Розподілений підхід в питаннях безпеки, Різне, Security & Hack, статті

Олексій

1. Вступ

Ідея
розподілених програмних компонент не нова, однак у Останнім часом вона набуває все більшої популярності. Такого
роду підхід відкриває нові можливості
інформаційної обробки, але і ставить при
цьому нові проблеми. Зараз все більше мережних атак спирається саме на нього, достатньо
згадати серію зимових DDOS атак. Дана стаття написана з метою висвітлити специфіку
побудови розподілених інструментів, призначених як для захисту
інформації, так і для вторгнення в інформаційні системи.

2. Механізми розподілених вторгнень

Досвід
останнього часу показує, що розподілений підхід знаходить своє
застосування в побудові інструментів, що використовуються зловмисниками при
реальних атаках на інформаційні системи. Розглянемо основні переваги розподілених коштів атаки перед звичайними:

      + Сильно
ускладнене виявлення наявності атаки багатьма IDS по причині
відсутність стандартної сигнатури атаки;

      + Істотно
утруднена, часом просто неможлива локалізація джерел атаки зважаючи на великий
їх числа;

      + Підвищена
ефективність атаки (як, наприклад, у випадку серії DDOS атак на
популярні online-Магазини,
сталася на початку цього року);

      + Утруднене
усунення або блокування джерел атаки через великого їх числа (це
стає особливо важливим фактором, коли число атакуючих систем досягає
кількох сотень);

      + Якісне
поліпшення одержуваної інформації у випадку розподіленого сканування (наявність
кількох різних скануючих модулів може дозволити отримати
“Перспективне” уявлення про об’єкту сканування, наприклад визначити
топологію атакується системи).

При всіх
ці переваги треба однак враховувати і два основних мінуса подібного
підходу:

      – Суттєве
ускладнення алгоритмів координації та управління (тут широко використовуються
рішення з теорії графів);

      – Поява
додаткового трафіку, який може бути відстежено спеціальними створеними
для цього системами, пов’язане з необхідністю координації дій окремих
компонентів системи.

Вказані
трохи раніше переваги дозволяють розглянути наступні найбільш перспективні
напрями розвитку розподілених коштів інформаційної атаки:

* Distributed Denial Of Service.
Широко відомі кілька атак цього типу (trinoo, TFN , TFN2K тощо), які відбулися в кінці 1999
– На початку 2000 року;

* Distributed Port
Scanning. Розподілене сканування портів дозволяє перевіряти порти цільової
системи таким чином, що багато популярних системи виявлення вторгнення не
можуть виявити цього, оскільки таке сканування має сигнатуру відмінну
від звичайного port scanning-а. Вже існує кілька інструментів такого роду,
наприклад RIVAT DSCAN. Він складається з двох скриптів на perl: server.pl –
скануюча компонента, і client.pl – керуюча компонента. Керуюча
компонента дозволяє під’єднатися до кількох скануючим і дати їм загальне
завдання. Ті, в свою чергу, повертають отриману при скануванні інформацію.
Даний інструмент можна знайти за адресою 
www.r00tabega.com, І він, при
наявності базового знання perl, просто модифікується для вирішення конкретної
завдання. Адреса електронної пошти автора – xtremist@hobbiton.org;

* Distributed Ping
Sweep. Цей вид сканування спрямований на з’ясування наявності включених в мережу систем.
В цілому він має багато спільного з розподіленим скануванням портів;

* Distributed
Password Sniffing. Даний вид інструментів складається з сенсорних компонент,
які представляють собою кілька модифіковані сніфери, інформація з
яких надходить в головну компоненту, яка, в свою чергу, займається
організацією цієї інформації і передачею її зловмисникові. Детальніше про
побудові такої системи можна почитати в 55 номері журналу Phrack (www.phrack.com);

* Distributed
Passive OS Fingerprinting. Цей вид алгоритмів сильно схожий на попередній – з
тією лише різницею що сенсорні компоненти, аналізуючи трафік, використовують
алгоритми звичайного Passive OS
Fingerprinting;

* Distributed
Active OS Fingerprinting. Ці інструменти можуть бути реалізовані на базі
інструментів типу Distributed Port Scanning і Distributed Ping Sweep, але
полученая інформація повинна бути оброблена керуючої компонентою на предмет
виявлення в ній сигнатур, характерних для певних операційних систем.
Для сенсорних компонент може бути використаний алгоритм популярного
програмного засобу nmap (Автор
Feodor, www.insecure.org);

* Distributed Brute
Forcing. Такі засоби можуть застосовуватися для, наприклад, перебору паролів без
активізації IDS типу
Intruder Alert, створених для опознованія спроб перебору шляхом аналізу
частоти спроб входу до системи для кожного конкретного джерела;

* Нарешті, звичайні
атаки можуть бути “розподілені” між декількома джерелами таким
чином, щоб послідовні кроки атаки припадали на різних
виконавців. Це може серйозно ускладнити виявлення атаки за допомогою
автоматизованих систем виявлення вторгнень і дозволить зловмисникам
провести атаку непоміченою.

Істотною
трудністю при використанні подібних інструментів є установка окремих
компонентів на  різні хости мережі. Вельми
оригінально була вирішена ця задача в системах trinoo
і TFN.
Крім того ці компоненти можуть поширюватися за допомогою технік, що використовуються
при написанні поштових черв’яків (самий гучний останнім часом поштовий
черв’як –  I
LOVE YOU), і технік використовуваних
при поширенні троянських коней.

3. Розподілені механізми захисту

У питаннях
захисту розподілений підхід застосовується досить давно і цілком успішно.
Існує велика кількість програмних продуктів, що дозволяють здійснювати
адміністрування, наприклад, разпределенних баз даних паролів (такі як nis,
nis + і т.п.).

Основне
перевагу розподіленої системи з точки зору захисту – це її підвищена
життєздатність. Найпростіший приклад

використання цієї властивості – резервне копіювання
журналів подій між різними компонентами мережної системи.

Крім того,
наявність розподіленої сенсорної мережі дозволяє системі отримувати
“Перспективне” уявлення про стан об’єкта, що захищається. Одним
з передових в цьому плані на сьогоднішній день є проект GrIDS (olympus.cs.ucdavis.edu/arpa/grids/welcome.html).

4. Висновок

При всій
своєї привабливості даний підхід ставить ряд досить складних проблем.
Перша з них – суттєве ускладнення алгоритмів взаємодії компонент.
Друга – труднощі пов’язані з централізованим управлінням ними. Третя –
труднощі пов’язані з моніторингом стану розподіленої системи в цілому.

Однак,
незважаючи на ці проблеми, подальший розвиток цього підходу здається вельми
перспективним. Воно з часом дозволить реалізовувати більш ефективні
алгоритми, пов’язані, наприклад, з міграцією коду і динамічним
самоосвітою кластерів з окремих компонент системи.

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*