УДК 629.391
В.В. БАРАННИК, С.А. ПОДЛЕСНЫЙ АНАЛИЗ ДЕЙСТВИЯ КИБЕРАТАК НА
ВИДЕОИНФОРМАЦИОННЫЙ РЕСУРС В ИНФОРМАЦИОННО-ТЕЛЕКОММУНИКАЦИОННЫХ СЕТЯХ
Анализируются современные угрозы в информационно-телекоммуникационных системах. Обосновывается актуальность защиты видеоинформационного ресурса. Описывается проявление атаки типа "распределенные атаки на отказ" при воздействии на видеоинформационный ресурс. Рассматриваются существующие методы борьбы с атаками типа "DDoS-атака". Предлагается разработка нового метода повышения устойчивости видеоинформационного ресурса относительно действий кибератак в информационно-телекоммуникационных сетях.
Введение
Стремительное развитие информационных технологий дало возможность широкому распространению передачи мультимедийных данных по информационно-телекоммукаци-онным сетям. Применение мультимедиа для передачи данных позволяет увеличить качество восприятия информации и человек уделяет наибольшее внимание визуальной информации. В настоящее время передача мультимедийных файлов в одном направлении используется в системах видеомониторинга, а двухнаправленная передача применяется в системах видеоконференцсвязи. На сегодняшний момент данные системы очень широко применяются в государственных ведомственных структурах для повышения качества управления по соответствующим направления деятельности. Сфера использования передачи видеоданных в современной обстановке на территории нашего государства расширилась из-за применения беспилотных летательных аппаратов для осуществления наблюдения в режиме реального времени в условиях ведения боевых действий.
Цель данной работы - проанализировать существующие методы кибернетических атак на видеоинформационный ресурс и действующие на данный момент способы кибернетической защиты от перечисленных угроз.
Актуальность исследования связана с тем фактом, что из-за важности передаваемой информации видеоинформационный ресурс может подвергаться кибератакам, поэтому необходимо проанализировать существующие методы проведения кибератак и киберзащи-ты от данных угроз для повышения информационной безопасности видеоинформационного ресурса государства.
1. Описание существующих угроз
На данный момент существует несколько способов [1] разделения атак в соответствии со следующими характеристиками: достигаемая цель, объект атаки, используемая уязвимость, сложность, способ, место и уровень реализации. Разделение атак по типам наглядно представлено на рис.1.
Один из примеров реализации атаки приведен на рис. 2.
Для централизованного взаимодействия по обеспечению киберзащиты информационно-телекоммуникационных систем во всем мире создаются специализированные организации типа CERT (Computer Emergency Response Team of Ukraine - команда реагирования на компьютерные чрезвычайные события).
В 2007 году было создано специализированное структурное подразделение Государственного центра защиты информационно-телекоммуникационных систем (ГЦЗ ИТС) Государственной службы специальной связи и защиты информации Украины (Госспецсвязи) CERT-UA. Основная цель CERT-UA - обеспечить защиту государственных информационных ресурсов и информационных и телекоммуникационных систем от несанкционированного доступа, неправомерного использования, а также нарушений их конфиденциальности, целостности и доступности. Вместе с тем, принимая во внимание трансграничность кибе-
ругроз, сфера деятельности CERT-UA включает, в том числе, меры, направленные на ликвидацию инцидентов информационной безопасности, возникающие в информационном киберпространстве украинского сегмента сети Интернет.
По достигаемой цели
Вывод со строя оборудования и служб, ограничение доступа легальных пользователей к службам
Ч Хулиганство
По способу реализации |
Пассивные Активные
По сложности
Простые
Комплексные I
По уровню реализации (OSI)
-| Физический -| Канальный -| Транспортный Ч Приложений
По объекту атаки
-| Аппаратная платформа
Ознакомление с информацией_
Уничтожение, подмена информации
-| Коммуникационное оборудование -| Оборудование общего пользования (серверное) Ч Клиентское оборудование
~| Программная платформа'
-| Коммуникационное оборудование | -| Оборудование общего пользования (серверное) Ч Клиентское оборудование Ч Канала! передачи данный
По используемым уязвимостям
-| Уязвимость технологии-
-\ Уязвимость реализации-
-| Ошибки конфигурации и эксплуатации -| Человеческий фактор
По месту реализации
' -| Внутренние |
^ Ч Внешние |
Рис. 1. Разделение атак в соответствии с характеристиками
В 2014 году приняты меры по реагированию на 216 компьютерных инцидентов [2]. Статистика по типам угроз и секторам возникновения приведена в табл. 1, 2. Отметим, что данные приводятся в отношении тех инцидентов, по поводу которых CERT-UA было сообщено в установленном порядке.
Как видно из указанных таблиц, наиболее распространенными видами кибератак (43 для украинского государственного сектора, 2 для украинского коммерческого сектора, 3 для зарубежного государственного сектора, 3 для зарубежного коммерческого сектора) являются атаки типа DDoS-атака. Это связано прежде всего с легкостью реализации данного типа атаки.
Таблица 1
Количественное соотношение угроз
Типы угроз Количество Доля %
DDoS 51 24
Несанкционированный доступ 39 18
Фишинг 30 14
Malware 25 12
Advanced Persistent Threat (APT) 25 12
Другое 46 21
Итого 216 100
Таблица 2 Сектора возникновения
Типы угроз Принадлежность сектора
UAGOV UACOM FGOV FCOM UACTZ
DDoS 43 2 3 3 0
Несанкционированный доступ 33 3 3 0 0
Фишинг 0 6 1 23 0
Malwaie 7 10 0 1 7
Advanced Persistent Threat (APT) 21 3 1 0 0
Бот-сети 5 6 2 2 1
Уязвимости 13 1 1 0 2
Мошенничество 2 6 0 0 0
Утечка информации 0 3 0 0 0
Другое 0 2 0 0 0
Итого 124 42 11 29 10
2. Суть атак типа DDoS-атака
Атаки на отказ заключаются в блокировании доступа пользователей к сервису, что предоставляется целевым объектом [3]. Данная атака может быть произведена двумя способами. Первый способ возможен при наличии уязвимостей программного обеспечения, установленного на клиенте объекта атаки, позволяет обрушить систему путем пересылки вредных пакетов. Второй способ предполагает использование больших объемов бессмысленного трафика для загрузки ресурсов системы, которые необходимы для обработки запросов легитимных пользователей.
И если от первого способа атаки можно защититься, устраняя уязвимости путем обновления программного обеспечения, то предупредить атаку второго типа уже не так просто. Если трафик атаки на отказ направляется из многих источников, то такие атаки называются распределенными атаками на отказ. При использовании многих источников сила атаки усиливается, и проблема защиты от нее осложняется еще больше. Еще один негативный фактор заключается в применении эффекта отражения трафика, что еще больше усложняет идентификацию источников атаки.
Кроме того, последние тенденции указывают на появление новых типов атак - скрытых. В этом случае подконтрольные атакующему компьютеры получают доступ к целевому сервису на вполне законных основаниях (например, посещают веб-сайт компании) и загружают канал ресурсоемкими операциями (ухудшение качества) или в определенный момент «взрываются» бессодержательным трафиком. Это ставит перед системами защиты новые нетривиальные задачи выявления и противодействия.
Описание и проявление атаки типа "распределенные атаки на отказ" схематически показаны на рис. 3.
3. Методы борьбы с атаками типа DDoS-атака
Для борьбы с атаками типа DDoS могут применяться системы обнаружения и предупреждения вторжений, управляемые коммутаторы со списками контроля доступа и резервирование линий связи между отдельными узлами.
Применение систем обнаружения и предупреждения вторжений позволяет контролировать сетевую активность как на периметре сети, так и локально, защищать локальную сеть извне и является наиболее универсальным способом защиты из-за широкого функционала.
Данные системы работают:
- на сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
- на сеансовом уровне (также известные как statefUl) — отслеживающие сеансы между приложениями, не пропускающие пакеты нарушающих спецификации TCP/IP, часто ис-
пользуемые в злонамеренных операциях — сканировании ресурсов, взломах через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекции данных;
- на уровне приложений, фильтрации на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.
Некоторые решения, относимые к сетевым экранам уровня приложения, представляют собой прокси-серверы с некоторыми возможностями сетевого экрана, реализуют прозрачные прокси-серверы, со специализацией по протоколам. Возможности прокси-сервера и многопротокольная специализация делают фильтрацию значительно более гибкой, чем на классических сетевых экранах, но такие приложения имеют все недостатки прокси-серверов (например, анонимизация трафика).
Методология
Цель
| Противодействие |
Enumeration
► Gaining access
Escalating privileges
Creating back doors
Covering tracks
Сбор информации из публично доступных источников. Получение информации о размере атакуемой цели, о потенциальных точках входа и имеющихся механизмах обеспечения безопасности.
Сканирование объекта с целью получения информации о диапазонах адресов структуре сети, используемых ОС и службах Определение используемых средств и механизмов защиты. ВыполнениеFlood атак с целью выяснения производительности система
Уточнение на каких приложениях запущены службы. Получение пользовательских аккаунтов.
Получение доступа к ресурсам (получение паролей) путём социальной инженерии или при помощи Brute force или других атак.
Получение привелегий более высокого уровня с целью получения полного контроля над системой
Создание свободного доступа к системе. Открытие необходимых для этого портов и запуск соответствующих служб. Создание пользовательских аккаунтов. Установка механизмов мониторинга и сканирования
Скрытие следов атаки Очистка системных логов.
Pilfering -J
Получение доступа к доверенным системам.
Организационные меры Нераспространение информации о структуре сети и методах обеспечения безопасности.
Использование средств защиты периметра Использование средств защиты, позволяющих выявить сканирование. Блокирование, отключение и деинсталляция неиспользуемых служб. Повышение производительности
Подмена баннеров служб. Отключение или переименование стандартных польз овательских аккаунтов. Установка уровня привелегий для пользователей при доступе к ресурсам.
Организационные меры. Настройка политики аудита, логирования и оповещения. Использование механизмов для уменьшения скорости подбора паролей. Использование средств, позволяющих определить атаку и выявить её источник:
Установка уровня привелегий для польз ователей при доступе к системным ресурсам. Запрет запуска пользователями служб и приложений, которые им не нужны для выполнения служебных обязанностей. Хранение паролей в системе в зашифрованном виде_
Установка уровня привелегий для пользователей при доступе к системным ресурсам. Запрет запуска пользователями служб и приложений , которые им не нужны для выполнения служебных обязанностей._
Установка уровня привелегий для польз ователей при доступе к системным ресурсам. Запрет очистки системных логов польз ователям с любым уровнем привелегий
Разграничениедоступа к ресурсам в локальной сети на канальном и сетевом уровнях. Запрет доступа филиалов и смежных организаций в локальную сеть. Вынос ресурсов для таких организаций в DMZ и настройка правил контроля и ограничения трафика._
Рис. 2. Типовая реализация атаки
Название атаки.
DDoS атака
5Z.
Природа явления.
Это атака, связанная с большим количеством обычно бессмысленных или сформированных в
неправильном формате запросов к компьютерной системе или сетевому оборудованию, имеющая своей целью или приведшая к отказу в работе системы изза исчерпания
системных ресурсов.
Варианты реализации :
1. HTTP-флуд и ping-флуд
2. Smurf-атака (ICMP-флуд)
3. Атака Fraggle (UDP-флуд)
4. Атака с помощью переполнения
пакетамиSYN (SYN-флуд)
Объект атаки
1. Отправитель пакетов
2. Получатель пакетов
3. Промежуточные маршрутизаторы
4. Промежуточные коммутаторы
Последствия атаки
В результате переполнения буфера пакеты будут отбрасываться
для TCP пакетов при кратковременной атаке-
задержка информации
lz
для UDP пакетов при кратковременной атаке - потеря информации для TCP пакетов при длительной атаке - потеря информации
Природа последствий атаки для видеопотока
Задержка сигнала приводит к искажению всего изображения
1Z
Iz
Инициатор атаки
В зависимости от расположение источника атаки (локальная или удаленная атака) количество объектов атаки может изменяться из-за знаний злоумышленника о
структуре сети
1Z
для UDP пакетов при длительной атаке -
потеря информации
1Z
Пропадание сигнала приводит к тому что в изображении будут отсутствовать некоторые элементы
1Z
iz
Доступность и целостность данных будет падать
Рис. 3. Описание и проявление атаки типа DDoS-атака
Применение управляемых коммутаторов со списками контроля доступа позволяет локализировать атаку и блокировать атакующие сегменты вплоть до отдельного хоста. Современные коммутаторы позволяют защититься от простейших DDoS-атак типа land attack, blat attack, TCP null scan, TCP xmasscan, tcp syn srcport less 1024, ping death attack, tcp tiny frag attack. Данный метод эффективный при защите от локальной атаки. Такие коммутаторы работают на сетевом уровне, когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором.
Для предотвращения перегрузки сетевых устройств применяется алгоритм Weighted Random Early Detection (WRED) для управления переполнением очередей.
Теория очередей позволяет оценить среднюю длину очереди и среднее время ожидания заявки в зависимости от характеристик входного потока и времени обслуживания телекоммуникационного устройства.
Будем считать, что среднее время между поступлениями заявок известно и равно т . Это значит, что интенсивность поступления заявок равна \ = —. Будем считать, что
т
среднее время обслуживания заявки равно ь . Это означает, что телекоммуникационное
устройство способно продвигать заявки на выход с интенсивностью М- = — . Принятие таких предположений дает простой результат для среднего времени ожидания заявки на очередь,
которое мы обозначим через ю : ю = b —-— . Очевидно, что при увеличении среднего
М - -
времени поступления заявок происходит резкое увеличение среднего времени их выполнения и при сопоставимости времени между поступлениями заявок с временем их обслуживания очередь обслуживаться не будет.
Алгоритм Weighted Random Early Detection (WRED) позволяет отслеживать длину очереди и отбрасывает некоторый процент пакетов в очереди для улучшения производительности сети (табл.3).
Для того чтобы определить, достаточно ли полна очередь, и принять решение касательно отбрасывания пакетов, WRED измеряет среднюю глубину очереди (average queue depth). Затем значение average depth сравнивается с minimum threshold и maximum threshold. В зависимости от результата сравнения выполняются различные действия.
Таблица 3
Состояние алгоритма отбрасывания конца очереди
Значение average depth относительно threshold Действие Название действия в WRED
average < min threshold Пакеты не о отбрасываются No drop
min threshold < average < max threshold Процент пакетов отбрасывается. Процент пакетов, которые отбрасываются, возрастает от 0 до максимального процента по мере приближения значения average к max threshold Random drop
average > max threshold Все новые пакеты отбрасываются Full drop
Mark probability denominator (MPD) — на основании этого значения вычисляется процент пакетов, которые будут отброшены.
WRED дает больший приоритет пакетам с определенными значениями IPP и DSCP. Для того чтобы сделать это, WRED использует разные профили трафика (traffic profile) для пакетов с разными значениями IPP и DSCP.
WRED traffic profile состоит из настроек для трёх переменных:
- minimum threshold,
- maximum threshold,
- MPD.
Профили WRED, заданные по умолчанию для DSCP-based WRED (табл. 4):
Таблица 4
Значения переменных WRED алгоритма для разного класса обслуживания
DSCP Min threshold Max threshold MPD 1/MPD
AFx1 33 40 10 10%
AFx2 28 40 10 10%
AFx3 24 40 10 10%
EF 37 40 10 10%
Зависимость вероятности потери пакета для разной средней длины очереди показана на рис. 4.
1
СП
ш СП
г
CL Ш
О
с
J3
Рс
о о
к
о
CL
tu
m
о
' Средняя длина Т2 очереди
Т1
Рис. 4. Зависимость вероятности потери пакета для разной средней длины очереди
Резервирование линий связи между отдельными узлами является самым простым решением. Применение протокола RSTP (Rapid spanning tree protocol, быстрый протокол разворачивающегося дерева) ускоренной реконфигурации дерева, использующегося для исключения петель (исключения дублирующих маршрутов) в соединениях коммутаторов Ethernet с дублирующими линиями, позволяет в случае выхода из строя телекомутационно-го устройства произвести перестройку маршрута прохождения сигнала за время до 2 с.
Недостатками перечисленных методов являются вносимые из-за обработки пакетов задержки, в результате чего ограничивается скорость передачи сигнала в сети, увеличивается стоимость оборудования и подписки на сигнатуры, не обеспечивается защита от замаскированных вирусных атак.
Заключение
На данный момент существующие методы защиты от кибератак на видеоинформационный ресурс имеют ряд недостатков: вносимые из-за обработки пакетов задержки; ограниченное количество выявляемых угроз; при отбрасывании пакетов для предотвращения переполнения буфера возможна потеря информации. Поэтому необходимо разработать новый метод повышения устойчивости видеоинформационного ресурса относительно действий кибератак в информационно-телекоммуникационных сетях на основании кодирования источника.
Список литературы: 1. Мартынюк И. Материалы технического тренинга «Построение безопасных сетей на оборудовании D-Link», http://service.d-link.ua/sites/default/files/files/Security.zip, Киев, 2012. 190с. 2. Звт CERT-UA за 2014 рж, http://cert.gov.ua/?p=2019, 2015 3. Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы: Учебник для вузов / В.Г. Олифер, Н.А. Олифер. СПб.: Питер, 2006.
Баранник Владимир Викторович, д-р техн. наук, профессор, начальник кафедры Харьковского университета Воздушных Сил. Научные интересы: кодирование и защита информации для передачи в телекоммуникационных системах. Адрес: Украина, 61023, Харьков, ул. Сумская, 77/79. E-mail: [email protected].
Подлесный Сергей Анатолиевич, начальник отделения Харьковского университета Воздушных Сил. Научные интересы: кодирование и защита информации для передачи в телекоммуникационных системах. Адрес: Украина, 61023, Харьков, ул. Сумская, 77/79. E-mail: [email protected].
958 с.
Поступила в редколлегию 19.12.2014