- •Моделирование процессов удаленного проникновения в операционную среду компьютера
- •1. Моделирование в области обеспечения защиты информации
- •1.1. Общие аспекты
- •1.2. Аналитическое моделирование
- •1.3. Имитационное моделирование
- •2. Угрозы удаленного проникновения в операционную среду компьютера
- •2.1. Общая классификация сетевых атак
- •2.2. Атаки, направленные на нарушение конфиденциальности и целостности информации
- •3. Аналитическое моделирование угроз удаленного проникновения в операционную среду компьютера
- •3.1. Моделирование удаленного проникновения в операционную среду без применения мер и средств защиты
- •3.1.1. Моделирование подготовительного этапа – «сканирование сети»
- •3.1.2. Моделирование удаленного проникновения в операционную среду компьютера при помощи подбора паролей
- •3.1.3. Моделирование удаленного проникновения в операционную среду компьютера при помощи перехвата паролей
- •3.2. Моделирование удаленного проникновения в операционную среду с применением мер и средств защиты
- •3.2.1. Моделирование подготовительного этапа – «сканирование сети» с применением меры защиты – использование нестандартного порта сервиса
- •3.2.2. Моделирование удаленного проникновения в операционную среду компьютера с применением меры защиты – увеличенная длина пароля
- •3.2.3. Моделирование удаленного проникновения в операционную среду компьютера с применением меры защиты – ограничение количества попыток на ввод неверного пароля
- •3.2.4. Моделирование удаленного проникновения в операционную среду компьютера с применением средства защиты – шифрование
- •Обозначения для переходов и позиций сети Петри-Маркова удаленного проникновения в ос компьютера при помощи перехвата паролей, с применения меры защиты – шифрование
- •4. Имитационное моделирование угроз удаленного проникновения в операционную среду компьютера
- •4.1. Назначение и возможности программ «эмуляторов сетей Петри»
- •4.2. Особенности технической реализации «эмуляторов сетей Петри»
- •4.3. Моделирование удаленного проникновения в операционную среду компьютера
- •4.3.1. Подбор паролей
- •4.3.2. Сканирование сети
- •4.3.3. Перехват паролей
- •4.4. Сравнительный анализ временных характеристик аналитического и имитационного моделирований
- •5. Меры и средства защиты информации от угроз удаленного проникновения в операционную среду компьютера
- •5.1. Общее понятие о мерах и средствах защиты информации
- •5.2. Меры и средства защиты от удаленного проникновения в операционную среду компьютера
- •5.3. Эффективность мер и средств защиты информации от угроз удаленного проникновения
- •5.3.1. Применение нестандартного порта сервиса как меры защиты от «сканирования» сети
- •5.3.2. Определение эффективности пароля из шести символов
- •5.3.3. Ограничение на количество вводимых ошибочных паролей
- •394026 Воронеж, Московский просп., 14
2.2. Атаки, направленные на нарушение конфиденциальности и целостности информации
К подобным атакам может быть отнесено множество атак имеющих различную классификацию по представленной выше схеме. Например, анализ сетевого трафика, «парольная» атака, удаленный запуск приложений и др.
Наиболее простыми, но от этого не менее эффективными являются атаки типа «Man in the Middle», на основе проведения arp-спуфинга и «парольная» атака, на основе подбора паролей по сети. Целью данных атак является получение пароля к какому-либо сервису на удаленном компьютере. В нашем случае рассматриваются стандартные встроенные сервисы ОС Windows XP (впрочем, они имеются и во многих других ОС) telnet и ftp.
Дадим краткую характеристику каждой из атак.
Атака типа «Man in the Middle», на основе проведения arp-спуфинга (известная также как ARP Redirect). При данной атаке злоумышленник перехватывает сетевой трафик между двумя или более хостами, и получает доступ ко всей передаваемой между ними информации. Цель такой атаки – кража или фальсифицирование передаваемой информации, или же получение доступа к ресурсам сети.
Рассмотрим как осуществляется данная атака. Протокол ARP (Address Resolution Protocol – протокол отображения адресов) реализует механизм отображения IP-адресов в MAC-адреса Ethernet. Сетевое оборудование общается между собой путем обмена Ethernet-фреймов (в Ethernet-сети), на канальном уровне. Для обеспечения возможности передачи этой информации необходимо, чтобы каждый сетевой интерфейс имел свой уникальный адрес в сети Ethernet [79]. Он называется MAC-адресом. При посылке IP-пакета, отправляющая машина должна знать MAC-адрес получателя. Чтобы его узнать, в локальную сеть посылается широковещательный ARP-запрос для определения соответствия между MAC-адресом и IP-адресом. Машина с соответствующим IP-адресом отвечает ARP-пакетом, содержащим запрошенный MAC-адрес. С этого момента, отправляющая машина знает MAC-адрес соответствующий IP-адресу назначения. Это соответствие сохраняется некоторое время в кэше (чтобы не выполнять запрос каждый раз при посылке IP-пакета). Рассматриваемая атака изменяет кэш атакуемого хоста. Злоумышленник шлет ARP-ответы атакуемому хосту с информацией о новом MAC-адресе, соответствующем, например, IP-адресу сервера. На самом деле, этот MAC-адрес соответствует интерфейсу машины злоумышленника. Следовательно, весь трафик к шлюзу будет теперь получать хост злоумышленника. Затем можно осуществлять перехват трафика. После этого, трафик будет направляться по настоящему адресу и таким образом перехват будет незамечен.
Атака arp-спуфинг используется в локальной сети, построенной на коммутаторах. Для ее реализации, злоумышленник может воспользоваться такими программами как Ettercap и Cain&Abel, причем в данных программах реализована обработка перехватываемого трафика и выделение интересующих частей, таких, как имя и пароль. Подобную атаку довольно сложно обнаружить, так как обычно злоумышленник находится внутри организации.
«Парольная» атака, на основе подбора паролей по сети. При данной атаке злоумышленник после установки соединения с сервисом на удаленном компьютере, осуществляет последовательный ввод имени и пароля, если такая пара имя «+» пароль существуют для данного сервиса (telnet, ftp или др.), то осуществляется доступ к данному сервису. После того как злоумышленник получил доступ к данному сервису, он может осуществлять ряд действий в рамках полномочий той учетной записи, под которой он осуществил проникновение.
На практике попытка подобрать имя и пароль для осуществления входа на сервис удаленного компьютера, перебирая различные варианты и вводя их с клавиатуры неэффективна. Скорость такого подбора пароля будет очень низкой. Более эффективным является подбор паролей при помощи специальных программ, например Brutus, Hydra и др. Данные программы являются многофункциональными и способны подбирать пароли к различным сервисам (в том числе к telnet и ftp), с различными параметрами для реализации подбора (различных вариантов осуществления подбора). Так же важным моментом является знание имени пользователя зарегистрированного на сервисе удаленного компьютера, в противном случае подбор паролей для всех возможных имен будет практически неосуществим.
Кроме рассмотренных атак, необходимо рассмотреть вариант, когда злоумышленнику не известен IP-адрес хоста с необходимой ему информацией. В этом случае злоумышленнику необходимо предварительно провести подготовку к реализации дальнейших атак, т.е. определить IP-адрес хоста и функционирующие на нем сервисы. Например, при обнаружении функционирующего сервиса на 21 порту, можно сделать вывод о том, что данный хост является файловым сервером. Для выполнения данной функции существуют множество различных программ, среди которых, Angry IP Scanner, NMAP и др.
Рассмотрев угрозы удаленного проникновения в ОС компьютера, перейдем к рассмотрению мер и средств защиты.