Удаленные атаки на интрасети

Цель предпринимаемых злоумышленниками атак на компью­теры из интрасетей, подключенных к Internet, состоит в получении доступа к их информационным и сетевым ресурсам.

Принципиальным отличием атак, осуществляемых злоумыш­ленниками в открытых сетях, является фактор расстояния от ПК, выбранного в качестве жертвы, или "прослушиваемого" канала связи до местоположения злоумышленника. Этот фактор нашел выражение в определении подобного вида атак как "удаленных".

Под удаленной атакой принято понимать несанкционирован­ное информационное воздействие на распределенную вычисли­тельную систему, программно осуществляемое по каналам связи.

Для удаленной атаки можно выделить наиболее общие схемы их осуществления. Такие удаленные атаки получили название типовых.

Тогда типовая удаленная атака – это удаленное несанкционированное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной вычисли­тельной системы.

Объектом удаленных атак могут стать следующие виды сете­вых устройств:

· оконечные устройства;

· каналы связи;

· промежуточные устройства: ретрансляторы, шлюзы, моде­мы и т.п.

Рассмотрим классификацию удаленных атак по следующим шести основным критериям:

1. По характеру воздействия удаленные атаки делятся на пассивные и активные (примером первого типа атак является, например, прослу­шивание каналов связи и перехват вводимой с клавиатуры инфор­мации; примером второго типа является атака "третий посереди­не", когда злоумышленник может, например, подменять данные информационного обмена между двумя пользователями Internet или между пользователем и запрашиваемым им сетевым сервисом, пересылаемые в обоих направлениях).

2. По цели воздействия, т.е. в зависимости от нарушения трех основных возможных свойств информации и информационных ре­сурсов – их конфиденциальности, целостности и доступности, плюс нарушение доступности всей системы или ее отдельных служб (пример атаки – "отказ в обслуживании).

3. По условию начала осуществления воздействия атака мо­жет быть безусловной (предпринимается злоумышленником в любом случае), или может активизироваться либо при посылке опре­деленного запроса от атакуемого объекта, либо при наступ­лении ожидаемого события на атакуемом объекте.

4. По наличию обратной связи с атакуемым объектом разли­чают атаки с обратной связью или без обратной связи (такая атака называется однонаправленной).

5. По расположению субъекта атаки относительно атакуе­мого объекта атаки бывают внутрисегментными (средства взлома сети или, например, прослушивания каналов связи должны распо­лагаться в том же сегменте сети, который интересует злоумыш­ленника) или межсегментными (в этом случае дальность расстояния от жертвы до злоумышленника не имеет значения).

6. По уровню эталонной модели взаимосвязи открытых сис­тем OSI Международной организации стандартизации (ISO), на котором осуществляется воздействие. Атака может реализо­вываться на всех семи уровнях – физическом, канальном, сете­вом, транспортном, сеансовом, представительном и прикладном.

Среди выше перечисленных удаленных атак можно выделить пять основ­ных и наиболее часто предпринимаемых типо­вых удаленных атак:

1. Анализ сетевого трафика (или прослушивание канала свя­зи с помощью специальных средств – снифферов). Эта атака позволяет:

· изучить логику работы сети в дальнейшем это позволит злоумышленнику на основе задания со­ответствующих команд получить, например, привилегированные права на действия в системе или расширить свои полномочия в ней;

· перехватить поток передаваемых данных, которыми обме­ниваются компоненты сетевой ОС – для извлечения коммерческой или идентификационной информации (например, па­ролей пользователей), ее под­мены, модификации и т.п.