автореферат диссертации по информатике, вычислительной технике и управлению, 05.13.16, диссертация на тему:Разработка методов и средств анализа информационной безопасности и обнаружения воздействий в распределенных вычислительных системах

/У ../ Л Г» / * А .-п Г"

Д -г « и <-/ - О / 7 / Л ~ Л

V»/ # ' « V ^ / > VV

Санкт-Петербургский Государственный Технический Университет

На правах рукописи УДК

Медведовский Илья Давидович

РАЗРАБОТКА МЕТОДОВ И СРЕДСТВ АНАЛИЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ОБНАРУЖЕНИЯ ВОЗДЕЙСТВИЙ В РАСПРЕДЕЛЕННЫХ ВЫЧИСЛИТЕЛЬНЫХ

СИСТЕМАХ

Специальность: 05.13.16 Применение вычислительной техники, математического моделирования и математических методов в научных исследованиях

Д иссертация на соискание ученой степени кандидата технических наук Научный руководитель:

Доктор технических наук, профессор Зегжда П. Д.

Санкт-Петербург 1998

Оглавление.

Введение.................................................................................. 4

Глава 1. Проблема анализа безопасности распределенных вычислительных систем и постановка задачи работы.......................... 12

1.1. Нарушения безопасности вычислительных сетей.......................... 14

1.2. Исследование существующих подходов по систематизации угроз информационной безопасности распределенным ВС и предложение собственного подхода к систематизации угроз и анализу безопасности РВС........................................................................................ 19

1.2.1. Анализ существующих подходов по систематизации угроз информационной безопасности распределенным,ВС........................... 19

1.2.2. Предложение собственного подхода к систематизации угроз и анализу безопасности РВС............................................................ 20

1.3. Постановка задачи работы...................................................... 24

Глава 2. Систематизация угроз безопасности РВС и метод анализа безопасности РВС на основе модели типовых угроз безопасности......... 26

2.1. Анализ причин успеха воздействий из множества BIP 26

2.2. Классификация угроз безопасности, направленных на инфраструктуру и протоколы РВС.................................................. 27

2.3. Моделирование механизмов реализации типовых угроз безопасности РВС...................................................................... 36

2.3.1. Графовая модель взаимодействия объектов РВС в проекции на физический, канальный и сетевой уровни эталонной модели OSI........... 37

2.3.2. Моделирование механизмов реализации типовых угроз (из множества BIP) безопасности РВС на основе разработанной модели взаимодействия объектов РВС...................................................... 41

2.3.2.1. Анализ сетевого трафика................................................... 41

2.3.2.2. Подмена доверенного объекта или субъекта распределенной ВС. 43

2.3.2.3. Ложный объект распределенной ВС...................................... 47

2.3.2.4. Отказ в обслуживании..............................................................................................................61

Глава 3. Метод анализа безопасности РВС и его апробация на примере

сетевой ОС Novell NetWare и сети Internet................................................................................67

3.1. Метод анализа безопасности РВС..........................................................................................67

3.2. Применение метода анализа безопасности на примере сетевой ОС Novell NetWare 3.12........................................................................................................................................70

3.2.1. Исследование сетевого трафика сети Novell NetWare 3.12........................70

3.2.2. Ложный сервер сети Novell NetWare 3.12..................................................................71

3.2.3. Подмена рабочей станции в сети Novell NetWare 3.12..................................74

3.3. Применение метода анализа безопасности на примере сети Internet. 77

3.3.1. Анализ сетевого трафика сети Internet..........................................................................77

3.3.2. Ложный ARP - сервер в сети Internet..............................................................................78

3.3.3. Ложный DNS - сервер в сети Internet..............................................................................83

3.3.4. Навязывание хосту ложного маршрута с использованием протокола ICMP с целью создания в сети Internet ложного маршрутизатора..................................................................................................................................................88

3.3.5. Подмена одного из субъектов TCP - соединения в сети Internet .... 95

3.3.6. Нарушение работоспособности хоста в сети Internet, используя направленный "шторм" или "мини-шторм" ложных TCP - запросов на

создание соединения......................................................................................................................................102

Глава 4. Разработка автоматизированных средств анализа безопасности

и обнаружения атак в TCP/IP сетях..................................................................................................106

4.1. Автоматизированное средство анализа безопасности сети Internet.... 106

4.2. Автоматизированное средство обнаружения атак в сети Internet..............109

Заключение............................................................................................................................................................117

Литература..............................................................................................................119

Приложение 1 . Акт об использовании результатов диссертационной

работы........................................................................................................................................................................120

Введение.

На сегодняшний день не будет преувеличением сказать, что компьютерные или вычислительные сети занимают одно из важнейших мест в современном технократическом обществе. Вычислительные сети, как объединение компьютеров (хостов), зародились на заре эры компьютеров. Компьютерные сети использовались, в основном, как телекоммуникационные среды, позволяющие устанавливать связь друг с другом любым хостам в сети. Первоначально речь шла о небольших (локальных) сетях, объединяющих десятки хостов. Однако с течением времени технический прогресс не стоял на месте и общая тенденция в развитии сетевой инфраструктуры состояла в объединении и укрупнении сетей. По сути в семидесятых годах правительством США был взят общий курс на создание единой мировой глобальной сети. Параллельно с этим развивались различные сетевые архитектуры и протоколы. В 1967 году на симпозиуме ACM (Assotiation for Computer Machinery) был представлен план создания национальной сети с передачей пакетов. Вскоре после симпозиума Роберте (Lawrence G. Roberts) опубликовал план построения такой сети - ARPANET (Advanced Research Projects Agency NETwork) и уже в 1969 году министерство обороны утвердило ARPANET в качестве ведущей организации для исследований в области компьютерных сетей. Первым узлом новой сети стал UCLA - Центр испытаний сети, а вскоре к нему присоединились Станфордский исследовательский институт (SRI), UCSB - Culler-Fried Interactive Mathematics (университет Санта-Барбары) и университет Юта. С течением времени сеть ARPANET стремительно развивалась и в 1982 году DCA и ARPA установили в качестве основы построения сети Internet Protocol (IP) и Transmission Control

Protocol (TCP). Министерство обороны США 1 января 1983 года объявило TCP/IP своим стандартом. Было объявлено, что ARPANET закончила исследовательскую стадию, но продолжает оставаться под руководством DARPA и DCA. В 1984 году введена система DNS (Domain Name System). Общее число хостов в сети превысило 1 ООО. Работы по созданию сети CSNET усилились в 1986 году, когда началась программа создания центров суперкомпьютеров. В результате этого была создана сеть NSFNET с магистральной скоростью передачи данных - 56 Кбит/с. Сеть основывалась на 5 суперкомпьютерных центрах в Принстоне, Питсбурге, UCSD, NCSA и Корнельском университете. В 1990 году собственно ARPANET прекратила свое существование, ее функции продолжала NSFNET, которая постепенно переросла в Internet. Общее число хостов в сети превысило 100 ООО. В итоге к 1 января 1996 года сеть объединяла 9 472 ООО хостов.

В данной диссертационной работе рассмотрен системный подход к задаче анализа и контроля безопасности РВС, предложены методы ее решения и разработаны практические средства автоматизированного контроля и анализа безопасности РВС.

Вполне естественно, что при развитии сетей наряду с проблемами их функциональности на первый план стали выходить проблемы безопасности, которыми разработчики сетей принебрегли изначально. Сегодня, когда с использованием распределенных ВС (РВС) решаются всевозможные научные, технические и военные задачи, весь комплекс проблем безопасности глобальных вычислительных сетей выходят на первый план. Особое значение при этом придается задачам анализа безопасности и обнаружения воздействий в РВС и созданию автоматизированных средств обнаружения и анализа безопасности. Этим проблемам в последнее время посвящается все

больше научных работ таких ученых как М. Ранум, Ф. Кохен, Д. Ховард. Данная работа развивает результаты этих исследований применительно к задаче обнаружения уязвимостей сетевой инфраструктуры и протоколов РВС, представляющей из себя одно из направлений общей проблемы обеспечения информационной безопасности распределенных ВС. Исходя из всего вышесказанного, разработка и автоматизация методов анализа безопасности и обнаружения воздействий в РВС, составляют актуальную проблему, решение которой повышает защищенность РВС, а, следовательно, решение данной проблемы имеет большое научное и практическое значение.

Целью работы является повышение защищенности распределенных вычислительных систем путем разработки методов и средств автоматизированного анализа безопасности и обнаружения атак.

Для достижения поставленной цели в работе необходимо решить следующие задачи:

1. Анализ объектов нападения и причин успеха множества известных воздействий на различные РВС с целью определения объекта исследования путем выделения в отдельное множество угроз, направленных на инфраструктуру и протоколы РВС, и систематизации основных причин успеха воздействий из данного множества.

2. Создание классификации угроз, направленных на инфраструктуру и протоколы РВС, позволяющей описать специфичные признаки, свойственные угрозам из данного множества.

3. Систематизация угроз безопасности РВС, основанная на обобщении основных причин успеха воздействий из выделенного множества

4. Создание математической модели механизмов взаимодействия объектов РВС на различных уровнях эталонной модели OSI для использования ее при моделировании механизмов реализации угроз РВС.

5. Формализация задачи анализа безопасности РВС путем моделирования механизмов реализации типовых угроз безопасности РВС.

6. Разработка комплексной модели типовых угроз безопасности РВС, включающую в себя предложенную систематизацию типовых угроз безопасности РВС в совокупности с графовыми моделями механизмов их реализации.

7. Разработка метода анализа безопасности РВС, основанного на комплексной модели типовых угроз безопасности РВС.

8. Апробация предлагаемого метода анализа безопасности РВС на примере ОС Novell NetWare и TCP/IP сетей.

9. Разработка автоматизированных средств анализа безопасности и обнаружения воздействий для TCP/IP сетей.

Работа состоит из четырех глав. В первой главе рассматривается проблема анализа безопасности распределенных вычислительных систем, анализируются существующие подходы по систематизации угроз информационной безопасности распределенным ВС и предлагается собственный подход к систематизации угроз и анализу безопасности РВС, формулируется постановка задачи работы. В данной работе предлагается следующий подход к систематизации угроз безопасности распределенных ВС, когда из всего множества угроз РВС выделяется и впоследствии рассматривается и классифицируется только множество угроз, направленных на инфраструктуру и протоколы распределенной ВС, что позволяет обобщить

все угрозы из данного множества и ввести понятие типовой угрозы, присущей любой РВС. Предлагаемый подход к анализу и контролю безопасности РВС предполагает разработку математической модели взаимодействия объектов РВС и применение ее для моделирования механизмов реализации типовых угроз из рассматриваемого множества, что позволит систематизировать и, впоследствии, автоматизировать процесс анализа и контроля безопасности реальных РВС.

Во второй главе проанализированы причины успеха воздействий из множества BIP, предложена классификация угроз безопасности РВС из множества BIP. Также предложена математическая модель взаимодействия объектов РВС и с использованием данной модели будет осуществлено моделирование механизмов реализации типовых угроз безопасности РВС и построена модель типовых угроз безопасности РВС из множества BIP. Построенная модель позволила разработать метод анализа безопасности РВС и формализовать задачу анализа безопасности РВС.

В третьей главе предлагается метод анализа безопасности РВС и будет рассматривается его применение для анализа двух различных распределенных ВС. Подробное исследование механизмов реализации угроз в сети Internet является основой создания средств автоматизированного обнаружения атак и анализа безопасности Internet, принципы построения которых будут рассмотрены в 4 главе. Разработанный метод анализа безопасности РВС позволил выявить, описать и обобщить угрозы безопасности исследуемых сетевых систем.

В четвертой главе рассматриваются разработанные автором в автоматизированные средства анализа безопасности и обнаружения атак в сети Internet, созданные на языках программирования С и Assembler. Средство

анализа безопасности РВС предназначен для автоматизации процесса-испытаний сетевых систем, использующих семейство протоколов TCP/IP. Средство обнаружения атак предназначено для ведения в режиме реального времени постоянного динамического контроля безопасности сетевого сегмента, подключенного к сети Internet.

Основные положения, выносимые на защиту:

1 .Типовые объекты атаки и причины успеха удаленных воздействий на

РВС

2. Классификация угроз безопасности распределенных ВС

3. Систематизация типовых угроз безопасности распределенных ВС

4. Графовая модель механизмов взаимодействия объектов РВС на различных уровнях эталонной модели OSI.

5. Графовая модель механизмов реализации типовых угроз безопасности РВС на различных уровнях эталонной модели OSI.

6. Комплексная модель типовых угроз безопасности РВС

7. Метод анализа безопасности РВС.

8. Применение метода анализа безопасности РВС на примере ОС Novell NetWare и TCP/IP сетей.

9. Автоматизированные средства анализа безопасности и обнаружения воздействий в сетях TCP/IP.

Научная новизна диссертационной работы состоит в следующем:

1. Впервые выделены в отдельное множество угрозы, направленные на инфраструктуру и протоколы РВС, и разработана систематизация основных причин успеха воздействий из данного множества.

2. Впервые предложена классификация угроз, направленных на инфраструктуру и протоколы РВС, позволяющая описать специфичные признаки, свойственные угрозам из данного множества

3. Впервые разработана систематизация угроз безопасности распределенных ВС, основанная на обобщении основных причин успеха воздействий из выделенного множества

4. Разработана математическая модель, описывающая механизмы взаимодействия объектов РВС на различных уровнях эталонной модели OSI.

5. Впервые разработана математическая модель механизмов реализации типовых угроз безопасности РВС на различных уровнях эталонной модели OSI.

6. Впервые разработана комплексная модель типовых угроз безопасности РВС, позволяющая формализовать задачу анализа безопасности РВС.

7. Впервые предложен метод анализа безопасности РВС, основанный на разработанной комплексной модели типовых угроз безопасности РВС.

Практическая ценность работы определяется возможностью использования предложенных в ней методов и полученных результатов для осуществления анализа и контроля безопасности РВС. К таким результатам относятся:

1. Применение разработанного метода анализа безопасности РВС на примере сетевой ОС Novell NetWare и сетей TCP/IP.

2. Применение разработанного метода анализа безопасности РВС для оценки безопасности сетей Санкт-Петербургского филиала Центробанка и провайдервского узла спецсвязи с Internet.

3. Разработка и программная реализация автоматизированного средства анализа безопасности ТСРЯР сетей.

4. Разработка и программная реализация автоматизированного средства обнаружения воздействий в сетях TCP/IP.

5. Дополнения к стандарту «Требования к устройствам типа межсетевые экраны» Федерального Агентства Правительственной Связи и Информации при Президенте РФ.

6. Разработка и реализация двух комплексов лабораторных работ для курсов по специальности 22.06.00 - "Организация и технология защиты информации".

Основные результаты диссертационной работы использованы при выполнении научно-исследовательских работ, проводимых в Центре защиты информации и на кафедре "Информационной безопасности компьютерных систем" СПбГТУ.

Содержащиеся в работе методические материалы, а также разработанные программные средства используются в учебном процессе на кафедре "Информационная безопасность компьютерных систем" Санкт-Петербургского государственного технического университета в лекциях и практических занятиях по ряду дисциплин для студентов специальности 22.06.00 — "Организация и технология защиты информации", а также в курсовых и дипломных работах.

Глава 1. Проблема анализа безопасности распределенных вычислительных систем и постановка задачи работы

На сегодняшний день не будет преувеличением сказать, что компьютерные или вычислительные сети занимают одно из важнейших мест в современном технократ