Некорректная динамика использования. Под динамикой использования подразумевается то, что для некоторых действий, таких как пересылка больших данных, установка TCP соединения, характерна отправка не одного, а нескольких пакетов. Тогда каждый отдельный пакет может быть корректным, а все пакеты, собранные вместе, могут приводить к нежелательным последствиям. Примером такой динамики использования может служит IP фрагментация, когда данные передаются не в одном, а нескольких IP пакетах и уже упомянутая установка TCP соединения.
    3. Некорректное использование протоколов, позволяющих изменять информацию на хосте или маршрутизаторе или предназначенных для разрешения адресов. Возможность проведения той или иной атаки иногда вытекает из назначения самого протокола. Например, есть т.н. управляющие протоколы (например, DNS) и управляющие сообщения (например, ICMP Redirect). С помощью таких пакетов можно менять информацию, например, на маршрутизаторе. DNS – служба имен доменов и предназначен для разрешения имен; т.е., например, по имени некоторого сайта можно получить его IP адрес. В этом случае с помощью этого протокола можно направить пользователя, например, вместо ссылка скрыта на ссылка скрыта.
  • Нарушение ограничений, накладываемых на ресурсы.

Многие атаки осуществляются из-за того, что не хватает ресурсов системы для того, чтобы, обработать все входящие пакеты, отправить ответ, или существует неявное ограничение на количество соединений на одном порте и т.д. Например, в сетевых ОС существуют ограничение на количество соединений на определенных портах (например, FTP порте). Тогда для того чтобы этот порт стал недоступен для подключения злоумышленнику достаточно открыть на этом порте максимально возможное количество соединений.
  • Ошибки в ограничениях, накладываемых политикой безопасности.

Наиболее трудно выявляемый класс атак, связан, по большей части, с ошибками администрирования. Для того чтобы предотвратить атаки, использующие «дыры» в политике безопасности, необходимо проанализировать эту политику. Здесь также возникает ряд проблем, связанных, прежде всего, с критериями, в соответствие с которыми необходимо анализировать политику, с системой, к которой применяется политика безопасности и т.д. Примером ошибки администрирования может служит включение пользователя Guest в группу Domain Admins (в Windows NT).


Построенная классификация является средством, на основании которого можно разработать общий метод обнаружения удаленных воздействий. Поскольку классификация учитывает все возможные пути осуществления удаленных атак, представляется возможным перекрыть эти пути. Построенный таким образом механизм позволит обнаруживать удаленные атаки (даже те, которые еще не были осуществлены).


3.3. Разработка метода обнаружения удаленных атак




На основе приведенной систематизации можно построить метод обнаружения удаленных атак. Метод будет построен только для протоколов сетевого и транспортного уровня.

Для того чтобы предотвратить отдельные атаки, необходимо определить список тех Internet пакетов, которые не могут быть пропущены в систему, условно назовем его списком запрещенных пакетов. Это необходимо для предотвращения тех атак, которые используют определенного типа пакеты. Например, можно сделать так, чтобы инициатором соединения мог выступать только защищаемый хост, а извне к нему доступ запретить, не пропуская пакеты TCP SYN – запросы на установку TCP соединения.

Для того чтобы обнаружить удаленную атаку, необходимо:
  • определить все заголовки пакета, построить их иерархию в соответствии с моделью протоколов сети Internet. Проверка осуществляется, начиная с сетевого уровня (IP-, ARP-заголовки);
  • проверяются на корректность данные в полях заголовка. Если будут обнаружены ошибки в этих данных, то, значит, пакет не прошел проверку и, возможно, осуществляется удаленная атака. Если ошибок нет, то переходим к п. 3), в противном случае, пакет не допускается к дальнейшей обработке;
  • проверяется корректность последовательности пакетов, если приходящий пакет в ней участвует. Если он не участвует ни в какой последовательности, то он проходит эту проверку и осуществляется проверка №4. Если же он участвует в такой последовательности, то он запоминается и проверяется вся последовательность пакетов, к которой принадлежит пришедший, на предмет того, может ли . Если заголовок корректен с этой точки зрения, то осуществляется проверка №4, если нет, то пакет не допускается к дальнейшей обработке;
  • проверяется тот факт, не приведет ли пакет к нарушению ограничений на ресурсы системы. Например, известно, что в сетевых ОС существуют ограничения на количество соединений, которые можно открыть на определенном порте. Тогда под нарушением ограничения на этот ресурс будет пониматься попытка открыть большее количество соединений, чем позволяет ограничение. В этом случае такой пакет не проходит проверку и отбрасывается, в противном случае переход к п. 5);
  • проверка того, входит ли пакет в список запрещенных. В основном, это касается таких пакетов, как ICMP Redirect, который, потенциально может привести к нарушению данных маршрутизации. Если пришедший пакет попадает в этот список, то он не пропускается в систему и отбрасывается;
  • если заголовок пакета успешно прошел проверки, обозначенные в пунктах 2) – 5), то выбирается следующий по уровню модели протоколов сети Internet заголовок. При этом существует ограничение, что уровень анализируемого заголовка не должен быть выше транспортного. Если требуемый заголовок присутствует, то переход к п. 2), если нет, то все заголовки прошли проверку и пакет в целом считается корректным.


Блок-схема описанного алгоритма представлена в приложении 1.

Необходимо отметить тот факт, что настоящий метод предлагается для обнаружения атак для протоколов по уровню не выше транспортного, поэтому в рассмотрение не попадают такие протоколы как DNS, FTP, Telnet и другие протоколы прикладного уровня.

ЗАКЛЮЧЕНИЕ




Бурный количественный рост пользователей Internet и увеличение предоставляемых пользователям возможностей сдерживается опасностью удаленных атак. Атаки осуществляются как на отдельных пользователей, так и на организации, нанося при этом громадный моральный и материальный ущерб. Это обуславливает необходимость разработки средств защиты, которые обнаруживали бы атаки и препятствовали бы их осуществлению.

В настоящее время механизмы обнаружения удаленных атак разрабатываются только после анализа осуществленных атак. Основное достоинство этого подхода – выявление всех тонкостей атаки, а недостаток – атака, хотя бы раз, будет реализована. В настоящей работе предложен иной подход решения проблемы обнаружения удаленных атак, в основе которого лежит систематизация причин успеха удаленных атак.

Предложенная систематизация показывает, что причины успеха удаленных атак сводятся к трем основным причинам. Необходимо отметить, что предложенная систематизация не является полной, поскольку не рассматривает, например, атаки, направленные на соединения между хостами. Несмотря на этот недостаток, данная систематизация позволяет разработать метод обнаружения удаленных воздействий, который применим к атакам, осуществляемым на сетевом и транспортном уровнях модели протоколов.

В качестве примера практического использования метода реализован алгоритм обнаружения удаленной атаки TCP flooding. В соответствии с предложенным методом были выявлены причины успеха этой атаки, набор параметров, которые необходимо контролировать, и разработан алгоритм обнаружения атаки TCP flooding.

Таким образом в настоящей работе построена систематизация удаленных атак, на основании которой был разработан метод обнаружения удаленных атак и практически реализован алгоритм обнаружения одной из удаленных атак.

В дальнейшем необходимо дополнить систематизацию успеха удаленных атак и распространить разработанный метод на атаки, которые осуществляются на прикладном уровне модели протоколов сети Internet.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ




  1. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Internet. НПО «Мир и семья-95», 1997.
  2. Howard J.D. An Analysis Of Security Incidents On The Internet - 1989 – 1995. Engineering and Public Policy dissertation, Carnegie-Mellon University, April 7, 1997.
  3. Cohen Fred. Simulating Cyber Attacks, Defenses, and Consequences. Fred Cohen & Associates, March, 1999.
  4. RealSecure User’s Guide and Reference Manual. Internet Security Systems, 1996. Доступно с ealSecure.
  5. RFC 790, RFC791 – формат IP протокола.
  6. RFC 793 – формат TCP протокола.
  7. RFC 792 – формат ICMP протокола.



ПРИЛОЖЕНИЕ




СХЕМА АЛГОРИТМА ОБНАРУЖЕНИЯ АТАКИ



Схема разработанного алгоритма для обнаружения удаленных атак типа TCP flooding представлена на рисунках 1 и 2.








Рис.2. Схема алгоритма