Vzdálený síťový útok je informační destruktivní účinek na distribuovaný výpočetní systém (CS), prováděný programově prostřednictvím komunikačních kanálů.
Pro organizaci komunikace v heterogenním síťovém prostředí se používá sada protokolů TCP/IP , které zajišťují kompatibilitu mezi počítači různých typů. Tato sada protokolů si získala popularitu díky interoperabilitě a přístupu ke zdrojům globálního internetu a stala se standardem pro mezisíťovou práci. Všudypřítomnost zásobníku protokolů TCP/IP však také odhalila jeho slabiny. Zejména z tohoto důvodu jsou distribuované systémy náchylné ke vzdáleným útokům, protože jejich součásti obvykle používají otevřené kanály pro přenos dat a narušitel může nejen pasivně poslouchat přenášené informace, ale také upravovat přenášený provoz .
Obtížnost odhalování vzdáleného útoku a relativní snadnost jeho provedení (vzhledem k nadměrné funkčnosti moderních systémů) staví tento typ protiprávního jednání na první místo z hlediska stupně nebezpečnosti a znemožňuje včasnou reakci na realizovaný ohrožení, v důsledku čehož má útočník zvýšenou šanci na úspěšný útok.
Pasivní dopad na distribuovaný výpočetní systém (DCS) je druh dopadu, který přímo neovlivňuje provoz systému, ale zároveň je schopen narušit jeho bezpečnostní politiku . Absence přímého vlivu na provoz RCS vede právě k tomu, že pasivní vzdálený dopad (PUV) je obtížně detekovatelný. Možným příkladem typického PUV ve WAN je naslouchání komunikačnímu kanálu v síti.
Aktivní dopad na RCS je dopad, který má přímý dopad na provoz samotného systému (narušení výkonu, změny v konfiguraci RCS atd.), který porušuje bezpečnostní politiku v něm přijatou. Aktivní vlivy jsou téměř všechny typy vzdálených útoků. To je způsobeno skutečností, že samotná povaha škodlivého dopadu zahrnuje aktivní princip. Zřejmým rozdílem mezi aktivním a pasivním vlivem je zásadní možnost jeho detekce, neboť v důsledku jeho implementace dochází v systému k některým změnám. Při pasivním dopadu nezůstanou absolutně žádné stopy (vzhledem k tomu, že si útočník v systému prohlédne zprávu někoho jiného, vlastně se ve stejnou chvíli nic nemění).
Tento rys, podle kterého se klasifikace provádí, je ve skutečnosti přímou projekcí tří základních druhů hrozeb – odmítnutí služby , odhalení a porušení integrity.
Hlavním cílem téměř každého útoku je získání neoprávněného přístupu k informacím. Existují dvě základní možnosti získávání informací: zkreslení a odposlech. Možnost zachycení informací znamená získání přístupu k nim bez možnosti jejich změny. Zachycování informací tedy vede k porušení jejich důvěrnosti . Poslech kanálu v síti je příkladem zachycení informací. V tomto případě dochází k nelegitimnímu přístupu k informacím bez možnosti jejich nahrazení. Je zřejmé, že porušení důvěrnosti informací se týká pasivních vlivů.
Možnost substituce informací je třeba chápat buď jako úplnou kontrolu nad tokem informací mezi objekty systému, nebo možnost přenášet různé zprávy jménem někoho jiného. Je tedy zřejmé, že záměna informace vede k narušení její integrity . Takovýto informace ničící vliv je charakteristickým příkladem aktivního vlivu. Příklad vzdáleného útoku navrženého k narušení integrity informací může sloužit jako vzdálený útok (UA) "False RCS object".
Útočník odešle napadenému objektu nějaké požadavky, na které očekává odpověď. Následně se mezi útočníkem a napadeným objeví zpětná vazba, která prvnímu umožní adekvátně reagovat na nejrůznější změny v napadeném objektu. To je podstatou vzdáleného útoku prováděného za přítomnosti zpětné vazby od útočícího objektu. Takové útoky jsou nejtypičtější pro RVS.
Útoky s otevřenou smyčkou se vyznačují tím, že nemusejí reagovat na změny v napadeném objektu. Takové útoky jsou obvykle prováděny zasláním jednotlivých požadavků na napadený objekt. Útočník nepotřebuje odpovědi na tyto požadavky. Takový UA lze také nazvat jednosměrným UA. Příkladem jednosměrných útoků je typický UA „ DoS útok “.
Vzdálený vliv, stejně jako jakýkoli jiný, se může začít provádět pouze za určitých podmínek. V RCS existují tři typy takových podmíněných útoků:
Útok ze strany útočníka začne za podmínky, že potenciální cíl útoku vyšle požadavek určitého typu. Takový útok lze nazvat útokem na vyžádání od napadeného objektu . Tento typ UA je nejtypičtější pro RVS. Příkladem takových dotazů na internetu jsou dotazy DNS a ARP a dotaz Novell NetWare - SAP .
Útok při výskytu očekávané události na napadeném objektu . Útočník nepřetržitě monitoruje stav operačního systému vzdáleného cíle útoku a zahájí zásah, když v tomto systému dojde ke konkrétní události. Samotný napadený objekt je iniciátorem útoku. Příkladem takové události může být ukončení relace uživatele se serverem bez zadání příkazu LOGOUT na Novell NetWare.
Bezpodmínečný útok je proveden okamžitě a bez ohledu na stav operačního systému a napadeného objektu. Útočník je tedy v tomto případě iniciátorem útoku.
V případě narušení běžného provozu systému jsou sledovány jiné cíle a neočekává se, že by útočník získal nelegální přístup k datům. Jeho účelem je deaktivace operačního systému na napadeném objektu a znemožnění přístupu pro ostatní objekty systému ke zdrojům tohoto objektu. Příkladem útoku tohoto typu je UA " DoS útok ".
Některé definice:
Zdrojem útoku (předmětem útoku) je program (případně operátor), který provádí útok a má přímý dopad.
Host (hostitel) - počítač, který je součástí sítě.
Router je zařízení, které směruje pakety v síti.
Podsíť (subnetwork) je skupina hostitelů , kteří jsou součástí globální sítě , liší se tím, že jim router přidělil stejné číslo podsítě. Můžete také říci, že podsíť je logické seskupení hostitelů prostřednictvím směrovače. Hostitelé ve stejné podsíti mohou mezi sebou komunikovat přímo bez použití routeru .
Segment sítě je sdružení hostitelů na fyzické vrstvě.
Z hlediska vzdáleného útoku je nesmírně důležitá vzájemná poloha subjektu a objektu útoku, tedy zda jsou v různých nebo ve stejných segmentech. Během útoku uvnitř segmentu se subjekt a objekt útoku nacházejí ve stejném segmentu. V případě mezisegmentového útoku se subjekt a objekt útoku nacházejí v různých segmentech sítě. Tento klasifikační znak umožňuje posoudit tzv. „stupeň odlehlosti“ útoku.
Dále bude ukázáno, že v praxi je mnohem snazší implementovat vnitrosegmentový útok než mezisegmentový. Poznamenáváme také, že vzdálený útok mezi segmenty je mnohem nebezpečnější než útok v rámci segmentu. Je to dáno tím, že v případě mezisegmentového útoku může být jeho objekt a ten přímo útočící od sebe ve vzdálenosti mnoha tisíc kilometrů, což může výrazně ztížit opatření k odražení útoku.
Mezinárodní organizace pro normalizaci ( ISO ) přijala normu ISO 7498, která popisuje Open Systems Interconnection (OSI), do které patří i RCS. Každý síťový výměnný protokol , stejně jako každý síťový program, lze nějakým způsobem promítnout do referenčního 7vrstvého modelu OSI . Taková víceúrovňová projekce umožňuje popsat pomocí modelu OSI funkce používané v síťovém protokolu nebo programu. UA je síťový program a je logické o něm uvažovat z hlediska projekce na referenční model ISO/OSI [2].
Při přenosu datového paketu IP po síti může být tento paket rozdělen na několik částí. Následně po dosažení cíle je paket z těchto fragmentů obnoven. Útočník může iniciovat odesílání velkého množství fragmentů, což vede k přetečení programových bufferů na přijímací straně a v některých případech i k pádu systému.
Tento útok vyžaduje, aby útočník měl přístup k rychlým internetovým kanálům .
Program ping odešle paket ICMP ECHO REQUEST s časem a jeho identifikátorem. Jádro přijímajícího stroje odpoví na takový požadavek paketem ICMP ECHO REPLY. Po jeho přijetí udává ping rychlost paketu.
Ve standardním režimu provozu jsou pakety odesílány v určitých intervalech, prakticky nezatěžují síť . Ale v "agresivním" režimu může proud ICMP echo paketů požadavku/odpovědi způsobit zahlcení malé linky a připravit ji o její schopnost přenášet užitečné informace .
IP paket obsahuje pole, které specifikuje protokol zapouzdřeného paketu ( TCP , UDP , ICMP ). Útočníci mohou použít nestandardní hodnotu tohoto pole k přenosu dat, která nebudou zaznamenána standardními nástroji pro řízení toku informací.
Šmoulí útok spočívá v odesílání požadavků na vysílání ICMP do sítě jménem počítače oběti. V důsledku toho počítače, které přijaly takové pakety vysílání, reagují na počítač oběti, což vede k výraznému snížení šířky pásma komunikačního kanálu a v některých případech k úplné izolaci napadené sítě. Šmoulí útok je výjimečně účinný a rozšířený.
Protiopatření: pro rozpoznání tohoto útoku je nutné analyzovat zatížení kanálu a určit důvody poklesu propustnosti.
Výsledkem tohoto útoku je zavedení vynucené korespondence mezi IP adresou a názvem domény v mezipaměti DNS serveru. V důsledku úspěšné implementace takového útoku obdrží všichni uživatelé serveru DNS nesprávné informace o názvech domén a IP adresách. Tento útok se vyznačuje velkým počtem paketů DNS se stejným názvem domény. To je způsobeno nutností vybrat některé parametry výměny DNS.
Protiopatření: pro detekci takového útoku je nutné analyzovat obsah DNS provozu nebo použít DNSSEC .
Velké množství útoků na internetu je spojeno se záměnou původní IP adresy . Mezi takové útoky patří syslog spoofing, který spočívá v odeslání zprávy na počítač oběti jménem jiného počítače ve vnitřní síti. Protože protokol syslog se používá k udržování systémových protokolů, můžete odesíláním falešných zpráv do počítače oběti uložit informace nebo zakrýt stopy neoprávněného přístupu.
Protiopatření: Útoky falšování IP adres lze odhalit sledováním příjmu paketu na jednom z rozhraní se zdrojovou adresou stejného rozhraní nebo sledováním příjmu paketů s IP adresami vnitřní sítě na externím rozhraní.
Útočník posílá pakety do sítě s falešnou návratovou adresou. Pomocí tohoto útoku může útočník přepnout na připojení svého počítače mezi jinými počítači. V tomto případě se přístupová práva útočníka stanou právy uživatele, jehož připojení k serveru bylo přepnuto na počítač útočníka.
Možné pouze v segmentu lokální sítě .
Téměř všechny síťové karty podporují schopnost zachytit pakety přenášené přes společný LAN kanál . V tomto případě může pracovní stanice přijímat pakety adresované jiným počítačům ve stejném segmentu sítě. Útočníkovi se tak zpřístupní celá výměna informací v segmentu sítě. K úspěšnému provedení tohoto útoku musí být počítač útočníka umístěn ve stejném segmentu místní sítě jako napadený počítač .
Síťový software routeru má přístup ke všem síťovým paketům přenášeným tímto routerem, což umožňuje sniffování paketů. K implementaci tohoto útoku musí mít útočník privilegovaný přístup alespoň k jednomu síťovému směrovači. Vzhledem k tomu, že přes router je obvykle přenášeno mnoho paketů, je jejich celkové zachycení téměř nemožné. Jednotlivé pakety však mohou být dobře zachyceny a uloženy pro pozdější analýzu útočníkem. Nejúčinnější zachycení FTP paketů obsahujících uživatelská hesla a také e-maily .
Na internetu existuje speciální protokol ICMP (Internet Control Message Protocol), jehož jednou z funkcí je informovat hostitele o změně aktuálního routeru. Tato řídicí zpráva se nazývá přesměrování. Jakýkoli hostitel v segmentu sítě může odeslat falešnou zprávu o přesměrování jménem routeru napadenému hostiteli. V důsledku toho se změní aktuální směrovací tabulka hostitele a v budoucnu bude veškerý síťový provoz tohoto hostitele procházet například přes hostitele , který odeslal zprávu s falešným přesměrováním. Je tedy možné aktivně zavést falešnou trasu v rámci jednoho segmentu internetu.
Kromě obvyklých dat zasílaných přes TCP spojení standard umožňuje i přenos urgentních (mimo pásmo) dat. Na úrovni formátů paketů TCP je to vyjádřeno nenulovým urgentním ukazatelem. Většina počítačů s nainstalovaným systémem Windows má síťový protokol NetBIOS , který pro své potřeby používá tři porty IP : 137, 138, 139. Pokud se připojíte k počítači se systémem Windows na portu 139 a pošlete tam několik bajtů dat OutOfBand, implementace NetBIOS neví, co s těmito daty dělat, jednoduše zavěsí nebo restartuje počítač. U Windows 95 to obvykle vypadá jako modrá textová obrazovka, která hlásí chybu v ovladači TCP/IP a nemožnost pracovat se sítí, dokud není restartován operační systém. NT 4.0 bez aktualizací Service Pack se restartuje, NT 4.0 s aktualizací ServicePack 2 narazí na modrou obrazovku. Soudě podle informací ze sítě jsou k takovému útoku náchylné jak Windows NT 3.51, tak Windows 3.11 for Workgroups.
Odeslání dat na port 139 buď restartuje NT 4.0, nebo způsobí modrou obrazovku smrti s nainstalovanou aktualizací Service Pack 2. Odeslání dat na port 135 a některé další porty způsobuje značné zatížení procesu RPCSS.EXE. Na Windows NT WorkStation to vede k výraznému zpomalení, Windows NT Server je prakticky zamrzlý.
Úspěšná implementace vzdálených útoků tohoto typu umožní útočníkovi provést relaci se serverem jménem důvěryhodného hostitele. (Důvěryhodný hostitel je stanice, která se legálně připojila k serveru). Implementace tohoto typu útoku obvykle spočívá v odesílání výměnných paketů ze stanice útočníka jménem důvěryhodné stanice pod jeho kontrolou.
Síťové a informační technologie se mění tak rychle, že statické bezpečnostní mechanismy, mezi které patří systémy řízení přístupu, ME, autentizační systémy, v mnoha případech nemohou poskytnout účinnou ochranu. Proto jsou nutné dynamické metody k rychlé detekci a prevenci narušení bezpečnosti. Jednou technologií, která dokáže detekovat narušení, která nelze identifikovat pomocí tradičních modelů řízení přístupu, je technologie detekce narušení.
Proces detekce narušení je v podstatě proces vyhodnocování podezřelých aktivit, ke kterým dochází v podnikové síti. Jinými slovy, detekce narušení je proces identifikace a reakce na podezřelou aktivitu zaměřenou na výpočetní nebo síťové zdroje.
Účinnost systému detekce narušení do značné míry závisí na metodách použitých k analýze obdržených informací. První systémy detekce narušení vyvinuté na počátku 80. let 20. století používaly metody statistické detekce narušení. V současné době byla do statistické analýzy přidána řada nových metod, počínaje expertními systémy a fuzzy logikou a konče využitím neuronových sítí.
Hlavními výhodami statistického přístupu je využití již vyvinutého a osvědčeného aparátu matematické statistiky a přizpůsobení chování subjektu.
Nejprve jsou stanoveny profily pro všechny subjekty analyzovaného systému. Jakákoli odchylka použitého profilu od reference je považována za neoprávněnou činnost. Statistické metody jsou univerzální, protože analýza nevyžaduje znalosti o možných útocích a zranitelnostech, které využívají. Při použití těchto metod však nastávají problémy:
Je třeba také vzít v úvahu, že statistické metody nejsou použitelné v případech, kdy neexistuje žádný vzorec typického chování pro uživatele nebo kdy jsou pro uživatele typické neoprávněné akce.
Expertní systémy se skládají ze sady pravidel, která zachycují znalosti lidského experta. Běžnou metodou detekce útoků je využití expertních systémů, ve kterých jsou informace o útocích formulovány ve formě pravidel. Tato pravidla mohou být zapsána například jako sled akcí nebo jako podpis. Při splnění některého z těchto pravidel se rozhodne o přítomnosti neoprávněné aktivity. Důležitou výhodou tohoto přístupu je téměř úplná absence falešných poplachů.
Databáze expertního systému by měla obsahovat scénáře pro většinu aktuálně známých útoků. Aby expertní systémy zůstaly neustále aktuální, vyžadují neustálou aktualizaci databáze. Zatímco expertní systémy nabízejí dobrou příležitost ke kontrole dat v protokolech, požadované aktualizace mohou být ignorovány nebo ručně provedeny administrátorem. Minimálně to vede k expertnímu systému s omezenými schopnostmi. V nejhorším případě nedostatek řádné údržby snižuje zabezpečení celé sítě a uvádí uživatele v omyl ohledně skutečné úrovně zabezpečení.
Hlavní nevýhodou je nemožnost odrážet neznámé útoky. Přitom i malá změna již známého útoku se může stát vážnou překážkou fungování systému detekce narušení.
Většina moderních metod detekce narušení využívá nějakou formu analýzy řízeného prostoru na základě pravidel nebo statistický přístup. Řízeným prostorem mohou být protokoly nebo síťový provoz. Analýza se opírá o sadu předdefinovaných pravidel, která jsou vytvořena správcem nebo samotným systémem detekce narušení.
Jakékoli rozdělení útoku v průběhu času nebo mezi více útočníků je pro expertní systémy obtížné odhalit. Vzhledem k široké škále útoků a hackerů ani speciální neustálé aktualizace databáze pravidel expertního systému nikdy nezaručí přesnou identifikaci celé škály útoků.
Využití neuronových sítí je jednou z cest, jak tyto problémy expertních systémů překonat. Na rozdíl od expertních systémů, které dokážou dát uživateli jednoznačnou odpověď o souladu posuzovaných charakteristik s pravidly stanovenými v databázi, neuronová síť analyzuje informace a poskytuje příležitost posoudit, zda jsou data v souladu s charakteristikami, které má. se naučil rozpoznávat. Zatímco míra shody reprezentace neuronové sítě může dosáhnout 100 %, spolehlivost výběru zcela závisí na kvalitě systému při analýze příkladů úlohy.
Nejprve je neuronová síť vycvičena, aby se správně identifikovala na předem vybraném vzorku příkladů domén. Reakce neuronové sítě je analyzována a systém je nastaven tak, aby bylo dosaženo uspokojivých výsledků. Kromě počátečního tréninkového období získává neuronová síť zkušenosti v průběhu času, protože analyzuje data související s doménou.
Důležitou výhodou neuronových sítí při detekci zneužití je jejich schopnost „naučit se“ charakteristiky záměrných útoků a identifikovat prvky, které nejsou podobné těm, které byly v síti vidět dříve.
Každá z popsaných metod má řadu výhod a nevýhod, takže nyní je prakticky obtížné najít systém, který implementuje pouze jednu z popsaných metod. Obvykle se tyto metody používají v kombinaci.