Реферат. Содержание





Скачать 264.25 Kb.
НазваниеРеферат. Содержание
страница5/5
Дата публикации04.01.2015
Размер264.25 Kb.
ТипРеферат
100-bal.ru > Информатика > Реферат
1   2   3   4   5

2.2. Сетевые мониторы безопасности


Сетевой монитор безопасности осуществляет анализ сетевого трафика на предмет выявления известных сетевых атак. Такие средства получили распространение сравнительно недавно, и законодателем мод в этом направлении по праву считается компания ISS (Internet Security Systems). В частности один из ее продуктов, RealSecure, как раз и является таким монитором безопасности. Этот продукт служит для контроля некоторого IP сегмента сети и оповещает администратора, если имеет место нарушение сетевой безопасности. Эта система обнаруживает многие известные атаки, например, такие, которые связаны с фрагментацией IP пакетов и др.

Обнаружение атак строится на выявлении сигнатур атак. Для этого продукта существует база данных, содержащая сигнатуры уже известных атак. Именно эти удаленные воздействия и способен обнаружить RealSecure.

3. СИСТЕМАТИЗАЦИЯ УДАЛЕННЫХ АТАК


Для того чтобы разработать общий подход к обнаружению удаленных воздействий, необходимо систематизировать причины успеха удаленных атак. Как уже отмечалось, использующийся в настоящее время подход заключается в определении сигнатур атак после того, как они были осуществлены. Предлагаемый подход заключается в анализе причин успеха удаленных атак, систематизации этих причин на основе этой информации и обнаружение удаленных воздействий на основании приведенной систематизации.

3.1. Обзор существующих классификаций


Основная цель любой классификации состоит в том, чтобы предложить такие классификационные признаки, используя которые можно наиболее точно описать классифицируемые явления или объекты. Поскольку между локальными и удаленными воздействиями на ВС существует большая разница, то применение уже известных обобщенных классификаций для описания удаленных воздействий не позволяет достаточно точно описать именно удаленные воздействия. Это связано с тем, что такие воздействия характеризуются сугубо специфичными признаками для распределенных вычислительных систем.

Основной особенностью распределенной системы является то, что ее компоненты рассредоточены в пространстве и связь между ними физически осуществляется при помощи сетевых соединений, а программно – при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые между объектами распределенной вычислительной системы, передаются по сетевым соединениям в виде пакетов обмена.

Исходя из этого удаленные атаки можно классифицировать по следующим признакам [3]:

  • по характеру воздействия;

  • по цели воздействия;

  • по условию начала осуществления воздействия;

  • по наличию обратной связи с атакуемым объектом;

  • по уровню модели протоколов в сети Internet.

Кроме того, существуют такие классификации как [3]:

  • список терминов;

  • список категорий;

  • матрицы.

Все эти классификации направлены на то, чтобы классифицировать воздействия, присущие РВС, и систематизировать знания об удаленных атаках, которые осуществлены на данный момент времени. Но они не могут быть использованы для разработки метода обнаружения удаленных воздействий, поскольку не затрагивают механизмов их осуществления. Все эти классификации основаны на анализе последствий удаленных атак и условий их возникновения.

Основным достоинством этих классификаций является простота. Их основным недостатком является то, что все они разрабатывались с точки зрения последствий, к которым приводят данные атаки.

3.2. Построение классификации удаленных атак


На основе проведенного анализа предлагается систематизировать атаки с точки зрения причин, благодаря которым атака была успешно осуществлена. Систематизация по причинам успеха удаленных атак включает в себя следующие основные признаки: неправильное использование протокола, нарушение ресурсных ограничений, ошибки в реализации политики безопасности. Тогда расширенная классификация атак будет включать в себя:

  • Неправильное использование протокола:

    1. Ошибки в полях заголовков пакетов. Форматы Internet протоколов четко специфицированы и меняться не могут. Ошибки (намеренные или нет) возможны в некоторых полях протоколов. Например, ошибкой можно считать в IP пакете равенство адресов приемника и источника, неверное значение контрольной суммы и т.д. В первую очередь необходимо производить анализ на наличие таких, казалось бы, очевидных ошибок.

    2. Некорректная динамика использования. Под динамикой использования подразумевается то, что для некоторых действий, таких как пересылка больших данных, установка TCP соединения, характерна отправка не одного, а нескольких пакетов. Тогда каждый отдельный пакет может быть корректным, а все пакеты, собранные вместе, могут приводить к нежелательным последствиям. Примером такой динамики использования может служит IP фрагментация, когда данные передаются не в одном, а нескольких IP пакетах и уже упомянутая установка TCP соединения.

    3. Некорректное использование протоколов, позволяющих изменять информацию на хосте или маршрутизаторе или предназначенных для разрешения адресов. Возможность проведения той или иной атаки иногда вытекает из назначения самого протокола. Например, есть т.н. управляющие протоколы (например, DNS) и управляющие сообщения (например, ICMP Redirect). С помощью таких пакетов можно менять информацию, например, на маршрутизаторе. DNS – служба имен доменов и предназначен для разрешения имен; т.е., например, по имени некоторого сайта можно получить его IP адрес. В этом случае с помощью этого протокола можно направить пользователя, например, вместо www.microsoft.com на www.playboy.com.

  • Нарушение ограничений, накладываемых на ресурсы.

Многие атаки осуществляются из-за того, что не хватает ресурсов системы для того, чтобы, обработать все входящие пакеты, отправить ответ, или существует неявное ограничение на количество соединений на одном порте и т.д. Например, в сетевых ОС существуют ограничение на количество соединений на определенных портах (например, FTP порте). Тогда для того чтобы этот порт стал недоступен для подключения злоумышленнику достаточно открыть на этом порте максимально возможное количество соединений.

  • Ошибки в ограничениях, накладываемых политикой безопасности.

Наиболее трудно выявляемый класс атак, связан, по большей части, с ошибками администрирования. Для того чтобы предотвратить атаки, использующие «дыры» в политике безопасности, необходимо проанализировать эту политику. Здесь также возникает ряд проблем, связанных, прежде всего, с критериями, в соответствие с которыми необходимо анализировать политику, с системой, к которой применяется политика безопасности и т.д. Примером ошибки администрирования может служит включение пользователя Guest в группу Domain Admins (в Windows NT).
Построенная классификация является средством, на основании которого можно разработать общий метод обнаружения удаленных воздействий. Поскольку классификация учитывает все возможные пути осуществления удаленных атак, представляется возможным перекрыть эти пути. Построенный таким образом механизм позволит обнаруживать удаленные атаки (даже те, которые еще не были осуществлены).

3.3. Разработка метода обнаружения удаленных атак


На основе приведенной систематизации можно построить метод обнаружения удаленных атак. Метод будет построен только для протоколов сетевого и транспортного уровня.

Для того чтобы предотвратить отдельные атаки, необходимо определить список тех Internet пакетов, которые не могут быть пропущены в систему, условно назовем его списком запрещенных пакетов. Это необходимо для предотвращения тех атак, которые используют определенного типа пакеты. Например, можно сделать так, чтобы инициатором соединения мог выступать только защищаемый хост, а извне к нему доступ запретить, не пропуская пакеты TCP SYN – запросы на установку TCP соединения.

Для того чтобы обнаружить удаленную атаку, необходимо:

  • определить все заголовки пакета, построить их иерархию в соответствии с моделью протоколов сети Internet. Проверка осуществляется, начиная с сетевого уровня (IP-, ARP-заголовки);

  • проверяются на корректность данные в полях заголовка. Если будут обнаружены ошибки в этих данных, то, значит, пакет не прошел проверку и, возможно, осуществляется удаленная атака. Если ошибок нет, то переходим к п. 3), в противном случае, пакет не допускается к дальнейшей обработке;

  • проверяется корректность последовательности пакетов, если приходящий пакет в ней участвует. Если он не участвует ни в какой последовательности, то он проходит эту проверку и осуществляется проверка №4. Если же он участвует в такой последовательности, то он запоминается и проверяется вся последовательность пакетов, к которой принадлежит пришедший, на предмет того, может ли . Если заголовок корректен с этой точки зрения, то осуществляется проверка №4, если нет, то пакет не допускается к дальнейшей обработке;

  • проверяется тот факт, не приведет ли пакет к нарушению ограничений на ресурсы системы. Например, известно, что в сетевых ОС существуют ограничения на количество соединений, которые можно открыть на определенном порте. Тогда под нарушением ограничения на этот ресурс будет пониматься попытка открыть большее количество соединений, чем позволяет ограничение. В этом случае такой пакет не проходит проверку и отбрасывается, в противном случае переход к п. 5);

  • проверка того, входит ли пакет в список запрещенных. В основном, это касается таких пакетов, как ICMP Redirect, который, потенциально может привести к нарушению данных маршрутизации. Если пришедший пакет попадает в этот список, то он не пропускается в систему и отбрасывается;

  • если заголовок пакета успешно прошел проверки, обозначенные в пунктах 2) – 5), то выбирается следующий по уровню модели протоколов сети Internet заголовок. При этом существует ограничение, что уровень анализируемого заголовка не должен быть выше транспортного. Если требуемый заголовок присутствует, то переход к п. 2), если нет, то все заголовки прошли проверку и пакет в целом считается корректным.


Блок-схема описанного алгоритма представлена в приложении 1.

Необходимо отметить тот факт, что настоящий метод предлагается для обнаружения атак для протоколов по уровню не выше транспортного, поэтому в рассмотрение не попадают такие протоколы как DNS, FTP, Telnet и другие протоколы прикладного уровня.

ЗАКЛЮЧЕНИЕ


Бурный количественный рост пользователей Internet и увеличение предоставляемых пользователям возможностей сдерживается опасностью удаленных атак. Атаки осуществляются как на отдельных пользователей, так и на организации, нанося при этом громадный моральный и материальный ущерб. Это обуславливает необходимость разработки средств защиты, которые обнаруживали бы атаки и препятствовали бы их осуществлению.

В настоящее время механизмы обнаружения удаленных атак разрабатываются только после анализа осуществленных атак. Основное достоинство этого подхода – выявление всех тонкостей атаки, а недостаток – атака, хотя бы раз, будет реализована. В настоящей работе предложен иной подход решения проблемы обнаружения удаленных атак, в основе которого лежит систематизация причин успеха удаленных атак.

Предложенная систематизация показывает, что причины успеха удаленных атак сводятся к трем основным причинам. Необходимо отметить, что предложенная систематизация не является полной, поскольку не рассматривает, например, атаки, направленные на соединения между хостами. Несмотря на этот недостаток, данная систематизация позволяет разработать метод обнаружения удаленных воздействий, который применим к атакам, осуществляемым на сетевом и транспортном уровнях модели протоколов.

В качестве примера практического использования метода реализован алгоритм обнаружения удаленной атаки TCP flooding. В соответствии с предложенным методом были выявлены причины успеха этой атаки, набор параметров, которые необходимо контролировать, и разработан алгоритм обнаружения атаки TCP flooding.

Таким образом в настоящей работе построена систематизация удаленных атак, на основании которой был разработан метод обнаружения удаленных атак и практически реализован алгоритм обнаружения одной из удаленных атак.

В дальнейшем необходимо дополнить систематизацию успеха удаленных атак и распространить разработанный метод на атаки, которые осуществляются на прикладном уровне модели протоколов сети Internet.

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ


  1. Медведовский И.Д., Семьянов П.В., Платонов В.В. Атака через Internet. НПО «Мир и семья-95», 1997.

  2. Howard J.D. An Analysis Of Security Incidents On The Internet - 1989 – 1995. Engineering and Public Policy dissertation, Carnegie-Mellon University, April 7, 1997.

  3. Cohen Fred. Simulating Cyber Attacks, Defenses, and Consequences. Fred Cohen & Associates, March, 1999.

  4. RealSecure User’s Guide and Reference Manual. Internet Security Systems, 1996. Доступно с http://iss.net/RealSecure.

  5. RFC 790, RFC791 – формат IP протокола.

  6. RFC 793 – формат TCP протокола.

  7. RFC 792 – формат ICMP протокола.



ПРИЛОЖЕНИЕ

СХЕМА АЛГОРИТМА ОБНАРУЖЕНИЯ АТАКИ


Схема разработанного алгоритма для обнаружения удаленных атак типа TCP flooding представлена на рисунках 1 и 2.



Рисунок 2. Схема алгоритма
1   2   3   4   5

Похожие:

Реферат. Содержание iconПамятка юному исследователю Учимся писать реферат реферат
Реферат – краткое изложение сути исследуемой проблемы, где автор приводит различные точки зрения, а также собственные взгляды на...
Реферат. Содержание iconПоложение о реферате обучающегося
Реферат краткое изложение в письменном виде содержания и результатов индивидуальной или групповой исследовательской работы учащегося...
Реферат. Содержание iconОтзыв руководителя на реферат «Собака – помощник человека»
...
Реферат. Содержание iconПоложение о реферате обучающегося моу сош №9 им. В. Т степанченко
Реферат краткое изложение в письменном виде содержания и результатов индивидуальной или групповой исследовательской работы учащегося...
Реферат. Содержание iconКонтрольная работа (реферат)
Контрольная работа (реферат) оформляется в виде рукописи, излагающей постановку проблемы, содержание исследования и его основные...
Реферат. Содержание iconПрограмма собеседования по направлению 46. 04. 01 История Содержание
От экзаменующихся требуется: знание материала, предусмотренного данной программой; умение кратко изложить содержание работы, представленной...
Реферат. Содержание iconРеферат Требование к структуре реферату
Реферат должен быть выполнен самостоятельно каждым студентом на 5 или более листах формата А4 (не включая титульный лист, содержание,...
Реферат. Содержание iconРеферат как форма устной итоговой аттестации учащихся 9 классов
Реферат не копирует дословно содержание первоисточника, а представляет собой новый вторичный текст, создаваемый в результате систематизации...
Реферат. Содержание iconРеферат Отчет представлен на 21 страницах, включает в себя 1 таблицу...
Содержание деятельности и результаты реализации Мероприятия 1 «Предоставление услуг населению по формированию ик компетенций с помощью...
Реферат. Содержание iconРеферат по зарубежному опыту (семестр 2) Данный реферат (5-7 источников) включает
Содержание реферата должно отражать зарубежный опыт государственного или муниципального управления, государственной политики по теме...
Реферат. Содержание iconРекомендации «Как написать реферат» Общая информация
Реферат – это самостоятельная исследовательская работа, в которой автор раскрывает суть исследуемой проблемы; приводит различные...
Реферат. Содержание iconРеферат по социологии на тему : “ Теория конфликта”
Содержание
Реферат. Содержание iconРеферат по курсу кандидатского минимума реферат, завизированный научным...
Реферат представляет собой обзор зарубежной литературы по исследуемой тематике или полный письменный перевод с иностранного языка...
Реферат. Содержание iconРеферат печатается с использованием компьютера и принтера на одной...
Реферат – это краткое изложение в письменном виде содержания и результатов индивидуальной учебно-исследовательской деятельности,...
Реферат. Содержание iconРеферат Содержание
Курсовые проекты и работы, рефераты на заданную (выбранную) тему, отчеты о нир и практике
Реферат. Содержание iconРеферат по теме «Свойства и типы полупроводниковых материалов»
Содержание учебного материала, лабораторные работы, самостоятельная работа обучающихся


Школьные материалы


При копировании материала укажите ссылку © 2013
контакты
100-bal.ru
Поиск