- •Моделирование процессов удаленного проникновения в операционную среду компьютера
- •1. Моделирование в области обеспечения защиты информации
- •1.1. Общие аспекты
- •1.2. Аналитическое моделирование
- •1.3. Имитационное моделирование
- •2. Угрозы удаленного проникновения в операционную среду компьютера
- •2.1. Общая классификация сетевых атак
- •2.2. Атаки, направленные на нарушение конфиденциальности и целостности информации
- •3. Аналитическое моделирование угроз удаленного проникновения в операционную среду компьютера
- •3.1. Моделирование удаленного проникновения в операционную среду без применения мер и средств защиты
- •3.1.1. Моделирование подготовительного этапа – «сканирование сети»
- •3.1.2. Моделирование удаленного проникновения в операционную среду компьютера при помощи подбора паролей
- •3.1.3. Моделирование удаленного проникновения в операционную среду компьютера при помощи перехвата паролей
- •3.2. Моделирование удаленного проникновения в операционную среду с применением мер и средств защиты
- •3.2.1. Моделирование подготовительного этапа – «сканирование сети» с применением меры защиты – использование нестандартного порта сервиса
- •3.2.2. Моделирование удаленного проникновения в операционную среду компьютера с применением меры защиты – увеличенная длина пароля
- •3.2.3. Моделирование удаленного проникновения в операционную среду компьютера с применением меры защиты – ограничение количества попыток на ввод неверного пароля
- •3.2.4. Моделирование удаленного проникновения в операционную среду компьютера с применением средства защиты – шифрование
- •Обозначения для переходов и позиций сети Петри-Маркова удаленного проникновения в ос компьютера при помощи перехвата паролей, с применения меры защиты – шифрование
- •4. Имитационное моделирование угроз удаленного проникновения в операционную среду компьютера
- •4.1. Назначение и возможности программ «эмуляторов сетей Петри»
- •4.2. Особенности технической реализации «эмуляторов сетей Петри»
- •4.3. Моделирование удаленного проникновения в операционную среду компьютера
- •4.3.1. Подбор паролей
- •4.3.2. Сканирование сети
- •4.3.3. Перехват паролей
- •4.4. Сравнительный анализ временных характеристик аналитического и имитационного моделирований
- •5. Меры и средства защиты информации от угроз удаленного проникновения в операционную среду компьютера
- •5.1. Общее понятие о мерах и средствах защиты информации
- •5.2. Меры и средства защиты от удаленного проникновения в операционную среду компьютера
- •5.3. Эффективность мер и средств защиты информации от угроз удаленного проникновения
- •5.3.1. Применение нестандартного порта сервиса как меры защиты от «сканирования» сети
- •5.3.2. Определение эффективности пароля из шести символов
- •5.3.3. Ограничение на количество вводимых ошибочных паролей
- •394026 Воронеж, Московский просп., 14
3. Аналитическое моделирование угроз удаленного проникновения в операционную среду компьютера
3.1. Моделирование удаленного проникновения в операционную среду без применения мер и средств защиты
3.1.1. Моделирование подготовительного этапа – «сканирование сети»
Прежде чем перейти непосредственно к удаленному проникновению следует знать информацию о структуре сети и сервисах, функционирующих на хостах сети. Рассмотрим и смоделируем с помощью сети Петри-Маркова подготовку к проведению атаки, а именно «сканирование» сети.
Для реализации данного действия злоумышленнику необходим компьютер, подключенный к сети и заранее приготовленное программное обеспечение для осуществления сбора информации. После того как доступ к необходимому компьютеру получен, и носитель информации с программой установлен, происходит ее запуск. Некоторые программы данного типа обладают функциями автоматического определения IP-адреса компьютера, на котором они запущены (в рассматриваемом случае используется программный продукт именно такого типа). Затем происходит настройка параметров для «сканирования» это может быть осуществлено как вручную, так и автоматически. Далее осуществляется последовательный опрос, путем посылки эхо-запросов, хостов в указанном диапазоне IP-адресов в многопоточном режиме. Если хост определен как активный, то осуществляется определение наличия функционирующего сервиса, в рассматриваемом случае наличие запущенного telnet-сервиса или ftp-сервиса. Стандартными портами для этих сервисов являются 21 порт для ftp-сервиса и 23 порт для telnet-сервиса. Результатом данного этапа будет определение из множества компьютеров, подключенных к сети, необходимого для последующего проникновения.
Вид такой сети Петри-Маркова представлен на рис. 3.1, а обозначения для переходов и позиций приведены в табл. 3.1.
Таблица 3.1
Обозначения для переходов и позиций сети Петри-Маркова подготовительного этапа – «сканирование» сети
Элемент сети Петри |
Обозначе-ние элемента |
Описание |
Позиция |
1(а) |
Злоумышленник имеет доступ к компьютеру, подключенному к сети. У злоумышленника имеется сменный носитель информации с программой для осуществления «сканирования» сети |
Позиция |
2(а) |
Программа установлена |
Позиция |
3(а) |
Параметры программы настроены |
Позиция |
4(а) |
Сбор данных о ресурсах сети осуществлен |
Переход |
1(z) |
Установка сменного носителя информации с программой в компьютер |
Переход |
2(z) |
Запуск и настройка параметров приложения |
Переход |
3(z) |
Определение активных хостов в сети и функционирующих на них сервисов |
Входная функция |
I(zi), I=1..3 |
I(1(z)) ={1(a)}, I(2(z)) ={2(a)}, I(3(z)) = {3(a)} |
Выходная функция |
O(zi), i=1…3 |
I(1(z)) ={2(a)}, I(2(z)) = {3(a)}, I(3(z)) ={4(a)} |
Рис. 3.1. Вид сети Петри-Маркова подготовительного этапа – «сканирование» сети
Элементы матрицы, определяющие логические функции срабатывания сети, могут быть записаны (без учета направленности дуг графа) следующим образом:
ν1(а)3(z)=
|
|
1(z) |
2(z) |
3(z) |
1(a) |
1 |
0 |
0 |
|
2(a) |
1 |
1 |
0
(3.1) |
|
3(a) |
0 |
1 |
1 |
|
4(a) |
0 |
0 |
1 |
Поскольку полушаг из перехода в позицию срабатывает мгновенно, то динамика срабатывания сети определяется только вероятностями срабатывания сети (перемещения из состояния в переход) и плотностями распределения времени нахождения процесса в каждом состоянии. Тогда в данной сети достаточно рассмотреть процесс перехода из начального состояния 1(а) в конечный переход 3(z).
Система интегро-дифференциальных уравнений для данной сети выглядит следующим образом:
(3.2)
где: - вероятность установки сменного носителя информации с программой в компьютер;
- вероятность запуска и настройки параметров приложения;
- вероятность определения активных хостов и сервисов в сети.
Вероятность перехода сети Петри-Маркова из начального состояния в конечное состояние определяется как вероятность того, что ко времени t перемещение пройдет по всей сети, от начального состояния до конечного перехода:
(3.3)
Полагаем, что плотности распределения вероятностей являются экспоненциальными зависимостями и имеют вид:
(3.4)
где: - интенсивность установки сменного носителя информации с программой в компьютер;
- интенсивность запуска и настройка параметров приложения;
- интенсивность определение активных хостов и сервисов в сети,
где τi,j (i=1..3, j=1..3) - средние времена вышеперечисленных действий соответственно.
Тогда применяя преобразование Лапласа, система интегро-дифференциальных уравнений сводится к системе алгебраических уравнений:
(3.5)
где: ( – обратное преобразование Лапласа с параметром ).
Решая данную систему алгебраических уравнений, получаем:
(3.6)
Затем, с учетом того, что , применяя обратное преобразование Лапласа, получаем:
(3.7)
Применяя пуассоновское приближение, получаем среднее время перемещения по сети Петри-Маркова из начальной позиции до конечного перехода и вероятность этого перемещения:
(3.8)
(3.9)
Подставляя в это выражение полученные значения временных характеристик получаем при с:
(3.10)
На рис. 3.2 представлена зависимость от времени вероятности реализации подготовительного этапа – «сканирование сети» без применения мер и средств защиты.
Рис. 3.2. Зависимость от времени вероятности реализации сканирования хостов в сети и определения функционирующих сервисов