ктн, доцент
Василенко В. С., Василенко М.Ю.
Національний
авіаційний університет (НАУ), Україна
Аналіз загроз конфіденційності
інформаційних об’єктів в розподілених мережах
Вступ
Розподілену обчислювальну
мережу (РОМ) будемо розглядати як таку, яка складається з територіально
рознесених програмно-технічних комплексів (ПТК) – вузлів РОМ, що входять до
складу структурних підрозділів відомства (корпорації) і забезпечують
функціонування РОМ. Будемо вважати, що структурно РОМ є ієрархічною трьохрівневою
автоматизованою системою, в якій визначаються центральний, регіональний і
місцевий рівні. В свою чергу, вузли різних рівнів РОМ взаємодіють між собою за
визначеними правилами (протоколами) та
технологією.
Основною особливістю
такої розподіленої системи є те, що її компоненти розподілені в просторі й
зв’язок між ними фізично здійснюється за допомогою мережних з’єднань і
програмно за допомогою механізму повідомлень. При цьому всі управяючі
повідомлення й дані, що пересилаються між об’єктами розподіленої обчислювальної
системи передаються по мережних з’єднаннях у вигляді пакетів обміну. Ця
особливість й є основною для розглянутих у статті віддалених атак на
інфраструктуру й протоколи розподілених обчислювальних мереж. Під час збору та
обробки інформації центральний (ЦВ) та регіональні (РВ) вузли РОМ взаємодіють
із зовнішніми користувачами з метою інформаційного забезпечення функціонування
РОМ та надання відповідних інформаційних послуг користувачам.
Усі елементи РОМ [1 –
3], є принадливими для багатьох загроз, як ненавмисних, так і зловмисних (в
першу чергу, несанкціонованих), дій. До основних джерел вразливості РОМ, в
наслідок яких виникають ті чи інші загрози, слід віднести: технологічні
недоліки, недоліки конфігурування і недоліки політики безпеки відповідних
вузлів РОМ.
1. Технологічні
недоліки пов’язані з наступними основними причинами:
більшість мережних
технологій розроблялася для надання доступу користувачам до ресурсів мережі без
врахування вимог забезпечення безпеки;
незахищеність
стандартних протоколів ( ТСР/ІР, UDP, HTTP, SNMP, Telnet, smtp, pop3,
ftp, tftp і т.п.);
наявність
вразливостей у мережному обладнанні (не декларовані можливості, помилки в
програмному забезпеченні, відсутність або недостатність існуючої системи
автентифікації користувачів);
недоліки операційних
систем мережного обладнання.
2. Недоліки
конфігурування мережного обладнання та програмного забезпечення, пов’язані
з:
небезпечними
налагодженнями обладнання, що використовується по замовчуванню;
небезпечними
налагодженнями системи контролю доступу, протоколів маршрутизації та
управління;
незахищеністю
облікових записів користувачів і слабкими паролями.
3. До недоліків
політики безпеки відносяться:
відсутність
затвердженого документу, що описує політику безпеки;
наявність
розбіжностей у встановленій політиці безпеки;
відсутність
відпрацьованої схеми контролю доступу до мережного обладнання;
відсутність контролю
встановлення та зміни програмного забезпечення,
що використовується;
відсутність
відпрацьованої процедури аналізу інцидентів і відновлення роботи після атаки;
неадекватне
адміністрування, моніторинг і аудит мережної безпеки;
невідповідність
програмного забезпечення і технічних засобів захисту, що використовуються, встановленій політиці безпеки;
відсутність
інформування користувачів про можливості атак;
відсутність
інформування користувачів про вимоги політики безпеки;
часта заміна персоналу, що
відповідає за реалізацію політики безпеки.
Дослідження й аналіз
інформаційної безпеки різних розподілених обчислювальних систем підтверджують
той факт, що, незалежно від використовуваних мережних протоколів, топології і,
інфраструктури розподілених обчислювальних систем, механізми реалізації загроз на
РОМ є інваріантними щодо особливостей конкретної системи. Це пояснюється тим,
що розподілені обчислювальні системи проектуються на основі однакових
принципів, а, отже, мають практично однакові проблеми безпеки. Тому
виявляється, що причини успіху атак на різні РОМ однакові. Таким чином,
з’являється можливість ввести поняття типової віддаленої загрози.
Типова віддалена
загроза (ВЗ) −
це віддалений інформаційний руйнуючий вплив, що може здійснюватися віддалено по
каналах зв’язку і є характерним для будь-якої розподіленої обчислювальної
системи.
Типовими
віддаленими загрозами конфіденційності, що реалізуються найчастіше, є [1-3] розвідка,
аналіз мережного трафіка та несанкціонований доступ.
Розвідка представляє собою несанкціоноване виявлення
структури мережі, побудову її мапи і моніторинг системи, послуг і точок
вразливостей. Крім того, до розвідки слід віднести моніторинг мережного
трафіка. Розвідка може бути пасивною або активною. Інформація, що отримується
за результатами розвідки, може використовуватися для проведення атак іншого
типу або для викрадення важливих даних.
Аналіз
мережного трафіка. Основною особливістю розподіленої обчислювальної системи є те, що її
об’єкти розподілені в просторі й зв’язок між ними фізично здійснюється
програмно по мережним з’єднанням − за допомогою механізму
повідомлень. При цьому всі управляючі повідомлення й дані, що пересилають між
об’єктами РОМ, передаються в мережі у вигляді пакетів обміну. Ця особливість
приводить до появи специфічного для розподілених обчислювальних систем типового
віддаленого впливу, що полягає в прослуховуванні каналу зв’язку. Назвемо даний
типовий віддалений вплив аналізом мережного трафіка (або, скорочено,
мережним аналізом).
Аналіз мережного
трафіка дозволяє, по-перше, вивчити логіку роботи розподіленої обчислювальної
системи, тобто одержати взаємно однозначну відповідність подій, що відбуваються
в системі, і команд, що пересилають один одному її об’єкти, у момент появи цих
подій. Це досягається шляхом перехоплення й аналізу пакетів обміну на канальному
рівні. Знання логіки роботи розподіленої обчислювальної системи дозволяє на
практиці моделювати й здійснювати типові віддалені атаки.
По-друге, аналіз
мережного трафіка дозволяє перехопити потік даних, якими обмінюються об’єкти
розподіленої обчислювальної системи. Таким чином, віддалена атака даного типу
полягає в одержанні на віддаленому об’єкті несанкціонованого доступу до
інформації, якою обмінюються два мережних абоненти. Це, перш за все, забезпечує
можливість ознайомлення із усією інформацією, яка цркульує в мережі, а отже, є
загрозою її конфіденційності. Відзначимо, що при цьому відсутня можливість
модифікації трафіка й сам аналіз можливий тільки усередині одного сегмента
мережі. Прикладом перехопленої за допомогою цієї типової віддаленої атаки
інформації може служити доступ до такої конфіденційної інформації, якою є ім’я
й пароль користувача, а також до іншої інформації, що пересилаються у
незашифрованому виді по мережі.
Несанкціонований
доступ представляє собою
спробу порушника отримати доступ до мережних ресурсів без відповідного дозволу.
Несанкціонований доступ, окрім читання із метою порушення конфіденційності
відповідної інформації, передбачає: неавторизовану маніпуляцію даними
(модифікацію, копіювання або переміщення файлів, підробку мережних адрес,
переключення з’єднань, зміну маршрутів); доступ до системи (реєстрація із
“стороннім” обліковим записом – маскування, встановлення програмного
забезпечення для здійснення подальших атак, розсилка зловмисного програмного
забезпечення (у тому числі і такого, яке дозволяє контролювати та одержувати
конфіденційну інформацію), несанкціоноване встановлення й використання
з’єднань, несанкціоноване використання комунікаційних протоколів, використання
комунікаційних з’єднань для атак, використання помилкових налагоджень,
використання внутрішніх помилок, відторгнення комунікаційних відношень);
підвищення прав доступу (отримання інформації або виконання процедур, що не є
доступними при встановленому для користувача рівню доступу).
Модель загроз
конфіденційності та їх ідентифікація з можливими діями порушників щодо об’єктів
захисту в РОМ наведена в таблиці 2 [3]. В таблиці відображено перелік загроз з
констатацією можливих дій порушників щодо відповідних об’єктів, на порушення
властивостей захищеності яких вони спрямовані – порушення конфіденційності (к),
цілісності (ц), доступності (д), спостереженості та керованості (с), оцінка
ймовірності здійснення загроз та рівень збитків (шкоди) від порушень по кожному
з видів порушень, а також джерело виникнення – які внутрішні чи зовнішні
суб’єкти можуть ініціювати загрозу.
Методика розроблення
такої моделі полягає в тому, що в один із стовпчиків таблиці заноситься по
можливості повний перелік видів загроз; в наведеному прикладі такий перелік (на
погляд авторів, досить повний) наведено в стовпчику 2. Надалі для кожної із
можливих загроз шляхом їх аналізу (можливо і методом експертних оцінок)
необхідно визначити:
ймовірність виникнення таких загроз.
В таблиці наведена якісна оцінка їх ймовірності - неприпустимо висока, дуже висока, висока, значна, середня, низька,
знехтувано низька (стовпчик 3);
на
порушення яких властивостей інформації або РОМ вона спрямована (рекомендується
користуватись чотирма основними градаціями – порушення конфіденційності - к, цілісності - ц, доступності - д інформації, а також порушення спостереженості та керованості АС - с) (стовпчик 4);
можливий (такий, що очікується) рівень
шкоди (стовпчик 5) Ця оцінка здійснена також за якісною шкалою (відсутня,
низька, середня, висока, неприпустимо висока);.
джерела
виникнення
(які суб’єкти РОМ, зовнішні чи внутрішні відносно неї, можуть ініціювати
загрозу) (стовпчик 6).
Примітка. При необхідності визначення загроз лише для
одного із функціональних властивостей захищеності, скажемо для
конфіденційності, із цієї моделі слід зробити відповідний витяг, або відповідні
виключення (наприклад, виключити загрози 4, 7).
Наявність оцінок,
навіть за якісною шкалою, дозволяє обґрунтувати необхідність забезпечення
засобами захисту кожної з властивостей захищеності інформації, а також
побудувати загальну модель системи захисту, на основі характеристик її
складових оцінити кількісні значення залишкового ризику, визначити структуру
системи захисту та її основні компоненти.
Для створення цього
прикладу моделі автори намагалися проаналізувати якомога більшу кількість
доступних інформаційних джерел та спиралися на власний досвід розроблення
політики безпеки інформації для досить складних АС у вигляді розподілених
обчислювальних мереж (за класифікацією НД ТЗІ - АС класу 3.КЦД).
|
Таблиця
2 - Модель загроз в РОМ |
|||||
|
№ |
Вид загроз |
Ймовірність |
Що порушує |
Рівень
шкоди |
Джерело |
|
1 |
2 |
3 |
4 |
5 |
6 |
|
Пасивні атаки |
|||||
|
1.
1 |
Перехоплення
даних |
висока |
к, ц, с |
високий |
внутр. зовн. |
|
2.
2 |
Перехоплення
ідентифікаційних даних користувача |
висока |
к, ц, д, с |
високий |
внутр. зовн. |
|
3.
3 |
Аналіз
трафіка |
висока |
к, ц, д, с |
високий |
зовн. |
|
Активні атаки |
|||||
|
4.
1 |
Повторення
або затримка інформації |
низька |
д, с |
низький |
внутр. зовн. |
|
5.
2 |
Вставлення
і видалення даних |
висока |
к, ц, с |
високий |
внутр. зовн. |
|
6.
3 |
Зміна
даних |
висока |
к, ц, с |
високий |
внутр. зовн. |
|
7.
4 |
Бойкот
комунікаційної системи (відмова в обслуговуванні) |
висока |
д, с |
високий |
зовн. |
|
8.
5 |
Робота
під чужим ідентифікатором (маскування) |
висока |
к,
ц, д, с |
високий |
внутр. зовн. |
|
9.
6 |
Одностороння
відмова від передавання даних |
низька |
к, ц, с |
низький |
внутр. зовн. |
|
10.
7 |
Атака
“людина в середині” |
висока |
к,
ц, д, с |
високий |
внутр. зовн. |
|
Непередбачені помилки |
|||||
|
11.
1 |
Помилки
маршрутизації |
низька |
к,
ц, д, с |
високий |
внутр. зовн. |
|
12.
2 |
Програмні
помилки |
низька |
к,
ц, д, с |
середній |
внутр. зовн. |
|
13.
3 |
Відмови
в роботі апаратури, що обумовлені впливом зовнішнього середовища |
низька |
к,
ц, д, с |
середній |
внутр. зовн. |
|
14.
4 |
Фактор
людини |
висока |
к,
ц, д, с |
високий |
внутр. зовн. |
Слід врахувати, що наведені
оцінки ймовірностей та величини можливої шкоди кожної із загроз в даному
прикладі моделі загроз носять ілюстративний характер. Для випадків конкретних
РОМ ці величини повинні бути визначеними фахівцями служби захисту відповідного
підприємства.
Література: 1. MaximumSecurity:
AHacker’s Guide to Protecting Your Internet Site and Network (http://zaphod.redwave.net/books/hackg/index.htm).
2. TCP під прицілом (http://www.hackzone.
ru/articles/tcp.html); 3. Василенко В.С. Оцінка захищеності в локальних
обчислювальних мережах./ В.С.
Василенко, О.Я. Матов, М.М. Будько
// К.: Вісті Академії інженерних
наук України. 2005, № 2, с. 59 − 73;