Акынбекова А.Т.
Таразский государственный университет им. М.Х. Дулати, Казахстан
ОСНОВНЫ ТИПЫ УГРОЗ БЕЗОПАСНОСТИ СЕТИ
Диапазон угроз безопасности настолько
широк, что невозможно подвергнуть их полной классификации и разработать
совершенную систему защиты от них. Рассмотрим наиболее часто встречающиеся типы
угроз безопасности сети.
- Разведка.
- Несанкционированный доступ.
- Блокирование сервиса.
- Подтасовка
данных.
Эти категории угроз свидетельствуют об уязвимости сети
и характеризуются атрибутами компьютера, позволяющими кому-либо начать
враждебные действия против соответствующих сетевых объектов. В данном случае
враждебное действие означает метод извлечения выгоды из уязвимости с помощью
некоторой процедуры, сценария или программы. Целью такого действия является
сбор имеющейся информации (разведка), блокирование системы обслуживания
легальных пользователей, получение несанкционированного доступа к объектам и
данным или подтасовка данных.
Разведка. Разведка
представляет собой несанкционированное выявление структуры сети, построение ее
карты и мониторинг систем, служб и точек уязвимости сети. К ней также относят
мониторинг сетевого трафика. Разведка может быть активной или пассивной.
Информация, полученная в результате атак разведки, может затем использоваться
для проведения атак другого типа в той же сети или для того, чтобы осуществить
хищение важных данных. Атаки разведки могут иметь форму выявления целей,
перехвата сообщений и кражи информации. На рисунке 1 показано, в каких именно
точках сети предприятия могут предприниматься попытки провести разведывательные
атаки.
Выявление целей. В данном случае выявление целей
означает определение имен доменов и соответствующих IP-адресов, выяснение
диапазона IP-адресов организации или IP-адресов конкретных узлов. Для
конкретного узла можно выяснить список доступных сервисов или какую-то иную
информацию об этом узле. Например, хакер может попытаться узнать IP-адрес
интерфейса маршрутизатора периметра сети, обеспечивающего связь с поставщиком
Интернет-услуг, чтобы получить возможность атаковать этот маршрутизатор.
Выявление целей может быть проведено с помощью общих команд опроса сети,
развертки ping и сканирования портов.
Перехват
сообщений. Перехват сообщений (сбор информации) является методом пассивного
наблюдения за сетевым трафиком с помощью некоторого устройства или утилиты. Цель перехвата - выявление
структуры потока данных, а также сбор данных для последующего анализа и кражи
информации. Синонимами понятия "перехват" являются сетевое слежение и
анализ пакетов.
Информация, собранная посредством перехвата, может
использоваться для подготовки других типов сетевых атак или кражи информации.
Типичным способом перехвата сообщений в области коммуникаций является захват
пакетов TCP/IP и декодирование их содержимого с помощью анализатора протокола
или иной подобной утилиты. Захваченные пакеты с данными процедуры входа в сеть
нарушитель может воспроизвести вновь, чтобы попытаться получить доступ к сети.
Рисунок 1. Точки проведения
разведывательных атак
С помощью перехвата сетевые нарушители могут выяснить
имена и пароли пользователей (чтобы получить право доступа к узлам сети),
извлечь из пакета такие данные, как номер кредитной карточки, или другую
частную информацию.
Кража информации. Перехват сообщений мало
отличается от кражи информации. Кража может происходить во время передачи
данных по внутренней или внешней сети. Нарушитель может украсть данные и с
компьютера сети, получив к нему несанкционированный доступ.
Несанкционированный доступ. Нарушитель может пытаться получить несанкционированный
удаленный доступ к компьютерам сети или сетевым устройствам самыми разными
способами.
Общей целью нарушителей является получение прав
корневого пользователя (UNIX) или администратора (Windows) на том компьютере,
где он имеет больше возможностей для управления интересующей его системой или
для доступа к другим компьютерам сети. На рисунке 1.4 показаны основные точки
сети, в которых нарушитель может пытаться получить несанкционированный доступ.
Рисунок 2. Точки проведения
атак несанкционированного доступа к сети
Блокирование сервиса. Блокирование сервиса означает попытку нарушить или
прекратить работу сети, всей системы или отдельных сервисов, в результате чего
отказ на запрос соответствующих сетевых услуг получат и легальные пользователи.
Нарушители сетевой защиты порой демонстрируют бессмысленное создание помех
(ради удовольствия) в использовании общедоступных сервисов, что очень
напоминает акт вандализма. Кроме того, атаки блокирования сервиса используются и
для проверки уязвимости системы, и как прелюдия к дальнейшим атакам, и как
средство сокрытия следов несанкционированного доступа, и просто в отместку.
Протокол IP весьма уязвим в отношении атак блокирования сервиса, поэтому
существует множество типов таких атак, тем более что они реализуются так же
просто, как сравнительно просто реализуются акты вандализма. Атаки блокирования
сервиса могут быть направлены против маршрутизатора периметра, бастионного узла
или брандмауэра, как показано на рисунке 3.
Подтасовка данных. Нарушитель может захватить
пересылаемые по коммуникационному каналу данные, изменить их и воспроизвести
повторно. Подтасовка данных именуется также имитацией, что подразумевает
фальсификацию IP-адреса, повторное воспроизведение сообщений с целью захвата
сеанса связи, изменение параметров маршрутизации и содержимого передаваемых
сообщений.
Рисунок 3. Точки проведения
атак блокирования сервиса
К подтасовке данных относят и граффити - своего рода
вандализм в отношении Web-узла, заключающийся в изменении содержимого
Web-страниц. Атаки подтасовки данных оказываются возможными вследствие
уязвимости протокола IP, соответствующих сервисов и приложений. Атаки
подтасовки данных называют также атаками посредника, поскольку обычно они
предполагают внедрение в линию связи между двумя узлами, использующее
уязвимость сеанса TCP/IP.