6.3. Особливості захисту інформації у відкритих системах

6.3.1 Стандарти захисту інформації у відкритих інформаційних системах.

Еталонна модель взаємодії відкритих систем OSI (англ. Open Systems Interconnection) була розроблена інститутом стандартизації ISO з метою розмежувати функції різних протоколів у процесі передачі інформації від одного абонента іншому. Подібних класів функцій було виділено 7 – вони одержали назву шарів (layer). Кожен шар виконує свої визначені задачі в процесі передачі блоку інформації, причому відповідний шар на приймальному боці робить перетворення, точно зворотні до тих, що робив той же шар на передавальній стороні. У цілому проходження блоку даних від відправника до одержувача показане на рис.6.3. Кожен шар додає до пакета невеликий обсяг своєї службової інформації – префікс (на малюнку вони зображені як P1...P7). Деякі рівні в конкретній реалізації цілком можуть бути відсутні.

Дана модель дозволяє провести класифікацію мережних атак відповідно до рівня їхнього впливу.

Фізичний шар відповідає за перетворення електронних сигналів у сигнали середовища передачі інформації (імпульси напруги, радіохвилі, інфрачервоні сигнали). На цьому рівні основним класом атак є «відмова в сервісі». Постановка шумів по всій смузі перепускання каналу може привести до «надійного» розриву зв’язку.

Канальний шар керує синхронізацією двох і більшої кількості мережних адаптерів, підключених до єдиного середовища передачі даних. Прикладом його є протокол EtherNet. Впливу на цьому рівні також полягають в основному в атаці «відмови в сервісі». Однак, на відміну від попереднього рівня, тут виробляється збій синхропосилок чи самої передачі даних періодичною передачею «без дозволу і не у свій час».

Мережний шар відповідає за систему унікальних імен і доставку пакетів за цим іменем, тобто за маршрутизацію пакетів. Прикладом такого протоколу є протокол Інтернету IP. Всі атаки засновані на свідомо неправильній маршрутизації пакетів.

Рис.6.3. Модель класифікації мережних атак

Транспортний шар відповідає за доставку великих повідомлень лініями з комутацією пакетів. Тому що в подібних лініях розмір пакета є звичайно невелике число (від 500 байт до 5 кілобайт), то для передачі великих обсягів інформації їх необхідно розбивати на передавальній стороні і збирати на приймальній. Транспортними протоколами в мережі Інтернет є протоколи UDP і TCP. Реалізація транспортного протоколу – досить складна задача, а якщо ще врахувати, що зловмисник придумує найрізноманітніші схеми складання неправильних пакетів, то проблема атак транспортного рівня цілком з’ясовна.

Уся справа в тім, що пакети на приймальну сторону можуть приходити й іноді приходять не в тому порядку, у якому вони були відправлені. Причина звичайно полягає у втраті деяких пакетів через помилки чи переповнення каналів, рідше – у використанні для передачі потоку двох альтернативних шляхів у мережі. А, отже, операційна система повинна зберігати деякий буфер пакетів, чекаючи приходу затриманих у дорозі. А якщо зловмисник із наміром формує пакети таким чином, щоб послідовність була великою і свідомо неповною, то отут можна чекати як постійної зайнятості буфера, так і більш небезпечних помилок через його переповнення.

Сеансовий шар відповідає за процедуру встановлення початку сеансу і підтвердження (квітування) приходу кожного пакета від відправника одержувачу. У мережі Інтернет протоколом сеансового рівня є протокол TCP (він займає і 4, і 5 рівні моделі OSI). У відношенні сеансового рівня дуже широко поширена специфічна атака класу «відмовлення в сервісі», заснована на властивостях процедури встановлення з’єднання в протоколі TCP. Вона одержала назву SYN-Flood (flood – англ. «великий потік»).

При спробі клієнта підключитися до Сервера, що працює за протоколом TCP (а його використовують більше 80% інформаційних служб, у тому числі HTTP, FTP, SMTP, POP3), він посилає серверу пакет без інформації, але з бітом SYN, встановленим у 1 в службовій частині пакета – запитом на з’єднання. Після одержання такого пакета сервер зобов’язаний вислати клієнту підтвердження прийому запиту, після чого з третього пакета починається власне діалог між клієнтом і сервером. Одночасно сервер може підтримувати в залежності від типу сервісу від 20 до декількох тисяч клієнтів.

При атаці типу SYN-Flood зловмисник починає на своїй ЕОМ створювати пакети, що представляють собою запити на з’єднання (тобто SYN-пакети) від імені довільних IP-адрес (можливо навіть неіснуючих) на ім’я Сервера, що атакується, по порту сервісу, який він хоче призупинити. Усі пакети будуть доставлятися одержувачу, оскільки при доставці аналізується тільки адреса призначення. Сервер, починаючи з’єднання за кожним із цих запитів, резервує під нього місце у своєму буфері, відправляє пакет-підтвердження і починає очікувати третього пакета клієнта протягом деякого проміжку часу (1-5 секунд). Пакет-підтвердження піде за адресою, зазначеною як помилкового відправника в довільну точку Інтернету й або не знайде адресата взагалі, або надмірно «здивує» операційну систему на цій IP-адресі (оскільки вона ніяких запитів на даний сервер не посилала) і буде просто зігнорований. А от сервер при досить невеликому потоці таких запитів буде постійно тримати свій буфер заповненим непотрібним чеканням з’єднань і навіть SYN-запити від дійсних легальних користувачів не будуть міститися в буфер: Сеансовий шар просто не знає і не може довідатися, які з запитів фальшиві, а які дійсні і могли б мати більший пріоритет.

Атака SYN-Flood одержала досить широке поширення, оскільки для неї не потрібно ніяких додаткових підготовчих дій. Її можна проводити з будь-якої точки Інтернету на адресу будь-якого Сервера, а для відстеження зловмисника будуть потрібні спільні дії всіх провайдерів, що складають ланцюжок від зловмисника до Сервера, що атакується, (до честі сказати, практично усі фірми-провайдери, якщо вони володіють відповідним програмним забезпеченням і кваліфікованим персоналом, активно беруть участь у відстеженні атак ЕОМ за першим же проханням, у тому числі і від закордонних колег).