Розподілений підхід у питаннях безпеки

Олексій

1. Вступ

Ідея
розподілених програмних компонент не нова, проте останнім часом він набуває все більшої популярності. Такого
роду підхід відкриває нові можливості
інформаційної обробки, але і ставить за
цьому нові проблеми. Зараз все більше мережних атак спирається саме на нього, достатньо
згадати серію зимових DDOS атак. Дана стаття написана з метою висвітлити специфіку
побудови розподілених інструментів, призначених як для захисту
інформації, так і для вторгнення в інформаційні системи.

2. Механізми розподілених вторгнень

Досвід
останнього часу показує, що розподілений підхід знаходить своє
застосування в побудові інструментів, використовуваних зловмисниками при
реальних атаках на інформаційні системи. Розглянемо основні переваги розподілених коштів атаки перед звичайними:

+ Сильно
ускладнене виявлення наявності атаки багатьма IDS через
відсутність стандартної сигнатури атаки;

+ Істотно
утруднена, часом просто неможлива локалізація джерел атаки зважаючи на великий
їх числа;

+ Підвищена
ефективність атаки (як, наприклад, у випадку серії DDOS атак на
популярні online-магазини,
сталася на початку цього року);

+ Утруднене
усунення або блокування джерел атаки зважаючи на великий їх числа (це
стає особливо важливим фактором, коли число атакуючих систем досягає
кількох сотень);

+ Якісне
поліпшення одержуваної інформації у разі розподіленого сканування (наявність
кількох різних скануючих модулів може дозволити отримати
"Перспективне" уявлення про сканованому об'єкті, наприклад визначити
топологію атакується системи).

При всіх
ці переваги слід однак враховувати і два основних мінуса подібного
підходу:

– Суттєве
ускладнення алгоритму координації і управління (тут широко використовуються
рішення з теорії графів);

– Поява
додаткового трафіку, який може бути відстежено спеціальними створеними
для цього системами, пов'язане з необхідністю координації дій окремих
компонентів системи.

Зазначені
трохи раніше переваги дозволяють розглянути наступні найбільш перспективні
напрямки розвитку розподілених коштів інформаційної атаки:

* Distributed Denial Of Service.
Широко відомі кілька атак цього типу (trinoo, TFN, TFN2K тощо), які відбулися в кінці 1999
– На початку 2000 року;

* Distributed Port
Scanning. Розподілений сканування портів дозволяє перевіряти порти цільової
системи таким чином, що багато популярних системи виявлення вторгнення не
можуть знайти цього, оскільки таке сканування має сигнатуру відмінну
від звичайного port scanning-а. Вже існує кілька інструментів такого роду,
наприклад RIVAT DSCAN. Він складається з двох скриптів на perl: server.pl –
скануюча компонента, і client.pl – керуюча компонента. Керуюча
компонента дозволяє під'єднатися до кількох скануючим і дати їм загальне
завдання. Ті, у свою чергу, повертають отриману при скануванні інформацію.
Даний інструмент можна знайти за адресою
www.r00tabega.com, і він, при
наявності базового знання perl, просто модифікується для вирішення конкретної
завдання. Адреса електронної пошти автора – xtremist@hobbiton.org;

* Distributed Ping
Sweep. Цей вид сканування спрямований на з'ясування наявності включених в мережу систем.
У цілому він має багато спільного з розподіленим скануванням портів;

* Distributed
Password Sniffing. Даний вид інструментів складається з сенсорних компонент,
які представляють собою кілька модифіковані сніфери, інформація з
яких надходить у головний компонент, який, у свою чергу, займається
організацією цієї інформації і передачею її зловмисникові. Докладніше про
побудові такої системи можна почитати в 55 номері журналу Phrack (www.phrack.com);

* Distributed
Passive OS Fingerprinting. Цей вид алгоритмів сильно схожий на попередній – з
тією лише різницею що сенсорні компоненти, аналізуючи трафік, використовують
алгоритми звичайного Passive OS
Fingerprinting;

* Distributed
Active OS Fingerprinting. Ці інструменти можуть бути реалізовані на базі
інструментів типу Distributed Port Scanning і Distributed Ping Sweep, але
полученая інформація повинна бути оброблена керуючої компонентою на предмет
виявлення в ній сигнатур, характерних для певних операційних систем.
Для сенсорних компонент може бути використаний алгоритм популярного
програмного засобу nmap (автор
Feodor, www.insecure.org);

* Distributed Brute
Forcing. Такі засоби можуть застосовуватися для, наприклад, перебору паролів без
активізації IDS типу
Intruder Alert, створених для опознованія спроб перебору шляхом аналізу
частоти спроб входу в систему для кожного конкретного джерела;

* Нарешті, звичайні
атаки можуть бути "розподілені" між декількома джерелами таким
чином, щоб послідовні кроки атаки припадали на різних
виконавців. Це може серйозно ускладнити виявлення атаки за допомогою
автоматизованих систем виявлення вторгнень і дозволить зловмисникам
провести атаку непоміченою.

Суттєвою
труднощами при використанні подібних інструментів є установка окремих
компонентів на різні хости мережі. Вельми
оригінально була вирішена ця задача в системах trinoo
і TFN.
Крім того ці компоненти можуть поширюватися за допомогою технік, використовуваних
при написанні поштових черв'яків (самий гучний останнім часом поштову
черв'як – I
LOVE YOU), і технік використовуваних
при поширенні троянських коней.

3. Розподілені механізми захисту

У питаннях
захисту розподілений підхід застосовується досить давно і цілком успішно.
Існує велика кількість програмних продуктів, що дозволяють здійснювати
адміністрування, наприклад, разпределенних баз даних паролів (такі як nis,
nis + і т.п.).

Основне
перевагу розподіленої системи з точки зору захисту – це її підвищена
життєздатність. Найпростіший приклад

використання цієї властивості – резервне копіювання
журналів подій між різними компонентами мережевої системи.

Крім того,
наявність розподіленої сенсорної мережі дозволяє системі отримувати
"Перспективне" уявлення про стан об'єкта, що захищається. Одним
з передових у цьому плані на сьогоднішній день є проект GrIDS (http://olympus.cs.ucdavis.edu/arpa/grids/welcome.html).

4. Висновок

При всій
своєї привабливості даний підхід ставить ряд досить складних проблем.
Перша з них – істотне ускладнення алгоритмів взаємодії компонент.
Друга – труднощі пов'язані з централізованим управлінням ними. Третя –
труднощі пов'язані з моніторингом стану розподіленої системи в цілому.

Однак,
незважаючи на ці проблеми, подальший розвиток цього підходу здається вельми
перспективним. Воно з часом дозволить реалізовувати більш ефективні
алгоритми, пов'язані, наприклад, з міграцією коду і динамічним
самоосвітою кластерів з окремих компонент системи.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*