На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Программы обнаружения сетевых атак

Злоумышленники редко бесцеремонно вторгаются в сеть с «оружием» в руках. Они
предпочитают проверить, надежны ли запоры на двери и все ли окна закрыты. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные от­дельным пользователям и сетевым устройствам.


Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное программное обеспечение детектирования сетевых атак, обладающее высокой чувствительностью. Приоб­ретаемый продукт должен предупреждать админист­ратора не только о случаях явного нарушения систе­мы информационной безопасности, но и о любых
подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительно­сти скрывают полномасштабную хакерскую атаку. Нет нужды доказывать, что о вся­кой активной попытке взлома системных паролей администратор должен быть изве­щен немедленно.
Современные корпорации находятся буквально под перекрестным огнем со сторо­ны злоумышленников, стремящихся похитить ценные сведения или просто вывести из
строя информационные системы. Задачи, преследуемые в борьбе с хакерами, доста­точно очевидны:
уведомление о предпринятой попытке несанкционированного доступа должно быть немедленным;
отражение атаки и минимизация потерь (чтобы противостоять злоумышленни­ку, следует незамедлительно разорвать сеанс связи с ним);
□ переход в контрнаступление (злоумышленник должен быть идентифицирован и
наказан).
Именно такой сценарий использовался при тестировании четырех наиболее попу­лярных систем выявления сетевых атак из присутствующих сегодня на рынке: a BlacklCE;
□ Intruder Alert; a Centrax;
□ eTrust Intrusion Detection.
Характеристика указанных программных систем обнаружения сетевых атак при­ведена в табл. 3.2.
Программа BlacklCE фирмы Network ICE - специализированное приложение-агент, предназначенное исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию, поступившую от разных агентов, и стремяще­муся локализовать атаку на сеть.
Программное обеспечение Intruder Alert компании Alert Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, посколь­ку оно предоставляет максимальную гибкость в определении стратегий защиты сети.
Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его
составе есть средства контроля за системой безопасности, мониторинга трафика, вы­явления атак и выдачи предупреждающих сообщений.
Система eTrust Intrusion Detection корпорации Computer Associates особенно силь­на функциями контроля за информационной безопасностью и управления стратегия­ми защиты, хотя и в этом продукте реализованы средства вьщачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.


Таблица 3.2. Характеристика программных систем обнаружения сетевых атак


Программная система

Производитель

Характеристика системы

BlacklCE (специализированное приложение-агент)

Network ICE

Устанавливается на компьютере удаленного поль­зователя или на узле корпоративной сети. Выдает предупреждение об атаке на экран мони­тора пользователя.
Сообщает о попытке НСД на средства сетевого мониторинга.
Имеет возможность загрузки свежих сигнатур ха-керских атак с сервера. Выявляет источник атаки сети.

Intruder Alert (инструментарий детектирования сетевых атак)

Alert
Technologies

Выбирает стратегию защиты сети. Поддерживает высокий уровень набора правил се­тевой защиты.
Загружает сигнатуры хакерских атак. Требует наличия опытных специалистов для об­служивания.

Centrax
(инструментарий
детектирования сетевых атак)

Cyber Safe

Контролирует систему безопасности сети. Осуществляет мониторинг трафика.
Выдает предупреждающие сообщения о сетевой
атаке.
Требует наличия опытных специалистов для об­служивания.

eTrust Intrusion Detection (анализатор трафика
сети сегмента)

Computer
Associates

Управляет стратегиями защиты. Выдает предупреждения об атаке в режиме реаль­ного времени.
Осуществляет мониторинг трафика.
Предупреждает  администратора  о нарушениях стратегии защиты.
Сообщает о наличии ненормативной лексики в электронной почте.
Располагает информацией о злоумышленнике.

Предупреждения, генерируемые агентами BlacklCE, очень конкретны. Текст сооб­щений не заставит администратора усомниться в характере зарегистрированного со­бытия, а в большинстве случаев и в его важности. Кроме того, продукт позволяет ад­министратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет необходимости.
Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert является возможность загрузки самых свежих сигнатур хакерских атак с сервера.
Попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service),TaflT в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов (на установление соединения), адресованных атакуемому сер­веру. Каждый запрос снабжается фальшивым адресом источника, что значительно зат­рудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то, что данные после этого не поступают, сервер обязан выждать определенное время (макси­мум 45 с), перед тем как разорвать соединение. Если несколько тысяч таких ложных


запросов будут направлены на сервер в течение считанных минут, он окажется пере­гружен, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате настоящим пользователям будет отказано в обслуживании.
Во всех описываемых системах, за исключением eTrust Intrusion Detection корпо­рации Computer Associates, использована модель программных агентов, которые сна­чала инсталлируются на сетевых устройствах, а затем осуществляют сбор информа­ции о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответству­ющие сообщения.
Системы на базе агентов являются наилучшим решением для коммутируемых се­тей, поскольку в таких сетях не существует какой-либо одной точки, через которую
обязательно проходит весь трафик. Вместо того чтобы следить за единственным со­единением, агент мониторинг всех пакетов, принимаемых или отправ­ляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором.
Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе отведена роль агента, устанавливаемого в полностью автоном-
ной операционной среде, например, на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если
же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о
попытке несанкционированного доступа будет передано другому приложению — ICEcap, содержащему средства сетевого мониторинга. Последнее собирает и сопос­тавляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопас­ности сети.
Система eTrust, напротив, основана на централизованной архитектуре. Она уста­навливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все собы­тия в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смот­ровую площадку», откуда вся сеть была бы видна как на ладони.
Пакет Intruder Alert и система Centrax производства CyberSafe представляют со­бой скорее инструментарий для построения собственной системы детектирования се­тевых атак. Чтобы в полной мере воспользоваться их возможностями, организация
должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу.
Несмотря на то, что все описываемые продукты легко инсталлировать, управление
системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выда­ет предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отлича­ются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обыч­ному человеку достаточно только намекнуть, о чем может идти речь, и характер про­


исходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификато­ров. Администратор видит адреса портов, к которым относились подозрительные зап­росы, либо параметры других операций, но не получает никакой информации о том,
что же все это может означать.
Отмеченное обстоятельство значительно снижает ценность сообщений, выдавае­мых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь по­пытка провести более тщательный анализ трафика. Иными словами, покупать назван­ные продукты имеет смысл лишь в том случае, если в штате вашей организации есть
опытные специалисты по информационной безопасности.
Программное обеспечение eTrust Intrusion Detection корпорации Computer
Associates представляет собой нечто большее, чем просто систему мониторинга сете­вой активности и выявления хакерских атак. Этот продукт способен не только декоди­ровать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система осуще­ствляет мониторинг всего трафика TCP/IP и предупреждает администратора о случа­ях нарушения установленных стратегий в области информационной безопасности.
Правда, эта разработка не поддерживает такого же уровня детализации наборов пра­вил, как Intruder Alert.
Однако детектирование попыток несанкционированного доступа и выдача предуп­реждающих сообщений — это только полдела. Программные средства сетевой защи­ты должны остановить действия хакера и принять контрмеры. В этом смысле наилуч­шее впечатление производят пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies
можно настроить таким образом, что оно будет запускать тот или иной командный
файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.
Отразив атаку, хочется сразу перейти в контрнаступление. Приложения Black-ICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполня­ются после прослеживания всего пути до «логовища», где затаился неприятель. Воз­можности программного обеспечения особенно впечатляют, когда дело до­ходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.
А вот система eTrust поражает степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находит­ся под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках, даже о том,
где они находятся.
Приложение Centrax способно создавать так называемые файлы-приманки, при­сваивая второстепенному файлу многозначительное название вроде «Ведо-MocTb.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алго­ритм представляется нам слишком прямолинейным, но и он может сослужить непло­


хую службу: с его помощью удается «застукать» сотрудников за «прочесыванием»
корпоративной сети на предмет выявления конфиденциальной информации.
Каждый из рассмотренных программных продуктов генерирует отчеты о подозри­тельных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. После­дний пакет отличается особенной гибкостью, возможно, потому, что ведет свое проис­хождение от декодера протоколов. В частности, администратор может проанализиро­вать сетевые события в проекции на отдельные ресурсы, будьте протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разрабо­танных форматов отчетов. Их хорошо продуманная структура заметно облегчает об­наружение злоумышленников и позволяет наказать провинившихся пользователей.
Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите комму­тируемых сетей, неплохим выбором являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection идеален для своевременно­го уведомления о случаях нарушения этики бизнеса, например, об употреблении не­нормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax — прекрасный инструментарий для консультантов по вопросам информаци­онной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услу­гам высокооплачиваемых специалистов, рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.
Сканеры как средства проверки защиты сети
Когда-то давным-давно (или не очень) жесткие диски персональных компьютеров были объемом всего-навсего 10 Мбайт, а их оперативная память не превышала 640 Кбайт. Модемы работали на скоростях от 300 до 1200 бит/с, и мало кто из пользо­вателей слышал о глобальной компьютерной сети Internet. Конечно, эта сеть суще­ствовала уже тогда, но использовалась исключительно в военных целях, а работать с ней можно было только при помощи командной строки. Но не это служило основным препятствием для массового доступа к сети Internet. Вычислительные машины, кото­рые могли быть задействованы в качестве серверов, были очень дорогими — их сто­имость исчислялась миллионами долларов. Да и сами персональные компьютеры сто­или тогда весьма недешево, и были по карману только
обеспеченным людям.
Но уже тогда находились люди, которые охотились за чужими секретами. Представим себе, как за персо­нальным компьютером сидит юноша лет 15—17 и об­званивает при помощи модема телефонные номера, которые ему сообщил приятель. В большинстве слу­чаев на другом конце провода оказывается другой модем, и на экране монитора появляется приглаше­ние зарегистрироваться, т. е. ввести имя и пароль.


Каждый раз, получив такое регистрационное приглашение, юноша начинает лихора­дочно перебирать различные пары имен и соответствующих им паролей. Наконец, одна пара подходит, и юный взломщик получает возможность управлять удаленным компь­ютером, не выходя из дома.
Сейчас уже трудно поверить, что первым компьютерным взломщикам приходи­лось так напрягаться. Ведь известно, что они очень не любят выполнять рутинную работу и при всяком удобном случае стараются заставить свои компьютеры занимать­ся такой работой. Поэтому неудивительно, что компьютерные взломщики вскоре со­здали специальное программное средство, чтобы не набирать вручную дюжину ко­манд. Это программное средство назвали боевым номеронабирателем.
Боевой номеронабиратель представляет собой программу, обзванивающую задан­ные пользователем телефонные номера в поисках компьютеров, которые в ответ на по­ступивший звонок выдают регистрационное приглашение. Программа аккуратно сохра­няет в файле на жестком диске все такие телефонные номера вместе с данными о скорости соединения с ними. Один из самых известных и совершенных боевых номеронабирате­лей — TONELOC, предназначенный для работы в среде операционной системы DOS (он может быть запущен под управлением Windows 95/98 в режиме командной строки).
Дальнейшее совершенствование боевых номеронабирателей привело к созданию сканеров. Первые сканеры были весьма примитивными и отличались от боевых номе­ронабирателей только тем, что специализировались исключительно на выявлении ком­пьютеров, подключенных к сети Internet или к другим сетям, использующим протокол
TCP/IP. Они были написаны на языке сценариев программной оболочки операцион­ной системы UNIX. Такие сканеры пытались подсоединиться к удаленной хост-маши­не через порты TCP/IP, отправляя всю информацию, которая выводилась на устройство стандартного вывода этой хост-машины, на экран монитора того компь­ютера, где был запущен сканер.
Ныне сканеры стали грозным оружием как нападения, так и защиты в Internet. Что же представляет собой современный сканер?
Сканер — это программа, предназначенная для автоматизации процесса поиска слабостей в защите компьютеров, подключенных к сети в соответствии с протоколом
TCP/IP. Наиболее совершенные сканеры обращаются к портам TCP/IP удаленного ком­пьютера и в деталях протоколируют отклик, который они получают от этого компью­тера. Запустив сканер на своем компьютере, пользователь, даже не выходя из дома, может найти бреши в защитных механизмах сервера, расположенного, например, на другом конце земного шара.
Большинство сканеров предназначено для работы в среде UNIX, хотя к настояще­му времени такие программы имеются практически для любой операционной систе­мы. Возможность запустить сканер на конкретном компьютере зависит от операцион­ной системы, под управлением которой работает этот компьютер, и от параметров подключения к Internet. Есть сканеры, которые функционируют только в среде UNIX, а с остальными операционными системами оказываются несовместимыми. Другие от­казываются нормально работать на устаревших компьютерах с Windows и с мед­ленным (до 14 400 бит/с) доступом по коммутируемым линиям к Internet. Такие ком­пьютеры будут надоедать сообщениями о переполнении стека, нарушении прав доступа или станут просто зависать.


Критичным является и объем оперативной памяти компьютера. Сканеры, которые управляются при помощи командной строки, как правило, предъявляют более слабые требования к объему оперативной памяти. А самые «прожорливые» — сканеры, снаб­женные оконным графическим интерфейсом пользователя.
Написать сканер не очень трудно. Для этого достаточно хорошо знать протоколы TCP/IP, уметь программировать на С или Perl и на языке сценариев, а также разби­раться в программном обеспечении сокетов. Но и в этом случае не следует ожидать, что созданный вами сканер принесет большую прибыль, поскольку в настоящее время предложение на рынке сканеров значительно превышает спрос на них. Поэтому наи­большая отдача от усилий, вложенных в написание сканера, будет скорее моральной (от осознания хорошо выполненной работы), чем материальной.
Не стоит переоценивать положительные результаты, которых можно достичь бла­годаря использованию сканера. Действительно, сканер может помочь выявить дыры в защите хост-машины, однако в большинстве случаев информацию о наличии этих дыр сканер выдает в завуалированном виде, и ее надо еще уметь правильно интерпретиро­вать. Сканеры редко снабжают достаточно полными руководствами пользователя. Кроме того, сканеры не в состоянии сгенерировать пошаговый сценарий взлома ком­пьютерной системы. Поэтому для эффективного использования сканеров на практике прежде всего необходимо научиться правильно интерпретировать собранные с их по­мощью данные, а это возможно только при наличии глубоких знаний в области сете­вой безопасности и богатого опыта.
Обычно сканеры создают и применяют специалисты в области сетевой безопасно­сти. Как правило, они распространяются через сеть Internet, чтобы с их помощью сис­темные администраторы могли проверять компьютерные сети на предмет наличия в них изъянов. Поэтому обладание сканерами, равно как и их использование на практи­ке, вполне законно. Однако рядовые пользователи (не системные администраторы) должны быть готовы к тому, что, если они будут применять сканеры для обследования чужих сетей, то могут встретить яростное сопротивление со стороны администрато­ров этих сетей.
Более того, некоторые сканеры в процессе поиска брешей в защите компьютерных сетей предпринимают такие действия, которые по закону можно квалифицировать как несанкционированный доступ к компьютерной информации, или как создание, исполь­зование и распространение вредоносных программ, или как нарушение правил эксп­луатации компьютеров, компьютерный систем и сетей. И если следствием этих дея­ний стало уничтожение, блокирование, модификация или копирование информации,
хранящейся в электронном виде, то виновные лица в соответствии с российским зако­нодательством подлежат уголовному преследованию. А значит, прежде чем начать пользоваться первым попавшимся под руку бесплатным сканером для UNIX-платформ, стоит убедиться, а не копирует ли случайно этот сканер заодно и какие-нибудь файлы
с диска тестируемой им хост-машины (например, файл password из каталога /ETC).
Часто к сканерам ошибочно относят утилиты типа host, rusers, finger, Traceroute, Showmount. Связано это с тем, что, как и сканеры, данные утилиты позволяют соби­рать полезную статистическую информацию о сетевых службах на удаленном компь­ютере. Эту информацию можно затем проанализировать на предмет выявления оши­бок в их конфигурации.


Действительно, сетевые утилиты выполняют ряд функций, которые характерны для сканеров. Однако в отличие от них использование этих утилит вызывает меньше подо­зрений у системных администраторов. Выполнение большинства сетевых утилит на
удаленной хост-машине практически не оказывает никакого влияния на ее функцио­нирование. Сканеры же зачастую ведут себя как слон в посудной лавке оставляют следы, которые трудно не заметить. Кроме того, хороший сканер — явление довольно редкое, а сетевые утилиты всегда под рукой. К недостаткам сетевых утилит можно отнести то, что приходится выполнять вручную слишком большую работу, чтобы до­биться того же результата, который при помощи сканера получается автоматически.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика