Библиотека Интернет Индустрии I2R.ru

Классификация атак

1. По характеру воздействия

• пассивное
• активное

Пассивное воздействие на распределенную вычислительную систему - воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности.

Пассивное удаленное воздействие практически невозможно обнаружить.

Пример: прослушивание канала связи в сети.

Активное воздействие на распределенную вычислительную систему - воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации РВС, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности.

Практически все типы удаленных атак являются активными воздействиями. Особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов.

2. По цели воздействия

• нарушение конфиденциальности информации
• нарушение целостности информации
• нарушение работоспособности (доступности) системы

При перехвате информации нарушается её конфиденциальность.

Пример: прослушивание канала в сети.

При искажении информации нарушается её целостность.

Пример: внедрение ложного объекта в РВС.

При нарушении работоспособности не происходит несанкционированного доступа, т.е. сохраняется целостность и конфиденциальность информации, однако доступ к ней легальных пользователей также невозможен.

Пример: отказ в обслуживании (DoS).

3. По условию начала осуществления воздействия

• Атака по запросу от атакуемого объекта
• Атака по наступлению ожидаемого события на атакуемом объекте
• Безусловная атака

В случае запроса атакующий ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия.

Инициатором осуществления начала атаки является атакуемый объект.

Пример: DNS- и ARP-запросы в стеке TCP/IP.

В случае наступления события, атакующий осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие.

Инициатором осуществления начала атаки является атакуемый объект.

Пример: прерывание сеанса работы пользователя с сервером в сетевых ОС без выдачи команды LOGOUT.

В случае безусловной атаки начало её осуществления безусловно по отношению к цели атаки, то есть атака осуществляется немедленно и безотносительно к состоянию системы и атакуемого объекта. Следовательно, в этом случае атакующий является инициатором начала осуществления атаки.

4. По наличию обратной связи с атакуемым объектом

• с обратной связью
• без обратной связи (однонаправленная атака)

Атака с обратной связью - атака, во время которой атакующий получает ответ от атакуемого объекта на часть своих действий. Эти ответы нужны, чтобы иметь возможность продолжить атаку и/или осуществлять её более эффективно, реагируя на изменения, происходящие на атакуемой системе.

Атака без обратной связи - атака, происходящая без реакции на поведение атакуемой системы.

Пример: отказ в обслуживании (DoS).

5. По расположению атакующего относительно атакуемого объекта

• внутрисегментное
• межсегментное

Внутрисегментная атака - атака, при которой субъект и объект атаки находятся внутри одного сегмента сети, где сегмент - есть физическое объединение станций с помощью коммуникационных устройств не выше канального уровня.

Межсегментная атака - атака, при которой субъект и объект атаки находятся в разных сегментах сети.

6. По количеству атакующих

• распределённая
• нераспределённая

Распределённая атака - атака, производимая двумя или более атакующими на одну и ту же вычислительную систему, объединёнными единым замыслом и во времени.

Нераспределённая атака проводится одним атакующим.

7. По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

• физический
• канальный
• сетевой
• транспортный
• сеансовый
• представительный
• прикладной

2.  Классификация способов обнаружения и защиты от атак

Классификация средств обеспечения секретности

информации по уровням модели ISO/OSI

в стандарте  ISO   7498-2.

 Физический уровень.

     Средства,    предоставляемые    на     этом     уровне,ограничиваются  конфиденциальностью   для   соединений    и конфиденциальностью для потока данных, согласно ISO  7498-2.Конфиденциальность на  этом уровне обеспечивается  обычно с помощью шифрования бит. Эти средства  могут  быть реализованы как почти прозрачные, то есть без появления  дополнительных  данных(  кроме   установления   соединения).

Целостность и аутентификация обычно  невозможны здесь  из-за того, что интерфейс на уровне  бит  этого  уровня  не  имеет возможностей для передачи дополнительных  данных,  требуемых   при реализации этих средств.      Тем не менее, использование соответствующих  технологий   шифрования на этом уровне  может  обеспечить  предоставление этих   средств   на   более   высоких   уровнях.  

Например,  криптографические модели, такие как DES  в  режиме  обратной  связи  по  выходу,  не  обеспечивают  возникновения   очень большого числа ошибок при модификации  шифрованного  текста, поэтому этот режим  будет  плохим  выбором,  если  нужна  не  только конфиденциальность. В отличие от  этого,  режим  DES,  такой как режим с обратной  связью  по  одному  шифрованному   биту, обеспечивает требуемые характеристики  для  ошибок,  и может  служить  подходящей   основой   для   целостности   и аутентификации. Средства  секретности физического и канального уровня обычно  реализуются  в  виде дополнительной аппаратуры.

Канальный уровень

    Согласно ISO 7498-2,  средствами,  предоставляемыми  на канальном уровне, являются конфиденциальность для соединений и конфиденциальность для  дейтаграмм.

    Средства   секретности   канального    уровня    обычно обеспечиваются  на  основе  точка-точка,  как   и   средства  физического уровня. И снова, область действия средств должна заканчиваться  в  местах,  где  находятся  взаимодействующие равноправные  сущности,   то   есть   конечные   системы   и  коммутаторы. В среде  ЛВС(ГВС)  средства  секретности  также могут предоставляться для  широковещательной  или  групповой передачи,  на  основе  технологий  ЛВС,   а   также   канала точка-точка.

Сетевой уровень

    Средства    секретности    сетевого    уровня     могут  предоставляться между конечными системами в сети, независимо  от используемых коммутаторов (например коммутаторов  пакетов  Х.25). ISO 7498-2 отмечает применимость  нескольких  средств  секретности  для  этого   уровня:   конфиденциальность   для соединений,     конфиденциальность      для      дейтаграмм, конфиденциальность   потока   данных,    целостность    (для соединений   без   восстановления   и    для    дейтаграмм), аутентификацию   источника   данных   и    взаимодействующих сущностей, а также управление доступом.

Транспортный уровень 

   Для  транспортного   уровня   ISO   7498-2   определяет   следующие  средства секретности:   конфиденциальность (для  соединений   или   дейтаграмм),   целостность(любая, кроме отдельных  полей),   аутентификация   источника   данных   и взаимодействующих   сущностей,   и   управление    доступом. Существует лишь одно отличие между  средствами  секретности, предоставляемыми  для   дейтаграммного   взаимодействия   на транспортном уровне и средствами, предлагаемыми над  сетевым  уровнем. Оно заключается в способности обеспечить  защиту  в промежуточных   системах (используя   механизмы   сетевого  уровня),  а  не  только  в  конечных   системах (используя мезанизмы транспортного уровня).

 Сеансовый уровень

     ISO  7498-2  не  позволяет  предоставлять  средства  на  сеансовом уровне.  Этот  уровень  мало  что  дает  в  смысле  средств  взаимодействия  по  сравнению  с  транспортным  или прикладным уровнем. Основываясь на принципе,  что  не  стоит предоставлять  средства  секретности,   не   соответствующие базовым средствам взаимодействия  на  данном  уровне,  можно возражать  против  предоставления  средств  секретности   на сеансовом уровне. Кроме того, можно утверждать, что средства секретности    лучше    предоставлять    на    транспортном, представительном или прикладном уровнях.

Представительный уровень

    Так как этот уровень  используется  для  преобразования данных между обычным и сетевым представлениями,  то  выгодно   шифровать данные на этом уровне, а не  на  прикладном.  Если   приложение   выполняет    шифрование,    оно    предохраняет представительный уровень от  реализации  этой  функции.  Это аргумент против реализации шифрования на  прикладном уровне для приложений, которые взаимодействуют  напрямую (а не  через   посредников).   Альтернативой   этому   является  дублирование   возможностей   представительного   уровня   в приложениях. В стеке TCP/IP,  из-за  того,  что функции представления включены в  состав  приложений,  а  не  выделены в отдельный уровень, этот конфликт преодолен.

Прикладной уровень

ISO 7498-2 утверждает, что все секретные средства могут быть предоставлены  на  прикладном  уровне,  а  контроль  за  участниками взаимодействия может быть предоставлен только на  этом уровне. Тем не менее, предоставление некоторых  средств на  этом  уровне  вызывает  проблемы   из-за   конфликта   с   возможностями   представительного   уровня.     Это ограничение обходится для случая приложений  с  многоэтапной доставкой данных, например  средств  электронной  почты  или справочника( спецификации  Х.400  и  Х.500).  Этот  конфликт  также  преодолен  в  стеке   TCP/IP,   в   котором   функции   представления обычно включены в приложения.

     Фактически, приложения, такие, как средства электронной  почты и справочника, могут быть засекречены только с помощью  секретности прикладного уровня.  Электронная  почта  требует средств секретности на этом уровне по  нескольким  причинам.

Во-первых, некоторые средства  секретности,  используемые  в   ней,  могут  быть  предоставлены  только  на  этом   уровне, например контроль участников.  Во-вторых,  сообщения  обычно адресуются  группам  получателей (групповая   передача   на прикладном уровне), и доставка осуществляется  за  несколько  этапов с помощью коммутаторов сообщений.  Защита  на  нижних уровнях часто предоставляется только в реальном времени, для каналов   типа   точка-точка.

Для    электронной    почты использование механизмов секретности на более нижних уровнях  может   обеспечить   защиту   от   отправителя   коммутатору сообщений (MTA), защиту между MTA, между MTA и  получателями, но только пошаговую. Для обеспечения сквозной секретности, " автор  -  читатель",  требуется  использование   технологий,  специфичных для электронной почты.

     Для  средств  справочника   аналогичные   проблемы   не позволяют средствам  секретности  нижних  уровней  адекватно обеспечивать требования  секретности.  Например,  запрос  от пользователя к серверу справочника может быть  переадресован другим  серверам  в  процессе  выдачи  ответа.  Если  сервер справочника,  который  в  конечном  счете  получает  запрос, должен принять решение о предоставлении  доступа  на  основе идентификации отправителя запроса, то это решение  не  может   быть принято  на  основе  информации  от  протоколов  нижних      уровней.

Более того, не доверяя  серверам,  переадресовавшим   этот запрос, отвечающий сервер не  может  быть  уверенным  в том, что запрос не модифицирован. Поэтому,  это  приложение,   как  и  электронная  почта  иллюстрирует  основную   причину   обеспечения  секретности  на  прикладном  уровне,  то   есть   неспособность удовлетворить требования секретности только на основе средств нижних уровней.

Классификация способов обнаружения атак.

По технологии обнаружения

·        обнаружение аномалий (anomaly detection)

 Этот подход сосредотачивается на формировании статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Подход страдает тем, что порождает слишком большое число ложных тревог.

·        обнаружение злоупотреблений (misuse detection)

При использовании этого подхода система ищет известные сигнатуры и поднимает тревогу, когда найдет их. Более надежно и выполнимо. Именно на этом подходе основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода.

По уровню обнаружения

Обнаружение атак на сетевом уровне

Системы обнаружения атак сетевого уровня используют в качестве источника данных для анализа необработанные (raw) сетевые пакеты. Как правило, системы обнаружения атак (Intrusion Detection Systems, IDS)  сетевого уровня используют сетевой адаптер, функционирующий в режиме "прослушивания " (promiscuous), и анализируют трафик в реальном масштабе времени по мере его прохождения через сегмент сети. Модуль распознавания атак использует четыре широко известных метода для распознавания сигнатуры атаки:

·        Соответствие трафика шаблону (сигнатуре), выражению или байткоду, характеризующих об атаке или подозрительном действии;

·        Контроль частоты событий или превышение пороговой величины;

·        Корреляция нескольких событий с низким приоритетом;

·        Обнаружение статистических аномалий.

Как только атака обнаружена, модуль реагирования предоставляет широкий набор вариантов уведомления, выдачи сигнала тревоги и реализации контрмер в ответ на атаку. Эти варианты изменяются от системы к системе, но, как правило, включают в себя: уведомление администратора через консоль или по электронной почте, завершение соединения с атакующим узлом и/или запись сессии для последующего анализа и сбора доказательств.

Достоинства систем обнаружения атак на сетевом уровне

IDS сетевого уровня имеют много достоинств, которые отсутствуют в системах обнаружения атак на системном уровне. В действительности, многие покупатели используют систему обнаружения атак сетевого уровня из-за ее низкой стоимости и своевременного реагирования. Ниже представлены основные причины, которые делают систему обнаружение атак на сетевом уровне наиболее важным компонентом эффективной реализации политики безопасности.

1.      Низкая стоимость эксплуатации. IDS сетевого уровня необходимо устанавливать в наиболее важных местах сети для контроля трафика, циркулирующего между многочисленных систем. Системы сетевого уровня не требуют, чтобы на каждом хосте устанавливалось программное обеспечение системы обнаружения атак. Поскольку для контроля всей сети число мест, в которых установлены IDS невелико, то стоимость их эксплуатации в сети предприятия ниже, чем стоимость эксплуатации систем обнаружения атак на системном уровне.

2.      Обнаружение атак, которые пропускаются на системном уровне. IDS сетевого уровня изучают заголовки сетевых пакетов на наличие подозрительной или враждебной деятельности. IDS системного уровня не работают с заголовками пакетов, следовательно, они не могут определять эти типы атак. Например, многие сетевые атаки типа "отказ в обслуживании" ("denial-of-service") и "фрагментированный пакет" (TearDrop) могут быть идентифицированы только путем анализа заголовков пакетов, по мере того, как они проходят через сеть. Этот тип атак может быть быстро идентифицирован с помощью IDS сетевого уровня, которая просматривает трафик в реальном масштабе времени. IDS сетевого уровня могут исследовать содержание тела данных пакета, отыскивая команды или определенный синтаксис, используемые в конкретных атаках. Например, когда хакер пытается использовать программу Back Orifice на системах, которые пока еще не поражены ею, то этот факт может быть обнаружен путем исследования именно содержания тела данных пакета. Как говорилось выше, системы системного уровня не работают на сетевом уровне, и поэтому не способны распознавать такие атаки.

3.      Для хакера более трудно удалить следы своего присутствия. IDS сетевого уровня используют "живой" трафик при обнаружении атак в реальном масштабе времени. Таким образом, хакер не может удалить следы своего присутствия. Анализируемые данные включают не только информацию о методе атаки, но и информацию, которая может помочь при идентификации злоумышленника и доказательстве в суде. Поскольку многие хакеры хорошо знакомы с журналами регистрации, они знают, как манипулировать этими файлами для скрытия следов своей деятельности, снижая эффективность систем системного уровня, которым требуется эта информация для того, чтобы обнаружить атаку.

4.      Обнаружение и реагирование в реальном масштабе времени. IDS сетевого уровня обнаруживают подозрительные и враждебные атаки ПО МЕРЕ ТОГО, КАК ОНИ ПРОИСХОДЯТ, и поэтому обеспечивают гораздо более быстрое уведомление и реагирование, чем IDS системного уровня. Например, хакер, инициирующий атаку сетевого уровня типа "отказ в обслуживании" на основе протокола TCP, может быть остановлен IDS сетевого уровня, посылающей установленный флаг Reset в заголовке TCP-пакета для завершения соединения с атакующим узлом, прежде чем атака вызовет разрушения или повреждения атакуемого хоста. IDS системного уровня, как правило, не распознают атаки до момента соответствующей записи в журнал и предпринимают ответные действия уже после того, как была сделана запись. К этому моменту наиболее важные системы или ресурсы уже могут быть скомпрометированы или нарушена работоспособность системы, запускающей IDS системного уровня. Уведомление в реальном масштабе времени позволяет быстро среагировать в соответствии с предварительно определенными параметрами. Диапазон этих реакций изменяется от разрешения проникновения в режиме наблюдения для того, чтобы собрать информацию об атаке и атакующем, до немедленного завершения атаки.

5.      Обнаружение неудавшихся атак или подозрительных намерений. IDS сетевого уровня, установленная с наружной стороны межсетевого экрана (МСЭ), может обнаруживать атаки, нацеленные на ресурсы за МСЭ, даже несмотря на то, что МСЭ, возможно, отразит эти попытки. Системы системного уровня не видят отраженных атак, которые не достигают хоста за МСЭ. Эта потерянная информация может быть наиболее важной при оценке и совершенствовании политики безопасности.

6.      Независимость от ОС. IDS сетевого уровня не зависят от операционных систем, установленных в корпоративной сети. Системы обнаружения атак на системном уровне требуют конкретных ОС для правильного функционирования и генерации необходимых результатов.

Обнаружение атак на системном уровне

В начале 80-х годов, еще до того, как сети получили свое развитие, наиболее распространенная практика обнаружения атак заключалась в просмотре журналов регистрации на предмет наличия в них событий, свидетельствующих о подозрительной активности. Современные системы обнаружения атак системного уровня остаются мощным инструментом для понимания уже осуществленных атак и определения соответствующих методов для устранения возможностей их будущего применения. Современные IDS системного уровня по-прежнему используют журналы регистрации, но они стали более автоматизированными и включают сложнейшие методы обнаружения, основанные на новейших исследованиях в области математики.

Как правило, IDS системного уровня контролируют систему, события и журналы регистрации событий безопасности (security log или syslog) в сетях, работающих под управлением Windows NT или Unix. Когда какой-либо из этих файлов изменяется, IDS сравнивает новые записи с сигнатурами атак, чтобы проверить, есть ли соответствие. Если такое соответствие найдено, то система посылает администратору сигнал тревоги или приводит в действие другие заданные механизмы реагирования. IDS системного уровня постоянно развиваются, постепенно включая все новые и новые методы обнаружения. Один их таких популярных методов заключается в проверке контрольных сумм ключевых системных и исполняемых файлов через регулярные интервалы времени на предмет несанкционированных изменений. Своевременность реагирования непосредственно связана с частотой опроса. Некоторые продукты прослушивают активные порты и уведомляют администратора, когда кто-то пытается получить к ним доступ.

 Достоинства систем обнаружения атак системного уровня

И хотя системы обнаружения атак системного уровня не столь быстры, как их аналоги сетевого уровня, они предлагают преимущества, которых не имеют последние. К этим достоинствам можно отнести более строгий анализ, пристальное внимание к данным о событии на конкретном хосте и более низкая стоимость внедрения.

1.      Подтверждают успех или отказ атаки. Поскольку IDS системного уровня используют журналы регистрации, содержащие данные о событиях, которые действительно имели место, то IDS этого класса могут с высокой точностью определять - действительно ли атака была успешной или нет. В этом отношении IDS системного уровня обеспечивают превосходное дополнение к системам обнаружения атак сетевого уровня. Такое объединение обеспечивает раннее предупреждение о начале атаки при помощи сетевого компонента и о ее успешности при помощи системного компонента.

2.      Контролирует деятельность конкретного узла. IDS системного уровня контролирует деятельность пользователя, доступ к файлам, изменения прав доступа к файлам, попытки установки новых программ и/или попытки получить доступ к привилегированным сервисам. Например, IDS системного уровня может контролировать всю logon- и logoff-деятельность пользователя, а также действия, выполняемые каждым пользователем при подключении к сети. Для системы сетевого уровня очень трудно обеспечить такой уровень детализации событий. Технология обнаружения атак на системном уровне может также контролировать деятельность, которая обычно ведется только администратором. Операционные системы регистрируют любое событие, при котором добавляются, удаляются или изменяются учетные записи пользователей. IDS системного уровня могут обнаруживать соответствующее изменение сразу, как только оно происходит. IDS системного уровня могут также проводить аудит изменений политики безопасности, которые влияют на то, как системы осуществляют отслеживание в своих журналах регистрации и т.д.

В конечном итоге системы обнаружения атак на системном уровне могут контролировать изменения в ключевых системных файлах или исполняемых файлах. Попытки перезаписать такие файлы или инсталлировать "троянских коней" могут быть обнаружены и пресечены. Системы сетевого уровня иногда упускают такой тип деятельности.

3.      Обнаружение атак, которые упускают системы сетевого уровня. IDS системного уровня могут обнаруживать атаки, которые не могут быть обнаружены средствами сетевого уровня. Например, атаки, осуществляемые с самого атакуемого сервера, не могут быть обнаружены системами обнаружения атак сетевого уровня.

4.      Хорошо подходит для сетей с шифрованием и коммутацией. Поскольку IDS системного уровня устанавливается на различных хостах сети предприятия, она может преодолеть некоторые из проблем, возникающие при эксплуатации систем сетевого уровня в сетях с коммутацией и шифрованием.

Коммутация позволяет управлять крупномасштабными сетями, как несколькими небольшими сетевыми сегментами. В результате бывает трудно определить наилучшее место для установки IDS сетевого уровня. Иногда могут помочь административные порты (managed ports) и порты отражения (mirror ports, span ports) трафика на коммутаторах, но эти методы не всегда применимы. Обнаружение атак на системном уровне обеспечивает более эффективную работу в коммутируемых сетях, т.к. позволяет разместить IDS только на тех узлах, на которых это необходимо.

Определенные типы шифрования также представляют проблемы для систем обнаружения атак сетевого уровня. В зависимости от того, где осуществляется шифрование (канальное или абонентское), IDS сетевого уровня может остаться "слепой" к определенным атакам. IDS системного уровня не имеют этого ограничения. К тому же ОС, и, следовательно, IDS системного уровня, анализирует расшифрованный входящий трафик.

5.      Обнаружение и реагирование почти в реальном масштабе времени. Хотя обнаружение атак на системном уровне не обеспечивает реагирования в действительно реальном масштабе времени, оно, при правильной реализации, может быть осуществлено почти в реальном масштабе. В отличие от устаревших систем, которые проверяют статус и содержания журналов регистрации через заранее определенные интервалы, многие современные IDS системного уровня получают прерывание от ОС, как только появляется новая запись в журнале регистрации. Эта новая запись может быть обработана сразу же, значительно уменьшая время между распознаванием атаки и реагированием на нее. Остается задержка между моментом записи операционной системой события в журнал регистрации и моментом распознавания ее системой обнаружения атак, но во многих случаях злоумышленник может быть обнаружен и остановлен прежде, чем нанесет какой-либо ущерб.

6.      Не требуют дополнительных аппаратных средств. Системы обнаружения атак на системном уровне устанавливаются на существующую сетевую инфраструктуру, включая файловые сервера, Web-сервера и другие используемые ресурсы. Такая возможность может сделать IDS системного уровня очень эффективными по стоимости, потому что они не требуют еще одного узла в сети, которому необходимо уделять внимание, осуществлять техническое обслуживание и управлять им.

7.      Низкая цена. Несмотря на то, что системы обнаружения атак сетевого уровня обеспечивают анализ трафика всей сети, очень часто они являются достаточно дорогими. Стоимость одной системы обнаружения атак может превышать $10000. С другой стороны, системы обнаружения атак на системном уровне стоят сотни долларов за один агент и могут приобретаться покупателем в случае необходимости контролировать лишь некоторые узлы предприятия, без контроля сетевых атак.