- •Моделирование процессов удаленного проникновения в операционную среду компьютера
- •1. Моделирование в области обеспечения защиты информации
- •1.1. Общие аспекты
- •1.2. Аналитическое моделирование
- •1.3. Имитационное моделирование
- •2. Угрозы удаленного проникновения в операционную среду компьютера
- •2.1. Общая классификация сетевых атак
- •2.2. Атаки, направленные на нарушение конфиденциальности и целостности информации
- •3. Аналитическое моделирование угроз удаленного проникновения в операционную среду компьютера
- •3.1. Моделирование удаленного проникновения в операционную среду без применения мер и средств защиты
- •3.1.1. Моделирование подготовительного этапа – «сканирование сети»
- •3.1.2. Моделирование удаленного проникновения в операционную среду компьютера при помощи подбора паролей
- •3.1.3. Моделирование удаленного проникновения в операционную среду компьютера при помощи перехвата паролей
- •3.2. Моделирование удаленного проникновения в операционную среду с применением мер и средств защиты
- •3.2.1. Моделирование подготовительного этапа – «сканирование сети» с применением меры защиты – использование нестандартного порта сервиса
- •3.2.2. Моделирование удаленного проникновения в операционную среду компьютера с применением меры защиты – увеличенная длина пароля
- •3.2.3. Моделирование удаленного проникновения в операционную среду компьютера с применением меры защиты – ограничение количества попыток на ввод неверного пароля
- •3.2.4. Моделирование удаленного проникновения в операционную среду компьютера с применением средства защиты – шифрование
- •Обозначения для переходов и позиций сети Петри-Маркова удаленного проникновения в ос компьютера при помощи перехвата паролей, с применения меры защиты – шифрование
- •4. Имитационное моделирование угроз удаленного проникновения в операционную среду компьютера
- •4.1. Назначение и возможности программ «эмуляторов сетей Петри»
- •4.2. Особенности технической реализации «эмуляторов сетей Петри»
- •4.3. Моделирование удаленного проникновения в операционную среду компьютера
- •4.3.1. Подбор паролей
- •4.3.2. Сканирование сети
- •4.3.3. Перехват паролей
- •4.4. Сравнительный анализ временных характеристик аналитического и имитационного моделирований
- •5. Меры и средства защиты информации от угроз удаленного проникновения в операционную среду компьютера
- •5.1. Общее понятие о мерах и средствах защиты информации
- •5.2. Меры и средства защиты от удаленного проникновения в операционную среду компьютера
- •5.3. Эффективность мер и средств защиты информации от угроз удаленного проникновения
- •5.3.1. Применение нестандартного порта сервиса как меры защиты от «сканирования» сети
- •5.3.2. Определение эффективности пароля из шести символов
- •5.3.3. Ограничение на количество вводимых ошибочных паролей
- •394026 Воронеж, Московский просп., 14
3.2.4. Моделирование удаленного проникновения в операционную среду компьютера с применением средства защиты – шифрование
Использование шифрования полностью исключает перехват имен и паролей в открытом виде. Что касается проведения криптоанализа перехваченного трафика, то в настоящее время успешность его проведения ничтожно мала, к тому же использование механизма аутентификации на основе ключей RSA, делает практически невозможным получение злоумышленником доступа к необходимой ему информации.
Вид такой сети Петри-Маркова представлен на рис.3.11, а обозначения для переходов и позиций приведены в табл. 3.5.
Таблица 3.5
Обозначения для переходов и позиций сети Петри-Маркова удаленного проникновения в ос компьютера при помощи перехвата паролей, с применения меры защиты – шифрование
Элемент сети Петри |
Обозначение элемента |
Описание |
Позиция |
1(а) |
Злоумышленник имеет доступ к компьютеру, подключенному к сети. У злоумышленника имеется сменный носитель информации с программой для проведения arp-спуфинга и перехвата информации в сети |
Позиция |
2(а) |
Программа установлена и запущена |
Позиция |
3(а) |
Объекты атаки (хосты) активны |
Позиция |
4(а) |
Сканирование MAC-адресов осуществлено |
Позиция |
5(а) |
Осуществлены аутентификация и соединение по безопасному туннелю |
Позиция |
6(а) |
Настройка на проведение arp-спуфинга осуществлена |
Позиция |
7(а) |
Осуществлены аутентификация и соединение по безопасному туннелю |
Позиция |
8(а) |
Осуществлен перехват зашифрованного трафика |
Позиция |
9(а) |
Результат проведения криптоанализа |
Переход |
1(z) |
Установка сменного носителя информации с программой в компьютер |
Переход |
2(z) |
Определения MAC-адресов активных хостов |
Переход |
3(z) |
Проведение аутентификации на основе проверки ключей и соединение с сервисом |
Переход |
4(z) |
Н
Продолжение табл. 2.5 |
Переход |
5(z) |
Перехват зашифрованного трафика |
Переход |
6(z) |
Проведение криптоанализа |
Входная функция |
I(zi), I=1..6 |
I
Продолжение табл. 3.5 I(2(z)) ={2(a), 3(a)}, I(3(z)) = {3(a)}, I(4(z)) ={4(a)}, I(5(z)) ={6(a), 7(a)}, I(6(z)) ={8(a)} |
Выходная функция |
O(zi), i=1…6 |
I(1(z)) ={2(a)}, I(2(z)) = {4(a)}, I(3(z)) ={5(a)}, I(4(z)) ={6(a)}, I(5(z)) ={8(a)}, I(6z)) ={9(a)} |
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
ν1(а)6(z)=
|
|
1(z) |
2(z) |
3(z) |
4(z) |
5(z) |
6(z) |
1(a) |
1 |
0 |
0 |
0 |
0 |
0 |
|
2(a) |
1 |
1 |
0 |
0 |
0 |
0 |
|
3(a) |
0 |
1 |
0 |
1 |
0 |
0 |
|
4(a) |
0 |
2(a), 2(z)∩3(a), 2(z) |
0 |
0 |
0 |
0 |
|
5(a) |
0 |
0 |
1 |
0 |
0 |
0 |
|
6(a) |
0 |
0 |
0 |
1 |
1 |
0 |
|
7(a) |
0 |
0 |
1 |
0 |
1 |
0 |
|
8(a) |
0 |
0 |
0 |
0 |
5(a), 5(z)∩6(a), 2(z) |
1 |
|
9(a) |
0 |
0 |
0 |
0 |
0 |
1 |
Система интегро-дифференциальных уравнений для данной сети выглядит следующим образом:
(3.46)
где: - вероятность установки сменного носителя информации с программой в компьютер;
- вероятность определения MAC-адресов хостов;
- вероятность ответа хостов;
- вероятность настройки параметров программы для осуществления спуфинга;
- вероятность перехвата зашифрованного трафика;
- вероятность аутентификации;
- вероятность подключения одного из пользователей к сервису;
- вероятность проведения криптоанализа и осуществления подключения к сервису;
Вероятность перехода сети Петри-Маркова из начального состояния в конечное состояние определяется как вероятность того, что ко времени t перемещение пройдет по всей сети, от начального состояния до конечного перехода:
(3.47)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
(3.48)
где: - интенсивность установки сменного носителя информации с программой в компьютер;
- интенсивность определения MAC-адресов хостов;
- интенсивность ответа хостов;
- интенсивность настройки параметров программы осуществления спуфинга;
- интенсивность перехвата зашифрованного трафика;
- интенсивность осуществления аутентификации;
- интенсивность подключения одного из пользователей к сервису;
- интенсивность проведения криптоанализа и осуществления подключения к сервису,
где τi,j (i=1..7, j=1..6) - средние времена вышеперечисленных действий соответственно.
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
(3.49)
(3.50)
(3.51)
(3.52)
(3.53)
(3.54)
Подставляя в это выражение полученные значения временных характеристик получаем, с учетом того, что к моменту успешного криптоанализа, информация уже потеряет ценность (примем время проведения криптоанализа стремящееся к бесконечности ( )):
(3.55)
Построены модели удаленного проникновения в ОС компьютера, используя сетевые протоколы управления и обмена файлами и, определены временные и вероятностные характеристики реализации проникновения.