Класифікація віддалених атак
Видалені атаки можна класифікувати за такими ознаками:
1. За характером впливу
Під активним впливом на мережну систему розуміється вплив, що безпосередньо впливає на роботу мережі (зміна конфігурації мережі, порушення роботи мережі і.т.д.) і порушує політику безпеки, прийняту в системі [1]. Майже всі типи віддалених атак є активними впливами. Основна особливість віддаленого активного впливу полягає у принциповій можливості його виявлення (природно, з більшим або меншим ступенем складності).
Пасивним впливом на мережеву систему назвемо вплив, що не безпосередньо впливає на роботу мережі, але може порушувати її політику безпеки. Саме відсутність безпосереднього впливу роботу мережі призводить до того, що пасивний віддалений вплив практично неможливо виявити Єдиним прикладом пасивного типового віддаленого впливу служить прослуховування каналу в мережі.
2. За метою впливу
Основна мета практично будь-якої атаки – отримати несанкціонований доступ до інформації. Існують дві важливі можливості доступу до інформації перехоплення та спотворення. Можливість перехоплення інформації означає отримання доступу, але неможливість її модифікації. Прикладом перехоплення інформації може бути прослуховування каналу в мережі. І тут є несанкціонований доступом до інформації без можливості її спотворення.
Можливість спотворення інформації означає повний контроль над інформаційним потоком. Тобто інформацію можна не тільки прочитати, як у разі перехоплення, а й мати можливість її модифікації. Прикладом віддаленої атаки, що дозволяє модифікувати інформацію,може бути помилковий сервер (див. п. 4.2.2.4.).
Розглянуті вище три класифікаційні ознаки інваріантні по відношенню до типу атаки, чи то віддалена чи локальна атака. Наступні класифікаційні ознаки (за винятком 3), які будуть розглянуті нижче, мають сенс лише для віддалених дій.
3. За умовою початку здійснення дії
Віддалений вплив, як і будь-яке інше, може здійснюватися за певних умов. У мережах ЕОМ можуть існувати три види умов початку здійснення атаки.
— атака на запит від об'єкта, що атакується. У цьому випадку атакуюча програма, запущена на мережевому комп'ютері, чекає на посилки від потенційної мети атаки певного типу запиту, який і буде умовою початку здійснення атаки. Прикладом подібних запитів у ОС Novell NetWare може бути SAP - запит, а ОС UNIX - DNS і ARP - запит. Віддалені атаки на ці мережні ОС, побудовані на даному принципі, див. у п. 4.2.3.2, 4.2.4.3 та 4 2.4.2 Важливо відзначити, що даний тип віддалених атак найбільш характерний для мережевих ОС.
— атака з настанням певної події на об'єкті, що атакується. У разі віддаленої атаки подібного роду атакуюча програма веде спостереження за станом операційної системи віддаленого комп'ютера і у разі виникнення певної події в системі починає здійснення впливу. У цьому, як і в попередньому випадку, ініціатором здійснення початку атаки виступає сам об'єкт, що атакується. Прикладом такої події може бути переривання сеансу роботи користувача з сервером в ОС Novell NetWare без видачі команди LOGOUT (наприклад, відключення живлення на робочій станції). Видалені атаки щодо настання певної події див. у п.4 2.3.3 2.
- Безумовна атака. У цьому випадку початокздійснення атаки безумовно по відношенню до мети атаки. Тобто атака здійснюється негайно після запуску атакуючої програми, а отже, вона і є ініціатором початку здійснення атаки. Приклад атаки цього виду див. у п.4.2.4.4.
4. За розташуванням суб'єкта атаки щодо об'єкта, що атакується
Розглянемо низку визначень:
Суб'єкт атаки (або джерело атаки) - це атакуюча програма, що здійснює вплив.
Хост (host) – мережевий комп'ютер.
Маршрутизатор (router) - пристрій, що забезпечує маршрутизацію пакетів обміну у глобальній мережі.
Підмережа (subnetwork) (у термінології Internet) — сукупність хостів, що є частиною глобальної мережі, котрим маршрутизатором виділено однаковий номер підмережі. Підмережа — логічне об'єднання хостів маршрутизатором. Хости всередині однієї підмережі можуть взаємодіяти між собою безпосередньо, минаючи маршрутизатор.
Сегмент мережі – фізичне об'єднання хостів. Наприклад, сегмент мережі утворюють сукупність хостів, підключених до сервера за схемою загальна шина. При такій схемі підключення кожен хост має можливість аналізувати будь-який пакет у своєму сегменті.
З погляду віддаленої атаки надзвичайно важливо як стосовно один до одного розташовуються суб'єкт і об'єкт атаки, тобто в одному або в різних сегментах вони знаходяться. У разі внутрішньосегментної атаки, як випливає з назви, суб'єкт та об'єкт атаки знаходяться в одному сегменті. Приклади такої атаки див. 4.2.2.1, 4.2.2.2. При міжсегментній атаці суб'єкт та об'єкт атаки перебувають у різних сегментах. Приклади див. п 4.2.2.3 - 4.2.2.6.
Дана класифікаційна ознака дозволяє судити про так звану "ступінь віддаленості" атаки. Надалі буде показано, що на практиціміжсегментну атаку здійснити значно важче, ніж внутрисегментную.
5. За рівнем еталонної моделі ISO/OSI, на якому здійснюється вплив
Міжнародна Організація стандартизації (ISO) прийняла стандарт ISO 7498, що описує взаємодію відкритих систем (OSI). Мережеві ОС також є відкритими системами. Будь-який мережевий протокол обміну, як і будь-яку мережну програму можна з тим чи іншим ступенем умовності спроектувати на еталонну семирівневу модель OSI. Така багаторівнева проекція дозволить
описати у термінах моделі OSI функції, закладені у мережевий протокол чи мережну програму. Віддалена атака також є мережевою програмою. У зв'язку з цим видається логічним розглядати віддалені атаки на мережеві ОС, проецируя в еталонну модель ISO/OSI.