Et fjernnetværksangreb er en informationsdestruktiv effekt på et distribueret computersystem (CS), der udføres programmatisk via kommunikationskanaler.
For at organisere kommunikation i et heterogent netværksmiljø bruges et sæt TCP/IP-protokoller , der sikrer kompatibilitet mellem computere af forskellige typer. Dette sæt af protokoller har vundet popularitet på grund af interoperabilitet og adgang til ressourcerne på det globale internet og er blevet en standard for internetarbejde. Almindeligheden af TCP/IP-protokolstakken har dog også afsløret dens svagheder. Især på grund af dette er distribuerede systemer modtagelige for fjernangreb, da deres komponenter normalt bruger åbne datatransmissionskanaler , og den ubudne gæst kan ikke kun passivt lytte til den transmitterede information, men også ændre den transmitterede trafik .
Vanskeligheden ved at opdage et fjernangreb og den relative lethed at udføre det (på grund af den overdrevne funktionalitet af moderne systemer) bringer denne type ulovlige handlinger til førstepladsen med hensyn til graden af fare og forhindrer en rettidig reaktion på en implementeret trussel, som følge af hvilken angriberen har en øget chance for et vellykket angreb.
En passiv påvirkning af et distribueret computersystem (DCS) er en slags påvirkning, der ikke direkte påvirker systemets drift, men som samtidig er i stand til at overtræde dets sikkerhedspolitik . Fraværet af en direkte indflydelse på driften af RCS fører netop til, at den passive fjernpåvirkning (PUV) er svær at opdage. Et muligt eksempel på en typisk PUV i et WAN er at lytte til en kommunikationskanal i et netværk.
Aktiv påvirkning af RCS er en påvirkning, der har en direkte indvirkning på driften af selve systemet (forstyrrelse af ydeevne, ændringer i konfigurationen af RCS osv.), som overtræder den sikkerhedspolitik, der er vedtaget i det. Aktiv påvirkning er næsten alle typer fjernangreb. Dette skyldes, at selve arten af den skadelige påvirkning omfatter et aktivt princip. Den åbenlyse forskel mellem aktiv og passiv påvirkning er den grundlæggende mulighed for dets detektion, da der som følge af dens implementering sker nogle ændringer i systemet. Med en passiv påvirkning er der absolut ingen spor tilbage (på grund af det faktum, at angriberen ser en andens besked i systemet, ændres der faktisk ikke noget i samme øjeblik).
Denne funktion, ifølge hvilken klassificeringen er lavet, er i virkeligheden en direkte projektion af de tre grundlæggende varianter af trusler - lammelsesangreb , afsløring og krænkelser af integritet.
Hovedformålet med næsten ethvert angreb er at få uautoriseret adgang til information. Der er to grundlæggende muligheder for at indhente information: forvrængning og aflytning. Muligheden for at opsnappe information betyder at få adgang til dem uden mulighed for at ændre dem. Aflytning af oplysninger fører derfor til en krænkelse af fortroligheden . At lytte til en kanal på netværket er et eksempel på informationsaflytning. I dette tilfælde er der illegitim adgang til information uden mulige muligheder for at erstatte dem. Det er klart, at krænkelsen af oplysningernes fortrolighed refererer til passiv påvirkning.
Muligheden for informationssubstitution skal enten forstås som fuldstændig kontrol over informationsstrømmen mellem systemobjekter eller muligheden for at transmittere forskellige meddelelser på vegne af en anden. Derfor er det klart, at erstatning af information fører til en krænkelse af dens integritet . Sådan information, der ødelægger indflydelse, er et karakteristisk eksempel på aktiv indflydelse. Et eksempel på et fjernangreb designet til at krænke informationsintegriteten kan tjene som et fjernangreb (UA) "Falsk RCS-objekt".
Angriberen sender nogle anmodninger til det angrebne objekt, som han forventer at modtage et svar på. Som følge heraf opstår der en feedback mellem angriberen og den angrebne, hvilket gør det muligt for den første at reagere tilstrækkeligt på alle mulige ændringer i det angrebne objekt. Dette er essensen af et fjernangreb udført i nærvær af feedback fra det angribende objekt. Sådanne angreb er mest typiske for RVS.
Open loop-angreb er kendetegnet ved, at de ikke behøver at reagere på ændringer i det angrebne objekt. Sådanne angreb udføres normalt ved at sende enkelte anmodninger til det angrebne objekt. Angriberen behøver ikke svar på disse anmodninger. En sådan UA kan også kaldes en ensrettet UA. Et eksempel på ensrettede angreb er det typiske UA " DoS-angreb ".
Fjernpåvirkning, såvel som enhver anden, kan kun begynde at blive udført under visse betingelser. Der er tre typer af sådanne betingede angreb i RCS:
Påvirkningen fra angriberen vil begynde på betingelse af, at det potentielle mål for angrebet sender en anmodning af en bestemt type. Et sådant angreb kan kaldes et angreb på efterspørgsel fra det angrebne objekt . Denne type UA er mest typisk for RVS. Et eksempel på sådanne forespørgsler på internettet er DNS- og ARP - forespørgsler og i Novell NetWare - SAP-forespørgsel .
Angreb på forekomsten af en forventet hændelse på det angrebne objekt . Angriberen overvåger løbende tilstanden af operativsystemet for fjernangrebsmålet og starter påvirkningen, når en specifik hændelse opstår i dette system. Det angrebne objekt er selv initiativtageren til angrebet. Et eksempel på en sådan hændelse ville være en afslutning af en brugers session med serveren uden at udstede en LOGOUT-kommando på Novell NetWare.
Et ubetinget angreb udføres med det samme og uanset tilstanden af operativsystemet og det angrebne objekt. Derfor er angriberen i denne sag initiativtager til angrebet.
I tilfælde af krænkelse af den normale drift af systemet forfølges andre mål, og angriberen forventes ikke at få ulovlig adgang til data. Dens formål er at deaktivere operativsystemet på det angrebne objekt og umuligheden af adgang for andre objekter i systemet til dette objekts ressourcer. Et eksempel på et angreb af denne type er UA " DoS attack ".
Nogle definitioner:
Kilden til angrebet (emnet for angrebet) er et program (eventuelt en operatør), der udfører angrebet og gør en direkte indvirkning.
Host (vært) - en computer, der er en del af netværket.
En router er en enhed, der dirigerer pakker på et netværk.
Subnet (undernetværk) er en gruppe værter , der er en del af det globale netværk , der adskiller sig ved, at routeren har tildelt det samme undernetnummer til dem. Du kan også sige, at et undernet er en logisk gruppering af værter gennem en router. Værter inden for det samme undernet kan kommunikere direkte med hinanden uden at bruge en router .
Et netværkssegment er en sammenslutning af værter på det fysiske lag.
Fra et fjernangrebs synspunkt er den relative position af subjektet og angrebsobjektet, det vil sige om de er i forskellige eller i samme segmenter, ekstremt vigtigt. Under et intra-segment-angreb er angrebets subjekt og objekt placeret i samme segment. I tilfælde af et inter-segment angreb er angrebets emne og objekt placeret i forskellige netværkssegmenter. Denne klassifikationsfunktion gør det muligt at bedømme den såkaldte "grad af fjernhed" af angrebet.
Yderligere vil det blive vist, at i praksis er et intra-segment-angreb meget lettere at implementere end et inter-segment-angreb. Vi bemærker også, at et inter-segment fjernangreb er meget farligere end et intra-segment. Dette skyldes, at i tilfælde af et inter-segment-angreb kan dets objekt og den direkte angribende være i en afstand af mange tusinde kilometer fra hinanden, hvilket i væsentlig grad kan hindre foranstaltninger til at afvise angrebet.
Den Internationale Standardiseringsorganisation ( ISO ) har vedtaget ISO 7498-standarden, som beskriver Open Systems Interconnection (OSI), som RCS også hører til. Hver netværksudvekslingsprotokol såvel som hvert netværksprogram kan på en eller anden måde projiceres på referencen 7- lags OSI-modellen . En sådan multi-level projektion gør det muligt i form af OSI-modellen at beskrive de funktioner, der anvendes i en netværksprotokol eller et program. UA er et netværksprogram, og det er logisk at betragte det ud fra et projektionssynspunkt på ISO/OSI-referencemodellen [2].
Når du sender en IP -datapakke over et netværk, kan denne pakke være opdelt i flere fragmenter. Efterfølgende, når den når destinationen, gendannes pakken fra disse fragmenter. En angriber kan starte afsendelsen af et stort antal fragmenter, hvilket fører til et overløb af programbuffere på den modtagende side og i nogle tilfælde til et systemnedbrud.
Dette angreb kræver, at angriberen får adgang til hurtige internetkanaler .
Ping-programmet sender en ICMP ECHO REQUEST-pakke med tiden og dens identifikator. Kernen på den modtagende maskine svarer på en sådan anmodning med en ICMP ECHO REPLY-pakke. Efter at have modtaget den, giver ping pakkens hastighed.
I standarddriftstilstanden sendes pakker med visse intervaller, praktisk talt ikke indlæse netværket . Men i "aggressiv" tilstand kan en strøm af ICMP-ekkoanmodnings-/svarpakker forårsage overbelastning på en lille linje, hvilket fratager den dens evne til at transmittere nyttig information .
En IP- pakke indeholder et felt, der specificerer protokollen for den indkapslede pakke ( TCP , UDP , ICMP ). Angribere kan bruge en ikke-standardværdi af dette felt til at overføre data, som ikke vil blive registreret af standardværktøjer til kontrol af informationsflow.
Smølfeangrebet består i at sende ICMP -udsendelsesanmodninger til netværket på vegne af offerets computer. Som et resultat reagerer computere, der har modtaget sådanne udsendelsespakker, på offerets computer, hvilket fører til et betydeligt fald i kommunikationskanalens båndbredde og i nogle tilfælde fuldstændig isolering af det angrebne netværk. Smølfeangrebet er usædvanligt effektivt og udbredt.
Modforanstaltninger: For at genkende dette angreb er det nødvendigt at analysere kanalbelastningen og bestemme årsagerne til faldet i gennemløbet.
Resultatet af dette angreb er indførelsen af en pålagt korrespondance mellem IP-adressen og domænenavnet i cachen på DNS-serveren. Som et resultat af den vellykkede implementering af et sådant angreb vil alle brugere af DNS-serveren modtage forkerte oplysninger om domænenavne og IP-adresser. Dette angreb er karakteriseret ved et stort antal DNS-pakker med samme domænenavn. Dette skyldes behovet for at vælge nogle DNS-udvekslingsparametre.
Modvirkning: For at opdage et sådant angreb er det nødvendigt at analysere indholdet af DNS-trafik eller bruge DNSSEC .
Et stort antal angreb på internettet er forbundet med udskiftning af den oprindelige IP-adresse . Sådanne angreb omfatter syslog-spoofing, som består i at sende en besked til offerets computer på vegne af en anden computer på det interne netværk. Da syslog -protokollen bruges til at vedligeholde systemlogfiler, kan du ved at sende falske meddelelser til ofrets computer pålægge oplysninger eller dække over spor af uautoriseret adgang.
Modforanstaltninger: IP-adresse spoofing-angreb kan detekteres ved at overvåge modtagelsen på en af grænsefladerne på en pakke med kildeadressen til den samme grænseflade eller ved at overvåge modtagelsen af pakker med IP-adresser på det interne netværk på en ekstern grænseflade.
En angriber sender pakker til netværket med en falsk returadresse. Ved at bruge dette angreb kan en angriber skifte til sine computerforbindelser etableret mellem andre computere. I dette tilfælde bliver angriberens adgangsrettigheder lig med rettighederne for den bruger, hvis forbindelse til serveren blev skiftet til hackerens computer.
Kun muligt i det lokale netværkssegment .
Næsten alle netværkskort understøtter muligheden for at opsnappe pakker , der sendes over en fælles LAN -kanal . I dette tilfælde kan arbejdsstationen modtage pakker adresseret til andre computere på samme netværkssegment. Dermed bliver hele informationsudvekslingen i netværkssegmentet tilgængelig for angriberen. For at implementere dette angreb skal hackerens computer være placeret på det samme lokale netværkssegment som den angrebne computer .
Routerens netværkssoftware har adgang til alle netværkspakker, der sendes gennem denne router, hvilket tillader pakkesniffing. For at implementere dette angreb skal en angriber have privilegeret adgang til mindst én netværksrouter. Da der normalt sendes mange pakker gennem routeren, er deres totale aflytning næsten umulig. Individuelle pakker kan dog godt blive opsnappet og gemt til senere analyse af en angriber. Den mest effektive aflytning af FTP -pakker , der indeholder brugeradgangskoder, samt e-mail .
På internettet er der en speciel protokol ICMP (Internet Control Message Protocol), en af funktionerne er at informere værter om ændring af den aktuelle router. Denne kontrolmeddelelse kaldes omdirigering. Det er muligt for enhver vært på et netværkssegment at sende en falsk omdirigeringsmeddelelse på vegne af routeren til den angrebne vært. Som følge heraf ændres den aktuelle routingtabel for værten, og i fremtiden vil al netværkstrafik på denne vært passere for eksempel gennem værten , der sendte den falske omdirigeringsmeddelelse. Det er således muligt aktivt at pålægge en falsk rute inden for et segment af internettet.
Sammen med de sædvanlige data, der sendes over en TCP - forbindelse, sørger standarden også for overførsel af presserende (Out Of Band) data. På niveauet for TCP-pakkeformater er dette udtrykt i en ikke-nul presserende pointer. De fleste pc'er med Windows installeret har en NetBIOS -netværksprotokol, der bruger tre IP-porte til dets behov : 137, 138, 139. Hvis du opretter forbindelse til en Windows -maskine på port 139 og sender nogle få bytes OutOfBand-data dertil, så vil NetBIOS-implementeringen uden at vide, hvad jeg skal gøre med disse data, lægger du bare på eller genstarter maskinen. For Windows 95 ser dette normalt ud som en blå tekstskærm, der rapporterer en fejl i TCP/IP -driveren og manglende evne til at arbejde med netværket, indtil operativsystemet genstartes. NT 4.0 uden servicepakker genstarter, NT 4.0 med ServicePack 2 går ned i en blå skærm. At dømme efter informationerne fra netværket er både Windows NT 3.51 og Windows 3.11 for Workgroups modtagelige for et sådant angreb.
Afsendelse af data til port 139 genstarter enten NT 4.0 eller forårsager en blå dødsskærm med Service Pack 2 installeret. Afsendelse af data til port 135 og nogle andre porte forårsager en betydelig belastning af RPCSS.EXE-processen. På Windows NT WorkStation fører dette til en betydelig opbremsning, Windows NT Server er praktisk talt frosset.
Vellykket implementering af fjernangreb af denne type vil give en angriber mulighed for at udføre en session med serveren på vegne af en betroet vært. (En betroet vært er en station, der lovligt har oprettet forbindelse til serveren). Implementeringen af denne type angreb består normalt i at sende udvekslingspakker fra angriberens station på vegne af en betroet station under hans kontrol.
Netværks- og informationsteknologier ændrer sig så hurtigt, at statiske sikkerhedsmekanismer, som omfatter adgangskontrolsystemer, ME, autentificeringssystemer, i mange tilfælde ikke kan yde effektiv beskyttelse. Derfor kræves dynamiske metoder til hurtigt at opdage og forhindre sikkerhedsbrud. En teknologi, der kan opdage overtrædelser, der ikke kan identificeres ved hjælp af traditionelle adgangskontrolmodeller, er indtrængningsdetektionsteknologi.
Grundlæggende er indtrængningsprocessen processen med at evaluere mistænkelige aktiviteter, der forekommer på et virksomhedsnetværk. Med andre ord er intrusion detection processen med at identificere og reagere på mistænkelig aktivitet rettet mod computer- eller netværksressourcer.
Effektiviteten af et indbrudsdetektionssystem afhænger i høj grad af de metoder, der anvendes til at analysere den modtagne information. De første systemer til registrering af indtrængen, der blev udviklet i begyndelsen af 1980'erne, brugte statistiske metoder til registrering af indtrængen. I øjeblikket er en række nye metoder blevet tilføjet til statistisk analyse, startende med ekspertsystemer og fuzzy logik og slutter med brugen af neurale netværk.
De vigtigste fordele ved den statistiske tilgang er brugen af det allerede udviklede og gennemprøvede apparat til matematisk statistik og tilpasning til fagets adfærd.
Først bestemmes profiler for alle emner i det analyserede system. Enhver afvigelse af den anvendte profil fra referencen betragtes som uautoriseret aktivitet. Statistiske metoder er universelle, da analyse ikke kræver viden om mulige angreb og de sårbarheder, de udnytter. Der opstår dog problemer ved brug af disse metoder:
Det bør også tages i betragtning, at statistiske metoder ikke er anvendelige i tilfælde, hvor der ikke er noget typisk adfærdsmønster for brugeren, eller når uautoriserede handlinger er typiske for brugeren.
Ekspertsystemer består af et sæt regler, der fanger en menneskelig eksperts viden. Anvendelse af ekspertsystemer er en almindelig metode til at opdage angreb, hvor information om angreb formuleres i form af regler. Disse regler kan for eksempel skrives som en sekvens af handlinger eller som en signatur. Når nogen af disse regler er opfyldt, træffes der en beslutning om tilstedeværelsen af uautoriseret aktivitet. En vigtig fordel ved denne tilgang er det næsten fuldstændige fravær af falske alarmer.
Ekspertsystemdatabasen bør indeholde scenarier for størstedelen af aktuelt kendte angreb. For at forblive konstant up-to-date kræver ekspertsystemer konstant opdatering af databasen. Mens ekspertsystemer giver en god mulighed for at gennemgå dataene i logfilerne, kan nødvendige opdateringer enten ignoreres eller udføres manuelt af administratoren. Dette fører som minimum til et ekspertsystem med reducerede kapaciteter. I værste fald reducerer manglen på ordentlig vedligeholdelse sikkerheden på hele netværket, hvilket vildleder brugerne om det faktiske sikkerhedsniveau.
Den største ulempe er manglende evne til at afvise ukendte angreb. Samtidig kan selv en lille ændring i et allerede kendt angreb blive en alvorlig hindring for funktionen af et indbrudsdetektionssystem.
De fleste moderne metoder til registrering af indtrængen bruger en form for regelbaseret analyse af det kontrollerede rum eller en statistisk tilgang. Det kontrollerede rum kan være logfiler eller netværkstrafik. Analysen er afhængig af et sæt foruddefinerede regler, som er oprettet af administratoren eller af selve indtrængendetekteringssystemet.
Enhver opdeling af et angreb over tid eller blandt flere angribere er vanskelig for ekspertsystemer at opdage. På grund af det store udvalg af angreb og hackere vil selv specielle konstante opdateringer af ekspertsystemreglerdatabasen aldrig garantere nøjagtig identifikation af hele rækken af angreb.
Brugen af neurale netværk er en af måderne til at overvinde disse problemer med ekspertsystemer. I modsætning til ekspertsystemer, der kan give brugeren et entydigt svar på, om de karakteristika, der overvejes, er i overensstemmelse med reglerne i databasen, analyserer et neuralt netværk information og giver mulighed for at vurdere, om dataene stemmer overens med de karakteristika, som det har lært at genkende. Mens graden af matchning af den neurale netværksrepræsentation kan nå 100%, afhænger valgets pålidelighed helt af kvaliteten af systemet i analysen af eksempler på opgaven.
For det første trænes det neurale netværk til at identificere korrekt på en forudvalgt prøve af domæneeksempler. Det neurale netværks reaktion analyseres, og systemet justeres på en sådan måde, at der opnås tilfredsstillende resultater. Ud over den indledende træningsperiode får det neurale netværk erfaring med tiden, da det analyserer data relateret til domænet.
En vigtig fordel ved neurale netværk ved misbrugsdetektion er deres evne til at "lære" karakteristika ved bevidste angreb og identificere elementer, der ikke ligner dem, der er set i netværket før.
Hver af de beskrevne metoder har en række fordele og ulemper, så nu er det praktisk talt svært at finde et system, der implementerer kun én af de beskrevne metoder. Typisk bruges disse metoder i kombination.