По расположению нарушителя относительно атакуемого объекта

В соответствии с этим признаком воздействие реализуется как внутрисегментно, так и межсегментно.

Рассмотрим ряд определений:

Хост (host) – сетевое устройство (чаще всего компьютер).

Маршрутизатор (router) – устройство, обеспечивающее маршрутизацию пакетов обмена из одной сети в другую.

Подсеть (subnetwork) – совокупность хостов, являющихся частью сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть – логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, без использования функций маршрутизации.

Сегмент сети – физическое или логическое объединение хостов. Например, беспроводный сегмент сети образует совокупность хостов, подключенных к точке доступа по схеме "общая шина". При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте. Аналогичная картина будет наблюдаться, если сегмент сети создан не физически, а логически (с применением виртуальных сетей VLAN, о которых мы поговорим в следующих главах).

С точки зрения удаленной атаки важно расположение злоумышленника и объекта атаки по отношению друг к другу, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, злоумышленник и объект атаки находятся в одном сегменте. При межсегментной атаке злоумышленник и объект атаки находятся в разных сегментах. Данный классификационный признак позволяет судить о так называемой "степени удаленности" атаки.

На практике межсегментную атаку осуществить значительно труднее, чем внутрисегментную. Но межсегментная удаленная атака представляет большую опасность, чем внутрисегментная, так как именно удаленность нарушителя от атакуемого объекта может существенно воспрепятствовать мерам по отражению атаки.

Вероятность удачной внутрисегментной и межсегментной атаки значительно увеличивается в случае наличия беспроводных решений. Одно из главных отличий между проводными и беспроводными сетями связано с тем, осуществлять полный контроль над областью между конечными точками беспроводной сети достаточно сложно. В довольно широком пространстве сетей беспроводная среда никак не контролируется. Наиболее распространенная проблема в открытых и неуправляемых средах, таких как беспроводные сети, – это возможность анонимных атак.

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

Распределенные системы являются открытыми системами. Сетевые протоколы обмена, также как и сетевые программы, работают на разных уровнях модели OSI (Open System Interconnection – Взаимодействие открытых систем):

Прикладной

Представительский

Сеансовый

Транспортный

Сетевой

Канальный

Физический

Вследствие того, что удаленная атака реализуется какой-либо сетевой программой, ее можно соотнести с определенным уровнем модели OSI.

По соотношению количества нарушителей и атакуемых объектов

По данному признаку удаленная атака может быть отнесена к следующим классам воздействия:

воздействие "один к одному" – атака осуществляется одним злоумышленником в отношении одной цели;

воздействие "один ко многим" – атака осуществляется одним злоумышлен-ником в отношении нескольких объектов;

воздействие "несколько к одному"; • воздействие "несколько ко многим".

В двух последних случаях атака осуществляется несколькими злоумышленниками с разных компьютеров в отношении одного или нескольких объектов (распределенное или комбинированное воздействие).

Типовые удалённые атаки

Компьютерные сети проектируются (и создаются) на основе одних и тех же принципов, правил (шаблонов) и, следовательно, имеют практически одинаковые проблемы безопасности в сетевых информационных системах и можно ввести понятие типовой удаленной атаки.

Типовая удаленная атака – это удаленное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной системы.

Рассмотрим типовые удаленные атаки и механизмы их реализации.

Анализ сетевого трафика

Как уже отмечалось, основной особенностью сетевой информационной системы является то, что ее объекты распределены в пространстве, подключены по физическим каналам и взаимодействие между ними осуществляется программно. Передача пакетов по сетевым соединениям дает возможность прослушивать канал связи с использованием специального программно-аппаратного устройства или программыанализатора пакетов (sniffer, сниффер). Такое воздействие называется анализ сетевого трафика.

В настоящее время снифферы работают в сетях на вполне законном основании. Однако, вследствие того, что некоторые сетевые приложения (например, Telnet, FTP, SMTP, POP3) передают данные в текстовом формате и не предусматривают шифрование, злоумышленник с помощью сниффера может перехватить поток передаваемых данных. Последующий их анализ позволит извлечь идентификационную информацию, такую как статические пароли пользователей к удаленным хостам, используемые протоколы, доступные порты сетевых служб, активные сетевые сервисы и т.п. В процессе проведения анализа сетевого трафика злоумышленник изучает логику работы сети и, в случае успеха, может получить доступ к конфиденциальной информации удаленного объекта.

По характеру воздействия анализ сетевого трафика является пассивным воздействием (возможность изменения трафика отсутствует), осуществляется внутри одного сегмента сети на канальном уровне OSI. Реализация данной атаки без обратной связи ведет к нарушению конфиденциальности информации. При этом начало осуществления атаки безусловно по отношению к цели атаки.

 

Рис. 1.3. Схема реализации воздействия «Анализ сетевого трафика»