БЕЗОПАСНОСТЬ
Дмитрий Мельников, Михаил Савельев
Интернет-сообщество активно обсуждает проблемы обеспечения сетевой безопасности, обнаружения и отражения всевозможных атак. Мы поговорим о весьма серьезных атаках типа "маскарад", осуществить которые способны лишь профессионалы, имеющие не только немалый опыт в этом деле, но и достаточные финансовые и материальные средства.
Что такое "маскарад"?
Под атакой типа "маскарад" понимается способ нападения на информационную систему (ИС), при котором злоумышленник имитирует все штатные информационные и служебные процедуры ИС, создавая у реальных пользователей и административных служб иллюзию корректного функционирования сети.
Простейшим примером такой атаки может служить подделка MAC- или IP-адресов. Подделав адрес отправителя в заголовке IP-пакета, злоумышленник тем самым уже осуществляет атаку типа "маскарад", выдавая себя за того, кто пользуется доверием у атакуемой стороны. Это дает возможность перехватить и прослушать сетевой трафик.
Он может попытаться воздействовать на систему обнаружения атак, проведя атаку как бы от имени жертвы, и тогда IDS честно заблокирует IP-адрес жертвы. Такой способ позволяет заблокировать адреса как внутри сети, так и снаружи. Если же в качестве адреса выбрать популярный ресурс, например www.ya.ru или www.rambler.ru , то у пользователей атакуемой сети возникнут недовольство и претензии к администратору, который может под их давлением вообще отключить IDS, оставив сеть без защиты.
Но этот пример слишком примитивен. Очевидно, что наибольшего эффекта нарушитель достигнет только в том случае, если он способен добиться максимального уровня имитации действий пользователей (их терминалов) и административных служб системы (различных серверов, коммутаторов, маршрутизаторов) и таким образом скрыть (закамуфлировать) свои противоправные действия.
Место проведения
Для "маскарада" нарушитель должен обладать весьма большими объемом предварительной информации и арсеналом программно-технических средств.
Прежде чем начать "спектакль", он обязательно проводит предварительную информационно-аналитическую работу по сбору информации об атакуемой системе и на основе собранных данных выбирает алгоритмы, способы, механизмы и инструментарий для реализации атаки.
Для сбора информации об атакуемой системе подходят все возможные точки и способы доступа к ней. Рассмотрим их.
Каналы связи. Это и перехват (в том числе радиоперехват) информации, курсирующей в самой системе, входящей в ИС и покидающей ее. Это отслеживание реакции канального оборудования и операторов ИС на постановку помех в линиях связи. Если помехи вызывают значительный сбой, то операторы в диагностических целях зачастую отключают имеющиеся механизмы защиты. Если же канал связи защищен криптографическими средствами, то некоторую информацию хакер способен извлечь путем сопоставления событий в ИС (а то и в жизни самой организации) и активности информационного обмена в линии.
Доступ к файлам и программному обеспечению. Попытки преодолеть защиту и реакция системы безопасности на эти попытки, кража и несанкционированный доступ к файлам, выяснение перечня функционирующих в ИС программ.
Доступ к системе с различными привилегиями. В зависимости от полученного статуса нарушитель может не только собирать информацию о системе, но и нарушать защиту ПО, обеспечивать себе право входа в систему (будучи системным программистом), использовать служебные программы для доступа к файлам и входам в систему (будучи администратором), пытаться подобрать пароли, модифицировать штатное ПО (будучи простым пользователем).
Сами атаки типа "маскарад" также могут различаться между собой, причем значительно. В связи с этим при их анализе более уместно говорить даже не об атаке как таковой, а о способе нападения. Конкретные атаки фактически являются практическими реализациями этого способа.
Варианты нападения типа "маскарад"
При всем разнообразии атак типа "маскарад" этот способ нападения может иметь три варианта реализации, которые отличаются друг от друга составом участников разыгрываемого нарушителем "спектакля": 1) нарушитель, скрываясь под маской легального пользователя (административной системы), начинает и заканчивает "игру" только с одним клиентом сети (в данном случае под клиентом сети понимается либо пользователь, либо административная система, либо прикладной или системный процесс), т. е. "маскарад один на один"; 2) нарушитель, скрываясь под маской то одного, то другого клиента сети, начинает и заканчивает "игру" с двумя клиентами одновременно, создавая у обоих иллюзию корректного информационного взаимодействия ("маскарад с двумя"); 3) смешанный вариант (или "комбинированный маскарад"), при котором нарушитель начинает "диалог" с одним клиентом, а в дальнейшем к "диалогу" присоединяется другой клиент, под маской которого выступал нарушитель (комбинация "1+1"), либо наоборот, когда начинался "диалог" с двумя клиентами, завершался только с одним (комбинация "2-1").
1. Маскарад "один на один". Когда нарушитель разыгрывает "спектакль" только с одним клиентом сети (рис. 1), выдавая себя за другого легального пользователя, существует вероятность того, что этот другой реальный пользователь появится "на сцене". Финал "спектакля" в таком случае непредсказуем, но он редко бывает в пользу нарушителя. Проведение "маскарада" с одним клиентом сети требует небольшой предварительной подготовки, и появление третьего легального участника информационного обмена, за которого выдает себя нарушитель, может поставить нарушителя в тупик, так что ему придется ретироваться. Более того, таких неспрогнозированных ситуаций может быть много, и поэтому любое отклонение от сценария, задуманного нарушителем, скорее всего приведет к его провалу.
Рис. 1. Модель атаки типа "маскарад один на один"
Тем не менее анализ атак через Интернет, связанных с кражей конфиденциальной информации и электронных денег, говорит об их весьма высокой результативности. Как правило, таким атакам предшествует либо взлом систем сетевой безопасности под видом легальных пользователей, либо кража электронных или пластиковых платежных средств, с помощью которых легальные клиенты осуществляют электронные платежи. Очевидно одно: атака этого вида требует предварительной подготовки, а нарушители маскируются под легальных пользователей.
2. "Маскарад с двумя". Тип атаки "маскарад с двумя" (рис. 2) очень похож на атаку типа "нарушитель в середине соединения". Однако о последнем типе атаки можно говорить только тогда, когда нарушитель пассивен. Как только он начинает действовать, ему приходится маскироваться, создавая у обоих легальных клиентов иллюзию их корректного информационного взаимодействия. Другими словами, прежде чем провести атаку типа "маскарад с двумя", он вынужден провести атаку типа "нарушитель в середине соединения" с целью определения всего (или выявления основных элементов) процедурно-признакового пространства реального информационного обмена легальных Интернет-объектов.
Рис. 2. Модель атаки типа "маскарад с двумя"
Очевидно, для "маскарада с двумя" нарушителю нужен весьма обширный информационный багаж и большой набор инструментальных средств, так как ему придется лавировать между потоками встречных сообщений и вносить дополнительную (но нечувствительную для легальных объектов) временную задержку трафика, связанную с обработкой подлинных IP-пакетов и их последующей модификацией.
Обязательным требованием для успешного проведения атаки "маскарад с двумя" является контроль двух виртуальных соединений (от объектов в направлении нарушителя). Это весьма прозрачное требование объясняется просто: потеря контроля одного из двух виртуальных соединений немедленно приводит к срыву преступных замыслов.
Для большего правдоподобия корректного информационного обмена между объектами нарушитель может не модифицировать некоторые сообщения, если они не раскрывают его. Следовательно, при проведении атаки "маскарад с двумя" возможна логическая связь между пользователями, которая недопустима при "маскараде один на один".
3. "Комбинированный маскарад". Сценарий поведения нарушителя при "комбинированном маскараде" зависит от начальной ситуации: либо он начинает "диалог" с одним клиентом, а в дальнейшем к "диалогу" присоединяется другой клиент, под маской которого выступал нарушитель, либо наоборот: "диалог" начинается с двумя клиентами, а завершается только с одним.
3.1. Комбинация "1+1".В данном случае (рис. 3) сценарий похож на "маскарад один на один". Однако здесь нарушитель должен быть готов к "появлению" второго легального объекта. Очевидно, чтобы достичь максимального эффекта в реализации своих преступных замыслов, нарушитель должен (как минимум):
Рис. 3. Модель атаки типа "комбинированный маскарад" (комбинация 1 + 1)
- обладать большим (чем при "маскараде один на один") объемом предварительной информации и большим же арсеналом инструментальных средств;
- в обязательном порядке контролировать второе наиболее вероятное виртуальное соединение, которое может быть сформировано при вхождении в связь второго легального объекта, с целью блокирования какой-либо логической связи между объектами.
Фактически нарушитель контролирует две пары виртуальных соединений, чтобы не допустить неконтролируемое прохождение сообщений между иллюзорно-взаимодействующими пользователями.
3.2. Комбинация "2-1". Данный тип атаки очень похож на "маскарад с двумя" с поправкой на то, что один из легальных объектов выходит из "игры" (в период проведения атаки) первым. В этом случае нарушитель должен не допустить сквозного прохождения каких-либо сообщений о завершении сеанса связи и продолжать "маскарад один на один".
Если же второй (вышедший из "игры") легальный объект вновь попытается установить связь еще до завершения "маскарада один на один", то тогда развитие событий будет похоже на "комбинированный маскарад" (комбинация "1+1").
Способы защиты от атак типа "маскарад"
Анализ атак типа "маскарад" показывает, что нарушителю требуется как можно больше информации об интересующих его объектах Интернета. На основе анализа этих данных он может сформировать процедурно-логическое признаковое пространство информационного обмена, в котором участвуют объекты атаки. Под процедурно-логическим признаковым пространством обмена понимается набор уникальных процедурных и логических признаков, которые позволяют персонифицировать каждый легальный объект Интернета.
Очевидно, что результативность атаки типа "маскарад" зависит от того, насколько точно атакующий сыграет роль легального объекта. Поэтому главным принципом методологии построения систем защиты от атак типа "маскарад" является создание таких условий функционирования системы, при которых вероятный нарушитель будет не способен в точности повторить (скопировать и отобразить) процедурно-логическое признаковое пространство информационного обмена между легальными Интернет-объектами.
Другими словами, любые неточности или недостатки в "маске" нарушителя могут явиться причиной срыва его атаки. Однако пассивная позиция легальных объектов также недопустима, т. е. нельзя ждать, когда нарушитель сделает ошибку. Необходимо искать возможные практические варианты решения и принимать меры по защите от атак типа "маскарад", причем в каждом конкретном случае они будут различны.
С технологической точки зрения для обнаружения атак типа "маскарад" необходим дополнительный, скрытый канал (недоступный для нарушителя) взаимодействия двух легальных объектов. Причем этот канал должен функционировать в реальном времени. Последнее является обязательным условием для защиты от атак типа "маскарад".
Дополнительный канал между объектами может иметь различную природу - от обычного телефонного звонка, с помощью которого можно убедиться, что на связи настоящий пользователь (но это только для маскарада "1+1"), до специального выделенного канала, надежно защищенного и включаемого в действие только в экстренных ситуациях. На рис. 4 представлена модель защиты от атак типа "маскарад" на основе использования параллельного (обходного) маршрута взаимодействия, который недоступен нарушителю.
Рис. 4. Модель защиты с помощью параллельного маршрута
В основе применения дополнительного канала взаимодействия лежит идея параллельной передачи одного и того же сообщения и сравнения двух принятых сообщений на предмет их идентичности, которая выступает критерием обнаружения атаки типа "маскарад". Причем такой способ обнаружения одинаково приемлем для "маскарада один на один" и "маскарада с двумя" (и для их комбинаций).
Действительно, если нарушитель проводит "маскарад один на один", то тогда активный легальный пользователь отправит по дополнительному каналу контрольную копию истинного сообщения, переданного по "захваченному" каналу, с целью аутентификации соединения. В результате получатель контрольной копии (другой легальный пользователь, не имеющий связи с отправителем) поймет, что получено контрольное сообщение, и в ответном сообщении (по дополнительному каналу) даст отрицательный ответ. Таким образом активный легальный пользователь будет проинформирован об угрозе для безопасности его данных и терминала.
Если же нарушитель проводит "маскарад с двумя" (когда активны два легальных пользователя), создавая у них иллюзию корректного информационного взаимодействия, то тогда компрометацию обмена данными позволит обнаружить передача по дополнительному каналу одним из легальных пользователей (а может быть, и обоими) контрольной копии истинного сообщения, переданного по "захваченному" каналу.
Однако задача защиты от "маскарада" усложняется, если нарушителем узурпирован сервер (или коммутатор) сетевого провайдера, через который легальный пользователь осуществляет доступ в сеть. В этом случае может быть только одна рекомендация - поменять недобросовестного провайдера.
С теоретической точки зрения защита от атак типа "маскарад" сводится к аутентификации соединения. Известно довольно много методов и способов такой аутентификации. Но их главный недостаток состоит в том, что для обеспечения процедуры аутентификации используется то же аутентифицируемое соединение, которое может быть уже скомпрометировано.
Практическая реализация способа обнаружения атак типа "маскарад" с помощью дополнительного, скрытого канала (недоступного для нарушителя) взаимодействия двух легальных объектов Интернета зависит от администратора системы защиты или службы сетевой безопасности. Необходимо помнить, что "маскарад" - это театр, а театр - это искусство. Атаки типа "маскарад" под силу лишь людям искушенным и высокопрофессиональным. Поэтому и системы защиты от "маскарада" должны быть высокопрофессиональными, изобретательными и оригинальными.
Авторы - сотрудники компании "Информзащита": Д. А. Мельников - независимый эксперт, канд. техн. наук, с. н. с.; М. С. Савельев - начальник отдела продвижения решений.
