Информационная безопасность » Атаки на основе сетевой маршрутизации http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 Атаки на основе сетевой маршрутизации http://www.microfinance.uz/ataki-na-osnove-setevoj-marshrutizacii/ http://www.microfinance.uz/ataki-na-osnove-setevoj-marshrutizacii/#comments Mon, 06 Oct 2008 07:24:33 +0000 admin http://www.microfinance.uz/ataki-na-osnove-setevoj-marshrutizacii/ Возможность смены штатного маршрута движения информации может оказаться чрезвычайно необходимой злоумышленнику как при пассивных, так и при активных атаках. Достижимо это в сетях с динамической маршрутизацией пакетов (то есть направление дальнейшего следования для каждого очередного пришедшего пакета маршрутизатор выбирает, исходя не из своих настроек, а из сетевой обстановки). В тех случаях, когда злоумышленник может формировать фальшивые служебные пакеты протоколов динамической маршрутизации, и эти пакеты затем принимаются маршрутизаторами как корректные, а у него появляется возможность манипулировать сетевым трафиком в самой произвольной форме.
В некоторых протоколах динамической маршрутизации для перестраивания логики отправки пакетов достаточно отправить всего один служебный пакет с определенным образом сформированной фальшивой информацией о сетевой обстановке. В других — для перенаправления трафика в сторону другого узла необходим постоянный поток фальшивых сетевых пакетов. При этом совсем необязательно, чтобы через хост злоумышленника проходил альтернативный путь следования трафика: он может находиться и в сетевом тупике — специальное (хотя и довольно сложное) программное обеспечение превратит его машину в транзитный узел.

1. Нормальное прохождение маршрута от сети А через маршрутизатор Ма, находящийся под управлением администратора сети А, далее через маршрутизатор Мж — жертву атаки — на маршрутизатор Мб, находящийся под управлением администратора сети Б, и в сеть Б. При этом злоумышленник, — администрирующий маршрутизатор Мз, пока не вмешивается.
2. Результат после успешной атаки на маршрутизатор-жертву Мж. Поток данных перенаправляется на маршрутизатор злоумышленника Мз.
Где невозможен данный класс атак?
□ В сетях со статической маршрутизацией.
□ В протоколах динамической маршрутизации, авторизующих свои служебные пакеты с помощью криптографических механизмов.
□ Извне в сетях, где маршрутизатор сам выполняет функции межсетевого экрана, причем он правильно настроен — служебный трафик протоколов динамической маршрутизации не должен поступать в систему, если он ей не нужен.
□ Изнутри в сетях с правильно настроенными межсегментными сетевыми экранами — в этом случае при атаке подобного рода информационный поток просто прервется, но не будет доставлен злоумышленнику и, следовательно, сохранит конфиденциальность и целостность.

Кроме того, необходимо отметить, что атака на смену сетевых маршрутов трудно реализуема в сетях со стыками различных протоколов динамической маршрутизации.

]]> http://www.microfinance.uz/ataki-na-osnove-setevoj-marshrutizacii/feed/ 3