- •Введение
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с удаленным и непосредственным доступом к ее элементам
- •Механизмы взаимодействия элементов иткс
- •1.2. Понятие угрозы информационной безопасности иткс
- •1.3. Уязвимости иткс
- •1.3.1. Уязвимости иткс в отношении угроз удаленного доступа
- •1.4. Классификация и описание процессов реализации угроз удаленного доступа к элементам иткс
- •1.4.1. Классификация атак
- •1.4.1.2. Классификация удаленных атак
- •1.4.2. Описание атак как процессов реализации угроз
- •1.4.2.1. Описание процессов реализации угроз удаленного доступа к элементам иткс
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным и удаленным доступом к элементам иткс
- •2.1. Общее понятие о мерах и средствах защиты информации. Выбор актуальных направлений для защиты иткс от исследуемых атак
- •2.2. Криптографические меры
- •2.2.1. Применение криптографических протоколов
- •2.2.2. Создание виртуальных частных сетей
- •2.3. Применение межсетевых экранов
- •2.4.1. Виды межсетевых экранов
- •2.4.1.1. Фильтрующие маршрутизаторы
- •2.4.1.2. Шлюзы сеансового уровня
- •2.4.1.3. Шлюзы уровня приложений
- •2.4.2. Реализация функций межсетевых экранов
- •2.4.2.1. Механизм трансляции сетевых адресов
- •2.4.2.2. Дополнительная идентификация и аутентификация
- •2.4.3. Анализ достоинств и недостатков применения межсетевых экранов
- •2.5. Применение специфической конфигурации иткс для защиты от исследуемых атак
- •2.5.1. Применение коммутаторов в сети
- •2.5.2. Применение статических arp-таблиц
- •2.5.3. Специальные правила работы протоколов маршрутизации
- •2.5.4. Применение технологии «тонкого клиента»
- •Глава 3. Определение объектов защиты от угроз удаленного доступа
- •3.1. Определение множества объектов защиты
- •3.1.1. Определение множества типов иткс с учетом их назначения и специфики функционирования
- •3.1.2. Определение функциональных требований к иткс различных типов
- •3.1.3. Определение характеристик атак, реализуемых в отношении иткс различных типов
- •3.2.Определение множеств мер защиты, применимых для иткс различных типов
- •3.2.1. Обоснование требований безопасности для иткс различных типов
- •3.2.2. Рекомендации по реализации защиты иткс различных типов
- •3.3. Определение комплексов мер защиты иткс различных типов
- •3.3.1. Выявление соответствия применяемых мер защиты функциональным требованиям к иткс
- •3.3.2. Определение отношения рассматриваемых мер защиты к противодействию исследуемым атакам
- •Глава 4. Аналитическое моделирование процессов реализации угроз удаленного доступа к элементам иткс
- •4.1.Моделирование процессов реализации сетевого анализа
- •4.1.1. Сниффинг пакетов в сети без коммутаторов
- •4.1.2. Сканирование сети
- •4.2. Моделирование процесса реализации атаки «Отказ в обслуживании» (syn-flood)
- •4.3. Моделирование процессов реализации внедрения в сеть ложного объекта
- •4.3.1. Внедрение в сеть ложного объекта на основе недостатков алгоритмов удаленного поиска (arp-spoofing)
- •4.3.2. Внедрение в сеть ложного объекта путем навязывания ложного маршрута
- •4.4. Моделирование процессов реализации подмены доверенного объекта сети
- •4.4.1. Подмена доверенного объекта сети (ip-spoofing)
- •4.4.2. Подмена доверенного объекта сети. Перехват tcp-сессии (ip-hijacking)
- •4.5. Моделирование процессов реализации внедрения ложного dns-сервера
- •4.5.1. Внедрение ложного dns-сервера
- •4.5.2. Межсегментное внедрение ложного dns-сервера
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз удаленного доступа к элементам иткс
- •5.1. Выбор параметров для осуществления количественного анализа рисков иткс
- •5.1.1. Определение видов ущерба иткс при реализации угроз удаленного доступа к ее элементам
- •5.1.2. Определение взаимосвязей между атаками и их отношения к видам наносимого ущерба
- •5.2. Определение вероятностей реализации атак
- •5.2.1. Выбор закона Пуассона в качестве закона распределения вероятностей возникновения атак
- •5.2.2. Расчет интенсивности возникновения атак
- •5.2.3. Расчет вероятности реализации атак
- •5.3. Расчет рисков реализации угроз удаленного доступа к элементам иткс
- •5.4. Расчет рисков реализации угроз, наносящих различный ущерб
- •5.4.1. Оценка ущерба от реализации атак
- •5.4.2. Оценка вероятностей реализации атак
- •5.4.3. Нахождение распределения вероятностей нанесения ущерба в условиях воздействия нескольких атак
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам удаленного доступа к элементам иткс
- •6.1. Понятие эффективности защиты информации
- •6.2. Алгоритм оценки эффективности применения комплексов мер
- •6.2.1. Введение функции соответствия исследуемого показателя требованиям
- •6.2.2. Расчет общей эффективности применения комплексов мер защиты иткс
- •6.3.Оценка соответствия функциональным требованиям при применении комплексов мер защиты
- •6.4. Оценка эффективности защиты иткс
- •6.4.1. Оценка вероятностных параметров реализации атак
- •6.4.1.1. Сниффинг пакетов в сети без коммутаторов
- •6.4.1.2. Сканирование сети
- •6.4.1.3. Отказ в обслуживании syn-flood
- •6.4.1.4. Внедрение ложного объекта (arp-спуфинг)
- •6.4.1.5.Внедрение ложного объекта (на основе недостатков протоколов маршрутизации)
- •6.4.1.6. Подмена доверенного объекта (ip-hijacking)
- •6.4.1.7. Подмена доверенного объекта (перехват сессии)
- •6.4.1.8. Внедрение ложного dns-сервера
- •6.4.2. Расчет рисков иткс при использовании мер противодействия угрозам удаленного доступа
- •6.4.3. Численная оценка эффективности защиты иткс
- •6.4.3.1.Оценка эффективности защиты иткс при фиксированной активности злоумышленника
- •6.4.3.2. Оценка защищенности иткс как функции от активности злоумышленника
- •6.5. Оценка общей эффективности применения комплексов мер защиты иткс
- •Заключение
- •Библиографический список
- •Глава 1. Информационно-телекоммуникационная система как объект атак, связанных с удаленным и непосредственным доступом к ее элементам 6
- •Глава 2. Меры и средства защиты от атак, связанных с непосредственным и удаленным доступом к элементам иткс 42
- •Глава 3. Определение объектов защиты от угроз удаленного доступа 87
- •Глава 4. Аналитическое моделирование процессов реализации угроз удаленного доступа к элементам иткс 112
- •Глава 5. Методика анализа и регулирования рисков при реализации нескольких угроз удаленного доступа к элементам иткс 158
- •Глава 6. Оценка эффективности применения комплексов мер противодействия угрозам удаленного доступа к элементам иткс 196
- •394026 Воронеж, Московский просп., 14
2.4.1.2. Шлюзы сеансового уровня
Посредник (транспортного) уровня соединения (circuit-level proxy) — это подсистема МЭ, осуществляющая посреднические услуги по передаче данных на уровне соединения TCP двумя компьютерами в сети. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух TCP-соединений. Весь процесс связи состоит из следующих шагов:
— компьютер-инициатор начинает процесс установки TCP-соединения с посредником;
— посредник проверяет допустимость установления связи компьютером-инициатором;
— посредник протоколирует попытку установки связи и/или уведомляет о ней администратора безопасности;
— если связь недопустима, то посредник завершает процесс связи, иначе процесс продолжается;
— посредник устанавливает TCP-соединение с компьютером-адресатом;
— посредник завершает установление связи с компьютером-инициатором;
— посредник копирует (пересылает) данные из одного соединения в другое в обоих направлениях и, возможно, протоколирует пересылаемые данные;
— посредник завершает процесс связи по требованию одной из сторон или по собственной инициативе;
— посредник протоколирует причину завершения связи, а также записывает статистическую информацию о состоявшемся сеансе связи.
Следует отметить, что компьютер-инициатор не передает посреднику имя компьютера-адресата — его цифровой адрес и номер TCP-порта фиксированы для конкретного посредника и известны. Из этого замечания следует, что, во-первых, связь через посредника осуществляется от многих к одному, а, во-вторых, посредники уровня соединения используются только для организации безопасного соединения от внешних компьютеров (удаленных рабочих станций) к внутреннему компьютеру (серверу поддержки локальной сети или информационному серверу). Тем не менее, возможен случай, когда компьютеров-адресатов будет несколько — случай применения техники «зеркального отображения» сервера. При этом посредник, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных. Алгоритм выбора может быть одним из следующих (или их комбинацией):
— циклический выбор,
— случайный выбор,
— выбор наиболее доступного (с минимальным временем ответа на ping-запрос),
— выбор с минимальным временем ответа на запрос установления связи,
— выбор наименее загруженного (с минимальной текущей загрузкой процессора).
Под безопасностью связи подразумевается то, что после установления связи факт ее существования уже запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта связи (и ее некоторых доступных параметров) означает не только возможность в дальнейшем выследить злоумышленника, но и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые посредником при проверке допустимости связи.
Проверка допустимости связи выполняется посредником непосредственно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться (в порядке убывания значимости):
— IP-адрес компьютера-инициатора,
— начальный номер (SYN) пакета TCP-соединения,
— дополнительные параметры TCP-соединения.
Возможными используемыми данными окружающей среды являются (в порядке убывания значимости):
— ответ DNS-сервера на запрос о символьном имени компьютера-инициатора,
— сетевой интерфейс контроля,
— текущее время запроса соединения,
— текущее количество соединений с компьютером-адресатом (от компьютера-инициатора, от сети компьютера-инициатора, общее число и т.п.) через посредника.
К статистическим данным (обновляемым после каждой попытки соединения) относятся:
— частота запроса соединений от данного компьютера-инициатора,
— отношение количества отвергнутых запросов к общему числу запросов,
— типичный объем и характер пересылаемых по TCP-соединению данных.
Наиболее важными из перечисленных выше являются IP-адрес компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. По цифровому адресу компьютера можно запретить доступ (или разрешить доступ только) для компьютеров из определенных сетей, а по символьному адресу — для компьютеров без имен или с именами, содержащими определенные символы или их последовательности, а также для компьютеров из определенных доменов. Текущее время используется для блокирования доступа к защищаемому сервису сети в нерабочее время или в периоды наиболее высокой сетевой активности внутренних пользователей.
Следует отметить, что и при передаче данных соединения возможен контроль некоторых параметров в целях улучшения защиты и качества соединения:
— длительность соединения,
— скорость передачи данных,
— текущие параметры окна TCP-соединения,
— большое количество ошибок передачи данных.
Контролирование этих параметров позволяет правильно распределить пропускную способность канала связи между несколькими соединениями, тем самым, ограничив максимально возможную загрузку линий связи трафиком злоумышленника, а также позволяет вовремя обнаружить деятельность злоумышленника и закрыть (т.е. завершить по инициативе посредника) данное соединение (с протоколированием причины и уведомлением об этом администратора).
К преимуществам посредников уровня соединения (по сравнению с другими методами фильтрации) следует отнести следующие:
— локальная сеть может быть сделана невидимой из глобальной сети;
— при нарушении работоспособности посредника пакеты обычно перестают проходить через него, тем самым не возникает угрозы для защищаемых им серверов;
— наличие (элементарной) аутентификации компьютера-инициатора соединения по его символьному имени;
— использование политики «запрещено все, что не разрешено»;
— способность гибкого регулирования (ограничения) пропускной способности;
— возможность эффективного противостояния атакам с неправильной фрагментацией пакетов соединения;
— возможность противостояния атакам с использованием протокола ICMP;
— возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий;
— возможность «прозрачного» использования для повышения надежности техники «зеркального отображения»;
— достаточно высокая пропускная способность (после установления связи).
Недостатками посредников этого типа являются:
— видимость (и уязвимость) посредника из внешней сети,
— отсутствие аутентификации пользователя,
— нет фильтрации пересылаемых данных (нет фильтрации на прикладном уровне),
— нет защиты целостности и конфиденциальности передаваемых данных,
— возможность подмены злоумышленником IP-адреса компьютера-инициатора,
— возможность подмены во время связи аутентифицированного компьютера-инициатора,
— трудность фильтрации при отсутствии у сервиса фиксированного номера порта,
— «непрозрачность» связи,
— невозможность использования протокола UDP,
— более высокая, чем у простых пакетных фильтров стоимость.