Сетевые атаки на Windows NT
Повышение интереса к TCP/IP-сетям обусловлено бурным ростом сети Internet. Однако это заставляет задуматься над тем, как защитить свои информационные ресурсы от атак из внешней сети. Если вы подключены к Internet, Ваша система может быть атакована. Это на прямую связано со структурой безопасности Windows NT т.к. эта ОС ориентирована на работу с сетью (в том числе и Internet).
Протоколы семейства IP являются основой построения сетей Intranet и глобальной сети Internet. Несмотря на то, что разработка TCP/IP финансировалась Министерством обороны США, TCP/IP не обладает абсолютной защищенностью и допускает различные типы атак, рассмотренные ниже.
Для осуществления подобных атак “злоумышленник” должен иметь контроль хотя бы над одной системой, подключенной к Internet.
Одним из подходов к анализу угроз безопасности компьютерных систем является выделение в отдельный класс угроз, присущих только компьютерным сетям. Данный класс угроз называется классом удаленных атак. Этот подход к классификации представляется правомочным из-за наличия принципиальных особенностей в построении сетевых ОС. Основной особенностью любой сетевой операционной системы является то, что ее компоненты распределены в пространстве, и связь между ними физически осуществляется при помощи сетевых соединений (рассмотрено ранее) и программно - при помощи механизма сообщений. При этом все управляющие сообщения и данные, пересылаемые одной компонентой сетевой ОС другой компоненте, передаются по сетевым соединениям в виде пакетов обмена. Эта особенность и является основной причиной появления нового класса угроз - удаленных атак. К сожалению и Windows NT, как и другие ОС, ориентированные на работу с сетью, использует этот же алгоритм.
При данном типе атак “злоумышленник” взаимодействует с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов. Данные типы атак часто кажутся технически сложными в реализации, однако для нормального программиста не составляет труда реализовать соответствующий инструментарий. Возможность формирования произвольных IP-пакетов является ключевым пунктом для осуществления активных атак.
Удаленные атаки можно классифицировать по типу воздействия на активные или пассивные.
Активные атаки можно разделить на две части. В первом случае “злоумышленник” предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток “притвориться” другой системой. Во втором случае протокол TCP/IP используется для того, чтобы привести “систему-жертву” в нерабочее состояние.
При пассивных атаках “злоумышленник” никаким образом не обнаруживает себя и не вступает напрямую во взаимодействие с другими системами. Фактически все сводится к наблюдению за доступными данными или сессиями связи. Хотя пассивные атаки могут нарушать политику безопасности сети.
Идея выявления атаки проста: любой атаке соответствует определённый сетевой трафик, поэтому, анализ трафика позволяет определить атаку и засечь "следы" атакующего, т.е. определить IP-адреса с которых осуществлялось информационное воздействие. Таким образом, выявление атак осуществляется методом контроля информационных потоков.