Ложный объект распределенной ВС

Если в распределенной ВС не решены проблемы идентификации сетевых управляющих устройств (например, маршрутизаторов), возникающие при взаимодействии этих устройств с объектами системы, то подобная РВС может подвергнуться типовой удаленной атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. Внедрить такой объект можно и в том случае, если инфраструктура предусматривает использование алгоритмов удаленного поиска. Итак, существуют две принципиально разные причины, обусловливающие появление типовой угрозы «ложный объект РВС»:

• внедрение в распределенную ВС ложного объекта путем навязывания ложного маршрута;

• внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска.

Современные глобальные сети представляют собой совокупность сегментов, связанных между собой через сетевые узлы. При этом под маршрутом понимается последовательность узлов сети, по которой данные передаются от источника к приемнику, а под маршрутизацией – выбор маршрута. Все роутеры (маршрутизаторы) имеют специальную таблицу, называемую таблицей маршрутизации, в которой для каждого адресата указывается оптимальная последовательность узлов. Отметим, что такие таблицы существуют не только у маршрутизаторов, но и у любых хостов в глобальной сети. Для обеспечения эффективной маршрутизации в распределенных ВС применяются специальные управляющие протоколы, позволяющие роутерам обмениваться информацией друг с другом, – RIP (Routing Internet Protocol), OSPF (Open Shortest Path First); уведомлять хосты о новом маршруте, – ICMP (Internet Control Message Protocol); удаленно управлять маршрутизаторами, – SNMP (Simple Network Management Protocol). Все эти протоколы позволяют удаленно изменять маршрутизацию в Internet, то есть являются протоколами управления сетью.

Очевидно, что маршрутизация в глобальных сетях играет важнейшую роль и, как следствие этого, может подвергаться атаке. Основная цель атаки, связанной с навязыванием ложного маршрута, – изменить исходную маршрутизацию на объекте распределенной ВС так, чтобы новый маршрут проходил через ложный объект – хост атакующего.

Реализация типовой угрозы «внедрение в РВС ложного объекта путем навязывания ложного маршрута» состоит в несанкционированном использовании протоколов управления сетью для изменения исходных таблиц маршрутизации, для чего атакующему необходимо послать по сети специальные служебные сообщения, определенные данными протоколами, от имени сетевых управляющих устройств (роутеров). В результате успешного изменения маршрута атакующий получит полный контроль над потоком информации, которой обмениваются два объекта распределенной ВС, и атака перейдет во вторую стадию, связанную с приемом, анализом и передачей сообщений, получаемых от дезинформированных объектов РВС. Методы воздействия на перехваченную информацию рассмотрены далее.

Навязывание объекту РВС ложного маршрута – активное воздействие (класс 1.2), совершаемое с любой из целей класса 2, безусловно по отношению к атакуемому объекту (класс 3.3). Данное типовое воздействие может осуществляться как внутри одного сегмента (класс 5.1), так и межсегментно (класс 5.2); как с обратной связью (класс 4.1), так и без обратной связи с атакуемым объектом (класс 4.2) на канальном (класс 6.2), сетевом (класс 6.3) и транспортном (класс 6.4) уровнях модели OSI.

Для моделирования реализации данной угрозы воспользуемся разработанной моделью взаимодействия объектов РВС в проекции на канальный и сетевой уровни модели OSI.

На рис. 3.7 показана модель взаимодействия объектов РВС при реализации данной угрозы в проекции на канальный и сетевой уровни. Поясним ее ниже.

Рис. 3.7. Графовая модель взаимодействия объектов РВС при реализации типовой угрозы «внедрение в РВС ложного объекта путем навязывания ложного маршрута» в проекции на канальный и сетевой уровни модели OSI

Пусть объект X₂ взаимодействует с объектом X_M. На графе это взаимодействие на сетевом уровне показано двунаправленным ребром ls_2M, которое располагается между вершинами X₂ и X_M. Соответственно на канальном уровне путь между объектами X₂ и X_M проходит через вершиныG_M+1 … G_N.

Пусть с объекта X₁ осуществляется реализация данной угрозы, то есть объект X₁ передает на X₂ сетевое управляющее сообщение от имени роутера – объекта G_M+1 (ребро ls_M+12), где объявляет себя роутером G_M+1.

Тогда далее граф взаимодействия объектов РВС изменяется следующим образом: исчезает линия связи канального уровня ks_2M+1, соединяющая объекты X₂ и G_M+1, и появляется линия связи ks_2M+1, которая теперь соединяет объекты X₂ и X₁ (объект X₁ воспринимается объектом X₂ как роутер G_M+1). Соответственно на канальном уровне путь между X₂ и X_M проходит теперь через вершины X₁, G_M+1 … G_N.

Таким образом, после реализации типовой угрозы «внедрение в РВС ложного объекта путем навязывания ложного маршрута» изменяется путь на канальном уровне на графе между объектами X₂ и X_M добавлением нового транзитного (ложного) объекта X₁.

Рассмотрим теперь внедрение в распределенную ВС ложного объекта путем использования недостатков алгоритмов удаленного поиска.

Объекты РВС обычно имеют не всю необходимую для адресации сообщений информацию, под которой понимаются аппаратные (адрес сетевого адаптера) и логические адреса (например, IP‑адрес) объектов РВС. Для получения подобной информации в распределенных ВС используются различные алгоритмы удаленного поиска (название авторское, и на сегодняшний день оно еще не является общеупотребительным), заключающиеся в передаче по сети специального вида поисковых запросов и в ожидании ответов на них. Полученных таким образом сведений об искомом объекте запросившему субъекту РВС достаточно для последующей адресации к нему. Примером сообщений, на которых базируются алгоритмы удаленного поиска, могут служить SAP‑запрос в ОС Novell NetWare [11], а также ARP– и DNS‑запросы в Internet.

Существуют два типа поисковых запросов: широковещательный и направленный. Широковещательный поисковый запрос получают все объекты в Сети, но только искомый объект отсылает в ответ нужную информацию. Поэтому, чтобы избежать перегрузки Сети, подобный механизм запросов используется обычно внутри одного сетевого сегмента, если не хватает информации для адресации на канальном уровне OSI. Направленный поисковый запрос передается на один (или несколько) специально выделенный для обработки подобных запросов сетевой объект (например, DNS‑сервер) и применяется при межсегментном поиске в том случае, когда не хватает информации для адресации на сетевом уровне OSI.

При использовании распределенной ВС механизмов удаленного поиска реализация данной типовой угрозы состоит в перехвате поискового запроса и передаче в ответ на него ложного сообщения, где указываются данные, использование которых приведет к адресации на атакующий ложный объект. Таким образом, в дальнейшем весь поток информации между субъектом и объектом взаимодействия будет проходить через ложный объект РВС.

Другой вариант реализации данной угрозы состоит в периодической передаче на атакуемый объект заранее подготовленного ложного ответа без приема поискового запроса. Действительно, для того чтобы послать ложный ответ, кракеру не всегда нужно дожидаться приема запроса. Взломщик может спровоцировать атакуемый объект на передачу поискового сообщения, обеспечив тем самым успех своему ложному ответу. Данная типовая удаленная атака характерна для глобальных сетей, когда атакующий и его цель находятся в разных сегментах и возможности перехватить поисковый запрос не существует.

Ложный объект РВС – активное воздействие (класс 1.2), совершаемое с целью нарушения конфиденциальности (класс 2.1) и целостности информации (класс 2.2), которое может являться атакой по запросу от атакуемого объекта (класс 3.1), а также безусловной атакой (класс 3.3). Данное удаленное воздействие является как внутрисегментным (класс 5.1), так и межсегментным (класс 5.2), имеет обратную связь с атакуемым объектом (класс 4.1) и осуществляется на канальном (класс 6.2), сетевом (класс 6.3) и транспортном (класс 6.4) уровнях модели OSI.

Рассмотрим далее модель реализации типовой угрозы при использовании в РВС широковещательного поискового запроса в проекции на канальный и сетевой уровни модели OSI (рис. 3.8).

Рис. 3.8. Графовая модель взаимодействия объектов РВС при реализации типовой угрозы «внедрение в РВС ложного объекта путем использования недостатков алгоритмов удаленного поиска» (с использованием широковещательных поисковых запросов) в проекции на канальный и сетевой уровни модели OSI

Пусть объекту X₂ нужна информация для адресации к объекту X_k на канальном уровне (объект X_k находится в том же сегменте, что и объект X₂). Для получения необходимой информации об объекте X_k объект X₂ использует алгоритм удаленного поиска, реализованный с помощью широковещательного запроса (Zsh_2k). Тогда объект X₂ передает данный запрос всем объектам в своем сетевом сегменте. Пусть объект X₁, перехватив данный запрос, выдает себя за искомый объект X_k. Тогда от имени объекта X_k он передает на объект X₂ ложный ответ LO_k2. При этом объект X_k также получит поисковый запрос и тоже ответит объекту X₂ (O_k2). В случае если объектом X₂ будет воспринят ложный ответ LO_k2, то граф взаимодействия объектов РВС будет изменен следующим образом (условия, при которых объект X₂ отдаст предпочтение ложному, а не настоящему ответу, для каждой конкретной системы разные: либо ложный ответ должен прийти раньше настоящего, либо чуть позже): объект X₂ будет считать X₁ объектом X_k, и на графе появится линия связи канального уровня ks_k2, соединяющая объекты X₁ и X₂. Объект X₁ может быть связан с объектом X_k как линией связи канального уровня ks_1k, так и линией связи ks_2k (в том случае, если он хочет остаться «прозрачным» и будет при взаимодействии с объектом X_k выдавать себя за объект X₂).

Таким образом, после реализации данной типовой угрозы изменяется путь на канальном уровне на графе между объектами X₂ и X_k добавлением нового транзитного (ложного) объекта X₁.

Далее рассмотрим модель реализации типовой угрозы в проекции на канальный и сетевой уровни модели OSI в случае использования в РВС направленного поискового запроса (рис. 3.9).

Рис. 3.9. Графовая модель взаимодействия объектов РВС при реализации угрозы «внедрение в РВС ложного объекта путем использования недостатков алгоритмов удаленного поиска» (с использованием направленных запросов) в проекции на канальный и сетевой уровни модели OSI

Пусть объекты X₁, X_k, X_M‑k, X_M находятся в разных сегментах (k < M). Пусть объект X_k обращается к X_M при помощи направленного поискового запроса Zn_{kM M‑k}, чтобы получить недостающую для адресации информацию об объекте X_M‑k. Объект X_M, приняв запрос от X_k, отсылает на него ответ O_{MK M‑K}. В свою очередь атакующий с объекта X₁ также передает на X_k от имени X_M ложный ответ LO_{MK M‑K}. В случае если объектом X_k будет воспринят ложный ответ LO_{MK M‑K}, то граф взаимодействия объектов РВС изменится следующим образом: X_k будет считать объект X₁ объектом X_M‑k, и на графе появится линия связи сетевого уровня ls_M‑kk, соединяющая объекты X₁ и X_k. Объект X1 может быть соединен с объектом X_M‑k как линией связи сетевого уровня ls_1M‑k, так и линией связи ls_kM‑k (в том случае, если он хочет остаться «прозрачным» и будет при взаимодействии с объектом X_M‑k выдавать себя за объект X_k).

Таким образом, после реализации данной типовой угрозы изменяется путь на сетевом уровне на графе между объектами X_k и X_M‑k добавлением нового транзитного (ложного) объекта X₁.