Подмена доверенного объекта или субъекта компьютерной сети

Подмена доверенного объекта компьютерной сети является активным воздействием, совершаемым с целью нарушения конфиденциальности и целостности информации при наступлении на атакуемом объекте определенного события. Данная удаленная атака может быть как внутрисегментной, так и межсегментной, иметь обратную связь с атакуемым объектом или не иметь ее. Она реализуется на канальном, сетевом и транспортном уровнях модели OSI.

Одна из основных проблем безопасности компьютерных сетей заключается в осуществлении однозначной идентификации сообщений, передаваемых между абонентами (субъектами и объектами) сети. Обычно в сетях эта проблема решается следующим образом: в процессе создания виртуального канала объекты обмениваются определенной информацией, уникально идентифицирующей данный канал. Такой обмен называется handshake (рукопожатие). Однако, для передачи служебных сообщений часто используются одиночные сообщения, не требующие подтверждения.

Как известно, для адресации сообщений в компьютерных сетях используется сетевой адрес, уникальный для каждого объекта системы. Сетевой адрес может использоваться для идентификации объектов КС, однако этот признак распознавания не должен быть единственным, так как он легко подделывается.

Если в КС применяются нестойкие алгоритмы идентификации удаленных объектов, то возможно типовое удаленное воздействие, реализация которого заключается в передаче по каналам связи сообщений от имени какого-либо абонента РВС. Существуют две разновидности такой атаки:

· атака при установленном виртуальном канале;

· атака без установленного виртуального канала.

В случае установленного виртуального соединения атака заключается в передаче пакетов обмена с узла злоумышленника на объект атаки от имени доверенного субъекта взаимодействия. В этом случае переданные сообщения будут восприняты системой как корректные. Для осуществления такой атаки необходимо преодолеть систему идентификации и аутентификации сети, которая может использовать контрольную сумму, вычисляемую с помощью открытого ключа, динамически выработанного при установлении канала; случайные многобитные счетчики пакетов; сетевые адреса станций и т.д. В протоколе TCP/IP для идентификации используются два 32-битных счетчика.

В компьютерных сетях служебные сообщения часто передаются в виде одиночных запросов, не требующих подтверждения, а, следовательно, создание виртуального соединения не является обязательным. Атака без создания виртуального соединения заключается в передаче служебных сообщений от имени сетевых управляющих устройств, например от имени маршрутизаторов. Посылка ложных управляющих сообщений может привести к серьезным нарушениям работы распределенной ВС, например, к изменению ее конфигурации. В этом случае для идентификации пакетов необходимо использовать заранее определенные статические ключи, что неудобно и требует сложной системы управления ключами.

Дата добавления: 2014-01-07; Просмотров: 1420; Нарушение авторских прав?; Мы поможем в написании вашей работы!