Сегодня мы рассмотрим: Настоящие ценители музыки знают, что для качественного...
- Категоря: Без рубрики
Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой…
Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей.
Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.
Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения.
Большинство персональных межсетевых экранов обладают подобной функцией.
Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.
UNIX-компьютеры:
Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».
Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.
Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.
Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.
Проникнуть в чужую беспроводную сеть – чем не забава?! Пошалишь - и смотаешься. Взломщик не подключается к сети по проводам и может находиться где угодно, лишь бы был уверенный прием. В автомобиле, на улице, например. Попробуй поймай! Только вот что я тебе скажу: все это — популярное заблуждение. Технологии защиты развиваются, и даже банальное сканирование эфира самими обычными программами выдаст тебя с потрохами. А ты не знал?
Как выявить сканирование?
Чтобы найти поблизости беспроводные устройства
, а следовательно, и
беспроводные сети
, используют специальные сканеры эфира. Поставил такую штуку на ноутбук или КПК и гуляешь по городу, в то время как программа ведет логи всех найденных точек доступа, с указанием SSID (идентификатора сети), производителя оборудования, механизма шифрования, скорости работы и даже координат, если к ноуту подключен GPS-модуль.
Знакомые софтины - Netstambler, Macstambler, Kismet (или его версия под винду — Kiswin) - в два счета просканируют эфир и выдадут всю информацию на экран.
Но тут есть один важный момент, о котором многие даже не подозревают! Эти сканеры не просто пассивно просматривают эфир, но также используют активные методы исследования, посылая в сеть специальные пакеты. Если ты просканировал эфир Netstambler’ом, то считай, ты уже выдал свое присутствие. Хорошо, если
беспроводная сеть
- это одинокая точка доступа, которой вряд ли даже поменяли пароль для администрирования через веб-панель. Но если это серьезная компания, то к любой подобной активности (внутри закрытой сети) отнесутся с подозрением. И дело тут вот в чем.
Когда осуществляется пассивное сканирование (в соответствии со стандартом 802.11, то есть Wi-Fi), ничего страшного не происходит, но и эффективность такого сканирования нулевая! Как только дело касается интимной информации о сети (которая может быть очень полезна взломщику), стемблер выдает свое присутствие из-за специального LLC/SNAP-фрейма.
Еще 3 года назад (23 марта 2004 года) хакер-исследователь Mike Craik предложил уникальный идентификатор, по которому можно задетектить трафик программы NetStumbler: LLC-фреймы, генерируемые сканером и содержащие уникальный идентификатор (OID) 0x00601d и идентификатор протокола (PID) 0x0001. Кроме того, специальная строковая переменная, передающаяся через 58-байтное поле данных, содержит информацию о версии продукта в так называемом «пасхальном яйце»:
0.3.2 Flurble gronk bloopit, bnip Frundletrune
0.3.2 All your 802.11b are belong to us
0.3.3 " intentionally blank"
Причин для таких подвохов может быть много, в том числе просьба оперативных органов, ссориться с которыми автору бесплатной программы, естественно, не хочется. Чтобы устранить «пасхальное яйцо», следует поковырять бинарник netstumbler.exe редактором ресурсов и изменить его. Но это не решит проблему обнаружения сканирования (с LLC-фреймом ничего не сделать). И к слову, Ministumbler — тулза из той же серии, только для платформы Pocket PC, —
содержит аналогичные подвохи.
А как насчет альтернативы Netstumbler’у?
Теперь понятно, каким образом тебя может выдать обычное сканирование? И вроде бы ничего не делал, а по шапке получить уже можешь. Причем что с Netstumbler’ом, что с любым другим софтом. Рассмотрим лишь несколько примеров.
Это известнейший BSD-сканер беспроводных сетей
, который, в отличие от Netstumbler, может проводить пассивное сканирование (режим RFMON), то есть определяет наличие точки доступа и ее SSID. Тем не менее, в режиме активного сканирования в нем тоже существуют эксклюзивные свойства. В поисках точки доступа программа генерирует огромное количество запросов (frame_control 0x0040). После получения ответа точки доступа на подобный запрос будет произведена попытка запроса авторизации (0x0b) и ассоциации (0x0c). Эти значения являются константами, что
дает право на их использование в качестве уникального идентификатора.
Может быть, кто-то, прочитав это, подумает: «А в чем проблема? Заюзай тот самый, пассивного сканирования, и все дела!» Возьмем сканер Wellenreiter, включенный в состав известного хакерского LiveCD-дистрибутива - BackTrack. Утилита заточена под Unixware-окружение и в качестве базового условия для старта, естественно, использует iwconfig. После опознавания
беспроводной карточки
ESSID будет автоматически выставлен на «This is used for wellenreiter», а MAC-адрес сконфигурирован на произвольный. Опять палево!
После такого разгрома даже руки опускаются. Не софт, а настоящее западло для хакера. Что же делать? Заюзать Windows-механизм? Скачивать ничего не надо, и работает он, в общем-то, неплохо - хороший, вроде бы, вариант… Как бы не так! Его механизм тоже использует активный режим сканирования, посылаются те же запросы с широковещательным SSID и уникальным программным идентификатором, что и будет основой детекта подобного рода сканирования. Уникальный фрагмент находится в части «SSID Parameter Set» и состоит из 32 байтов.
Воспользовавшись функциональными способностями снифера Ethereal (Wireshark), можно без труда определить подобную активность потенциального «воздушного» хакера:
Netstumbler: wlan.fc.type_subtype eq 32 and llc.oui eq 0x00601d and llc.pid eq 0x0001
Dstumbler: (wlan.seq eq 11 and wlan.fc.subtype eq 11) or (wlan.seq eq 12 and wlan.fc.subtype eq 00)
Как поймать хулигана?
Важно не столько засечь несанкционированные действия в сети, сколько выявить нарушителя. Здесь возникает определенная головоломка, так как мобильность самой технологии Wi-Fi изначально подразумевает таких же мобильных клиентов, которые могут перемещаться во время сеанса пользования сетью. Нашей задачей будет выработка схемы сетевой инфраструктуры, в которой существовало бы как минимум две предпосылки, свидетельствующих о наличии злоумышленника среди доверенного радиопокрытия. Способы обнаружения злоумышленника обычно базируются на данных, поступающих из разных, удаленных друг от друга источников. При этом анализируются данные об уровне приема абонента, а также информация из логов систем обнаружения вторжений
(IDS).
Лог IDS-системы, отмечающий активность беспроводных соединений с помощью стандартного механизма Windows XP
На представленной схеме перед нами модель тривиальной постановки: точки Y и Z выступают в роли AP-«мониторов» (сенсоров нападения), так или иначе передающих событие «произошло сканирование» на специальную систему. Конец коридора ограничен бетонными стенами, изолирующими сигнал от помех извне. Задавая границу в радиопокрытии точки (к примеру, 10 метрами), можно выработать действия по реагированию на подозрительные события.
Модель логики построения безопасности с участием сенсоров
Не трудно догадаться, что если будет заподозрен последовательный Stumbling от точек z,y к x, то злоумышленник находится в вполне определенном квадрате пространства. Соответственно, создавая подобную архитектуру по флагам и опираясь на внимание и определенный набор ПО, можно давать указание службе безопасности выдвигаться в соответствующие стороны.
Остается вопрос: чем фиксировать действия сканера? Это реализуется следующими программными решениями.
Snort Wireless
Адрес: snort-wireless.org
Платформа: Unix
Эдакая «пожарная сигнализация», которая предупредит практически о любой попытке взлома. Главное, чтобы были грамотно настроены все правила или, иначе говоря, предварительно заданные шаблоны
атак
и вредоносных объектов. Snort Wireless работает подобно популярному Snort, но в
беспроводных сетях 802.11x
, защищая их от нападения. Настройка сводится к следующим пунктам:
- указание информации об охраняемой территории (параметры сети, имя точки доступа);
- конфигурация предпроцессоров;
- конфигурация плагинов;
- дополнительные собственные правила.
Наиболее важный пункт здесь – конфигурация предпроцессоров, благодаря которым и происходит переход с намека на
атаку
к боевой тревоге.
Предпроцессор Anti Stumbler. Для обнаружения точек доступа Netstumbler рассылает широковещательные нулевые SSID, которые заставляют другие точки доступа прислать свои SSID нам. Snort осознает массовость этого дела с одного MAC-адреса и объявляет тревогу. Помимо этого, в наборе Snort Wireless присутствуют предпроцессоры для детекта пассивного скана и попытки подмены
MAC.
Предпроцессор Anti Flood. При превышении определенного количества кадров в единицу времени или попыток авторизации происходит распознавание Denial Of Service
Atack.
Предпроцессор Anti Mac spoofing. Выявление несоответствий и сравнение с базой данных доверенных клиентов.
После редактирования всех параметров файл snort.conf обновится, и ты сможешь запустить демон в фоновый режим:
Snort -D -A ful l
Nssys glass
Адрес: home.comcast.net/~jay.deboer/nsspyglass
Платформа: Windows
Netstumbler Spyglass использует тот же принцип, что и предпроцессор Snort Wireless. К сожалению, из-за малого спектра поддерживаемого оборудования его не так часто применяют. Рассмотрим его настройку на примере роутера LinkSys. Перед работой необходимо позаботиться о наличии драйвера WinPcap
(winpcap.polito.it).
Конфигурация Nssys требует обязательного указания сетевого адаптера
0402011110BB Access Point MAC Address (No colons and No spaces)
C:\windows\calc.exe
0
5
C:\windows\notepad.exe
0
1
1
0
1
0
1
В таком непонятном конфиге сам черт ногу сломит, поэтому я объясню все по-порядку. В первой строке требуется прописать MAC-адрес точки доступа. Вторая строка указывает путь к приложению, которое будет запущено в момент опознания злоумышленника. Третья принимает значения 0 или 1, в зависимости от твоего желания запускать указанное приложение или нет. Четвертая строка – таймаут в секундах до запуска следующего приложения после обнаружения вардрайвера. Пятая и шестая строка аналогичны второй и третьей, но как раз следующего приложения. Седьмая определяет запись истории событий в лог NSSpyglassLog.txt. Остальное неважно – скопируй, как есть.
После пробы такого софта Nestumbler использовать даже как-то не хочется
Airsnare
Адрес: home.comcast.net/~jay.deboer/airsnare
Платформа: Windows
Если в сети работают одни и те же устройства (например, ноутбуки сотрудников), то можно легко внести их MAC-адреса в «белый список» и отслеживать появление посторонних устройств, которые в этот список не входят. На таком простом принципе, в частности, базируется программа Airsnare. Все, что тебе понадобится для работы, - это библиотека WinPcap (winpcap.polito.it) и свободный компьютер, подсоединенный к
беспроводной точке доступа
. В настройках программы не забудь выбрать требуемый адаптер и внести в Friendly Mac list все доверенные устройства, подключенные к твоей сети, включая Mac’и, Xbox’ы, сетевые принт-серверы, лэптопы, iPod’ы с поднятым Wi-Fi и тому подобные излишки моды. Нажимаем «Start», и экран меняет цвет на красный, что говорит о том, что твоя тачка перешла в боевой режим, режим поиска прыщавых хакеров.
Мониторинг долбящихся в сеть студентов налицо
Активные методы
Во всех этих примерах так или иначе были задействованы статические системы обнаружения
атак в беспроводной среде
. Но наверняка есть и более сложные и эффективные техники обнаружения злоумышленника! Хочу обратить твое внимание на систему
Distributed Wireless Security Auditor , которая принципиально отличается от остальных.
Комплекс DWSA собственной персоной! Точки доступа, сотрудники, доверенное оборудование и даже нарушители – все, как на ладони.
Возможности DWSA позволяют определять физическое положение злоумышленника и даже отображать его на интерактивной карте, то есть осуществлять самую настоящую привязку к местности. Это становится вполне реальным за счет постоянного распределенного мониторинга сети. Осуществляется это следующим образом: определенному количеству сотрудников компании, предположим, службе безопасности, выдаются портативные компьютеры со специальным программным оснащением. Параллельно с этим устанавливается back-end сервер безопасности, который будет считывать целевую информацию с устройств сотрудников и заодно определять их местоположение относительно точек доступа на основе сведений о сигнале и их радиопокрытии. Обработку этих данных централизованно выполняет специальный сервер. Он анализирует состояние радиоэфира различных источников и с помощью законов геометрии и дискретной математики определяет примерное расположения объекта. Понятно, что чем больше элементов будет участвовать в работе распределенной системы мониторинга, тем выше будет точность определения на данной территории.
Какой же принцип лежит в основе определения координат объекта? Банальная триангуляция, которая также применяется в глобальной системе позиционирования GPS. В качестве тех самых портативных девайсов было принято задействовать разработку IBM, именуемую Wireless Security Auditor (WSA). Девайс представляет собой самый обычный iPAQ PDA со специальным дистрибутивом Linux и набором предустановленных тулз для пен-тестов и аудита
беспроводных сетей
: wlandump, ethereal, Sniffer и т.п. Используя их, сотрудники, по сути, проводят активный аудит, отчитываясь главному серверу.
Метод триангуляции на пальцах
Ох уж этот MAC-адрес
Даже просто обнаружив чужого в сети, о нем можно кое-что узнать. Тот же MAC-адрес, который является уникальным признаком любого оборудования, выдаст некоторую информацию. Ведь очень просто установить связь между ним и производителем девайса. Дело в том, что по первым октетам MAC’a и
базе OUI можно сделать соотношение, определив производителя. Вспомни, на это, в частности, опирается Netstumbler при нахождении точки, высвечивая в графе VENDOR используемое оборудование, например CISCO. В базе OUI это выглядит вот так:
00-00-0C (hex) CISCO SYSTEMS, INC.
00000C (base 16) CISCO SYSTEMS, INC.
Специализированные структуры ведут учет подобных сведений с привязкой к продаваемым устройствам. Обратившись к компании-производителю, компетентные структуры в первую очередь выявят, по каким точкам оно было распределено и каким лицам продано. Кредиты и пластиковые карты еще никто не отменял, поэтому при определенном везении и наличии возможностей (которая есть у органов) можно найти хакера, даже зная, казалось бы, какой-то, MAC-адрес. Ну что, ты засомневался в своей полной анонимности?
Злоумышленники редко бесцеремонно вторгаются в сеть с «оружием» в руках. Они предпочитают проверить, надежны ли запоры на двери и все ли окна закрыты. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из нее, отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные отдельным пользователям и сетевым устройствам.
Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное программное обеспечение детектирования сетевых атак, обладающее высокой чувствительностью. Приобретаемый продукт должен предупреждать администратора не только о случаях явного нарушения системы информационной безопасности, но и о любых подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительности скрывают полномасштабную хакерскую атаку. Нет нужды доказывать, что о всякой активной попытке взлома системных паролей администратор должен быть извещен немедленно.
Современные корпорации находятся буквально под перекрестным огнем со стороны злоумышленников, стремящихся похитить ценные сведения или просто вывести из строя информационные системы. Задачи, преследуемые в борьбе с хакерами, достаточно очевидны:
– уведомление о предпринятой попытке несанкционированного доступа должно быть немедленным;
– отражение атаки и минимизация потерь (чтобы противостоять злоумышленнику, следует незамедлительно разорвать сеанс связи с ним);
– переход в контрнаступление (злоумышленник должен быть идентифицирован и наказан).
Именно такой сценарий использовался при тестировании четырех наиболее популярных систем выявления сетевых атак из присутствующих сегодня на рынке:
– Intruder Alert;
– еTrust Intrusion Detection.
Характеристика указанных программных систем обнаружения сетевых атак приведена в табл. 3.2.
Программа BlackICE фирмы Network ICE - специализированное приложение-агент, предназначенное исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию» поступившую от разных агентов, и стремящемуся локализовать атаку на сеть.
Программное обеспечение Intruder Alert компании Alert Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, поскольку оно предоставляет максимальную гибкость в определении стратегий защиты сети.
Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его составе есть средства контроля за системой безопасности, мониторинга трафика, выявления атак и выдачи предупреждающих сообщений.
Система eTrust Intrusion Detection корпорации Computer Associates особенно сильна функциями контроля за информационной безопасностью и управления стратегиями защиты, хотя и в этом продукте реализованы средства выдачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.
Таблица 3.2. Характеристика программных систем обнаружения сетевых атак | ||
Программная система | Производитель | Характеристика системы |
BlackICE (специализированное приложение-агент) | Network ICE | Устанавливается на компьютере удаленного пользователя или на узле корпоративной сети. Выдает предупреждение об атаке на экран монитора пользователя. Сообщает о попытке НСД на средства сетевого мониторинга. Имеет возможность загрузки свежих сигнатур хакерских атак с сервера. Выявляет источник атаки сети. |
Intruder Alert (инструментарий детектирования сетевых атак) | Alert Technologies | Выбирает стратегию защиты сети. Поддерживает высокий уровень набора правил сетевой защиты. Загружает сигнатуры хакерских атак. Требует наличия опытных специалистов для обслуживания. |
Centrax (инструментарий детектирования сетевых атак) | Cyber Safe | Контролирует систему безопасности сети. Осуществляет мониторинг трафика. Выдает предупреждающие сообщения о сетевой атаке. Требует наличия опытных специалистов для обслуживания. |
eTrust Intrusion Detection (анализатор трафика сети сегмента) | Computer Associates | Управляет стратегиями защиты. Выдает предупреждения об атаке в режиме реального времени. Осуществляет мониторинг трафика. Предупреждает администратора о нарушениях стратегии защиты. Сообщает о наличии ненормативной лексики в электронной почте. Располагает информацией о злоумышленнике |
Предупреждения, генерируемые агентами BlackICE, очень конкретны. Текст сообщений не заставит администратора усомниться в характере зарегистрированного события, а в большинстве случаев и в его важности. Кроме того, продукт позволяет администратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет необходимости.
Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert является возможность загрузки самых свежих сигнатур хакерских атак с сервера.
Попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service), таят в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов SYN (на установление соединения), адресованных атакуемому серверу. Каждый запрос снабжается фальшивым адресом источника, что значительно затрудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос SYN, сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то, что данные после этого не поступают, сервер обязан выждать определенное время (максимум 45 с), перед тем как разорвать соединение. Если несколько тысяч таких ложных запросов будут направлены на сервер в течение считанных минут, он окажется перегружен, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате SYN-атаки настоящим пользователям будет отказано в обслуживании.
Во всех описываемых системах, за исключением eTrust Intrusion Detection корпорации Computer Associates, использована модель программных агентов, которые сначала инсталлируются на сетевых устройствах, а затем осуществляют сбор информации о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответствующие сообщения.
Системы на базе агентов являются наилучшим решением для коммутируемых сетей, поскольку в таких сетях не существует какой-либо одной точки, через которую обязательно проходит весь трафик. Вместо того чтобы следить за единственным соединением, агент осуществляет мониторинг всех пакетов, принимаемых или отправляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором.
Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе BlackICE отведена роль агента, устанавливаемого в полностью автономной операционной среде, например, на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о попытке несанкционированного доступа будет передано другому приложению - ICEcap, содержащему средства сетевого мониторинга. Последнее собирает и сопоставляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопасности сети.
Система eTrust, напротив, основана на централизованной архитектуре. Она устанавливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все события в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смотровую площадку», откуда вся сеть была бы видна как на ладони.
Пакет Intruder Alert и система Centrax производства CyberSafe представляют собой скорее инструментарий для построения собственной системы детектирования сетевых атак. Чтобы в полной мере воспользоваться их возможностями, организация должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу.
Несмотря на то, что все описываемые продукты легко инсталлировать, управление системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выдает предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отличаются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обычному человеку достаточно только намекнуть, о чем может идти речь, и характер происходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификаторов. Администратор видит адреса портов, к которым относились подозрительные запросы, либо параметры других операций, но не получает никакой информации о том, что же все это может означать.
Отмеченное обстоятельство значительно снижает ценность сообщений, выдаваемых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь попытка провести более тщательный анализ трафика. Иными словами, покупать названные продукты имеет смысл лишь в том случае, если в штате вашей организации есть опытные специалисты по информационной безопасности.
Программное обеспечение eTrust Intrusion Detection корпорации Computer Associates представляет собой нечто большее, чем просто систему мониторинга сетевой активности и выявления хакерских атак. Этот продукт способен не только декодировать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система осуществляет мониторинг всего трафика ТСРЯР и предупреждает администратора о случаях нарушения установленных стратегий в области информационной безопасности. Правда, эта разработка не поддерживает такого же уровня детализации наборов правил, как Intruder Alert.
Однако детектирование попыток несанкционированного доступа и выдача предупреждающих сообщений - это только полдела. Программные средства сетевой защиты должны остановить действия хакера и принять контрмеры. В этом смысле наилучшее впечатление производят пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies можно настроить таким образом, что оно будет запускать тот или иной командный файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.
Отразив атаку, хочется сразу перейти в контрнаступление. Приложения Black-ICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполняются после прослеживания всего пути до «логовища», где затаился неприятель. Возможности программного обеспечения BlackICE особенно впечатляют, когда дело доходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.
А вот система eTrust поражает степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находится под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках, даже о том, где они находятся.
Приложение Centrax способно создавать так называемые файлы-приманки, присваивая второстепенному файлу многозначительное название вроде «Ведомость.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алгоритм представляется нам слишком прямолинейным, но и он может сослужить неплохую службу: с его помощью удается «застукать» сотрудников за «прочесыванием» корпоративной сети на предмет выявления конфиденциальной информации.
Каждый из рассмотренных программных продуктов генерирует отчеты о подозрительных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. Последний пакет отличается особенной гибкостью, возможно, потому, что ведет свое происхождение от декодера протоколов. В частности, администратор может проанализировать сетевые события в проекции на отдельные ресурсы, будьте протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разработанных форматов отчетов. Их хорошо продуманная структура заметно облегчает обнаружение злоумышленников и позволяет наказать провинившихся пользователей.
Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите коммутируемых сетей, неплохим выбором являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection идеален для своевременного уведомления о случаях нарушения этики бизнеса, например, об употреблении ненормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax - прекрасный инструментарии для консультантов по вопросам информационной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услугам высокооплачиваемых специалистов, рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.
Программы обнаружения сетевых атак
Злоумышленники редко бесцеремонно вторгаются в сеть с «оружием» в руках. Они
предпочитают проверить, надежны ли запоры на двери и все ли окна закрыты. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные отдельным пользователям и сетевым устройствам.
Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное программное обеспечение детектирования сетевых атак, обладающее высокой чувствительностью. Приобретаемый продукт должен предупреждать администратора не только о случаях явного нарушения системы информационной безопасности, но и о любых
подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительности скрывают полномасштабную хакерскую атаку. Нет нужды доказывать, что о всякой активной попытке взлома системных паролей администратор должен быть извещен немедленно.
Современные корпорации находятся буквально под перекрестным огнем со стороны злоумышленников, стремящихся похитить ценные сведения или просто вывести из
строя информационные системы. Задачи, преследуемые в борьбе с хакерами, достаточно очевидны:
уведомление о предпринятой попытке несанкционированного доступа должно быть немедленным;
отражение атаки и минимизация потерь (чтобы противостоять злоумышленнику, следует незамедлительно разорвать сеанс связи с ним);
□ переход в контрнаступление (злоумышленник должен быть идентифицирован и
наказан).
Именно такой сценарий использовался при тестировании четырех наиболее популярных систем выявления сетевых атак из присутствующих сегодня на рынке: a BlacklCE;
□ Intruder Alert; a Centrax;
□ eTrust Intrusion Detection.
Характеристика указанных программных систем обнаружения сетевых атак приведена в табл. 3.2.
Программа BlacklCE фирмы Network ICE - специализированное приложение-агент, предназначенное исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию, поступившую от разных агентов, и стремящемуся локализовать атаку на сеть.
Программное обеспечение Intruder Alert компании Alert Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, поскольку оно предоставляет максимальную гибкость в определении стратегий защиты сети.
Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его
составе есть средства контроля за системой безопасности, мониторинга трафика, выявления атак и выдачи предупреждающих сообщений.
Система eTrust Intrusion Detection корпорации Computer Associates особенно сильна функциями контроля за информационной безопасностью и управления стратегиями защиты, хотя и в этом продукте реализованы средства вьщачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.
Таблица 3.2. Характеристика программных систем обнаружения сетевых атак
Программная система |
Производитель |
Характеристика системы |
BlacklCE (специализированное приложение-агент) |
Устанавливается на компьютере удаленного пользователя или на узле корпоративной сети. Выдает предупреждение об атаке на экран монитора пользователя. |
|
Intruder Alert (инструментарий детектирования сетевых атак) |
Alert |
Выбирает стратегию защиты сети. Поддерживает высокий уровень набора правил сетевой защиты. |
Centrax |
Контролирует систему безопасности сети. Осуществляет мониторинг трафика. |
|
eTrust Intrusion Detection (анализатор трафика |
Computer |
Управляет стратегиями защиты. Выдает предупреждения об атаке в режиме реального времени. |
Предупреждения, генерируемые агентами BlacklCE, очень конкретны. Текст сообщений не заставит администратора усомниться в характере зарегистрированного события, а в большинстве случаев и в его важности. Кроме того, продукт позволяет администратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет необходимости.
Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert является возможность загрузки самых свежих сигнатур хакерских атак с сервера.
Попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service),TaflT в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов (на установление соединения), адресованных атакуемому серверу. Каждый запрос снабжается фальшивым адресом источника, что значительно затрудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то, что данные после этого не поступают, сервер обязан выждать определенное время (максимум 45 с), перед тем как разорвать соединение. Если несколько тысяч таких ложных
запросов будут направлены на сервер в течение считанных минут, он окажется перегружен, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате настоящим пользователям будет отказано в обслуживании.
Во всех описываемых системах, за исключением eTrust Intrusion Detection корпорации Computer Associates, использована модель программных агентов, которые сначала инсталлируются на сетевых устройствах, а затем осуществляют сбор информации о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответствующие сообщения.
Системы на базе агентов являются наилучшим решением для коммутируемых сетей, поскольку в таких сетях не существует какой-либо одной точки, через которую
обязательно проходит весь трафик. Вместо того чтобы следить за единственным соединением, агент мониторинг всех пакетов, принимаемых или отправляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором.
Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе отведена роль агента, устанавливаемого в полностью автоном-
ной операционной среде, например, на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если
же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о
попытке несанкционированного доступа будет передано другому приложению - ICEcap, содержащему средства сетевого мониторинга. Последнее собирает и сопоставляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопасности сети.
Система eTrust, напротив, основана на централизованной архитектуре. Она устанавливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все события в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смотровую площадку», откуда вся сеть была бы видна как на ладони.
Пакет Intruder Alert и система Centrax производства CyberSafe представляют собой скорее инструментарий для построения собственной системы детектирования сетевых атак. Чтобы в полной мере воспользоваться их возможностями, организация
должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу.
Несмотря на то, что все описываемые продукты легко инсталлировать, управление
системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выдает предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отличаются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обычному человеку достаточно только намекнуть, о чем может идти речь, и характер про
исходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификаторов. Администратор видит адреса портов, к которым относились подозрительные запросы, либо параметры других операций, но не получает никакой информации о том,
что же все это может означать.
Отмеченное обстоятельство значительно снижает ценность сообщений, выдаваемых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь попытка провести более тщательный анализ трафика. Иными словами, покупать названные продукты имеет смысл лишь в том случае, если в штате вашей организации есть
опытные специалисты по информационной безопасности.
Программное обеспечение eTrust Intrusion Detection корпорации Computer
Associates представляет собой нечто большее, чем просто систему мониторинга сетевой активности и выявления хакерских атак. Этот продукт способен не только декодировать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система осуществляет мониторинг всего трафика TCP/IP и предупреждает администратора о случаях нарушения установленных стратегий в области информационной безопасности.
Правда, эта разработка не поддерживает такого же уровня детализации наборов правил, как Intruder Alert.
Однако детектирование попыток несанкционированного доступа и выдача предупреждающих сообщений - это только полдела. Программные средства сетевой защиты должны остановить действия хакера и принять контрмеры. В этом смысле наилучшее впечатление производят пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies
можно настроить таким образом, что оно будет запускать тот или иной командный
файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.
Отразив атаку, хочется сразу перейти в контрнаступление. Приложения Black-ICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполняются после прослеживания всего пути до «логовища», где затаился неприятель. Возможности программного обеспечения особенно впечатляют, когда дело доходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.
А вот система eTrust поражает степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находится под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках, даже о том,
где они находятся.
Приложение Centrax способно создавать так называемые файлы-приманки, присваивая второстепенному файлу многозначительное название вроде «Ведо-MocTb.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алгоритм представляется нам слишком прямолинейным, но и он может сослужить непло
хую службу: с его помощью удается «застукать» сотрудников за «прочесыванием»
корпоративной сети на предмет выявления конфиденциальной информации.
Каждый из рассмотренных программных продуктов генерирует отчеты о подозрительных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. Последний пакет отличается особенной гибкостью, возможно, потому, что ведет свое происхождение от декодера протоколов. В частности, администратор может проанализировать сетевые события в проекции на отдельные ресурсы, будьте протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разработанных форматов отчетов. Их хорошо продуманная структура заметно облегчает обнаружение злоумышленников и позволяет наказать провинившихся пользователей.
Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите коммутируемых сетей, неплохим выбором являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection идеален для своевременного уведомления о случаях нарушения этики бизнеса, например, об употреблении ненормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax - прекрасный инструментарий для консультантов по вопросам информационной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услугам высокооплачиваемых специалистов, рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.
Сканеры как средства проверки защиты сети
Когда-то давным-давно (или не очень) жесткие диски персональных компьютеров были объемом всего-навсего 10 Мбайт, а их оперативная память не превышала 640 Кбайт. Модемы работали на скоростях от 300 до 1200 бит/с, и мало кто из пользователей слышал о глобальной компьютерной сети Internet. Конечно, эта сеть существовала уже тогда, но использовалась исключительно в военных целях, а работать с ней можно было только при помощи командной строки. Но не это служило основным препятствием для массового доступа к сети Internet. Вычислительные машины, которые могли быть задействованы в качестве серверов, были очень дорогими - их стоимость исчислялась миллионами долларов. Да и сами персональные компьютеры стоили тогда весьма недешево, и были по карману только
обеспеченным людям.
Но уже тогда находились люди, которые охотились за чужими секретами. Представим себе, как за персональным компьютером сидит юноша лет 15-17 и обзванивает при помощи модема телефонные номера, которые ему сообщил приятель. В большинстве случаев на другом конце провода оказывается другой модем, и на экране монитора появляется приглашение зарегистрироваться, т. е. ввести имя и пароль.
Каждый раз, получив такое регистрационное приглашение, юноша начинает лихорадочно перебирать различные пары имен и соответствующих им паролей. Наконец, одна пара подходит, и юный взломщик получает возможность управлять удаленным компьютером, не выходя из дома.
Сейчас уже трудно поверить, что первым компьютерным взломщикам приходилось так напрягаться. Ведь известно, что они очень не любят выполнять рутинную работу и при всяком удобном случае стараются заставить свои компьютеры заниматься такой работой. Поэтому неудивительно, что компьютерные взломщики вскоре создали специальное программное средство, чтобы не набирать вручную дюжину команд. Это программное средство назвали боевым номеронабирателем.
Боевой номеронабиратель представляет собой программу, обзванивающую заданные пользователем телефонные номера в поисках компьютеров, которые в ответ на поступивший звонок выдают регистрационное приглашение. Программа аккуратно сохраняет в файле на жестком диске все такие телефонные номера вместе с данными о скорости соединения с ними. Один из самых известных и совершенных боевых номеронабирателей - TONELOC, предназначенный для работы в среде операционной системы DOS (он может быть запущен под управлением Windows 95/98 в режиме командной строки).
Дальнейшее совершенствование боевых номеронабирателей привело к созданию сканеров. Первые сканеры были весьма примитивными и отличались от боевых номеронабирателей только тем, что специализировались исключительно на выявлении компьютеров, подключенных к сети Internet или к другим сетям, использующим протокол
TCP/IP. Они были написаны на языке сценариев программной оболочки операционной системы UNIX. Такие сканеры пытались подсоединиться к удаленной хост-машине через порты TCP/IP, отправляя всю информацию, которая выводилась на устройство стандартного вывода этой хост-машины, на экран монитора того компьютера, где был запущен сканер.
Ныне сканеры стали грозным оружием как нападения, так и защиты в Internet. Что же представляет собой современный сканер?
Сканер - это программа, предназначенная для автоматизации процесса поиска слабостей в защите компьютеров, подключенных к сети в соответствии с протоколом
TCP/IP. Наиболее совершенные сканеры обращаются к портам TCP/IP удаленного компьютера и в деталях протоколируют отклик, который они получают от этого компьютера. Запустив сканер на своем компьютере, пользователь, даже не выходя из дома, может найти бреши в защитных механизмах сервера, расположенного, например, на другом конце земного шара.
Большинство сканеров предназначено для работы в среде UNIX, хотя к настоящему времени такие программы имеются практически для любой операционной системы. Возможность запустить сканер на конкретном компьютере зависит от операционной системы, под управлением которой работает этот компьютер, и от параметров подключения к Internet. Есть сканеры, которые функционируют только в среде UNIX, а с остальными операционными системами оказываются несовместимыми. Другие отказываются нормально работать на устаревших компьютерах с Windows и с медленным (до 14 400 бит/с) доступом по коммутируемым линиям к Internet. Такие компьютеры будут надоедать сообщениями о переполнении стека, нарушении прав доступа или станут просто зависать.
Критичным является и объем оперативной памяти компьютера. Сканеры, которые управляются при помощи командной строки, как правило, предъявляют более слабые требования к объему оперативной памяти. А самые «прожорливые» - сканеры, снабженные оконным графическим интерфейсом пользователя.
Написать сканер не очень трудно. Для этого достаточно хорошо знать протоколы TCP/IP, уметь программировать на С или Perl и на языке сценариев, а также разбираться в программном обеспечении сокетов. Но и в этом случае не следует ожидать, что созданный вами сканер принесет большую прибыль, поскольку в настоящее время предложение на рынке сканеров значительно превышает спрос на них. Поэтому наибольшая отдача от усилий, вложенных в написание сканера, будет скорее моральной (от осознания хорошо выполненной работы), чем материальной.
Не стоит переоценивать положительные результаты, которых можно достичь благодаря использованию сканера. Действительно, сканер может помочь выявить дыры в защите хост-машины, однако в большинстве случаев информацию о наличии этих дыр сканер выдает в завуалированном виде, и ее надо еще уметь правильно интерпретировать. Сканеры редко снабжают достаточно полными руководствами пользователя. Кроме того, сканеры не в состоянии сгенерировать пошаговый сценарий взлома компьютерной системы. Поэтому для эффективного использования сканеров на практике прежде всего необходимо научиться правильно интерпретировать собранные с их помощью данные, а это возможно только при наличии глубоких знаний в области сетевой безопасности и богатого опыта.
Обычно сканеры создают и применяют специалисты в области сетевой безопасности. Как правило, они распространяются через сеть Internet, чтобы с их помощью системные администраторы могли проверять компьютерные сети на предмет наличия в них изъянов. Поэтому обладание сканерами, равно как и их использование на практике, вполне законно. Однако рядовые пользователи (не системные администраторы) должны быть готовы к тому, что, если они будут применять сканеры для обследования чужих сетей, то могут встретить яростное сопротивление со стороны администраторов этих сетей.
Более того, некоторые сканеры в процессе поиска брешей в защите компьютерных сетей предпринимают такие действия, которые по закону можно квалифицировать как несанкционированный доступ к компьютерной информации, или как создание, использование и распространение вредоносных программ, или как нарушение правил эксплуатации компьютеров, компьютерный систем и сетей. И если следствием этих деяний стало уничтожение, блокирование, модификация или копирование информации,
хранящейся в электронном виде, то виновные лица в соответствии с российским законодательством подлежат уголовному преследованию. А значит, прежде чем начать пользоваться первым попавшимся под руку бесплатным сканером для UNIX-платформ, стоит убедиться, а не копирует ли случайно этот сканер заодно и какие-нибудь файлы
с диска тестируемой им хост-машины (например, файл password из каталога /ETC).
Часто к сканерам ошибочно относят утилиты типа host, rusers, finger, Traceroute, Showmount. Связано это с тем, что, как и сканеры, данные утилиты позволяют собирать полезную статистическую информацию о сетевых службах на удаленном компьютере. Эту информацию можно затем проанализировать на предмет выявления ошибок в их конфигурации.
Действительно, сетевые утилиты выполняют ряд функций, которые характерны для сканеров. Однако в отличие от них использование этих утилит вызывает меньше подозрений у системных администраторов. Выполнение большинства сетевых утилит на
удаленной хост-машине практически не оказывает никакого влияния на ее функционирование. Сканеры же зачастую ведут себя как слон в посудной лавке оставляют следы, которые трудно не заметить. Кроме того, хороший сканер - явление довольно редкое, а сетевые утилиты всегда под рукой. К недостаткам сетевых утилит можно отнести то, что приходится выполнять вручную слишком большую работу, чтобы добиться того же результата, который при помощи сканера получается автоматически.
Полное название таких систем, это системы предотвращения и обнаружения атак . Или же называют СОА как один из подходов к . Принцип работы СОА состоит в постоянном осмотре активности, которая происходит в информационной системе. А также при обнаружении подозрительной активности предпринимать определенные механизмы по предотвращению и подаче сигналов определенным лицам. Такие системы должны решать .
Существует несколько средств и типичных подходов у обнаружении атак которые уменьшают .
Времена, когда для защиты хватало одного брандмауэра прошли. На сегодня предприятия реализуют мощные и огромные структурированные системы защиты, для ограничения предприятия от возможных угроз и рисков. С появлением таких атак, как атак на отказ в обслуживании (DDoS), адрес отправителя пакетов не может дать вам однозначный ответ, была ли против вас атака направленная или случайная. Нужно знать как реагировать на инцидент, а также как идентифицировать злоумышленника (Рис.1).
Выявить злоумышленника можно по следующим особенностям к действию:
- реализует очевидные проколы
- реализует неоднократные попытки на вхождение в сеть
- пытается замести свои следы
- реализует атаки в разное время
Рисунок — 1
Также можно поделить злоумышленников на случайных и опытных. Первые же при неудачной попытке доступа к серверу, пойдут на другой сервер. Вторые будут проводить аналитику относительно ресурса, что бы реализовать следующие атаки. К примеру администратор видит в журнале IDS, что кто-то сканирует порты вашего почтового сервера, затем с того же IP-адреса приходят команды SMTP на 25 порт. То, как действует злоумышленник, может очень много сказать о его характере, намерениях и тд. На рис.2 показан алгоритм эффективного выявление атак. Все сервисы выявления атак используют начальные алгоритмы:
- выявление злоупотреблений
- выявление аномалий
Рисунок — 2
Для хорошей расстановки систем обнаружения, нужно составить схему сети с:
- границы сегментов
- сетевые сегменты
- объекты с доверием и без
- ACL — списки контроля доступа
- Службы и сервера которые есть
Обычная ошибка — то, что ищет злоумышленник при анализе вашей сети. Так как система обнаружения атак использует анализ трафика, то производители признают, что использование общего порта для перехвата всех пакетов без снижения производительности невозможно. Так что эффективная настройка систем выявления очень важная задача.
Средства обнаружения атак
Технология обнаружения атак должна справляться со следующим:
- Распознавание популярных атак и предупреждение о них определенных лиц
- Понимание непонятных источников данных об атаках
- Возможность управления методами защиты не-специалистами в сфере безопасности
- Контроль всех действий субъектов информационной сети (программ, пользователей и тд)
- Освобождение или снижение функций персонала, который отвечает за безопасность, текущих рутинных операций по контролю
Зачастую системы обнаружения атак могут реализовывать функции, которые расширяют спектр их применения. К примеру:
- Контроль эффективность . Можно расположить систему обнаружения после межсетевого экрана, что бы определить недостающих правил на межсетевом экране.
- Контроль узлов сети с устаревшим ПО
- Блокирование и контроль доступа к некоторым ресурсам Internet. Хоть они далеки от возможностей таких как сетевых экранов, но если нету денег на покупку сетевого экрана, можно расширить функции системы обнаружения атак
- Контроль электронной почты. Системы могут отслеживать вирусы в письмах, а также анализировать содержимое входящих и исходящих писем
Лучшая реализация опыта и времени профессионалов в сфере информационной безопасности заключается в выявлении и устранении причин реализации атак, а не обнаружение самих атак. Устранив причину, из-за которой возможна атака, сохранит многим временного ресурса и финансового.
Классификация систем обнаружения атак
Существует множество классификаций систем обнаружения атак, однако самой топовой есть классификация по принципу реализации:
- host-based — система направлена на конкретный узел сети
- network-based — система направлена на всю сеть или сегмент сети
Системы обнаружения атак которые стоят на конкретных компьютерах, обычно анализируют данных из журналов регистрации ОС и разных приложений. Однако в последнее время выпускаются программы которые тесно интегрированные с ядром ОС.
Плюсы систем обнаружения атак
Коммутация разрешает управлять большими сетями, как несколькими небольшими сетевыми сегментами. Обнаружение атак на уровне конкретного узла дает более эффективную работу в коммутируемых сетях, так как разрешает поставить системы обнаружения на тех узлах, где это нужно.
Системы сетевого уровня не нуждаются, что бы на хосте ставилось ПО системы обнаружения атак. Для контроля сетевого сегмента, нужен только один сенсор, независимо от количества узлов в данном сегменте.
Пакет отправленный от злоумышленника, не будет возвращен назад. Системы которые работают на сетевом уровне, реализуют обнаружение атак при живом трафике, тоесть в масштабе реального времени. Анализируемая информация включает данные, которые будут доказательством в суде.
Системы обнаружения которые работают на сетевом уровне, не зависят от ОС. Для таких систем все равно, какая именно ОС создала пакет.
Технология сравнения с образцами
Принцип таков, что идет анализ наличия в пакете определенной постоянной последовательности байтов — шаблон или сигнатуры. К примеру, если пакет протокола IPv4 и транспортного протокола TCP, он предназначен порту номеру 222 и в поле данных содержит строку foo , это можно считать атакой. Положительные стороны:
- самый простой механизм обнаружения атак;
- разрешает жестко сопоставить образец с атакующим пакетом;
- работает для всех протоколов;
- сигнал об атаке достоверен, если же образец верно определен.
Отрицательные стороны:
- если атака нестандартная, есть вероятность пропустить ее;
- если образец слишком обобщен, то вероятен большой процент ложных срабатываний;
- Возможно что придется создавать несколько образцов для одной атаки;
- Механизм ограничен анализом одного пакета, уловить тенденцию и развитие атаки не возможно.
Технология соответствия состояния
Так как атака по своей сущности это не единичный пакет, а поток пакетов, то этот метод работает с потоком данных. Проходит проверка несколько пакетов из каждого соединения, прежде чем делается вердикт.
Если сравнивать с предыдущим механизмом, то строка foo
может быть в двух пакетах, fo
и o
. Итог срабатывания двух методов я думаю понятен.
Положительные стороны:
- этот метод немного сложнее от предыдущего метода;
- сообщение об атаке правдиво, если образец достоверный;
- разрешает сильно увязать атаку с образцом;
- работает для всех протоколов;
- уклонение от атаки более сложнее чем в прошлом методе.
Отрицательные стороны:
- Все отрицательные критерии идентичны как и в прошлом методе.
Анализ с расшифровкой протокола
Этот метод реализует осмотр атак на отдельные протоколы. Механизм определяет протокол, и применяет соответственные правила. Положительные стороны:
- если протокол точно определен, то снижается вероятность ложных срабатываний;
- разрешает жестко увязать образец с атакой;
- разрешает выявить случаи нарушения правил работы с протоколами;
- разрешает улавливать разные варианты атак на основе одной.
Отрицательные стороны:
- Механизм является сложным для настройки;
- Вероятен высокий процент ложных срабатываний, если стандарт протокола разрешает разночтения.
Статический анализ
Этот метод предполагает реализации логики для определения атак. Используются статистическая информация для анализа трафика. Примером выявления таких атак будет выявление сканирования портов. Для механизма даются предельные значения портов, которые могут быть реализованы на одном хосте. В такой ситуации одиночные легальные подключения в сумме дадут проявление атаки. Положительные стороны:
- Есть такие типы атак, которые могут быть выявлены только этим механизмом.
Отрицательные стороны:
- Такие алгоритмы требуют сложной тонкой дополнительной настройки.
Анализ на основе аномалий
Этот механизм используется не для четкого обнаружения атак, а для обнаружения подозрительной активности, которая отличается от нормальной. Основная проблема настройки такого механизма, это определения критерия нормальной активности. Также нужно учитывать допустимые отклонения от обычного трафика, которые не есть атакой. Положительные стороны:
- Правильно настроенный анализатор выявляет даже неизвестные атаки, но нужно дополнительная работа по вводу новых правил и сигнатур атак.
Отрицательные стороны:
- Механизм не показывает описание атаки по каждому элементу, а сообщает свои подозрение по ситуации.
- Что бы делает выводы, не хватает полезной информации. В сети зачастую транслируется бесполезная.
- Определяющий фактор это среда функционирования.
Варианты реакций на обнаруженные атаки
Обнаружить атаку это пол дела, нужно еще и сделать определенные действия. Именно варианты реагирования определяют эффективность системы обнаружения атак. Ниже приведем следующие варианты реагирования.