Принадлежащие субъектам (информационные ресурсы, информационные и 10 страница

 

Основные:

 

Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ.РУ, 2003.

 

Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.

 

Олифер В. Г., Олифер Н. А. Компьютерные сети. Принципы, технологии, протоколы. – СПб: Питер, 2000.

 

Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. Атака из Internet. – М.: Солон-Р, 2002.

 

Новиков Ю. В., Кондратенко С. В. Локальные сети: архитектура, алгоритмы, проектирование. – М.: ЭКОМ, 2001.

 

Карпов Е.А., Котенко И.В., Котухов М.М., Марков А.С., Парр Г.А., Рунеев А.Ю. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности автоматизированных систем и информационно-вычислительных сетей: Под ред. И.В.Котенко. – СПб.: ВУС, 2000.

 

Спортак Марк, Паппас Френк. Компьютерные сети и сетевые технологии. – М.: ТИД "ДС", 2002.

 

www.jetinfo.ru.

Тема 3.4. Адресация в глобальных сетях

 

 

3.4.1. Введение

 

Цели изучения темы

 

изучить принципы адресации в глобальных вычислительных сетях, типы адресов и структуру IP-адреса.

 

Требования к знаниям и умениям

 

Студент должен знать:

 

принципы адресации в современных вычислительных сетях;

 

классы адресов протокола IP и структуру IP-адреса;

 

иерархический принцип системы доменных имен.

 

Студент должен уметь:

 

преобразовывать двоичный IP-адрес в десятичный;

 

определять тип сети по IP-адресу.

 

План изложения материала

 

Основы IP-протокола.

 

Классы адресов вычислительных сетей.

 

Система доменных имен.

 

Ключевой термин

 

Ключевой термин: система адресации в глобальной вычислительной сети.

 

Система адресации в глобальной вычислительной сети основана на протоколе IP (Internet Protocol), в соответствии с которым каждый узел вычислительной сети идентифицируется уникальным 32-х битовым двоичным адресом.

 

Второстепенные термины

 

класс IP-адреса;

 

доменное имя;

 

система доменных имен.

 

Структурная схема терминов

3.4.2. Основы IP-протокола

 

Одной из главных проблем построения глобальных сетей является проблема адресации. С одной стороны, постоянное расширение глобальной сети Интернет привело к нехватке уникальных адресов для вновь подключаемых узлов. С другой стороны, система адресации в таких сетях должна быть защищена от возможного вмешательства злоумышленников, связанных с подменой адресов и реализацией обходных маршрутов передачи сообщений.

 

Адресация современного Интернета основана на протоколе IP (Internet Protocol), история которого неразрывно связана с транспортным протоколом TCP.

 

Концепция протокола IP представляет сеть как множество компьютеров (хостов), подключенных к некоторой интерсети. Интерсеть, в свою очередь, рассматривается как совокупность физических сетей, связанных маршрутизаторами. Физические объекты (хосты, маршрутизаторы, подсети) идентифицируются при помощи специальных IP-адресов. Каждый IP-адрес представляет собой 32-битовый идентификатор. Принято записывать IP-адреса в виде 4-х десятичных чисел, разделенных точками.

 

Для этого 32-х битовый IP-адрес разбивается на четыре группы по 8 бит (1 байт), после чего каждый байт двоичного слова преобразовывается в десятичное число по известным правилам. Например, IP-адрес:

 

преобразовывается указанным способом к следующему виду:

 

147.135.14.229.

 

3.4.3. Классы адресов вычислительных сетей

 

Каждый адрес является совокупностью двух идентификаторов: сети – NetID, и хоста – HostID. Все возможные адреса разделены на 5 классов, схема которых приведена на рис. 3.4.1.

 

Рисунок 3.4.1. Классы IP адресов

 

Из рисунка видно, что классы сетей определяют как возможное количество этих сетей, так и число хостов в них. Практически используются только первые три класса:

 

Класс А определен для сетей с числом хостов до 16777216. Под поле NetID отведено 7 бит, под поле HostID – 24 бита.

 

Класс В используется для среднемасштабных сетей (NetID – 14 бит, HostID – 16 бит). В каждой такой сети может быть до 65 536 хостов.

 

Класс С применяется для небольших сетей (NetId – 21 бит, HostID – 8 бит) с числом хостов до 255.

 

3.4.4. Система доменных имен

 

Во времена, когда ARPANET состояла из довольно небольшого числа хостов, все они были перечислены в одном файле (HOSTS. TXT). Этот файл хранился в сетевом информационном центре Станфордского исследовательского института (SRI-NIC – Stanford Research Institute Network Information Center). Каждый администратор сайта посылал в SRI-NIC дополнения и изменения, происшедшие в конфигурации его системы. Периодически администраторы переписывали этот файл в свои системы, где из него генерировали файл /etc/hosts. С ростом ARPANET это стало чрезвычайно затруднительным. С переходом на TCP/IP совершенствование этого механизма стало необходимостью, поскольку, например, какой-то администратор мог присвоить новой машине имя уже существующей. Решением этой проблемы явилось создание доменов, или локальных полномочий, в которых администратор мог присваивать имена своим машинам и управлять данными адресации в своем домене.

 

Домен – группа узлов сети (хостов) объединенных общим именем, которое для удобства несет определенную смысловую нагрузку. Например, домен "ru" объединяет узлы на территории России. В более широком смысле под доменом понимается множество машин, которые администрируются и поддерживаются как одно целое. Можно сказать, что все машины локальной сети составляют домен в большей сети, хотя можно и разделить машины локальной сети на несколько доменов. При подключении к Интернету домен должен быть поименован в соответствии с соглашением об именах в этой сети. Интернет организован как иерархия доменов. Каждый уровень иерархии является ветвью уровня root. На каждом уровне находится сервер имен – машина, которая содержит информацию о машинах низшего уровня и соответствии их имен IP-адресам. Схема построения иерархии доменов приведена на рис. 3.4.2.

 

Рисунок 3.4.2. Структура имен доменов

 

Домен корневого уровня формируется InterNIC (сетевым информационным центром сети Интернет).

 

Домены верхнего уровня имеют следующие ветви:

 

edu – образовательные учреждения;

 

gov – правительственные учреждения;

 

arpa – ARPANET;

 

com – коммерческие организации;

 

mil – военные организации;

 

int – международные организации;

 

org – некоммерческие организации;

 

net – сетевые информационные центры.

 

Начиная с весны 1997 к ним добавились еще 7 доменов:

 

firm – фирмы и направления их деятельности;

 

store – торговые фирмы;

 

web – объекты, связанные с WWW;

 

arts – объекты, связанные с культурой и искусством;

 

rec – развлечения и отдых;

 

info – информационные услуги;

 

nom – прочие.

 

Эти имена соответствуют типам сетей, которые составляют данные домены. Кроме этого, к доменам верхнего уровня относятся домены по географическому признаку, у которых представление названия страны двухбуквенное.

 

it – Италия;

 

jp – Япония;

 

kr – Корея;

 

nz – Новая Зеландия;

 

ru – Россия;

 

se – Швеция;

 

su – бывший СССР;

 

tw – Тайвань;

 

uk – Англия/Ирландия;

 

us – Соединенные Штаты.

 

Члены организаций на втором уровне управляют своими серверами имен. Домены локального уровня администрируются организациями. Локальные домены могут состоять из одного хоста или включать не только множество хостов, но и свои поддомены.

 

Имя домена образуется "склеиванием" всех доменов от корневого до текущего, перечисленных справа налево и разделенных точками. Например, в имени kernel. generic. edu:

 

edu – соответствует верхнему уровню,

 

generic – показывает поддомен edu,

 

kernel – является именем хоста.

 

Мы подошли к очень важному понятию – определению службы имен доменов (или служба доменных имен) – DNS (Domain Name Service).

 

Как уже было показано ранее адресация в сети (сетевой уровень) основана на протоколе IP, тогда как для удобства администрирования сетей и пользователей (прикладной уровень) в вычислительных сетях введены имена доменов, несущие определенную смысловую нагрузку.

 

Служба доменных имен как раз и предназначена для определения соответствия между доменным именем хоста и его реальным IP-адресом и наоборот. По сути, сервер (DNS-сервер), предоставляющий пользователям сети эту услугу хранит базу данных об этих соответствиях.

 

История развития сети Интернет показывает, что DNS-сервер является объектом атак со стороны злоумышленников, поскольку, выведя из строя этот сервер или изменив данные его базы можно, нарушить работу сети. Проблемы информационной безопасности, связанные с использованием DNS-серверов, будут рассмотрены далее.

3.4.5. Выводы по теме

 

Адресация современного Интернета основана на протоколе IP (Internet Protocol).

 

Концепция протокола IP представляет сеть как множество компьютеров (хостов), подключенных к некоторой интерсети. Интерсеть, в свою очередь, рассматривается как совокупность физических сетей, связанных маршрутизаторами.

 

Физические объекты (хосты, маршрутизаторы, подсети) идентифицируются при помощи специальных IP-адресов. Каждый IP-адрес представляет собой 32-битовый идентификатор.

 

IP-адрес записывается в виде 4-х десятичных чисел, разделенных точками. Для этого 32-х битовый IP-адрес разбивается на четыре группы по 8 бит (1 байт), после чего каждый байт двоичного слова преобразовывается в десятичное число.

 

Каждый адрес является совокупностью двух идентификаторов: сети – NetID и хоста – HostID.

 

Домен – группа узлов сети (хостов), объединенных общим именем, которое для удобства несет определенную смысловую нагрузку.

 

Служба доменных имен предназначена для определения соответствия между доменным именем хоста и его реальным IP адресом и наоборот.

3.4.6. Вопросы для самоконтроля

 

Как рассматривается сеть в концепции протокола IP?

 

Что такое IP-адрес?

 

Преобразуйте IP-адрес "11110011 10100101 00001110 11000001" в десятичную форму.

 

Сколько классов сетей определяет IP протокол?

 

Из каких частей состоит IP-адрес?

 

К какому классу относится следующий адрес: 199.226.33.168?

 

Какой из этих адресов не может существовать: 109.256.33.18 или 111.223.44.1?

 

Поясните понятие домена.

 

В чем заключается иерархический принцип системы доменных имен?

 

Для чего предназначен DNS-сервер?

 

Приведите примеры доменов верхнего уровня по географическому признаку.

 

3.4.7. Ссылки на дополнительные материалы (печатные и электронные ресурсы)

 

Основные:

 

Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ.РУ, 2003.

 

Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. Атака из Internet. – М.: Солон-Р, 2002.

 

Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.

 

В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. – СПб: Питер, 2000.

 

Новиков Ю. В., Кондратенко С. В. Локальные сети: архитектура, алгоритмы, проектирование. – М.: ЭКОМ, 2001.

 

Спортак Марк, Паппас Френк. Компьютерные сети и сетевые технологии. – М.: ТИД "ДС", 2002.

 

www.jetinfo.ru.

Тема 3.5. Классификация удаленных угроз в вычислительных сетях

 

 

3.5.1. Введение

 

Цели изучения темы

 

изучить классы удаленных угроз распределенным вычислительным сетям.

 

Требования к знаниям и умениям

 

Студент должен знать:

 

классы удаленных угроз и их характеристику.

 

Студент должен уметь:

 

классифицировать удаленные угрозы.

 

Ключевой термин

 

Ключевой термин: класс удаленной атаки.

 

Класс удаленной атаки определяется характером и целью ее воздействия, условиями расположения субъекта и объекта воздействия, а также условием начала воздействия.

 

Второстепенные термины

 

пассивная атака;

 

активная атака;

 

атака по запросу;

 

безусловная атака.

 

Структурная схема терминов

3.5.2. Классы удаленных угроз и их характеристика

 

При изложении данного материала в некоторых случаях корректнее говорить об удаленных атаках нежели, об удаленных угрозах объектам вычислительных сетей, тем не менее, все возможные удаленные атаки являются в принципе удаленными угрозами информационной безопасности.

 

Удаленные угрозы можно классифицировать по следующим признакам.

 

По характеру воздействия:

 

пассивные (класс 1.1);

 

активные (класс 1.2).

 

Пассивным воздействием на распределенную вычислительную систему называется воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать ее политику безопасности. Именно отсутствие непосредственного влияния на работу сети приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия в вычислительных сетях является прослушивание канала связи в сети.

 

Под активным воздействием на вычислительную сеть понимается воздействие, оказывающее непосредственное влияние на работу сети (изменение конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Практически все типы удаленных угроз являются активными воздействиями. Это связано с тем, что в самой природе разрушающего воздействия содержится активное начало. Очевидной особенностью активного воздействия по сравнению с пассивным является принципиальная возможность его обнаружения, так как в результате его осуществления в системе происходят определенные изменения. В отличие от активного, при пассивном воздействии не остается никаких следов (просмотр чужого сообщения ничего не меняет).

 

По цели воздействия:

 

нарушение конфиденциальности информации (класс 2.1);

 

нарушение целостности информации (класс 2.2);

 

нарушение доступности информации (работоспособности системы) (класс 2.3).

 

Этот классификационный признак является прямой проекцией трех основных типов угроз – раскрытия, целостности и отказа в обслуживании.

 

Одна из основных целей злоумышленников – получение несанкционированного доступа к информации. Существуют две принципиальные возможности доступа к информации: перехват и искажение. Возможность перехвата информации означает получение к ней доступа, но невозможность ее модификации. Следовательно, перехват информации ведет к нарушению ее конфиденциальности. Примером перехвата информации может служить прослушивание канала в сети. В этом случае имеется несанкционированный доступ к информации без возможности ее искажения. Очевидно также, что нарушение конфиденциальности информации является пассивным воздействием.

 

Возможность искажения информации означает либо полный контроль над информационным потоком между объектами системы, либо возможность передачи сообщений от имени другого объекта. Таким образом, очевидно, что искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие представляет собой яркий пример активного воздействия. Примером удаленной угрозы, цель которой нарушение целостности информации, может служить типовая удаленная атака "ложный объект распределенной вычислительной сети".

 

Принципиально другая цель преследуется злоумышленником при реализации угрозы для нарушения работоспособности сети. В этом случае не предполагается получение несанкционированного доступа к информации. Его основная цель – добиться, чтобы узел сети или какой то из сервисов поддерживаемый им вышел из строя и для всех остальных объектов сети доступ к ресурсам атакованного объекта был бы невозможен. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить типовая удаленная атака "отказ в обслуживании".

 

По условию начала осуществления воздействия

 

Удаленное воздействие, также как и любое другое, может начать осуществляться только при определенных условиях. В вычислительных сетях можно выделить три вида условий начала осуществления удаленной атаки:

 

атака по запросу от атакуемого объекта (класс 3.1);

 

атака по наступлению ожидаемого события на атакуемом объекте (класс 3.2);

 

безусловная атака (класс 3.3).

 

В первом случае, злоумышленик ожидает передачи от потенциальной цели атаки запроса определенного типа, который и будет условием начала осуществления воздействия. Примером подобных запросов в сети Internet служат DNS-запросы. Отметим, что данный тип удаленных атак наиболее характерен для распределенных вычислительных сетей.

 

Во втором случае, злоумышленник осуществляет постоянное наблюдение за состоянием операционной системы удаленной цели атаки и при возникновении определенного события в этой системе начинает воздействие. Как и в предыдущем случае, инициатором осуществления начала атаки выступает сам атакуемый объект.

 

Реализация третьего вида атаки не связана ни с какими событиями и реализуется безусловно по отношению к цели атаки, то есть атака осуществляется немедленно.

 

По наличию обратной связи с атакуемым объектом:

 

с обратной связью (класс 4.1);

 

без обратной связи (однонаправленная атака) (класс 4.2).

 

Удаленная атака, осуществляемая при наличии обратной связи с атакуемым объектом, характеризуется тем, что на некоторые запросы, переданные на атакуемый объект, атакующему требуется получить ответ, а следовательно, между атакующим и целью атаки существует обратная связь, которая позволяет атакующему адекватно реагировать на все изменения, происходящие на атакуемом объекте.

 

В отличие от атак с обратной связью удаленным атакам без обратной связи не требуется реагировать на какие-либо изменения, происходящие на атакуемом объекте. Атаки данного вида обычно осуществляются передачей на атакуемый объект одиночных запросов, ответы на которые атакующему не нужны. Подобную удаленную атаку можно называть однонаправленной удаленной атакой. Примером однонаправленных атак является типовая удаленная атака "отказ в обслуживании".

 

По расположению субъекта атаки относительно атакуемого объекта:

 

внутрисегментное (класс 5.1);

 

межсегментное (класс 5.2).

 

Рассмотрим ряд определений:

 

Субъект атаки (или источник атаки) – это атакующая программа или злоумышленник, непосредственно осуществляющие воздействие.

 

Маршрутизатор (router) – устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

 

Подсеть (subnetwork) (в терминологии Internet) – совокупность хостов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, минуя маршрутизатор.

 

Сегмент сети – физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина". При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте.

 

С точки зрения удаленной атаки чрезвычайно важно, как по отношению друг к другу располагаются субъект и объект атаки, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, субъект и объект атаки находятся в одном сегменте. При межсегментной атаке субъект и объект атаки находятся в разных сегментах.

 

Данный классификационный признак позволяет судить о так называемой "степени удаленности" атаки.

 

Важно отметить, что межсегментная удаленная атака представляет гораздо большую опасность, чем внутрисегментная. Это связано с тем, что в случае межсегментной атаки объект её и непосредственно атакующий могут находиться на расстоянии многих тысяч километров друг от друга, что может существенно воспрепятствовать мерам по локализации субъекта атаки.

 

По уровню модели ISO/OSI, на котором осуществляется воздействие:

 

физический (класс 6.1);

 

канальный (класс 6.2);

 

сетевой (класс 6.3);

 

транспортный (класс 6.4);

 

сеансовый (класс 6.5);

 

представительный (класс 6.6);

 

прикладной (класс 6.7).

3.5.3. Выводы по теме

 

Субъект атаки (или источник атаки) – это атакующая программа или злоумышленник, непосредственно осуществляющие воздействие.

 

Маршрутизатор – устройство, обеспечивающее маршрутизацию пакетов обмена в глобальной сети.

 

Подсеть – совокупность узлов, являющихся частью глобальной сети, для которых маршрутизатором выделен одинаковый номер подсети.

 

Сегмент сети – физическое объединение хостов. Например, сегмент сети образуют совокупность хостов, подключенных к серверу по схеме "общая шина".

 

Удаленные угрозы классифицируются по следующим признакам:

 

по характеру воздействия (пассивные, активные);

 

по цели воздействия (нарушение конфиденциальности, нарушение целостности и нарушение доступности информации);

 

по условию начала осуществления воздействия (атака по запросу от атакуемого объекта, атака по наступлению ожидаемого события на атакуемом объекте и безусловная атака);

 

по наличию обратной связи с атакуемым объектом (с обратной и без обратной связи);

 

по расположению субъекта атаки относительно атакуемого объекта (внутрисегментное и межсегментное);

 

по уровню модели ISO/OSI, на котором осуществляется воздействие.

3.5.4. Вопросы для самоконтроля

 

Перечислите классы удаленных угроз.

 

Как классифицируются удаленные угрозы "по характеру воздействия"?

 

Охарактеризуйте удаленные угрозы "по цели воздействия".

 

Как классифицируются удаленные угрозы "по расположению субъекта и объекта угрозы"?

 

Дайте определение маршрутизатора.

 

Что такое подсеть и сегмент сети? Чем они отличаются?

 

Может ли пассивная угроза привести к нарушению целостности информации?

3.5.5. Ссылки на дополнительные материалы (печатные и электронные ресурсы)

 

Основные:

 

Медведовский И.Д., Семьянов П.В., Леонов Д.Г., Лукацкий А.В. Атака из Internet. – М.: Солон-Р, 2002.

 

Галатенко В. А. Основы информационной безопасности. – М.: Интернет-Университет Информационных Технологий - ИНТУИТ.РУ, 2003.

 

Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.

 

В. Г. Олифер, Н. А. Олифер. Компьютерные сети. Принципы, технологии, протоколы. – СПб: Питер, 2000.

 

www.jetinfo.ru.

Тема 3.6. Типовые удаленные атаки и их характеристика

 

 

3.6.1. Введение

 

Цели изучения темы

 

изучить механизм реализации типовых удаленных атак и их характеристику.

 

Требования к знаниям и умениям

 

Студент должен знать:

 

типовые удаленные атаки и механизмы их реализации.

 

Студент должен уметь:

 

классифицировать типовые удаленные атаки по совокупности признаков.

 

План изложения материала

 

Удаленная атака "анализ сетевого трафика".

 

Удаленная атака "подмена доверенного объекта".

 

Удаленная атака "ложный объект".

 

Удаленная атака "отказ в обслуживании".

 

Ключевой термин

 

Ключевой термин: типовая удаленная атака.

 

Типовая удаленная атака – это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной сети.

 

Второстепенные термины

 

удаленная атака "анализ сетевого трафика";

 

удаленная атака "подмена доверенного объекта";

 

удаленная атака "ложный объект";

 

удаленная атака "отказ в обслуживании".

 

Структурная схема терминов

 

Как уже было показано ранее, распределенные вычислительные сети проектируются на основе одних и тех же принципов, а, следовательно, имеют практически одинаковые проблемы безопасности, причем, в большинстве случаев, независимо от используемых сетевых протоколов, топологии и инфраструктуры вычислительной сети.

 

С учетом этого специалисты в области информационной безопасности используют понятие типовой удаленной угрозы (атаки), характерной для любых распределенных вычислительных сетей. Введение этого понятия в совокупности с описанием механизмов реализации типовых удаленных угроз позволяет выработать методику исследования безопасности вычислительных сетей, заключающуюся в последовательной умышленной реализации всех типовых удаленных угроз и наблюдению за поведением системы.

 

Типовая удаленная атака – это удаленное информационное разрушающее воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычислительной сети.

3.6.2. Удаленная атака "анализ сетевого трафика"

 

Основной особенностью распределенной вычислительной сети является распределенность ее объектов в пространстве и связь между ними по физическим линиям связи. При этом все управляющие сообщения и данные, пересылаемые между объектами вычислительной сети, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность привела к появлению специфичного для распределенных вычислительных сетей типового удаленного воздействия, заключающегося в прослушивании канала связи, называемого анализом сетевого трафика.

 

Анализ сетевого трафика позволяет:

 

изучить логику работы распределенной вычислительной сети, это достигается путем перехвата и анализа пакетов обмена на канальном уровне (знание логики работы сети позволяет на практике моделировать и осуществлять другие типовые удаленные атаки);