Разработка и исследования математической модели удаленной атаки типа "подмена доверенного субъекта ТСР-соединения" с целью построения эффективного механизма защиты элементов компьютерной сети тема диссертации и автореферата по ВАК РФ 05.13.18, кандидат технических наук Гайдар, Михаил Борисович

Данная диссертационная работа посвящена построению формального аппарата для создания средств обнаружения удаленных атак на узлы глобальных компьютерных сетей на этапе их исполнения и разработки принципов построения защиты от подобного рода атак.

Необходимость постоянной заботы о создании и совершенствовании средств защиты сети и информации в ней» содержащейся общепризнанна [2, 12, 50 - 55]. Проблема же создания инструментов рассмотренного в диссертационной работе типа, возникла в связи с тем, что все существующие в настоящее время средства защиты. компьютерной сети от атак, какого угодно класса, основаны либо на превентивных запретительных мерах, либо на апостериорных оценках событий [6, 7, 40], приведших к нарушению нормальной работы сети [38, 39]. Эти меры, ограничивая возможности^ пользователям сети и, создавая * тем самым, некоторые для них неудобства, позволяют, в большинстве случаев, узнать об'имевшей,1 место удаленной атаке на охраняемый сервер, иногда - установить ее источник [1; 8, 9, 21]. Так, например, наиболее близкой к рассмотренному в данной работе способу защиты узлов компьютерной сети, является система для наблюдения за компьютерной сетью, описанная в патенте ив 5,796,942. Эта система, предназначенная для наблюдения за компьютерной сетью независимо от сетевого сервера, содержит:

- сетевой драйвер для сбора данных в сети, которые не обязательно адресованы системе сетевого наблюдения;

- управляющий процесс для получения данных от сетевого драйвера и хранения указанных данных в реальном времени;

- множество файлов записи для получения и хранения данных до последующей обработки;

- процесс сканирования для назначения одного из указанного множества файлов записи в качестве получающего файла при чтении данных других файлов, из множества файлов записи и для использования указанных данных, чтобы воссоздать множество потоков данных в сеансах сетевых соединений, причемI указанные потоки, данных в сетевых соединениях обеспечивают последовательную, реконструкцию сетевого трафика данных, организованного в сеансе сетевого соединения;

- сканер сеанса для чтения данных в интервале одного* из указанного множества сеансов сетевых соединений;

- набор правил выявления стереотипов данных, которые, будучи обнаружены, вызовут включение сигнала тревоги;

- средства для определенных ответных действий в случае выявления данных, соответствующих заданным правилам.

Эта система для наблюдения за. компьютерной * сетью, ориентирована на тотальный контроль сетевого трафика данных в> локальных вычислительных сетях, в первую очередь - для, наблюдения за поведением легальных пользователей этих сетей. Как следует из формулы патента, для обнаружения попыток несанкционированного доступа к ресурсам абонентов компьютерной сети, система обеспечивает реконструкцию потоков данных, передаваемых в сеансах сетевых соединений, иг последовательное чтение данных, передаваемых в различных сеансах сетевых соединений, причем проверке в соответствии с набором правил, выполняемой для выявления попыток несанкционированного доступа к ресурсам абонентов, подвергаются непосредственно сами передаваемые данные.

Кроме того, система предъявляет для своей реализации довольно высокие требования к используемому оборудованию.

Систем же, способных в режиме реального времени анализировать ситуацию, идентифицировать ее как, возможно, нештатную и предоставляющих возможность мгновенной на нее реакции, по результатам патентного поиска, проведенного в 2000 году и судя по материалам открытой печати в последующие годы, нет [31].

Такими соображениями аргументирована актуальность рассмотренной в диссертации проблемы.

Для решения поставленной в диссертационной* работе задачи, была построена- математическая модель оптимального поведения интервента при организации атаки, делающего успех атаки наиболее вероятным. А тогда» системы защиты от атаки строится на отслеживании создания условий, ее успешности, что позволяет немедленную на нее реакцию и, таким образом — защиту в реальном времени, либо намеренном искажении ситуации в сети для того, чтоб условия успешной атаки не могли быть созданы. Научная новизна работы заключается в:

- разработке математической' модели удаленной сетевой атаки, позволяющей создание на ее основе инструментальных средств обнаружения нештатной ситуации выбранного для исследования типа и защиты узлов компьютерной сети;

- алгоритмической реализации средств защиты сети на основе разработанного математического аппарата.

Характеризуя практическую ценность диссертационной работы, следует сказать, что разработанные математические модели могут быть без изменений использованы для» построения системы обнаружения удаленной сетевой атаки выбранного типа после уточнения параметров используемой операционной системы и статистических характеристик защищаемого фрагмента и организации защиты узлов компьютерной сети. Выводы, сделанные после обсуждения разработанного формализма, могут быть без труда использованы для обоснованного предложения других -превентивных - мер защиты сети.

Первая глава диссертации посвящена обоснованию выбора класса атак, для которых строится зашита. В этом разделе работы приведен подробный анализ классов удаленных атак на узлы компьютерной сети, причем, классификация проводится с различных точек зрения на проблему безопасности сети. Из всего множества удаленных атак для более подробного изучения была- выбран класс, известный как удаленная атака "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)", схема которой впервыебыла использована, Кевином Митником для атаки на'Суперкомпьютерный центр в» Сан-Диего 12 декабря 1994' года. Показано, во-первых, что опасность атаки по данной схеме по-прежнему? реальна и в настоящее время. Во-вторых, это один из тех классов« атак, для которых, в принципе возможно построение системы защиты в реальном времени. Поэтому в данной работе уделено особое внимание механизму реализации атаки, а также особенностям идентификации пакетов в существующей реализации TCP (Transmission Control Protocol), послужившим причиной возникновения атак подобного рода. В этом же разделе работы определены основные понятия, которыми оперирует теория компьютерной безопасности, описаны типы удаленных атак и причины их возникновения.

Во второй главе работы детально рассмотрена схема удаленной атаки "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)", нормальная работа фрагмента сети в соответствии с TCP/IP протоколом и особенности протокола, позволившие организацию удаленной сетевой атаки. Рассматриваются все фазы атаки - предварительный' анализ характеристики системы-жертвы, особенности и важность разведывательной акции, непосредственно предшествующей нападению, особенности поведения интервента при исполнении атаки. Т.е., вторая, глава посвящена неформальной, содержательной постановке задачи.

Следующая, третья глава диссертации посвящена формальному рассмотрению задачи построения модели удаленной сетевой атаки, позволяющей разработать эффективную защиту атакуемого. хоста. Рассматриваются раздельно две фазы атаки - фазы разведки и фазы собственноатаки. Строится формальная модель, позволяющая судить о вероятности успеха всего комплекса атакующих мероприятий, и, таким образом, выяснение• условий, которые должны вызывать реакцию защищаемого сервера.*

В этом» же разделе работы состоятельность разработанного аппарата иллюстрируется возможными! реализациями -экспоненциальным равномерным распределением! статистических характеристик сети [4, 5,24, 25, 35].

Четвертая» глава посвящена описанию возможных реализаций созданного инструментария, их пользовательский интерфейс. Содержание главы можно воспринимать и как имеющую, в некотором смысле, иллюстративный характер.

Результаты работы переданы НПО РТК для обеспечения одной из функций разработанного в этой организации сетевого фильтра.

Основные результаты работы представлялись на международной конференции в июне 2003 года: Seventh Int. Workshop on New approches to Hiigh-Tech: Nondestructive Testing and Computer Simulations in Science and Engineering. Vol.7, pp. F21-23. и конференции «Математика и безопасность информационных технологий (МаБИТ-03)», МГУ им. М.В.Ломоносова, 23-24 октября 2003г.

По материалам диссертации опубликовано шесть работ, в том числе - две статьи и тезисы докладов на четырех международных и общероссийских конференциях.

Структура и объем диссертации: работа состоит из введения, четырех глав, заключения и библиографии, включающей 66 наименований. Объем диссертации 86 страниц. В работе приведено 36 рисунков.

4.3. Выводы

Таким образом, предложен достаточно простой и легко реализуемый способ защиты от предполагаемой атаки, приведена оценка его эффективности. От администратора локальной сети, в случае, если, например, будет выбрана вторая реализация разработанного подхода защиты сети, потребуется только подобрать оптимальным образом параметр Ь, который, с одной стороны, обеспечивал бы достаточно эффективную защиту от взлома, и, с другой стороны, приемлемую скорость работы сети.

Заключение

Разработанная математическая модель типовой удаленной атаки по схеме "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)" позволила установить зависимость вероятности удачной атаки от параметров — интервала времени между отправкой первой и второй атакующих серий пакетов, общего времени атаки, времени между этапом разведки и началом атаки, параметрами атаки, - которыми может манипулировать хакер. Используя численные значения параметров, были построены графики этих зависимостей. Этот иллюстрационный материал позволил наглядно определить численный интервал, в котором должны находиться параметры, чтобы обеспечить максимально возможную вероятность удачной атаки.

Чтобы применить полученные результаты для анализа возможности атаки по схеме "Подмена одного из субъектов ТСР-соединения в сети Internet (hijacking)" на какой-либо определенный узел компьютерной сети, необходимо определить соответствующие параметры объекта атаки и его окружения, а затем воспользоваться полученными в данной работе формулами.

Результатом изучения механизма атаки по схеме "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)" и построения ее математической модели стало определение двух слабых сторон этого класса атак. Предложены варианты защиты от атаки, основывающиеся на этих слабостях.

Предсказуемость действий интервента позволила предложить алгоритм обнаружения атаки на ранних стадиях возникновения^ нештатной ситуации и своевременной на нее реакции. Для иллюстрации работоспособности предложенного алгоритма и жизнеспособности разработанной математической модели ситуации, было разработано клиент-серверное приложение, позволяющее сымитировать действия хакера при осуществлении нападения по схеме "Подмена одного из субъектов TCP-соединения в сети Internet (hijacking)" и организовать защиту от подобного рода нападений.

Даны практические рекомендации по последующему установлению источника зарегистрированной опасности.

Необходимая для успешной атаки предсказуемость атакуемой сети позволила предложить простой и надежный способ защиты, правда, несколько снижающий скорость работы сети. Проведены расчеты максимальной вероятности успеха атаки в зависимости от выбранного параметра.

Заметим, что разработанные средства защиты, их эксплуатация не предполагает никаких особых требований ни к аппаратным средствам вычислительной системы, ни к ее программному обеспечению.

Для повышения защищенности системы, на этапе инсталяции средств защиты следует отказаться от предположения, что защищаемые объекты находятся в среде со «средними» характеристиками, и провести численные эксперименты с целью сбора статистического материала для уточнения характеристик сети и ее окружения. После этого уточняются использованные в модели атаки параметры.

1. А. В. Велихов, К. С. Строчников, Б. К. Леонтьев, Компьютерные сети. Учебное пособие по администрированию локальных и объединенных сетей, Изд. "Познавательная книга плюс", 2003

2. Александр Макаров, Теория и практика хакерских атак, Изд. "Альянс-пресс", 2003

3. Алексей Лукацкий, Обнаружение атак, СПб, "БХВ-Петербург", 2003

4. В. М. Фомичев, Дискретная математика и криптология. Курс лекций, Изд. "Диалог-МИФИ", 2003

5. Боровков A.A., Математическая статистика. Оценка параметров, проверка гипотез, М., "Наука", 1984

6. Виктор Дымов, Хакинг и фрикинг. Хитрости, трюки и секреты, Изд. "Майор", 2002

7. Гайкович В., Першин А. Безопасность электронных банковских систем., Изд. "Единая Европа", 1994.

8. Дмитрий Скляров, Искусство защиты и взлома информации, СПб, 2004

9. Жельников В. "Криптография от папируса до компьютера", Москва, Изд. "ABF", 1996

10. И. Медведовский, П. Семьянов, В. Платонов Атака через Internet Под ред. Зегжды П.Д., Изд. "Мир и семья-95" 1997.

11. К.Касперский Техника сетевых атак. Приемы противодействия. Том 1., М: "Солон", 2001 г,

12. Клименко С., Уразметов В., Internet. Среда обитания11 информационного общества, Российский Центр Физико-Технической Информатики, 1995.

13. Левин М., Email "безопасная": Взлом, "спам" и " хакерские" атаки на системы электронной почты Internet., Изд. "Майор", 2002

14. Левин М., Библия хакера 2., в 2 кн., Изд. "Майор", 2003

15. Люцарев В. С. и др. Безопасность компьютерных сетей на основе Windows NT. М.: Издательский отдел "Русская редакция", 1998

16. Медведовский И.Д., Семьянов П.В., Леонов Д.Г. Атака на INTERNET., Изд. "ДМК", 1999 г.

17. Михаил Фленов, Программирование в Delphi глазами хакера, СПб, Изд. "БХВ-Петербург", 2003

18. В.Б. Наумов, Право и Интернет: очерки теории и практики., Изд. Книжный дом "Университет", 2002,

19. О. Ю. Гаценко Защита информации, Изд. "Сентябрь", 2001

20. Резников Ф.А., Быстро и легко осваиваем работу в сети Интернет., Изд. "Лучшие книт", 2003

21. Ростовцев А. Г. Элементы Криптологии, Изд. СПбГТУ

22. Семенов Ю. А. Протоколы и ресурсы Internet. М.: Изд. "Радио и связь", 1996. - 320 с.

23. Теория и практика обеспечения информационной безопасности, под редакцией Зегжды П.Д., Изд. "Яхтсмен", 1996.

24. Феллер В. Введение в теорию вероятностей и ее приложения, т. 2, Москва, Изд. "Мир", 1984

25. Смирнов Н.В., Дудин-Барковский И.В., Курс теории вероятностей и математической статистики., М., "Наука", 1965

26. Тюрин Ю.Н., Макаров А.Т., Анализ данных на компьютере, М., "Инфра-М", 1955

27. Ю. Новиков, Д. Новиков, А. Черепанов, В. Чуркин4'* Компьютеры, сети, Интернет., Энциклопедия, Изд. "Питер", 2003

28. Microsoft Internet Security and Acceleration Server 2000. Учебный курс MCSE /MCSE Training Kit. Microsoft Internet Security and Acceleration Server 2000/, Русская редакция, 2002

29. Брайан Хатч, Джеймс Ли , Джордж Курц, Секреты хакеров. Безопасность Linux готовые решения./Hacking Linux Exposed: Linux Security Secrets & Solutions/, Второе издание, "Вильяме", 2004

30. Вирт Н., Алгоритмы + структуры данных = программы. М., "Мир", 1984

31. Джонс К.Дж., Шема М., Джонсон Б.С., Анти-хакер: Средства защиты компьютерных сетей + CD: Перевод с английского. Изд. "ЭКОМ" 2003

32. Дэвид Стенг, Сильвия Мун, "Секреты безопасности сетей", Киев, "Диалектика", 1996

33. Дуглас Э. Камер, Сети TCP/IP. Том 1. Принципы, протоколы и структура, Изд. "Вильяме", 2003

34. Кендалл М., Моран П. "Геометрические вероятности", Москва, "Наука", 1972

35. Кендалл М., Стюарт А., Теория распределений, (пер с англ.), М., "Наука", 1966

36. Мак-Клар, Стюарт, Скембрей, Джоел, Курц, Джордж. Секреты хакеров. Безопасность сетей готовые решения. 2-е издание.: Пер.с англ. - М., 2001.

37. Найк Д. Стандарты и протоколы Интернета (Перевод с англ.) М.: Издательский отдел "Русская редакция" ТОО "Channel Trading Ltd", 1999.

38. Скотт Бармен, Разработка правил информационной безопасности /Writing Information Security Policies/, "Вильяме", 2002

39. Тим Паркер, Каранжит Сиян, TCP/IP для профессионалов ЯСР/IP. Unleashed/, "Питер", 2004

40. Э. Таненбаум, М. ван Стеен, Распределенные системы. Принципы и парадигмы /Disrtibuted Systems. Principles and Paradigms/, "Питер", 2003

41. У. Ричард Стивене, Протоколы TCP/IP. Практическое руководстве /TCP/IP Illustrated, volume 1. The Protocols/, "БХВ-Петербург", 2003

42. Иван Карташев, Крупнейшая атака на корневые DNS-серверы за всю историю интернета, httD://www.compulenta.ru/2002/10/23/34876/. Compulenta.Ru, 23.10,02

43. В Сети появился живой хит-парад самых страшных «дыр», http://www.cnews.ru/newtop/index.shtml72003/08/06/147141. Cnews.ru, 06.08.2003

44. Виртуальный* терроризм: угроза нового времени" http://www.cnews.ru/newtop/index.shtml72004/02/02/154507.http://www.cnews.ru/newtop/index Cnews.ru, 08.10.2003

45. Павел Арефьев, Распределенная DoS-атака по телефону, http://www.compulenta.ru/2003/12/11/43907/. Compulenta.Ru, 11.12.2003г.

46. Роман Боровко, Россия: число преступлений в ИТ-сфере удвоилось за год" http://www.cnews.ru/newcom/index.shtml72004/01/29/154372. Cnews.ru, 29.01.2004

47. Сетевые атаки становятся жестче и быстрее, http://www. rusmedianet.ru/index. php?id=614. RusMediaNet, 20.11.2003

48. США беззащитны перед угрозой кибертерроризма?, http://www. en ews. ru/n ewto p/in d ex.shtm172003/12/04/152636. Cnews.ru, 12.04.2003

49. Хакеры мстят США за Саддама, http://www.cnews.ru/newcom/index.shtml72004/01/13/153700. Cnews.ru, 13.01.2004

50. Хакеры нашли изъян в Windows 2000 раньше Microsoft, http://lenta.ru/internet/2003/03/18/software/, Lenta.Ru, 18.03.2003

51. Хакеры попытались парализовать работу маршрутизаторов в США, http://lenta.ru/internet/2003/07/19/router/ , Lenta.Ru, 19.07.2003

52. Dina Bass / Bloomberg News, Microsoft says hacker's attack knocked out Web site for 2 hours,http://www.detnews.com/2003/technoloqy/0308/04/technoloqv-234860.htm, DetNews.com, 04.08.2003

53. Сайт компании CERT (Центр реагирования на компьютерные инциденты) http://www.cert.org/58. . Сайт института по подготовке специалистов в области компьютерной безопасности SANS SANS (SysAdmin, Audit, Network, Security) http://www.sans.org/

54. Postel J. Transmission Control Protocol. RFC793. http://www.rfc-editor.org/rfc/rfc793.txt

55. G.R.Grimmet, D.R.Stirzaker, Probability and Random Processes S.E. // Clarendon Press. Oxford. 1992.