Читаем Безопасность информационных систем полностью

Атака без установленного виртуального соединения заключается в посылке служебных сообщений от имени сетевых управляющих устройств, например, от имени маршрутизаторов. Для идентификации пакетов возможно использование статических ключей, определенных заранее, что неудобно и требует сложной системы управления ключами. Однако в противном случае идентификация таких пакетов без установленного виртуального канала будет возможна по сетевому адресу отправителя, который легко подделать. Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы сети, например, к изменению ее конфигурации.

Подмена доверенного хоста является активным воздействием, совершаемым с целью перехвата и искажения информации при наступлении на атакуемом объекте определенного события. Такая удаленная атака является внутрисегментной и межсегментной и осуществляется на сетевом, транспортном и сеансовом уровнях модели OSI.

Ложный сервер или использование недостатков алгоритма удаленного поиска

В компьютерной сети часто оказывается, что удаленные компоненты сетевой операционной системы изначально не имеют достаточно информации, необходимой для адресации пакетов обмена. Обычно такой информацией являются аппаратные (адрес сетевого адаптера) и логические адреса (IP-адрес) сетевых компьютеров. Для получения подобной информации в сетевых операционных системах используются различные алгоритмы удаленного поиска, заключа ющиеся в передаче по сети специального вида запросов, и в ожидании ответов на полученный запрос с искомой информацией. Руководствуясь полученными из ответа сведениями об искомом хосте, запросивший хост начинает адресацию к нему, т. е., после получения ответа на запрос он обладает всеми необходимыми данными для адресации. Примером подобных запросов, на которых базируются алгоритмы удаленного поиска, является SAP – запрос в операционной системе Novell NetWare, ARP и DNS – запрос в сети Internet.

При использовании сетевой операционной системы механизмов удаленного поиска существует возможность на атакующей станции перехватить посланный хостом запрос и послать на него ложный ответ. В ответе указывают данные, использование которых приведет к адресации на атакующий хост – ложный сервер. Весь поток обмена информацией между хостом и настоящим сервером будет проходить через ложный сервер.

Ложный сервер – активное воздействие, совершаемое с целью перехвата и искажения информации, являющееся атакой по запросу от атакуемого объекта. Такая удаленная атака является внутрисегментной и межсегментной и осуществляется на канальном, сетевом, транспортном, сеансовом и представительном уровнях модели OSI.

Одной из атак, которую может осуществлять ложный сервер, является перехват передаваемой между сервером и хостом информации. Факт перехвата информации возможен из-за того что при выполнении некоторых операций над файлами (чтение, копирование и т. д.) содержимое этих файлов передается по сети, а значит, поступает на ложный сервер. Простейший способ реализации перехвата – это сохранение в файле всех получаемых ложным сервером пакетов обмена. Данный способ перехвата информации оказывается недостаточно информативным. Это происходит вследствие того, что в пакетах обмена кроме полей данных существуют служебные поля, не представляющие интереса. Следовательно, для того, чтобы получить непосредственно передаваемый файл, необходимо проводить на ложном сервере динамический семантический анализ потока информации для его селекции.

Модификация информации

Одной из особенностей любой системы воздействия, построенной по принципу ложного сервера, является то, что она способна модифицировать перехваченную информацию.

Рассмотрим два вида модификации информации:

1) модификация передаваемых данных;

2) модификация передаваемого кода.

Модификация передаваемых данных. В результате селекции потока перехваченной информации и его анализа система может распознавать тип передаваемых файлов (исполняемый или текстовый). При обнаружении текстового файла или файла данных появляется возможность модифицировать данные, проходящие через ложный сервер. Особую угрозу эта функция представляет для сетей обработки конфиденциальной информации.

Модификация передаваемого кода. Ложный сервер, проводя семантический анализ проходящей через него информации, может выделять из потока данных исполняемый код. Чтобы определить, что передается код или данные по сети необходимо использовать определенные особенности, свойственные реализации сетевого обмена в конкретной сетевой операционной системе или некоторые особенности, присущие конкретным типам исполняемых файлов локальной операционной системе.

Выделяют два различных по цели вида модификации кода:

1) внедрение вредоносных программ;