На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Использование средств аудита

Как уже говорилось ранее, хакеры используют множество способов для проникювения в чужие сети и перехвата конфиденциальной информации. Средства 1удита - самый лучший метод обнаружения постороннего вмешательства. Сред­ства аудита - это создаваемая операционной системой запись о действиях поль-юватели. Они помогают не только в том случае, если хакер уже вторгся в вашу :еть, но и непосредственно в момент проведения атаки. В этой главе рассказыва­лся о нескольких средствах аудита, С помощью которых вы сможете существен­на повысить безопасность системы. Прочитав главу, вы узнаете следующее:
* Средства аудита создают записи обо всех действиях в системе.
Обычно средства аудита настраиваются на регистрацию доступа к запре­щенным объектам.
» С помощью средств аудита, установленных на экранирующем маршрути­заторе и брандмауэре, можно предотвратить атаки хакеров.
* В зависимости от хранимой на сервере информации можно использовать различные уровни средств аудита. Существует три таких уровня: средства аудита компьютерного уровня (самый низкий уровень), средства аудита каталогов (средний уровень) и средства аудита объектов (самый высокий
уровень).
* С помощью средств аудита можно выяснить, какой вред нанес вам хакер или какие данные были украдены.
* Политика безопасности должна включать в себя поддержку средств ауди­та, регулярный анализ и создание резервных копий записей.
* Даже самые безопасные системы могут пострадать от некорректных дей­ствий пользователя. Средства аудита — единственный путь обнаружить по­добные действия.
» Если хакер взломал систему, то о его действиях можно узнать из записей средств аудита.
* Замена небезопасных систем безопасными — это достаточно дорогой ме­тод защиты. Возможно, вам подойдет более простое решение, а именно средства аудита.
Uepboi ЗНАКОМСТВО со СРЕДСТВАМИ АУДИТА
Средства аудита — это автоматизированный метод отслеживания всех транзак­ций, происходящих на сервере и (в некоторых случаях) в сети. Средства аудита (в Windows NT они называются Просмотр событий) являются важным методом


администрирования сети. Большинство сетевых администраторов используют их по следующим причинам:
1. Чтобы отслеживать попытки взлома системы (изнутри или снаружи).
2. Чтобы наблюдать за действиями работников.
3. Чтобы наблюдать за доступом к серверу. Каждый раз, когда сервер посы­лает вызов (запрос на идентификацию клиента или прав доступа), хост, пытающийся получить доступ к серверу, должен ответить. В ответ хоста входит его IP-адрес. С помощью этой информации системный админист­ратор может просмотреть, кто пытается получить доступ к серверу, кто уже работает с сервером, как получен доступ и что делает клиент, полу­чивший доступ.
Короче говоря, средства аудита призваны помогать администраторам выслежи­вать нарушителей. Кроме того, они могут и остановить нападающего. Можно настроить их так, чтобы они предупреждали администратора в том случае, если кто-то пытается проникнуть в систему. Отмечу также, что средства аудита — это наилучший путь наблюдения за внешними пользователями.
Центр NCSC (National Computer Security Center) принял следующее определе­ние средств аудита:
«[Средства аудита — это] хронологическая запись о действиях системы, достаточная, для того чтобы можно было реконструировать, повторно просмотреть и проверить последовательность окружений и действий, со­путствующих или приведших к каким-либо операциям, процедурам или событиям в транзакции от ее начала и до конца».
показано, как средства аудита позволяют прослеживать дей­ствия внутри системы.
Подключение СРЕДСТВ АУДИТА
Большинство серверов содержат средства аудита внутри паке­тов установки. Обычно они подключаются прямо на этапе установки системы. Если по какой-либо причине вы захотите отключить средства аудита, вы должны сделать это вручную. Средства аудита намного затрудняют задачу хакера. Дело в том, что они сохранят запись обо всех его попытках вторжения. Чтобы узнать, как подключить средства аудита, ознакомьтесь с документацией на систему. После этого нужно определить, какие действия в системе будут регистриро­ваться. Управление процессом записи - это достаточно легкая задача. На­пример, можно заставить систему прослеживать только процессы регистра­ции в системе. Однако на достаточно загруженном сайте даже эта простей­шая операция может потребовать для своего анализа многих часов работы.
ПРОБЛЕМЫ
Прежде всего вы должны усвоить, что средства аудита не являются панацеей от всех бед. Если кто-то сумел «подменить» вашу систему, то этого нельзя будет зафиксировать с их помощью. Если кто-либо просто «наблюдает» за вашей систе­мой, то и в этом случае средства аудита вряд ли помогут вам — ведь злоумышлен­ник не пытается получить доступ к системе. Однако если хакер проводит актив­ную атаку (9), то создаваемый в этом случае шторм TCP ACK породит достаточное количество пакетов, чтобы даже новичок смог обнаружить атаку.
Как и все другие инструменты, средства аудита требуют совместного использо­вания других средств защиты системы. Они не могут заменить брандмауэр или экранирующий маршрутизатор. Точно так же средства аудита не могут быть за­менены другими инструментальными средствами. При создании политики без­опасности системы обязательно включите в нее и средства аудита. Далее я рас­скажу о том, как внедрить этот инструмент в систему и как с его помощью
отслеживать действия системы. СРЕДСТВА аудит. В WEE
В Web находится огромное количество прекрасных средств аудита, предлагаемых бесплатно или в виде демонстрационных версий. Например, можно бесплатно загрузить средство NADIR (Network Anomaly Detection and Intrusion Reporter) для Unix.
Национальная лаборатория Лос-Аламоса разработала систему NADIR специ­ально для своей огромной сети суперкомпьютеров. С ее помощью проводит­ся наблюдение не только за работой суперкомпьютеров Cray, но и за сетевой идентификацией (Kerberos), и действиями с файлами (Common File System). В системе NADIR использована модель клиент-сервер и построенные для Unix рабочие станции Sybase. Эта система поддерживает профили и истории к событий для каждой обслуживаемой системы и каждого пользователя. Кроме того, она позволяет устанавливать правила для профилей, с помощью которых можно регистрировать все аномальные действия в системе. За более подроб­ной информацией я отсылаю вас на Web-сайт Национальной лаборатории Лос-Аламоса, расположенный по  адресу http://www.c3.lanl.gov/~gslentz/ nadirTemplate.shtml.
СРЕДСТВА АУДИТА и UNIX
В Unix существует огромное количество средств аудита, средств регистрации пользователей в системе и других полезных инструментов. Чтобы упростить жизнь системных администраторов, утилиты, входящие в стандартную конфигурацию многих Unix-машин, генерируют журналы регистрации попыток входа в систе­му. Большинство из этих журналов хранятся в системе в виде ASCII-файлов. Однако существуют и такие утилиты, которые сохраняют записи в цифровом виде. Далее приводится описание некоторых из наиболее важных утилит Unix, связанных со средствами аудита. Большинство из них сохраняет записи в виде ASCII-файлов, благодаря чему можно распечатывать их на бумаге.
LASTLOG
Lastlog — это простейшее средство аудита, применяемое в системах Unix. В файле lastlog хранятся записи о времени последнего входа в систему и располо­жении каждого пользователя. Когда пользователь регистрируется в системе Unix, программа регистрации (известная как login) ищет идентификатор пользователя (UID - User Identificator) в файле lastlog. После этого система отобразит на экране время последнего входа в систему и порт терминала (TTY). Некоторые версии Unix отображают как успешные, так и неудачные попытки регистрации. С помощью этой информации пользователь может проверить, не вошел ли кто посторонний в систему под его именем. Например, если пользователь послед­ний раз регистрировался в системе в мае, а хост указывает на то, что он последний раз входил в систему вчера, то это значит, что кто-то взломал пароль этого пользователя.
Каждый элемент файла lastlog соответствует каждой попытке входа в систему. Далее приводится листинг. В первых трех строках содержится стандартный вы­зов регистрации в системе. В четвертой строке расположен элемент файла lastlog, соответствующий последнему входу в систему:
BDSI BSD/386  1.1 unibox (ttyp5) login:   ejren <Enter> Password: <Enter>
Last login:  Sun, Sep 07 15:32:48 fromejren.com
С помощью четвертой строки можно выяснить, не входил ли кто-нибудь посто­ронний в систему под вашим именем. Например, в файле lastlog содержится
информация о том, что в последний раз пользователь зарегистрировался на сер­вере в полночь, а пользователь точно знает, что закончил работу в пять часов вечера. Это может значить только одно — кто-то взломал пароль и попытался воспользоваться им для входа в систему. Попросите пользователей внимательно читать информацию о последнем входе в систему. Это позволит повысить уро­вень их личной безопасности и безопасности всей системы целом.
После этого программа login обновит файл lastlog и информацию о терминале (TTY), а также журналы регистрации utmp и wtmp. Эти файлы будут подробно описаны в следующих разделах. Далее приводится листинг нескольких элемен­тов файла lastlog.
Sun, 30  15:32:48 from ejren.com
Fri,  Aug 28 08:15:26 from jamsa.com Thu, Aug 27  14:45:57 from gulfpub.com
Обратите внимание на то, что записи файла lastlog представляют собой стек LIFO (last-in, first-out). Другими словами, первая запись в этом файле относится к пользователю, входившему в систему раньше всех. Файл lastlog содержит ин­формацию только о дате и времени регистрации в системе. Если же хакер ни­когда не регистрировался в системе, то эта информация будет бесполезной.
СРЕДСТВО АУДИТА Stalker
Haystack Laboratories, Inc. разработала Stalker - коммерче­ское средство мониторинга систем Unix. Оно позволяет наружить постороннее вмешательство в систему, а также не­корректные действия внутренних пользователей системы. До­стигается это благодаря анализу записей средств аудита. Если Stalker обнаружит какие-либо подозрительные действия пользователя или самой системы, то он немедленно доложит об этом системному администра­тору. Под подозрительными действиями понимаются операции, мые при проведении атак. Stalker облегчает работу системного администра­тора. Теперь ему не придется просиживать долгие часы, просматривая запи­си средств аудита — все необходимые записи для него отыщет Stalker. Кроме того, в продукт элемент управления средствами аудита и
позволяющий хранить записи многих систем Unix на одном сервере. Сред­ство Stalker может работать на системах Sun, IBM и HP Unix. За более подроб­ной информацией относительно Stalker я отсылаю вас на Web-сайт компании Haystack Laboratories, расположенный по адресу http://www.haystack.com/.
СРЕДСТВО
Если системный администратор заподозрил, что кто-то пытается атаковать сис­тему, то он первым делом попытается узнать, кто работает в системе в настоя­щее время. Для этих целей в системе Unix существует файл utmp. Как вы уже могли догадаться, содержимое этого файла постоянно изменятся по мере регис­трации новых пользователей и выхода из системы старых. Однако этот файл хранит информацию только о текущих пользователях системы — в нем нет ника­ких сведений о тех, кто уже вышел из системы.
К сожалению, у файла есть несколько недостатков, что приводит к регу­лярному появлению ошибок. Например, может произойти так, что оболочка пользователя (соединение с сервером Unix) завершает свою работу (обрывает­ся), не обновив файл utmp. Если после такого происшествия системный адми­нистратор прочитает этот файл, то в нем будет храниться информация и об уже завершившем работу пользователе. Более того, файл utmp содержит обычную текстовую информацию. Поэтому он не защищен от постороннего вмешатель­ства. Любой зарегистрировавшийся в системе пользователь может прочесть и изменить этот файл с помощью простейшего текстового редактора. Если хакер удалит элемент файла, то система не будет исправлять эту ошибку. Дело в том,
что Unix добавляет записи в данный файл при создании новой оболочки пользо­вателя и удаляет записи при удалении работающей оболочки. Поэтому хакер может спокойно удалить запись о своей регистрации в системе, и системный администратор не сможет обнаружить его присутствия.
Кроме того, некоторые реализации Unix (например, BSD Unix) предоставляют
обычным пользователям права на изменение файла utmp. Несмотря на то что многие коммерческие версии Unix позволяют изменять файл только администра­торам, вы должны самостоятельно проверить этот факт. Запомните: файл utmp должен просматривать и изменять только администратор системы.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика