Оценка уровня информационной безопасности компьютерной сети при сетевой атаке типа "DNS spoofing"
Ключевые слова:
уровень информационной безопасности, Л-функция, В-полином, DNS spoofing.
Для общих логической и вероятностной Моделей оценки уровня защищённости объекта защиты информационной системы получены соответствующие аналитические выражения весов и функций чувствительности по различным факторам (функциям защиты). Исследована зависимость оценки уровня защищенности объектов сети от изменения конфигурации механизмов защиты сети. Рассмотрена типовая сетевая атака типа "DNS spooling", которая использует технологию отправки фальшивых ответов на DNS-запросы пользователей корпоративной сети. На примере типовой компьютерной сети, применяя формализм функций чувствительности, получены оценки риска объекта сети при проведении против него сетевой атаки типа "DNS spooling". На основе проведенных исследований сделаны выводы о необходимости дальнейших исследований в направлении парциального влияний функций защиты на вероятностный полином модели оценки уровня защищенности объектов информационной сети. Опираясь на результаты численного значения вероятности неуспеха объекта риска сети, при проведении сетевой атаки "DNS spooling", отражены практические рекомендации по конфитурации системы защиты сети от данной атаки и повышению уровня информационной безопасности в целом.
Назаров А.Н.,
д.т.н, ОАО "Интеллект Телеком"
Туреев С.В.,
Академия ФСБ России
Введение
Одним из важнейших направлений научнотехнического прогресса в настоящее время являются ин-фокоммуникационные системы, представляющие собой сети передачи и хранения информации. Особую актуальность для ИКС представляют методически-законченные интегральные оценки уровня информационной безопасности. Так как ИКС, равно как и любые другие сложные системы, подвержены воздействию множества различных дестабилизирующих факторов (ДФ>, то вопросы практической оценки защищённости существующих и проектируемых ИКС встают достаточно остро,
Риск некоторого объекта У, принадлежащего ИКС и подвергающегося атаке со стороны нарушителя, состоит из двух компонент [1,2]: вероятности неуспеха противодействия атаке в отношении объекта У (далее - неуспех объекта К) или вероятности проведения успешной атаки и оценки (например, финансовой, материальной, временной на устранение ущерба и др.) масштаба последствий (ущерб) успешной атаки. Объект риска считается достаточно защищенными, если е учЕтом возможности потенциального преодоления преград вероятность успешной атаки (вероятность риска, вероятность неуспеха объекта риска) Р’ - (] - Р’ ) меньше допустимого значе-
условие достижимо-
||ИЯ РІДОП • т-е- РзГ â 1
ста, где Р' — вероятность успешного противостояния атаке (защищённость, вероятность успеха объекта риска) объектом риска.
Для произвольного объекта риска У из ИКС [11 существует полная система (перечень) функций защиты или признаков, каждую из которых обозначим бинарной логической переменной X с соответствующим нижним индексом:
X| - предупреждение возникновения условий, благоприятствующих порождению (возникновению) ДФ;
X- предупреждение непосредственного проявления ДФ;
Хъ - обнаружение проявившихся ДФ;
ХА - предупреждение воздействия на объект риска проявившихся и обнаруженных ДФ;
X' — предупреждение воздействия па объект риска проявившихся, но необнаруженных ДФ;
Х(} - обнаружение воздействия ДФ на объект риска;
Х7 - локализация (ограничение) обнаруженного воздействия ДФ на объект риска;
Xt - локализация необнаруженного воздействия ДФ на объект риска;
А',, — ликвидация последствий локализованного обнаруженного воздействия ДФ на объект риска;
Хю - ликвидация последствий локализованного необнаруженною воздействия ДФ на объект риска.
Результат выполнения каждой из функций защиты или её исход является случайным событием и может принимать два значения — успех или неуспех, Следуя логике []], положим, что бинарная логическая переменная Xj,j = 1 -?• 7?, И = ]0 равна i с вероятностью Р., если выполнение у-й функции защиты привело к неуспеху объекта риска, и равна 0 с вероятностью Q =\ — р в
противном случае. Преграды, создаваемые для противодействия негативным воздействиям ДФ на объект риска, выполняют определённые функции защиты, препятствующие осуществлению атаки на объект риска со стороны злоумышленника, При этом одна преграда может выполнять последовательно несколько функций защиты. Преграда может выполнять функцию защиты по отношению к разным объектам риска.
В общем виде логическая функция (Л-функция) неуспеха объекта риска [ 1 ] записывается как У - ¥\Х},...,ХП), а вероятностная функция (В-функция, В-нолином) неус-
пеха-/<У=уХ),..!(Х„)=^>..,Р„)=РУ.
Вывод Л-функции
(1)
Г = Х#Жх, V Х,Х! Ю±Х, V V х,х2[х,х, V х,х,}х6х,х10 V х,хЖх, V Х,Х,ЩХ7 V
V Х,ХгрГ3Х, V х,х,)х,х,
для общего случая приводится в [I
На основе (1), применяя рекомендации [ 1,3,4] получим выражение для В-полинома
РГ = РГ{Р, ,РЪ.. ,,^0)= Л^[(] - Р3 )Ра + Р& ]х (2)
Формула (2) позволяет получить численное значение вероятности незащищённости (неуспеха) объекта риска У при проведении в отношении него атаки злоумышленником.
В работе [5] Копорулипым Ю.А, предложена классификация значений вероятности незащищённости по различным категориям, что отражено в следующей табл. 1.
Таблица
Категории риска
Категория риска Значение вероятности незащищённости PY объекта риска
Незначительные риски PY <0,300
Существенные риски 0,301 <РУ< 0,599
Критические риски 0,600 < PY < 0,999
Анализируя табл. 1 и выражения (1),(2) можно сделать вывод о необходимости дальнейших исследований, в направлении оценивания парциального влияния (важности, значимости) функций защиты jf j = і +Лі п = і о
на Л-функцию (1) и связанных с ними значений вероятностей Р и Q на В-полином (2) объекта риска У соответственно.
Практический пример оценки защищённости объекта риска
Рассчитаем на практике численное значение вероятности незащищённости DNS-сервера одного из сегментов корпоративной сети, выступающего в качестве объекта риска, при проведении в отношении него атаки типа DNS Spoofing, направленной на внесение навязываемого соответствия между IP-адресом и доменным именем в кэш DNS сервера. Упрощённая схема сети представлена на риє. I.
Рис. 1. Схема сегмента компью терной сети
Система DNS (Domain Name System) преобразует доменное имя (например, www.test.com) в его IP-адрес (например, 192,168.0.1) и наоборот. Атака DNS Spoofing использует технологию отправки фальшивых ответов па DNS-запросы жертвы и основывается на двух основных методах.
Заголовок пакета DNS-протокола содержит идентификационное поле для соответствия запросов и ответов. Целью подмены DNS ID является посылка своего ответа на DNS-запрос до того, как ответит настоящий DNS-сервер. Для выполнения этого, нужно спрогнозировать идентификатор запроса. Локально это реализуется простым прослушиванием сетевого трафика. Однако, удаленно выполнить эту задачу гораздо сложнее. Существует несколько методов для решения данной задачи;
• проверка всех доступных значений идентификационного поля. Этот метод не практичный, поскольку общее количество возможных значений составляет 65535 (размер поля 16 бит);
• посылка нескольких сотен DNS-запросов в правильном порядке. Очевидно, что этот метод не очень надежен;
• нахождение сервера, генерирующего прогнозируемые идентификаторы (например, увеличивающиеся на 1).
В любом случае, необходимо ответить до настоящего DNS-сервера. Этого можно достичь, например, выполнив против сервера атаку типа "отказ в обслуживании".
Для проведения успешной атаки, злоумышленник должен контролировать DNS-сервер (DNS 1,1), авторитетный для зоны “Office-1”, Целевой DNS-сервер (DNS2.1) предположительно генерирует прогнозируемые идентификационные номера (увеличивающиеся на I при каждом запросе). Атака осуществляется в четыре этапа:
1. Атакующий шлет DNS-запрос от имени Host 1.1 к DNS-серверу DNS2.1 как показано на рисунке;
2. Целевой DNS-сервер (DNS2.1) перенаправляет запрос к серверу DNS 1.1;
3. Злоумышленник прослушивает запросы на предмет получения идентификаторов (в нашем примере ID равен 10);
4. Злоумышленник фальсифицирует 1Р-адрес машины-жертвы, в нашем примере это Hostl.I, адрес которой должен быть 192,168.0.1, Злоумышленник посылает DNS-запрос на разрешение имени Hostl.I серверу DNS2.I. И сразу же шлет группу фальсифицированных DNS-ответов (передавая в качестве IP-адреса, один из своих адресов - 10.0.0.1) на свой же запрос с подмененным IP-адресом источника на адрес DNS-сервера DNS1.I. В каждом ответе ID увеличивается па 1 по сравнению с идентификатором, полученным во время второго этапа атаки (ID = 10) для увеличения вероятности нахождения правильного номера ID. Сервер DNS2.1 мог ответить на запросы других клиентов и, соответственно, увеличить свой DNS ID.
В результате, кэш целевого DNS-сервера будет содержать соответствие, необходимое злоумышленнику и следующим клиентам, запрашивающим адрес Hostl.I, будет сообщен адрес машины злоумышленника. На ней может быть размещена копня настоящего ресурса, с помощью которого злоумышленник может получить доступ к конфиденциальной информации.
Единое типовое конфигурирование серверов всех сегментов сети можно отнести к предупреждению ноз-
никновения условий, благоприятствующих порождению ДФ, то есть Xr D нашем примере корпоративная сеть состоит из трех удаленных сегментов, после проверки всех DNS серверов, выявлено, что один сервер имеет отклонения от типовой конфигурации. Таким образом, вероятность неуспеха предупреждения возникновения условий благоприятствующих порождению ДФ будет равна
Pt =—. В данной компании не предусмотрено никаких
действий направленных на предупреждение проявления ДФ, следовательно, вероятность неуспеха данной функции равна единице, т.е. Р, = 1 . Обнаружение проявившихся ДФ, возможно уже лишь через воздействие ДФ на сам объект риска, следовательно Р. - 1. Мероприятия по
предупреждению воздействий на объект риска проявившихся и обнаруженных или проявившихся и не обнаруженные ДФ не проводятся, значит, вероятности неуспеха данных функций равны единице, Р4 — Р^ — 1. В компании предусмотрена система мониторинга каналов связи между сегментами сети в автоматическом режиме, исходя из этого вероятность неуспеха обнаружения воздействия ДФ на объект риска будет равна нулю />=0.11ри
условии, что на подменяемом сервере (Hostl.I), развернуто несколько пользовательских информационных систем, а злоумышленник создал копию только одной из них на своем ресурсе, то происходит локализация обнаруженного и необнаруженного воздействия на объект риска. Полагая, что в атакуемом сервере (Host 1.1) находится 5 информационных ресурсов, то при успешном проведении злоумышленником атаки DNS Spoofing, и создании им копии одного из ресурсов на своем сервере, то
Р, = Рх = —. Так как возникновение ДФ гарантированно
приводит к неуспеху объекта риска, то Р^ = Р]а — 1. Подставляя полученные значения в формулу (2) получим численное значение вероятности неуспеха объекта риска при проведении в отношении него атаки DNS Spooling злоумышленником, PY = 0,33.
Согласно градациям Копорупина Ю.А. из табл. 1, данная вероятность неуспеха защищаемого объекта относится к диапазону существенных рисков.
Предположим, что в рассматриваемую корпоративную сети мы добавляем систему обнаружения вторжений, которая, ігри условии корректной настройки, может
быстро обнаруживать большинство форм подделки DNS. Согласно статистическим данным эта система позволяет в среднем обнаружить 4 из 5 атаки тина DNS Spoofing. Таким образом, вероятность неуспеха функции по предупреждению непосредственного проявления ДФ будет
равна Р, = —. И соответственно численное значение вероятности неуспеха объекта риска теперь будет равно PY ~ 0,06. И теперь, согласно используемой градации, вероятность неуспеха защищаемого объекта относится к диапазону незначительных рисков.
В качестве рекомендаций по повышению уровня устойчивости и соответственно повышению уровня информационной безопасности компьютерной сечи к атаке DNS Spoofing являются следующие меры:
• Анализ содержимого DNS трафика для вьявления данной атаки
• Системы обнаружения вторжений
• Использование протокола DNSSEC.
Таким образом, мы видим что использование, к примеру, системы обнаружения вторжений на сети позволяет значительно снизить вероятность успешного проведения сетевой атаки DNS Spoofing на данную сеть. Дальнейшее исследование полученных вероятностей и анализ парциального влияния каждой из 10 функций защиты показывает, что для улучшения полученной оценки вероятности неуспеха объекта защиты необходимо в первую очередь позаботиться о предупреждении возникновения условий, благоприятствующих порождению ДФ и непосредственного проявления ДФ.
Литература
1. Назаров АН. Оценка уровня информационной безопасности современных инфокоммуникационньйс сетей на основе логико-вероятностного подхода // АиТ, 2007. №7. — С. 52-63.
2. Денисова Т.Б. Надёжность и безопасность услуги VPN// Электросвязь, 2005. № 9. - С. 20-22.
3. Ryabinm I.A. Reliability of Engineering Systems. Principles and Analysis. M.: Mir, 1976.
4. Рябинам И.А. Надёжность и безопасность структурносложных систем. - СПб.: Изд-во С.-Петерб. Ун-та, 2007. - 276 с.
5. Копорулин Ю.А. Подход к количественной оценке безопасности сетей электросвязи, входящих в ССОП // Доклад на 6й международной конференцнн «Безопасность и доверие при использовании инфокоммуннкацнонных сетей и систем». 5-6 апреля 2007 г. — 4 с.
Estimation of information security level of a typical corporate network under "DNS spoofing" attack
A.Nazarov, S.Tureev
Abstract
For the general logic and probable estimation models of an object of risk of information system the corresponding analytical expressions of scales and sensitivity functions under various factors (security functions) are received. Found out the dependency of level of network security objects' evaluation from the reconfiguration of network's security system. Network attack "DNS spoofing" which uses the technology of sending phony answers to the corporate user's DNS requests is described. Research-based conclusions are made about the need for further research in the direction of the partial effects of the security functions on probable functions of the model for evaluation the level of security of computer network objects. Based on the results of the numerical values of the failure probability of the risk object of the network under a network attack "DNS spoofing", practical recommendations for better configuration of the network against attacks and for increasing of the level of information security in general are reflected.
Keywords: information security level, L-function, the P-polynom, DNS spooling.