Обнаружение хакерских атак на ваш компьютер. Технология сравнения с образцами

Проникнуть в чужую беспроводную сеть – чем не забава?! Пошалишь - и смотаешься. Взломщик не подключается к сети по проводам и может находиться где угодно, лишь бы был уверенный прием. В автомобиле, на улице, например. Попробуй поймай! Только вот что я тебе скажу: все это — популярное заблуждение. Технологии защиты развиваются, и даже банальное сканирование эфира самими обычными программами выдаст тебя с потрохами. А ты не знал?

Как выявить сканирование?

Чтобы найти поблизости беспроводные устройства , а следовательно, и
беспроводные сети , используют специальные сканеры эфира. Поставил такую штуку на ноутбук или КПК и гуляешь по городу, в то время как программа ведет логи всех найденных точек доступа, с указанием SSID (идентификатора сети), производителя оборудования, механизма шифрования, скорости работы и даже координат, если к ноуту подключен GPS-модуль.

Знакомые софтины - Netstambler, Macstambler, Kismet (или его версия под винду — Kiswin) - в два счета просканируют эфир и выдадут всю информацию на экран.

Но тут есть один важный момент, о котором многие даже не подозревают! Эти сканеры не просто пассивно просматривают эфир, но также используют активные методы исследования, посылая в сеть специальные пакеты. Если ты просканировал эфир Netstambler’ом, то считай, ты уже выдал свое присутствие. Хорошо, если
беспроводная сеть - это одинокая точка доступа, которой вряд ли даже поменяли пароль для администрирования через веб-панель. Но если это серьезная компания, то к любой подобной активности (внутри закрытой сети) отнесутся с подозрением. И дело тут вот в чем.

Когда осуществляется пассивное сканирование (в соответствии со стандартом 802.11, то есть Wi-Fi), ничего страшного не происходит, но и эффективность такого сканирования нулевая! Как только дело касается интимной информации о сети (которая может быть очень полезна взломщику), стемблер выдает свое присутствие из-за специального LLC/SNAP-фрейма.

Еще 3 года назад (23 марта 2004 года) хакер-исследователь Mike Craik предложил уникальный идентификатор, по которому можно задетектить трафик программы NetStumbler: LLC-фреймы, генерируемые сканером и содержащие уникальный идентификатор (OID) 0x00601d и идентификатор протокола (PID) 0x0001. Кроме того, специальная строковая переменная, передающаяся через 58-байтное поле данных, содержит информацию о версии продукта в так называемом «пасхальном яйце»:

0.3.2 Flurble gronk bloopit, bnip Frundletrune
0.3.2 All your 802.11b are belong to us
0.3.3 " intentionally blank"

Причин для таких подвохов может быть много, в том числе просьба оперативных органов, ссориться с которыми автору бесплатной программы, естественно, не хочется. Чтобы устранить «пасхальное яйцо», следует поковырять бинарник netstumbler.exe редактором ресурсов и изменить его. Но это не решит проблему обнаружения сканирования (с LLC-фреймом ничего не сделать). И к слову, Ministumbler — тулза из той же серии, только для платформы Pocket PC, —
содержит аналогичные подвохи.

А как насчет альтернативы Netstumbler’у?

Теперь понятно, каким образом тебя может выдать обычное сканирование? И вроде бы ничего не делал, а по шапке получить уже можешь. Причем что с Netstumbler’ом, что с любым другим софтом. Рассмотрим лишь несколько примеров.

Это известнейший BSD-сканер беспроводных сетей , который, в отличие от Netstumbler, может проводить пассивное сканирование (режим RFMON), то есть определяет наличие точки доступа и ее SSID. Тем не менее, в режиме активного сканирования в нем тоже существуют эксклюзивные свойства. В поисках точки доступа программа генерирует огромное количество запросов (frame_control 0x0040). После получения ответа точки доступа на подобный запрос будет произведена попытка запроса авторизации (0x0b) и ассоциации (0x0c). Эти значения являются константами, что
дает право на их использование в качестве уникального идентификатора.

Может быть, кто-то, прочитав это, подумает: «А в чем проблема? Заюзай тот самый, пассивного сканирования, и все дела!» Возьмем сканер Wellenreiter, включенный в состав известного хакерского LiveCD-дистрибутива - BackTrack. Утилита заточена под Unixware-окружение и в качестве базового условия для старта, естественно, использует iwconfig. После опознавания
беспроводной карточки ESSID будет автоматически выставлен на «This is used for wellenreiter», а MAC-адрес сконфигурирован на произвольный. Опять палево!

После такого разгрома даже руки опускаются. Не софт, а настоящее западло для хакера. Что же делать? Заюзать Windows-механизм? Скачивать ничего не надо, и работает он, в общем-то, неплохо - хороший, вроде бы, вариант… Как бы не так! Его механизм тоже использует активный режим сканирования, посылаются те же запросы с широковещательным SSID и уникальным программным идентификатором, что и будет основой детекта подобного рода сканирования. Уникальный фрагмент находится в части «SSID Parameter Set» и состоит из 32 байтов.

Воспользовавшись функциональными способностями снифера Ethereal (Wireshark), можно без труда определить подобную активность потенциального «воздушного» хакера:

Netstumbler: wlan.fc.type_subtype eq 32 and llc.oui eq 0x00601d and llc.pid eq 0x0001

Dstumbler: (wlan.seq eq 11 and wlan.fc.subtype eq 11) or (wlan.seq eq 12 and wlan.fc.subtype eq 00)

Как поймать хулигана?

Важно не столько засечь несанкционированные действия в сети, сколько выявить нарушителя. Здесь возникает определенная головоломка, так как мобильность самой технологии Wi-Fi изначально подразумевает таких же мобильных клиентов, которые могут перемещаться во время сеанса пользования сетью. Нашей задачей будет выработка схемы сетевой инфраструктуры, в которой существовало бы как минимум две предпосылки, свидетельствующих о наличии злоумышленника среди доверенного радиопокрытия. Способы обнаружения злоумышленника обычно базируются на данных, поступающих из разных, удаленных друг от друга источников. При этом анализируются данные об уровне приема абонента, а также информация из логов систем обнаружения вторжений
(IDS).

Лог IDS-системы, отмечающий активность беспроводных соединений с помощью стандартного механизма Windows XP

На представленной схеме перед нами модель тривиальной постановки: точки Y и Z выступают в роли AP-«мониторов» (сенсоров нападения), так или иначе передающих событие «произошло сканирование» на специальную систему. Конец коридора ограничен бетонными стенами, изолирующими сигнал от помех извне. Задавая границу в радиопокрытии точки (к примеру, 10 метрами), можно выработать действия по реагированию на подозрительные события.

Модель логики построения безопасности с участием сенсоров

Не трудно догадаться, что если будет заподозрен последовательный Stumbling от точек z,y к x, то злоумышленник находится в вполне определенном квадрате пространства. Соответственно, создавая подобную архитектуру по флагам и опираясь на внимание и определенный набор ПО, можно давать указание службе безопасности выдвигаться в соответствующие стороны.

Остается вопрос: чем фиксировать действия сканера? Это реализуется следующими программными решениями.

Snort Wireless

Адрес: snort-wireless.org
Платформа: Unix

Эдакая «пожарная сигнализация», которая предупредит практически о любой попытке взлома. Главное, чтобы были грамотно настроены все правила или, иначе говоря, предварительно заданные шаблоны
атак и вредоносных объектов. Snort Wireless работает подобно популярному Snort, но в
беспроводных сетях 802.11x , защищая их от нападения. Настройка сводится к следующим пунктам:

• указание информации об охраняемой территории (параметры сети, имя точки доступа);
• конфигурация предпроцессоров;
• конфигурация плагинов;
• дополнительные собственные правила.

Наиболее важный пункт здесь – конфигурация предпроцессоров, благодаря которым и происходит переход с намека на
атаку к боевой тревоге.

Предпроцессор Anti Stumbler. Для обнаружения точек доступа Netstumbler рассылает широковещательные нулевые SSID, которые заставляют другие точки доступа прислать свои SSID нам. Snort осознает массовость этого дела с одного MAC-адреса и объявляет тревогу. Помимо этого, в наборе Snort Wireless присутствуют предпроцессоры для детекта пассивного скана и попытки подмены
MAC.

Предпроцессор Anti Flood. При превышении определенного количества кадров в единицу времени или попыток авторизации происходит распознавание Denial Of Service
Atack.

Предпроцессор Anti Mac spoofing. Выявление несоответствий и сравнение с базой данных доверенных клиентов.

После редактирования всех параметров файл snort.conf обновится, и ты сможешь запустить демон в фоновый режим:

Snort -D -A ful l

Nssys glass

Адрес: home.comcast.net/~jay.deboer/nsspyglass
Платформа: Windows

Netstumbler Spyglass использует тот же принцип, что и предпроцессор Snort Wireless. К сожалению, из-за малого спектра поддерживаемого оборудования его не так часто применяют. Рассмотрим его настройку на примере роутера LinkSys. Перед работой необходимо позаботиться о наличии драйвера WinPcap
(winpcap.polito.it).

Конфигурация Nssys требует обязательного указания сетевого адаптера

0402011110BB Access Point MAC Address (No colons and No spaces)
C:\windows\calc.exe
0
5
C:\windows\notepad.exe
0
1
1
0
1
0
1

В таком непонятном конфиге сам черт ногу сломит, поэтому я объясню все по-порядку. В первой строке требуется прописать MAC-адрес точки доступа. Вторая строка указывает путь к приложению, которое будет запущено в момент опознания злоумышленника. Третья принимает значения 0 или 1, в зависимости от твоего желания запускать указанное приложение или нет. Четвертая строка – таймаут в секундах до запуска следующего приложения после обнаружения вардрайвера. Пятая и шестая строка аналогичны второй и третьей, но как раз следующего приложения. Седьмая определяет запись истории событий в лог NSSpyglassLog.txt. Остальное неважно – скопируй, как есть.

После пробы такого софта Nestumbler использовать даже как-то не хочется

Airsnare

Адрес: home.comcast.net/~jay.deboer/airsnare
Платформа: Windows

Если в сети работают одни и те же устройства (например, ноутбуки сотрудников), то можно легко внести их MAC-адреса в «белый список» и отслеживать появление посторонних устройств, которые в этот список не входят. На таком простом принципе, в частности, базируется программа Airsnare. Все, что тебе понадобится для работы, - это библиотека WinPcap (winpcap.polito.it) и свободный компьютер, подсоединенный к
беспроводной точке доступа . В настройках программы не забудь выбрать требуемый адаптер и внести в Friendly Mac list все доверенные устройства, подключенные к твоей сети, включая Mac’и, Xbox’ы, сетевые принт-серверы, лэптопы, iPod’ы с поднятым Wi-Fi и тому подобные излишки моды. Нажимаем «Start», и экран меняет цвет на красный, что говорит о том, что твоя тачка перешла в боевой режим, режим поиска прыщавых хакеров.

Мониторинг долбящихся в сеть студентов налицо

Активные методы

Во всех этих примерах так или иначе были задействованы статические системы обнаружения
атак в беспроводной среде . Но наверняка есть и более сложные и эффективные техники обнаружения злоумышленника! Хочу обратить твое внимание на систему
Distributed Wireless Security Auditor , которая принципиально отличается от остальных.

Комплекс DWSA собственной персоной! Точки доступа, сотрудники, доверенное оборудование и даже нарушители – все, как на ладони.

Возможности DWSA позволяют определять физическое положение злоумышленника и даже отображать его на интерактивной карте, то есть осуществлять самую настоящую привязку к местности. Это становится вполне реальным за счет постоянного распределенного мониторинга сети. Осуществляется это следующим образом: определенному количеству сотрудников компании, предположим, службе безопасности, выдаются портативные компьютеры со специальным программным оснащением. Параллельно с этим устанавливается back-end сервер безопасности, который будет считывать целевую информацию с устройств сотрудников и заодно определять их местоположение относительно точек доступа на основе сведений о сигнале и их радиопокрытии. Обработку этих данных централизованно выполняет специальный сервер. Он анализирует состояние радиоэфира различных источников и с помощью законов геометрии и дискретной математики определяет примерное расположения объекта. Понятно, что чем больше элементов будет участвовать в работе распределенной системы мониторинга, тем выше будет точность определения на данной территории.

Какой же принцип лежит в основе определения координат объекта? Банальная триангуляция, которая также применяется в глобальной системе позиционирования GPS. В качестве тех самых портативных девайсов было принято задействовать разработку IBM, именуемую Wireless Security Auditor (WSA). Девайс представляет собой самый обычный iPAQ PDA со специальным дистрибутивом Linux и набором предустановленных тулз для пен-тестов и аудита
беспроводных сетей : wlandump, ethereal, Sniffer и т.п. Используя их, сотрудники, по сути, проводят активный аудит, отчитываясь главному серверу.

Метод триангуляции на пальцах

Ох уж этот MAC-адрес

Даже просто обнаружив чужого в сети, о нем можно кое-что узнать. Тот же MAC-адрес, который является уникальным признаком любого оборудования, выдаст некоторую информацию. Ведь очень просто установить связь между ним и производителем девайса. Дело в том, что по первым октетам MAC’a и
базе OUI можно сделать соотношение, определив производителя. Вспомни, на это, в частности, опирается Netstumbler при нахождении точки, высвечивая в графе VENDOR используемое оборудование, например CISCO. В базе OUI это выглядит вот так:

00-00-0C (hex) CISCO SYSTEMS, INC.
00000C (base 16) CISCO SYSTEMS, INC.

Специализированные структуры ведут учет подобных сведений с привязкой к продаваемым устройствам. Обратившись к компании-производителю, компетентные структуры в первую очередь выявят, по каким точкам оно было распределено и каким лицам продано. Кредиты и пластиковые карты еще никто не отменял, поэтому при определенном везении и наличии возможностей (которая есть у органов) можно найти хакера, даже зная, казалось бы, какой-то, MAC-адрес. Ну что, ты засомневался в своей полной анонимности?

Порядок действий при обнаружении сетевых атак.

1. Классификация сетевых атак

1.1. Снифферы пакетов

Сниффер пакетов представляет собой прикладную программу, которая использует сетевую карту, работающую в режиме promiscuous mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки ). При этом сниффер перехватывает все сетевые пакеты, которые передаются через определенный домен.

1.2. IP-спуфинг

IP-спуфинг происходит, когда хакер, находящийся внутри системы или вне ее выдает себя за санкционированного пользователя. Это можно сделать двумя способами. Во-первых, хакер может воспользоваться IP-адресом, находящимся в пределах диапазона санкционированных IP-адресов, или авторизованным внешним адресом, которому разрешается доступ к определенным сетевым ресурсам. Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический пример — атака DoS, которая начинается с чужого адреса, скрывающего истинную личность хакера.

Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных команд в обычный поток данных, передаваемых между клиентским и серверным приложением или по каналу связи между одноранговыми устройствами. Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются получить ответ от приложений. Если главная задача состоит в получении от системы важного файла, ответы приложений не имеют значения.

Если же хакеру удается поменять таблицы маршрутизации и направить трафик на ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он является санкционированным пользователем.

1.3. Отказ в обслуживании (Denial of Service — DoS )

DoS является наиболее известной формой хакерских атак. Против атак такого типа труднее всего создать стопроцентную защиту.

Наиболее известные разновидности DoS:

• TCP SYN Flood Ping of Death Tribe Flood Network (TFN );
• Tribe Flood Network 2000 (TFN2K );
• Trinco;
• Stacheldracht;
• Trinity.

Атаки DoS отличаются от атак других типов. Они не нацелены на получение доступа к сети или на получение из этой сети какой-либо информации. Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

В случае использования некоторых серверных приложений (таких как Web-сервер или FTP-сервер ) атаки DoS могут заключаться в том, чтобы занять все соединения, доступные для этих приложений и держать их в занятом состоянии, не допуская обслуживания обычных пользователей. В ходе атак DoS могут использоваться обычные Интернет-протоколы, такие как TCP и ICMP (Internet Control Message Protocol ). Большинство атак DoS опирается не на программные ошибки или бреши в системе безопасности, а на общие слабости системной архитектуры. Некоторые атаки сводят к нулю производительность сети, переполняя ее нежелательными и ненужными пакетами или сообщая ложную информацию о текущем состоянии сетевых ресурсов. Этот тип атак трудно предотвратить, так как для этого требуется координация действий с провайдером. Если трафик, предназначенный для переполнения вашей сети, не остановить у провайдера, то на входе в сеть вы это сделать уже невозможно, потому что вся полоса пропускания будет занята. Когда атака этого типа проводится одновременно через множество устройств, атака является распределенной DoS (DDoS — distributed DoS ).

1.4. Парольные атаки

Хакеры могут проводить парольные атаки с помощью целого ряда методов, таких как простой перебор (brute force attack ), троянский конь, IP-спуфинг и сниффинг пакетов. Хотя логин и пароль часто можно получить при помощи IP-спуфинга и снифинга пакетов, хакеры часто пытаются подобрать пароль и логин, используя для этого многочисленные попытки доступа. Такой подход носит название простого перебора (brute force attack ). Часто для такой атаки используется специальная программа, которая пытается получить доступ к ресурсу общего пользования (например, к серверу ). Если в результате хакер получает доступ к ресурсам, он получает его на правах обычного пользователя, пароль которого был подобран. Если этот пользователь имеет значительные привилегии доступа, хакер может создать для себя «проход» для будущего доступа, который будет действовать даже если пользователь изменит свой пароль и логин.

Еще одна проблема возникает, когда пользователи применяют один и тот же (пусть даже очень хороший ) пароль для доступа ко многим системам: корпоративной, персональной и системам Интернет. Поскольку устойчивость пароля равна устойчивости самого слабого хоста, хакер, узнавший пароль через этот хост, получает доступ ко всем остальным системам, где используется тот же пароль.

1.5. Атаки типа Man-in-the-Middle

Для атаки типа Man-in-the-Middle хакеру нужен доступ к пакетам, передаваемым по сети. Такой доступ ко всем пакетам, передаваемым от провайдера в любую другую сеть, может, к примеру, получить сотрудник этого провайдера. Для атак этого типа часто используются снифферы пакетов, транспортные протоколы и протоколы маршрутизации. Атаки проводятся с целью кражи информации, перехвата текущей сессии и получения доступа к частным сетевым ресурсам, для анализа трафика и получения информации о сети и ее пользователях, для проведения атак типа DoS, искажения передаваемых данных и ввода несанкционированной информации в сетевые сессии.

1.6. Атаки на уровне приложений

Атаки на уровне приложений могут проводиться несколькими способами. Самый распространенный из них состоит в использовании слабостей серверного программного обеспечения (sendmail, HTTP, FTP ). Используя эти слабости, хакеры могут получить доступ к компьютеру от имени пользователя, работающего с приложением (обычно это бывает не простой пользователь, а привилегированный администратор с правами системного доступа ). Сведения об атаках на уровне приложений широко публикуются, чтобы дать возможность администраторам исправить проблему с помощью коррекционных модулей (патчей ). Главная проблема с атаками на уровне приложений состоит в том, что они часто пользуются портами, которым разрешен проход через межсетевой экран. К примеру, хакер, эксплуатирующий известную слабость Web-сервера, часто использует в ходе атаки ТСР порт 80. Поскольку Web-сервер предоставляет пользователям Web-страницы, межсетевой экран должен предоставлять доступ к этому порту. С точки зрения межсетевого экрана, атака рассматривается как стандартный трафик для порта 80.

1.7. Сетевая разведка

Сетевой разведкой называется сбор информации о сети с помощью общедоступных данных и приложений. При подготовке атаки против какой-либо сети хакер, как правило, пытается получить о ней как можно больше информации. Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование (ping sweep ) адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.

1.8. Злоупотребление доверием

Этот тип действий не является «атакой» или «штурмом» . Он представляет собой злонамеренное использование отношений доверия, существующих в сети. Примером является система, установленная с внешней стороны межсетевого экрана, имеющая отношения доверия с системой, установленной с его внутренней стороны. В случае взлома внешней системы, хакер может использовать отношения доверия для проникновения в систему, защищенную межсетевым экраном.

1.9. Переадресация портов

Переадресация портов представляет собой разновидность злоупотребления доверием, когда взломанный хост используется для передачи через межсетевой экран трафика, который в противном случае был бы обязательно отбракован. Примером приложения, которое может предоставить такой доступ, является netcat.

1.10. Несанкционированный доступ

Несанкционированный доступ не может считаться отдельным типом атаки. Большинство сетевых атак проводятся ради получения несанкционированного доступа. Чтобы подобрать логин telnet, хакер должен сначала получить подсказку telnet на своей системе. После подключения к порту telnet на экране появляется сообщение «authorization required to use this resource» (для пользования этим ресурсов нужна авторизация ). Если после этого хакер продолжит попытки доступа, они будут считаться «несанкционированными» . Источник таких атак может находиться как внутри сети, так и снаружи.

1.11. Вирусы и приложения типа «троянский конь»

Рабочие станции клиентов очень уязвимы для вирусов и троянских коней. «Троянский конь» — это не программная вставка, а настоящая программа, которая выглядит как полезное приложение, а на деле выполняет вредную роль.

2. Методы противодействия сетевым атакам

2.1. Смягчить угрозу сниффинга пакетов можно с помощью следующих средств:

2.1.1. Аутентификация - Сильные средства аутентификации являются первым способом защиты от сниффинга пакетов. Под «сильным» мы понимаем такой метод аутентификации, который трудно обойти. Примером такой аутентификации являются однократные пароли (OTP — One-Time Passwords ). ОТР — это технология двухфакторной аутентификации, при которой происходит сочетание того, что у вас есть, с тем, что вы знаете. Под «карточкой» (token ) понимается аппаратное или программное средство, генерирующее (по случайному принципу ) уникальный одномоментный однократный пароль. Если хакер узнает этот пароль с помощью сниффера, эта информация будет бесполезной, потому что в этот момент пароль уже будет использован и выведен из употребления. Этот способ борьбы со сниффингом эффективен только для борьбы с перехватом паролей.

2.1.2. Коммутируемая инфраструктура - Еще одним способом борьбы со сниффингом пакетов в сетевой среде является создание коммутируемой инфраструктуры, при этом хакеры могут получить доступ только к трафику, поступающему на тот порт, к которому они подключены. Коммутируемая инфраструктуры не ликвидирует угрозу сниффинга, но заметно снижает ее остроту.

2.1.3. Анти-снифферы - Третий способ борьбы со сниффингом заключается в установке аппаратных или программных средств, распознающих снифферы, работающие в вашей сети. Эти средства не могут полностью ликвидировать угрозу, но, как и многие другие средства сетевой безопасности, они включаются в общую систему защиты. Так называемые «анти-снифферы» измеряют время реагирования хостов и определяют, не приходится ли хостам обрабатывать «лишний» трафик.

2.1.4. Криптография - Самый эффективный способ борьбы со сниффингом пакетов не предотвращает перехвата и не распознает работу снифферов, но делает эту работу бесполезной. Если канал связи является криптографически защищенным, это значит, что хакер перехватывает не сообщение, а зашифрованный текст (то есть непонятную последовательность битов).

2.2. Угрозу спуфинга можно ослабить (но не устранить) с помощью следующих мер:

2.2.1. Контроль доступа - Самый простой способ предотвращения IP-спуфинга состоит в правильной настройке управления доступом. Чтобы снизить эффективность IP-спуфигна, контроль доступа настраивается на отсечение любого трафика, поступающего из внешней сети с исходным адресом, который должен располагаться внутри вашей сети. Это помогает бороться с IP-спуфингом, когда санкционированными являются только внутренние адреса. Если санкционированными являются и некоторые адреса внешней сети, данный метод становится неэффективным.

2.2.2. Фильтрация RFC 2827 - пресечение попытки спуфинга чужих сетей пользователями корпоративной сети. Для этого необходимо отбраковывать любой исходящий трафик, исходный адрес которого не является одним из IP-адресов Банка. Этот тип фильтрации, известный под названием «RFC 2827», может выполнять и провайдер (ISP ). В результате отбраковывается весь трафик, который не имеет исходного адреса, ожидаемого на определенном интерфейсе.

2.2.3. Наиболее эффективный метод борьбы с IP-спуфингом тот же, что и в случае со сниффингом пакетов: необходимо сделать атаку абсолютно неэффективной. IP-спуфинг может функционировать только при условии, что аутентификация происходит на базе IP-адресов. Поэтому внедрение дополнительных методов аутентификации делает этот вид атак бесполезными. Лучшим видом дополнительной аутентификации является криптографическая. Если она невозможна, хорошие результаты может дать двухфакторная аутентификация с использованием одноразовых паролей.

2.3. Угроза атак типа DoS может снижаться следующими способами:

2.3.1. Функции анти-спуфинга - правильная конфигурация функций анти-спуфинга на ваших маршрутизаторах и межсетевых экранах поможет снизить риск DoS. Эти функции, как минимум, должны включать фильтрацию RFC 2827. Если хакер не сможет замаскировать свою истинную личность, он вряд ли решится провести атаку.

2.3.2. Функции анти-DoS - правильная конфигурация функций анти-DoS на маршрутизаторах и межсетевых экранах может ограничить эффективность атак. Эти функции ограничивают число полуоткрытых каналов в любой момент времени.

2.3.3. Ограничение объема трафика (traffic rate limiting ) – договор с провайдером (ISP ) об ограничении объем трафика. Этот тип фильтрации позволяет ограничить объем некритического трафика, проходящего сети. Обычным примером является ограничение объемов трафика ICMP, который используется только для диагностических целей. Атаки (D ) DoS часто используют ICMP.

2.3.4. Блокирование IP адресов – после анализа DoS атаки и выявления диапазона IP адресов, с которых осуществляется атака, обратиться к провайдеру для их блокировки.

2.4. Парольных атак можно избежать, если не пользоваться паролями в текстовой форме. Одноразовые пароли и/или криптографическая аутентификация могут практически свести на нет угрозу таких атак. Не все приложения, хосты и устройства поддерживают указанные выше методы аутентификации.

При использовании обычных паролей, необходимо придумать такой пароль, который было бы трудно подобрать. Минимальная длина пароля должна быть не менее восьми символов. Пароль должен включать символы верхнего регистра, цифры и специальные символы (#, %, $ и т.д. ). Лучшие пароли трудно подобрать и трудно запомнить, что вынуждает пользователей записывать пароли на бумаге.

2.5. Эффективно бороться с атаками типа Man-in-the-Middle можно только с помощью криптографии. Если хакер перехватит данные зашифрованной сессии, у него на экране появится не перехваченное сообщение, а бессмысленный набор символов. Заметим, что, если хакер получит информацию о криптографической сессии (например, ключ сессии ), это может сделать возможной атаку Man-in-the-Middle даже в зашифрованной среде.

2.6. Полностью исключить атаки на уровне приложений невозможно. Хакеры постоянно открывают и публикуют в Интернете все новые уязвимые места прикладных программ. Самое главное — хорошее системное администрирование.

Меры, которые можно предпринять, чтобы снизить уязвимость для атак этого типа:

• чтение и/или анализ лог-файлов операционных систем и сетевые лог-файлов с помощью специальных аналитических приложений;
• своевременное обновление версий операционных систем и приложений и установка последних коррекционных модулей (патчей );
• использование систем распознавания атак (IDS ).

2.7. Полностью избавиться от сетевой разведки невозможно. Если отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, вы избавитесь от эхо-тестирования, но потеряете данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно и без предварительного эхо-тестирования. Просто этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP ), в сети которого установлена система, проявляющая чрезмерное любопытство.

2.8. Риск злоупотребления доверием можно снизить за счет более жесткого контроля уровней доверия в пределах своей сети. Системы, расположенные с внешней стороны межсетевого экрана, никогда не должны пользоваться абсолютным доверием со стороны защищенных экраном систем. Отношения доверия должны ограничиваться определенными протоколами и, по возможности, аутентифицироваться не только по IP-адресам, но и по другим параметрам.

2.9. Основным способом борьбы с переадресацией портов является использование надежных моделей доверия (см. п. 2.8 ). Кроме того, помешать хакеру установить на хосте свои программные средства может хост-система IDS (HIDS ).

2.10. Способы борьбы с несанкционированным доступом достаточно просты. Главным здесь является сокращение или полная ликвидация возможностей хакера по получению доступа к системе с помощью несанкционированного протокола. В качестве примера можно рассмотреть недопущение хакерского доступа к порту telnet на сервере, который предоставляет Web-услуги внешним пользователям. Не имея доступа к этому порту, хакер не сможет его атаковать. Что же касается межсетевого экрана, то его основной задачей является предотвращение самых простых попыток несанкционированного доступа.

2.11. Борьба с вирусами и «троянскими конями» ведется с помощью эффективного антивирусного программного обеспечения, работающего на пользовательском уровне и на уровне сети. Антивирусные средства обнаруживают большинство вирусов и «троянских коней» и пресекают их распространение.

3. Алгоритм действий при обнаружении сетевых атак

3.1. Большая часть сетевых атак блокируется автоматически установленными средствами защиты информации (межсетевые экраны, средства доверенной загрузки, сетевые маршрутизаторы, антивирусные средства и т.п. ).

3.2. К атакам, требующим вмешательства персонала для их блокировки или снижения тяжести последствий относятся атаки типа DoS.

3.2.1. Выявление DoS атаки осуществляется путем анализа сетевого трафика. Начало атаки характеризуется «забиванием » каналов связи с помощью ресурсоемких пакетов с поддельными адресами. Подобная атака на сайт интернет-банкинга усложняет доступ легитимных пользователей и веб-ресурс может стать недоступным.

3.2.2. В случае выявления атаки системный администратор выполняет следующие действия:

• осуществляет ручное переключение маршрутизатора на резервный канал и обратно с целью выявления менее загруженного канала (канала с более широкой пропускной способностью);
• выявляет диапазон IP – адресов, с которых осуществляется атака;
• отправляет провайдеру заявку на блокировку IP адресов из указанного диапазона.

3.3. DoS атака, как правило, используется для маскировки успешно проведенной атаки на ресурсы клиента с целью затруднить ее обнаружение. Поэтому при выявлении DoS атаки необходимо провести анализ последних транзакций с целью выявления необычных операций, осуществить (при возможности) их блокировку, связаться с клиентами по альтернативному каналу для подтверждения проведенных транзакций.

3.4. В случае получения от клиента информации о несанкционированных действиях осуществляется фиксация всех имеющихся доказательств, проводится внутреннее расследование и подается заявление в правоохранительные органы.

Скачать ZIP файл (24151)

Пригодились документы - поставь «лайк»:

Системы обнаружения сетевых атак

Обзор систем обнаружения сетевых атак включает в себя описание наиболее популярных коммерческих и свободно распространяемых СОА. Каждая из систем рассматривается по следующим основным показателям:

Архитектура СОА - структура системы, описание ее составных частей, а также методов взаимодействия между ними;

Характеристики программно-аппаратной платформы, на основе которой функционирует СОА;

Функциональные возможности СОА в части выявления и предотвращения информационных атак;

Ключевые особенности и отличия от других продуктов, представленных на отечественном рынке информационной безопасности.

1. Система «Radware DefensePro»

СОА «Radware DefensePro» разработана компанией Radware и представляет собой программно-аппаратный комплекс, предназначенный для защиты от сетевых атак. В состав СОА входят датчики, устанавливаемые в разрыв каналов связи АС, а также программа управления, которая устанавливается на АРМ администратора безопасности. Датчики СОА

Рис. 1 Логическая структура датчика системы Radware DefensePro

реализованы в виде специализированных аппаратных блоков (так называемых «appliance»), которые состоят из следующих компонентов (рис. 6.1):

Сетевые процессоры, выполняющие функции коммутации пакетов данных, управления полосой пропускания и фильтрации данных. В одном датчике может быть установлено одновременно несколько процессоров;

Аппаратный акселератор «StringMatch Engine», предназначенный для сигнатурного анализа пакетов данных на основе метода контекстного поиска. Данный акселератор состоит из восьми специализированных микросхем ASIC, которые позволяют осуществлять параллельный строковый поиск более 250 тысяч сигнатур;

Шина данных, обеспечивающая функции приема и отправки пакетов данных по сети. Общая пропускная способность шины составляет 44 Гбит/с, в рамках которых можно подключать один 10-Гигабитный интерфейс, семь 1-Гигабитных интерфейсов и 16 интерфейсов типа Fast Ethernet;

Центральный RISC-процессор Power PC производства компании Motorola, который предназначен для управления работой аппаратного акселератора «StringMatch Engine» сетевых процессоров. Управление датчиками Radware DefensePro может осуществляться локально при помощи интерфейса командной строки или удаленно при помощи Web-интерфейса, протоколов telnet или SSH, а также протоколов управления SNMP. Одна консоль управления может взаимодействовать одновременно с несколькими датчиками СОА Radware.

Кроме функций обнаружения и предотвращения атак СОА может использоваться для распределения нагрузки (load balancing), управления полосой пропускания (traffic shaping) на основе механизмов качества обслуживания Quality of service (QoS) и мониторинга сетевых информационных потоков. Система Radware DefensePro также может эффективно применяться для защиты от распределенных атак класса «отказ в обслуживании» за счет того, что может корректно обрабатывать потоки SYN-запросов, поступающие со скоростью более чем 1 млн/с.

СОА реализует сигнатурный и поведенческий методы выявления сетевых атак, которые работают в реальном масштабе времени. Сигнатурный метод базируется на поиске определенных строковых выражений в обрабатываемых пакетах данных. Каждая сигнатура имеет один из трех уровней приоритета - низкий, средний или высокий. База данных сигнатур может регулярно обновляться через Интернет-сайт производителя. Кроме того, администратор безопасности может самостоятельно добавить новую сигнатуру атаки при помощи имеющихся интерфейсов системы. Поведенческий метод позволяет обнаруживать известные и новые типы атак путем выявления аномалий в пакетах. СОА также позволяет выявлять попытки маскирования несанкционированных действий путем обхода механизмов обнаружения.

В случае выявления атаки система позволяет выполнить произвольный набор из следующих методов реагирования:

Заблокировать пакет данных, в котором была найдена определенная сигнатура атаки;

Пропустить пакет данных, в котором была обнаружена сигнатура;

Записать информацию о выявленной атаке в журнал аудита;

Сформировать SNMP-trap сообщение об атаке и отправить его по заданному адресу;

Отослать сообщение об обнаруженной атаке по электронной почте;

Вывести сообщение об атаке на локальный терминал;

Передать сообщение о выявленной атаке серверу службы Syslog. СОА поддерживает два режима работы - активный и пассивный.

В пассивном режиме датчики системы анализируют весь проходящий через них трафик, но при этом не блокируют пакеты данных. Данный режим позволяет произвести настройку параметров СОА и адаптировать ее к особенностям защищаемой АС. Активный режим предоставляет возможность блокировать потенциально опасные пакеты и тем самым предотвращать сетевые атаки.

В СОА Radware DefensePro реализована поддержка многопользовательского режима, который позволяет работать с системой одновременно нескольким администраторам. При этом система позволяет разграничить права доступа администраторов на уровне различных датчиков.

В процессе работы системы ведется детализированный журнал аудита, в котором регистрируется следующая информация:

Дата и время выявленной атаки;

Имя и общее описание выявленной атаки. Все обнаруженные атаки могут быть автоматически отнесены к одной из следующих категорий:

сетевая аномалия, попытка сканирования, вторжение или атака типа «отказ в обслуживании»;

IP-адрес источника и объекта выявленной атаки;

Номера портов TCP и UDP-пакетов, в которых были выявлены признаки сетевых атак;

Количество пакетов, которые были выявлены в рамках сетевой атаки;

Статус сетевой атаки - начальная стадия, стадия реализация и атака уже была проведена;

Параметры методов реагирования, которые были применены в результате выявления атаки.

Система оснащена развитыми средствами генерации графических и текстовых отчетов на основе параметров, задаваемых администратором безопасности. В Radware DefensePro предусмотрено несколько встроенных шаблонов, на основе которых оператор может создавать готовые отчетные документы.

Отличительной особенностью системы Radware DefensePro является возможность выявления атак в высокоскоростных каналах связи, пропускная способность которых составляет несколько Гбит/с.

2. Система «ISS RealSecure»

Система «RealSecure» разработана компанией Internet Security Systems (в 2006 г. компания ISS была куплена корпорацией IBM и в настоящее время продукты RealSecure и Proventia продвигаются на рынке уже под маркой IBM). Система включает в себя следующие компоненты:

Сетевые сенсоры, предназначенные для выявления сетевых атак в заданном сетевом сегменте. Сетевой сенсор устанавливается на выделенный компьютер, который подключается к защищаемому сегменту АС при помощи концентратора или SPAN-порта коммутатора.

Серверные сенсоры, обеспечивающие защиту определенных хостов в АС. Сенсор данного типа представляет собой программный модуль, который устанавливается на защищаемый компьютер. Серверные сенсоры могут использоваться для защиты хостов, функционирующих под управлением разных операционных систем.

Консоль управления SiteProtector, предназначенную для просмотра результатов работы системы и управления параметрами ее функционирования. Консоль администратора взаимодействует только с сервером приложений СОА.

Базу данных, которая содержит информацию обо всех выявленных атаках. База данных реализуется на основе СУБД Microsoft SQL Server.

Сервер приложений, предоставляющий доступ консоли администратора к функциям управления сенсорами и просмотра содержимого базы данных.

Менеджер событий (Event Collector), обеспечивающий запись информации, генерируемой сенсорами в базу данных событий. В целях повышения отказоустойчивости в АС может одновременно использоваться два менеджера событий, которые дублируют друг друга на случай нарушения работоспособности одного из них.

На одном компьютере может быть установлено одновременно несколько компонентов. Так, например, на одном узле может размещаться консоль администратора, а также база данных активов и событий. Общая схема взаимодействия компонентов, входящих в состав СОА «Realsecure», показана на рис. 2.

Сетевые сенсоры СОА «RealSecure» являются пассивными и выполняют функции регистрации атак с возможным последующим реагированием на них. Серверные же сенсоры позволяют не только выявить, но и предотвратить обнаруженную атаку посредством фильтрации потенциально опасных пакетов данных.

Параметры работы сетевых и серверных сенсоров определяются при помощи политик безопасности. Каждая политика безопасности включает в себя определенный набор сигнатур, позволяющих сенсору обнаруживать атаки нарушителя на основе контекстного поиска информации. Все сигнатуры системы сгруппированы в различные категории, что значительно упрощает работу с ними. В системе «RealSecure» не предусмотрено встроенного языка для создания собственных сигнатур, однако вместо этого в состав поставки СОА включен программный модуль TRONS, позволяющий импортировать сигнатуры программного продукта «Snort», который будет рассмотрен далее. СОА также поддерживает возможность удаленного обновления базы данных сигнатур атак с Web-сайта производителя системы. Сигнатуры атак для системы «RealSecure» разрабатываются специализированной лабораторией X-Force, входящей в состав компании ISS. В случае выявления атаки датчик СОА может выполнить один или несколько методов реагирования, описание которых приведено в табл. 1

Рис. 2. Архитектура СОА «RealSecure»

Табл. 1. Описание методов реагирования СОА «RealSecure»

№	Метод реагирования	Описание метода реагирования
	BANNER	Метод посылает нарушителю предупреждающее текстовое сообщение, которое определяется администратором СОА
	BLOCK	Метод позволяет блокировать (отфильтровывать) трафик, поступающий от узла, с которого была зафиксирована атака
	DISABLE	Метод позволяет блокировать учетную запись пользователя, действия которого привели к срабатыванию сигнатуры атаки
	DISPLAY	Метод отображает на консоли управления информацию о событии, обнаруженном в результате срабатывания сигнатуры
	E-MAIL	Метод оповещает по электронной почте администратора безопасности о событии, обнаруженном в результате срабатывания сигнатуры
	LOGDB	Метод записывает в базу данных информацию о событии, обнаруженном в результате срабатывания сигнатуры
	SECURE-LOGIC	Метод позволяет запускать заданную программу, написанную на специальном сценарном языке TCL. Интерпретатор этого языка интегрирован в СОА «RealSecure»
	SNMP	Метод предназначен для посылки управляющих SNMP-trap-сообщений по указанному IP-адресу
	SUSPEND	Временно блокирует учетную запись пользователя, действия которого вызвали срабатывание сигнатуры. Время блокирования задается оператором
	USER SPECIFIED	Метод позволяет запустить произвольную программу с указанными параметрами вызова

Просмотр результатов работы СОА, а также управление параметрами функционирования системы осуществляется при помощи консоли администратора. По умолчанию интерфейс консоли администратора разделен на несколько разделов, каждый из которых отображает определенный тип информации. Помимо информации о выявленных атаках на консоли также отображаются данные о текущих настройках системы, а также о статусе работы компонент СОА. Консоль администратора СОА «RealSecure» может использоваться для управления другими средствами защиты производства компании ISS.

В консоли администратора предусмотрена возможность создания текстовых и графических отчетов по результатам работы СОА. Сформированные отчеты могут экспортироваться в файлы формата PDF, Word, RTF и др. Администратор также имеет возможность задавать свой формат отчетов на основе шаблонов Crystal Reports.

В СОА реализован режим многопользовательской работы администраторов с возможностью ролевого разграничения прав доступа. Так, например, в одной системе один администратор может обладать исключительно правами просмотра результатов работы, в то время как другой пользователь может дополнительно иметь права на управление сенсорами СОА. При этом действия всех пользователей регистрируются в журнале регистрации системы.

3. Система «ISS Proventia»

Система «Proventia» разработана компанией Internet Security Systems на основе программного продукта «RealSecure» и также предназначена для защиты от сетевых атак. Данная система представляет собой программно-аппаратный комплекс, который устанавливается в разрыв канала связи и позволяет блокировать вредоносные пакеты данных. Основным отличием СОА «Proventia» от системы «RealSecure», рассмотренной выше, является возможность не только выявлять, но и предотвращать атаки на уровне сети.

Система может иметь от двух до восьми сетевых интерфейсов и обрабатывать сетевой трафик, поступающий со скоростью до 2 Гбит/с. После установки система «Proventia» может функционировать в двух основных режимах:

Режиме пассивного мониторинга, в котором СОА проводит анализ проходящих через нее пакетов данных, не осуществляя при этом блокирования несанкционированного трафика. Данный режим используется на этапе обучения системы;

Режиме защиты, который позволяет функционировать СОА в качестве межсетевого экрана и блокировать выявленные сетевые атаки.

Для обнаружения атак СОА «Proventia» использует сигнатурные методы, которые основаны на механизмах, реализованных в описанной выше системе «RealSecure». Система поддерживает возможность удаленного обновления сигнатур при помощи службы X-Force. Управление СОА может осуществляться при помощи локальной консоли командной строки, Web-интерфейса по протоколу SSL или средствами консоли SiteProtector.

СОА «Proventia» реализует фирменную технологию компании ISS, которая получила название «Виртуальный модуль обновления ПО» (Virtual patch). В данном случае под виртуальным модулем обновления подразумевается совокупность настроек СОА, позволяющих обеспечить защиту АС от атак до того момента времени, когда в АС будет установлено реальное обновление ПО (patch, hotfix и т.д.), устраняющее уязвимости системы. Фактически технология обеспечивает блокирование попыток злоумышленников использовать уязвимости, которые не были исправлены при помощи соответствующих обновлений ПО.

Система «Proventia» поддерживает следующие основные виды пассивного и активного реагирования на атаки:

Оповещение администратора безопасности о выявленной атаке по электронной почте. СОА позволяет задать адрес сервера, через который должны отправляться почтовые сообщения, а также состав направляемой администратору информации;

Запись в базу данных содержимого пакета данных, который вызвал срабатывание сигнатуры атаки;

Помещение определенного узла АС в карантинную зону. Данный метод реагирования позволяет изолировать компьютеры, которые являются источником или объектом атаки;

Генерация SNMP-сообщений, содержащих заданную информацию о выявленных сетевых атаках;

запуск программы, определенной администратором безопасности. Отличительной особенностью СОА «Proventia» является возможность работы в АС высокой доступности (high availability), которые предусматривают резервирование всех узлов системы. В этом случае в АС устанавливаются два программно-аппаратных блока СОА, которые дублируют друг друга в случае возникновения сбоя (рис. 3). Некоторые модели семейства «Proventia» в дополнение к функциям выявления атак также включают средства защиты от компьютерных вирусов и спама.

Рис. 3 Схема установки СОА в системе высокой доступности

4. Система «Juniper Networks IDP»

Система «IDP» разработана компанией Juniper Networks и предназначена для выявления и предотвращения сетевых атак (ранее данная система выпускалась компанией NetScreen). COA «IDP» имеет трехуровневую архитектуру и включает в себя следующие компоненты:

Сенсоры «IDP», которые предназначены для защиты тех сегментов АС, в которых они установлены; представляют собой стоечные программно-аппаратные блоки, которые могут устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора;

Сервер управления «IDP», выполняющий функции хранения служебной информации, а также управления сенсорами СОА;

Консоль администратора, предназначенная для управления СОА.

В зависимости от модификации СОА позволяет обрабатывать трафик, поступающий со скоростью от 50 Мбит/с до 1 Гбит/с. Также как и ранее рассмотренные СОА система «IDP» может функционировать в пассивном и активном режимах. При размещении СОА в разрыв канала связи администратор может настроить сенсор системы в качестве моста или маршрутизатора. В первом случае установка сенсора не потребует внесения каких-либо дополнительных изменений в настройку коммуникационного оборудования АС, что делает его «невидимым» для хостов системы. Установка СОА в качестве маршрутизатора повлечет за собой необходимость изменения схемы IP-адресации в АС. Выбор того или иного варианта установки определяется в зависимости от топологии АС.

Для выявления атак СОА использует экспертную систему, включающую в себя базу данных правил, на основе которых осуществляется обнаружение вторжений в АС. СОА предусматривает наличие следующих типов правил:

Правила, предназначенные для выявления известных типов атак на основе сигнатур. В СОА предусмотрен встроенный язык, позволяющий администратору создавать собственные сигнатуры. Данный язык базируется на регулярных выражениях языка Perl.

Правила, обеспечивающие возможность выявления аномалий в сетевых протоколах. В данном случае в качестве аномалии понимается несоответствие формата пакета данных требованиям, описанным в стандартах RFC или других спецификаций. СОА поддерживает возможность выявления аномалий в более чем шестидесяти видов протоколов.

Правила, позволяющие выявлять наличие в АС вредоносного ПО типа «троянский конь». Правила данного типа используют эвристические алгоритмы выявления интерактивного сетевого взаимодействия, которое может являться признаком наличия троянского кода.

Правила, которые используются для выявления попыток сканирования портов АС.

Правила, предназначенные для выявления атак класса «IP spoofing», направленных на подмену реального IP-адреса отправителя пакета данных.

Правила, позволяющие выявить атаки класса «отказ в обслуживании», которые реализуются посредством посылки большого количества SYN-запросов на установление ТСР-соединений.

Правила для выявления атак, реализующихся на втором уровне стека TCP/IP. Большая часть данных атак связана с протоколом ARP и направлена на несанкционированный перехват передаваемой по сети информации.

Правила, обеспечивающие возможность создания ложных целей для атаки, тем самым выявляя потенциальных нарушителей АС.

В СОА имеются встроенные типовые шаблоны правил, которые могут быть использованы в качестве основы для формирования политики защиты Web-сервера, почтового сервера, файлового сервера и других объектов АС. В случае выявления атаки СОА имеет возможность выполнить как пассивные, так и активные методы реагирования. К активным методам относится блокирование вредоносного пакета данных, а также закрытие TCP-соединения. Пассивные методы реагирования включают в себя:

Оповещение администратора безопасности по электронной почте;

Генерация SNMP-trap-сообщений для систем управления;

Формирование и отсылка сообщения об атаке по протоколу Syslog;

Запуск заданной программы;

Запись в базу данных содержимого пакетов данных, в которых были выявлены признаки наличия атаки.

Сенсоры СОА «IDP» могут объединяться в единый кластер, который может использоваться для повышения отказоустойчивости работы системы, а также для распределения нагрузки между сенсорами. В случае, если будет нарушена работоспособность одного из сенсоров, то пакеты данных будут автоматически перенаправлены на другой сенсор кластера. Для выявления подобных сбоев все сенсоры одного кластера обмениваются между собой служебной информацией, на основе которой определяется текущий статус работы устройства. При этом в один кластер могут объединяться от двух до шестнадцати сенсоров.

Сервер управления СОА функционирует под управлением ОС Sun Solaris 8/9 (для платформы SPARC), а также Linux RedHat 7.2, 8 или RedHat Enterprise Linux 3.0 (для платформы Intel). Сервер обеспечивает централизованное хранение конфигурационных параметров СОА, а также информации, поступающей от сенсоров «IDP». Для взаимодействия сервера управления с сенсорами «IDP» используется специализированный криптографически защищенный протокол, созданный на основе модифицированного варианта UDP. Для хранения результатов работы СОА на сервере применяется специализированная СУБД собственного производства. Система поддерживает возможность многопользовательской работы, однако одновременно в системе может работать только один администратор.

Для управления СОА используется консоль администратора, реализованная в виде Java-приложения. Консоль администратора позволяет гибко настраивать параметры просмотра результатов работы СОА. Консоль также оснащена возможностью генерации отчетов по результатам работы СОА на основе заданного множества шаблонов.

5. Система «Cisco IDP 4200»

Системы «Cisco IDP» серии 4200 разработаны компанией Cisco Systems и предназначены для выявления и блокирования сетевых атак. СОА данного типа реализованы в виде специализированных стоечных устройств, которые могут устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора. Компания Cisco также поставляет специализированные модули СОА, которые могут быть установлены в коммутаторы Catalyst 6500. В общем случае системы «Cisco IDP» включают в себя компоненты двух типов - сенсоры, предназначенные для защиты от атак посредством анализа сетевого трафика, и консоль управления администратора безопасности.

Сенсоры «Cisco IDP» могут функционировать в пассивном или активном режимах и обрабатывать пакеты данных, поступающие со скоростью до 1 Гбит/с. Для выявления атак СОА используют сигнатурные методы. Отличительной особенностью сенсоров является наличие встроенного механизма корреляции событий безопасности Meta Event Generator (MEG). Данный механизм позволяет проводить автоматизированный анализ событий безопасности, регистрируемых сенсорами СОА, с целью генерации мета-событий. Так, например, если в АС в течение трех секунд будет зарегистрировано пять определенных событий, связанных с использованием уязвимостей Web-сервера Microsoft IIS, то сенсор сможет сгенерировать мета-событие, указывающее на несанкционированную активность Интернет-червя Nimda (рис. 4). Использование механизма MEG позволяет значительно упростить процесс анализа информации, которая собирается сенсорами СОА «Cisco IDP».

Управление СОА «Cisco IDP» может осуществляться при помощи одного из следующих способов:

На основе интерфейса командной строки CLI, который может использоваться удаленно при помощи протокола SSH или локально посредством подключения клавиатуры и монитора непосредственно к сенсору. Интерфейс командной строки аналогичен интерфейсам локального управления другими устройствами компании Cisco, базирующимися на ОС Cisco IOS.

При помощи консоли IPS Device Manager, реализованной в виде Java-приложения, которое хранится непосредственно на сенсоре. Доступ к этой консоли может осуществляться при помощи любого Интернет-браузера на основе криптопротокола TLS. Данная консоль позволяет одновременно управлять только одним сенсором и, как правило, используется для внесения оперативных изменений в один из сенсоров СОА.

Рис. 4 Пример корреляции событий безопасности на основе механизма MEG

Посредством системы управления CiscoWorks VMS, которая обеспечивает возможность централизованного управления и мониторинга различных средств защиты компании Cisco, включая СОА, межсетевые экраны, средства построения виртуальных частных сетей VPN и т. д. Для применения CiscoWorks VMS требуется наличие выделенного сервера управления, выполняющего функции хранения конфигурационной информации и результатов работы СОА.

В случае выявления атаки СОА может выполнить один из следующих методов реагирования:

Заблокировать пакеты данных, в которых были обнаружены признаки информационной атаки;

Модифицировать содержимое пакета данных, в котором была выявлена атака;

Закрыть TCP-соединение, в котором была выявлена атака;

Оповестить администратора безопасности о выявленной атаке посредством посылки сообщения на консоль или генерации SNMP-trap-сообщения.

Каждому событию, связанному с выявлением атаки, СОА присваивает определенный уровень риска, на основе которого выбирается подходящий метод реагирования. Значение риска рассчитывается на основе четырех основных параметров:

Коэффициент опасности события (Alert Severity Rating). Данный параметр определяет уровень приоритета событий на основе потенциального ущерба, который может быть нанесен АС в результате успешного завершения обнаруженной атаки. В соответствии с этим параметром событие может классифицироваться по четырем основным категориям: информационные, а также события с низким, средним или высоким уровнем приоритета. Значение коэффициента опасности может редактироваться администратором безопасности.

Коэффициент точности сигнатуры атаки (Signature Fidelity Rating), который определяет степень применимости сигнатуры к действующему окружению АС. Так, например, если атака направлена на использование уязвимости, которая отсутствует в АС, то коэффициент точности ее сигнатуры будет стремиться к нулю. Значение данного коэффициента устанавливается администратором безопасности.

Коэффициент релевантности атаки (Attack Relevancy Rating), являющийся внутренним параметром, который автоматически корректируется СОА по результатам своей работы. В процессе функционирования СОА получает дополнительные данные о характере сетевого трафика, циркулирующего в АС, на основе которых вносятся изменения к текущее значение коэффициента релевантности.

Коэффициент оценки узлов AC (Target Value Rating), который используется для определения уровня критичности того или иного узла системы. При помощи этого коэффициента администратор может регулировать значение риска с учетом того, какой узел является объектом для атаки. Так, например, если нападению подвергся сервер, обслуживающий критические бизнес-процессы компании, то такая атака должна иметь высокий уровень риска. И, наоборот, если злоумышленник атакует файловый сервер, на котором отсутствует значимая для компании информация, то такое вторжение должно иметь низкий уровень риска.

Для обработки информации о выявленных атаках на уровне консоли администратора используется специализированный программный модуль MARS (Monitoring, Analysis & Response System), который позволяет генерировать отчеты и проводить корреляционный анализ событий безопасности.

6. Система «Symantec SNS 7100»

Системы «SNS» (Symantec Network Security) серии 7100 разработаны компанией Symantec и предназначены для выявления и предотвращения атак на уровне сети. СОА состоит из консоли администратора и сенсоров, которые реализуются в виде стоечных программно-аппаратных блоков, функционирующих в пассивном или активном режимах. В первом случае, сенсоры СОА подключаются к SPAN-порту коммутатора, а во втором - устанавливаются в разрыв канала связи АС. Сенсоры имеют возможность обрабатывать трафик, поступающий со скоростью до 1 Гбит/с.

СОА оснащена подсистемой собственной безопасности, которая обеспечивает аутентификацию администратора при доступе к консоли управления, а также криптографическую защиту всей служебной информации, передаваемой между сенсорами и консолью. Для шифрования передаваемых данных используется криптоалгоритм AES.

Для выявления атак СОА может использовать сигнатурные методы, а также методы выявления аномалий в сетевых протоколах. СОА предоставляет администратору возможность создавать свои собственные сигнатуры на основе специализированного языка.

Для обновления сигнатурных баз данных СОА использует механизм «LiveUpdate», который также применяется в антивирусных продуктах компании Symantec. После выявления атаки СОА может выполнить активные или пассивные методы реагирования, аналогичные способам, которые были рассмотрены ранее.

Консоль управления СОА «SNS» поддерживает возможность многопользовательской работы. При этом можно выделить следующие группы пользователей:

Суперпользователи (SuperUsers) - администраторы, которые имеют абсолютные права по управлению параметрами работы СОА, созданию учетных записей пользователей и т. д.;

Администраторы (Administrators) - администраторы, которые имеют ограниченные права по изменению определенных параметров функционирования СОА;

Стандартные пользователи (StandardUsers) - категория пользователей, имеющих права на просмотр всей информации, к которой можно получить доступ посредством консоли администратора;

Ограниченные пользователи (RestrictedUsers) - пользователи, которые имеют ограниченный доступ к просмотру информации через консоль администратора.

Для хранения служебной информации в СОА «SNS» используются следующие типы баз данных:

Топологическая база данных, в которой содержится информация о конфигурации защищаемой АС;

База данных политик безопасности, содержащая параметры сигнатур, на основе которых осуществляется выявление сетевых атак;

База данных правил реагирования на выявляемые сетевые атаки;

Конфигурационная база данных, содержащая информацию о правах доступа суперпользователей и администраторов СОА;

База данных событий и инцидентов, в которой хранится информация обо всех выявленных сетевых атаках.

Сенсоры СОА могут объединяться в отказоустойчивые группы (failover groups) в целях обеспечения бесперебойной работы системы. Все сенсоры, входящие в такую группу, обрабатывают один и тот же трафик, однако только один из сенсоров выполняет методы реагирования на выявленные атаки. В случае нарушения работоспособности основного сенсора группы его автоматически заменяет резервный сенсор.

СОА позволяет объединять несколько сенсоров в один логический кластер с целью выполнения корреляционного анализа событий, которые поступают от различных сенсоров. Так, например, в случае обнаружения распределенной атаки «отказ в обслуживании» СОА имеет возможность определить источник вторжения на основе результатов работы всех сенсоров, входящих в один кластер.

Консоль администратора СОА оснащена гибкой системой фильтрации информации о событиях, связанных с выявленными атаками, а также средствами генерации текстовых и графических отчетов.

7. Система «Snort»

Система «Snort» является некоммерческим программным продуктом, распространяемым по лицензии GNU GPL вместе с исходными тестами. Несмотря на статус некоммерческого ПО система «Snort» используется в ряде российских компаний в качестве базового средства выявления сетевых атак.

Система «Snort» может функционировать в трех режимах:

Анализа пакетов данных (sniffer mode);

Регистрации пакетов данных в журнал аудита (packet logger mode);

Обнаружения атак (intrusion detection).

В режиме анализа пакетов данных система «Snort» перехватывает пакеты данных, передаваемые по сети, и выводит их содержимое на экран. Запуск СОА «Snort» в режиме регистрации пакетов данных позволяет записывать заголовки и поля передаваемых пакетов данных в журналы регистрации, представленные в виде текстовых файлов. Третий режим работы СОА «Snort» - режим обнаружения атак нарушителя - является основным и предназначен для выявления вторжений путем анализа содержимого передаваемых пакетов данных. Для выявления атак СОА применяет сигнатурный метод контекстного поиска. Результаты работы системы могут записываться в текстовый файл или регистрироваться в СУБД MySql.

СОА «Snort» не является функционально-замкнутой системой и может расширяться за счет подключаемых программных модулей, которые получили название препроцессоров. По умолчанию в состав СОА входят следующие препроцессоры:

«http_inspect» - данный препроцессор предназначен для выявления аномалий в содержимом передаваемых HTTP-запросов;

Препроцессор «portscan detector», позволяющий обнаруживать попытки сканирования портов хостов АС;

«frag2» - препроцессор, позволяющий выполнять дефрагментацию IP-дейтаграмм. Выполнение этой процедуры позволяет выявлять атаки типа «отказ в обслуживании», которые реализуются на основе неправильным образом дефрагментированных IР-дейтаграмм;

Препроцессор «spade», позволяющий обнаруживать атаки на основе статистического анализа;

Препроцессор «stream4», предназначенный для выполнение анализа TCP-сессий и выявлять несанкционированные пакеты, которые нарушают алгоритм установления ТСР-соединения;

«arpspoof» представляет собой препроцессор, позволяющий выявлять сетевые атаки, которые реализуются на основе уязвимостей протокола ARP;

Препроцессор «rpc_decode», который используется для обработки команд, передаваемых по протоколу RPC;

«bo» - препроцессор, предназначенный для выявления несанкционированной сетевой активности, связанной с работой вредоносного ПО «Back Orifice».

Система «Snort» может устанавливаться в разрыв канала связи или подключаться к SPAN-порту коммутатора. В состав СОА «Snort» не входят средства удаленного управления, поэтому единственным способом изменения параметров работы системы является интерфейс командной строки. В системе также не предусмотрены штатные средства для генерации отчетов по результатам работы СОА.

• Категоря: Без рубрики

Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой…

Подозрительно высокий исходящий трафик. Если вы пользуетесь дайлапом или ADSL-подключением и заметили необычно большое количество исходящего сетевого трафика (в частности, проявляющегося, когда ваш компьютер работает и подключен к интернету, но вы им не пользуетесь), то ваш компьютер, возможно, был взломан. Такой компьютер может использоваться для скрытой рассылки спама или для размножения сетевых червей.

Повышенная активность жестких дисков или подозрительные файлы в корневых директориях. Многие хакеры после взлома компьютера производят сканирование хранящейся на нем информации в поисках интересных документов или файлов, содержащих логины и пароли к банковским расчетным центрам или системам электронных платежей вроде PayPal. Некоторые сетевые черви схожим образом ищут на диске файлы с адресами email, которые впоследствии используются для рассылки зараженных писем. Если вы заметили значительную активность жестких дисков даже когда компьютер стоит без работы, а в общедоступных папках стали появляться файлы с подозрительными названиями, это также может быть признаком взлома компьютера или заражения его операционной системы вредоносной программой.

Большое количество пакетов с одного и того же адреса, останавливаемые персональным межсетевым экраном. После определения цели (например, диапазона IP-адресов какой-либо компании или домашней сети) хакеры обычно запускают автоматические сканеры, пытающиеся использовать набор различных эксплойтов для проникновения в систему. Если вы запустите персональный межсетевой экран (фундаментальный инструмент в защите от хакерских атак) и заметите нехарактерно высокое количество остановленных пакетов с одного и того же адреса, то это — признак того, что ваш компьютер атакуют. Впрочем, если ваш межсетевой экран сообщает об остановке подобных пакетов, то компьютер, скорее всего, в безопасности. Однако многое зависит от того, какие запущенные сервисы открыты для доступа из интернета. Так, например, персональный межсетевой экран может и не справиться с атакой, направленной на работающий на вашем компьютере FTP-сервис. В данном случае решением проблемы является временная полная блокировка опасных пакетов до тех пор, пока не прекратятся попытки соединения.

Большинство персональных межсетевых экранов обладают подобной функцией.

Постоянная антивирусная защита вашего компьютера сообщает о присутствии на компьютере троянских программ или бэкдоров, хотя в остальном все работает нормально. Хоть хакерские атаки могут быть сложными и необычными, большинство взломщиков полагается на хорошо известные троянские утилиты, позволяющие получить полный контроль над зараженным компьютером. Если ваш антивирус сообщает о поимке подобных вредоносных программ, то это может быть признаком того, что ваш компьютер открыт для несанкционированного удаленного доступа.

UNIX-компьютеры:

Файлы с подозрительными названиями в папке «/tmp». Множество эксплойтов в мире UNIX полагается на создание временных файлов в стандартной папке «/tmp», которые не всегда удаляются после взлома системы. Это же справедливо для некоторых червей, заражающих UNIX-системы; они рекомпилируют себя в папке «/tmp» и затем используют ее в качестве «домашней».

Модифицированные исполняемые файлы системных сервисов вроде «login», «telnet», «ftp», «finger» или даже более сложных типа «sshd», «ftpd» и других. После проникновения в систему хакер обычно предпринимает попытку укорениться в ней, поместив бэкдор в один из сервисов, доступных из интернета, или изменив стандартные системные утилиты, используемые для подключения к другим компьютерам. Подобные модифицированные исполняемые файлы обычно входят в состав rootkit и скрыты от простого прямого изучения. В любом случае, полезно хранить базу с контрольными суммами всех системных утилит и периодически, отключившись от интернета, в режиме одного пользователя, проверять, не изменились ли они.

Модифицированные «/etc/passwd», «/etc/shadow» или иные системные файлы в папке «/etc». Иногда результатом хакерской атаки становится появление еще одного пользователя в файле «/etc/passwd», который может удаленно зайти в систему позже. Следите за всеми изменениями файла с паролями, особенно за появлением пользователей с подозрительными логинами.

Появление подозрительных сервисов в «/etc/services». Установка бэкдора в UNIX-системе зачастую осуществляется путем добавления двух текстовых строк в файлы «/etc/services» и «/etc/ined.conf». Следует постоянно следить за этими файлами, чтобы не пропустить момент появления там новых строк, устанавливающих бэкдор на ранее неиспользуемый или подозрительный порт.

Злоумышленники редко бесцеремонно вторгаются в сеть с «оружием» в руках. Они предпочитают проверить, надежны ли запоры на двери и все ли окна закрыты. Они незаметно анализируют образцы трафика, входящего в вашу сеть и исходящего из нее, отдельные IP-адреса, а также выдают внешне нейтральные запросы, адресованные от­дельным пользователям и сетевым устройствам.

Для обнаружения этих искусно закамуфлированных врагов приходится устанавливать интеллектуальное программное обеспечение детектирования сетевых атак, обладающее высокой чувствительностью. Приоб­ретаемый продукт должен предупреждать админист­ратора не только о случаях явного нарушения систе­мы информационной безопасности, но и о любых подозрительных событиях, которые на первый взгляд кажутся совершенно безобидными, а в действительно­сти скрывают полномасштабную хакерскую атаку. Нет нужды доказывать, что о вся­кой активной попытке взлома системных паролей администратор должен быть изве­щен немедленно.

Современные корпорации находятся буквально под перекрестным огнем со сторо­ны злоумышленников, стремящихся похитить ценные сведения или просто вывести из строя информационные системы. Задачи, преследуемые в борьбе с хакерами, доста­точно очевидны:

– уведомление о предпринятой попытке несанкционированного доступа должно быть немедленным;

– отражение атаки и минимизация потерь (чтобы противостоять злоумышленни­ку, следует незамедлительно разорвать сеанс связи с ним);

– переход в контрнаступление (злоумышленник должен быть идентифицирован и наказан).

Именно такой сценарий использовался при тестировании четырех наиболее попу­лярных систем выявления сетевых атак из присутствующих сегодня на рынке:

– Intruder Alert;

– еTrust Intrusion Detection.

Характеристика указанных программных систем обнаружения сетевых атак при­ведена в табл. 3.2.

Программа BlackICE фирмы Network ICE - специализированное приложение-агент, предназначенное исключительно для выявления злоумышленников. Обнаружив непрошеного гостя, оно направляет отчет об этом событии управляющему модулю ICEcap, анализирующему информацию» поступившую от разных агентов, и стремяще­муся локализовать атаку на сеть.

Программное обеспечение Intruder Alert компании Alert Technologies больше похоже на инструментарий для специалистов в области информационной безопасности, посколь­ку оно предоставляет максимальную гибкость в определении стратегий защиты сети.

Пакет Centrax производства CyberSafe устроен по принципу «все в одном»: в его составе есть средства контроля за системой безопасности, мониторинга трафика, вы­явления атак и выдачи предупреждающих сообщений.

Система eTrust Intrusion Detection корпорации Computer Associates особенно силь­на функциями контроля за информационной безопасностью и управления стратегия­ми защиты, хотя и в этом продукте реализованы средства выдачи предупреждений в режиме реального времени, шифрования данных и обнаружения атак.

Таблица 3.2. Характеристика программных систем обнаружения сетевых атак
Программная система	Производитель	Характеристика системы
BlackICE (специализированное приложение-агент)	Network ICE	Устанавливается на компьютере удаленного поль­зователя или на узле корпоративной сети. Выдает предупреждение об атаке на экран мони­тора пользователя. Сообщает о попытке НСД на средства сетевого мониторинга. Имеет возможность загрузки свежих сигнатур ха­керских атак с сервера. Выявляет источник атаки сети.
Intruder Alert (инструментарий детектирования сетевых атак)	Alert Technologies	Выбирает стратегию защиты сети. Поддерживает высокий уровень набора правил се­тевой защиты. Загружает сигнатуры хакерских атак. Требует наличия опытных специалистов для об­служивания.
Centrax (инструментарий детектирования сетевых атак)	Cyber Safe	Контролирует систему безопасности сети. Осуществляет мониторинг трафика. Выдает предупреждающие сообщения о сетевой атаке. Требует наличия опытных специалистов для об­служивания.
eTrust Intrusion Detection (анализатор трафика сети сегмента)	Computer Associates	Управляет стратегиями защиты. Выдает предупреждения об атаке в режиме реаль­ного времени. Осуществляет мониторинг трафика. Предупреждает администратора о нарушениях стратегии защиты. Сообщает о наличии ненормативной лексики в электронной почте. Располагает информацией о злоумышленнике

Предупреждения, генерируемые агентами BlackICE, очень конкретны. Текст сооб­щений не заставит администратора усомниться в характере зарегистрированного со­бытия, а в большинстве случаев и в его важности. Кроме того, продукт позволяет ад­министратору настроить содержание собственных предупреждающих сообщений, но по большому счету в этом нет необходимости.

Весьма полезным свойством разработок Network ICE, а также пакета Intruder Alert является возможность загрузки самых свежих сигнатур хакерских атак с сервера.

Попытки вывести из строя корпоративный сервер, который в результате вынужден на запросы об обслуживании отвечать отказом (denial-of-service), таят в себе довольно серьезную угрозу бизнесу компаний, предоставляющих своим клиентам услуги по глобальной сети. Суть нападения сводится к тому, что злоумышленник генерирует тысячи запросов SYN (на установление соединения), адресованных атакуемому сер­веру. Каждый запрос снабжается фальшивым адресом источника, что значительно зат­рудняет точную идентификацию самого факта атаки и выслеживание атакующего. Приняв очередной запрос SYN, сервер предполагает, что речь идет о начале нового сеанса связи и переходит в режим ожидания передачи данных. Несмотря на то, что данные после этого не поступают, сервер обязан выждать определенное время (макси­мум 45 с), перед тем как разорвать соединение. Если несколько тысяч таких ложных запросов будут направлены на сервер в течение считанных минут, он окажется пере­гружен, так что на обработку настоящих запросов о предоставлении того или иного сервиса ресурсов попросту не останется. Другими словами, в результате SYN-атаки настоящим пользователям будет отказано в обслуживании.

Во всех описываемых системах, за исключением eTrust Intrusion Detection корпо­рации Computer Associates, использована модель программных агентов, которые сна­чала инсталлируются на сетевых устройствах, а затем осуществляют сбор информа­ции о потенциальных атаках и пересылают ее на консоль. Агенты выявляют случаи нарушения установленных стратегий защиты и после этого генерируют соответству­ющие сообщения.

Системы на базе агентов являются наилучшим решением для коммутируемых се­тей, поскольку в таких сетях не существует какой-либо одной точки, через которую обязательно проходит весь трафик. Вместо того чтобы следить за единственным со­единением, агент осуществляет мониторинг всех пакетов, принимаемых или отправ­ляемых устройством, где он установлен. В результате злоумышленникам не удается «отсидеться» за коммутатором.

Сказанное можно проиллюстрировать на примере продукции фирмы Network ICE. Программе BlackICE отведена роль агента, устанавливаемого в полностью автоном­ной операционной среде, например, на компьютере удаленного пользователя либо на одном из узлов корпоративной сети передачи данных. Обнаружив хакера, атакующего удаленную машину, агент выдаст предупреждение непосредственно на ее экран. Если же аналогичное событие окажется зафиксировано в корпоративной сети, сообщение о попытке несанкционированного доступа будет передано другому приложению - ICEcap, содержащему средства сетевого мониторинга. Последнее собирает и сопос­тавляет информацию, поступающую от разных подчиненных ему агентов, и это дает ему возможность оперативно выявлять события, действительно угрожающие безопас­ности сети.

Система eTrust, напротив, основана на централизованной архитектуре. Она уста­навливается на центральном узле и анализирует трафик в подведомственном сетевом сегменте. Отсутствие агентов не позволяет данному продукту отслеживать все собы­тия в коммутируемой сети, поскольку в ней невозможно выбрать единственную «смот­ровую площадку», откуда вся сеть была бы видна как на ладони.

Пакет Intruder Alert и система Centrax производства CyberSafe представляют со­бой скорее инструментарий для построения собственной системы детектирования се­тевых атак. Чтобы в полной мере воспользоваться их возможностями, организация должна иметь в своем штате программистов соответствующей квалификации либо располагать бюджетом, позволяющим заказать подобную работу.

Несмотря на то, что все описываемые продукты легко инсталлировать, управление системами Intruder Alert и Centrax простым не назовешь. Скажем, если Centrax выда­ет предупреждающее сообщение неизвестного или неопределенного содержания (а такая ситуация не раз имела место в наших тестах), администратор вряд ли сумеет быстро определить, что же, собственно, произошло, особенно если для уточнения диагноза ему придется обратиться к файлам регистрации событий. Эти файлы отлича­ются исчерпывающей полнотой, однако разработчики, по-видимому, решили, что обыч­ному человеку достаточно только намекнуть, о чем может идти речь, и характер происходящего будет безошибочно идентифицирован. В регистрационных журналах этой системы присутствуют описания выданных предупреждений, но нет их идентификато­ров. Администратор видит адреса портов, к которым относились подозрительные зап­росы, либо параметры других операций, но не получает никакой информации о том, что же все это может означать.

Отмеченное обстоятельство значительно снижает ценность сообщений, выдавае­мых в режиме реального времени, поскольку невозможно сразу сообразить, отражает ли описание события реальную угрозу системе безопасности или это всего лишь по­пытка провести более тщательный анализ трафика. Иными словами, покупать назван­ные продукты имеет смысл лишь в том случае, если в штате вашей организации есть опытные специалисты по информационной безопасности.

Программное обеспечение eTrust Intrusion Detection корпорации Computer Associates представляет собой нечто большее, чем просто систему мониторинга сете­вой активности и выявления хакерских атак. Этот продукт способен не только декоди­ровать пакеты различных протоколов и служебный трафик, но и перехватывать их для последующего вывода на управляющую консоль в исходном формате. Система осуще­ствляет мониторинг всего трафика ТСРЯР и предупреждает администратора о случа­ях нарушения установленных стратегий в области информационной безопасности. Правда, эта разработка не поддерживает такого же уровня детализации наборов пра­вил, как Intruder Alert.

Однако детектирование попыток несанкционированного доступа и выдача предуп­реждающих сообщений - это только полдела. Программные средства сетевой защи­ты должны остановить действия хакера и принять контрмеры. В этом смысле наилуч­шее впечатление производят пакеты Intruder Alert и Centrax, те самые, что вызвали немалые нарекания по части настройки конфигурации. Если программы фирмы Network ICE и ПО eTrust мгновенно закрывают угрожающие сеансы связи, то системы Intruder Alert и Centrax идут еще дальше. Например, приложение компании Axent Technologies можно настроить таким образом, что оно будет запускать тот или иной командный файл в зависимости от характера зарегистрированных событий, скажем перезагружать сервер, который подвергся атаке, приводящей к отказу в обслуживании.

Отразив атаку, хочется сразу перейти в контрнаступление. Приложения Black-ICE и Centrax поддерживают таблицы с идентификаторами хакеров. Эти таблицы заполня­ются после прослеживания всего пути до «логовища», где затаился неприятель. Воз­можности программного обеспечения BlackICE особенно впечатляют, когда дело до­ходит до выявления источника атаки, расположенного внутри или вне сети: несмотря на многочисленные хитроумные маневры, нам так и не удалось сохранить инкогнито.

А вот система eTrust поражает степенью проникновения в характер деятельности каждого пользователя сети, зачастую даже не подозревающего о том, что он находит­ся под пристальным наблюдением. Одновременно этот пакет предоставляет наиболее полную (и, пожалуй, наиболее точную) информацию о злоумышленниках, даже о том, где они находятся.

Приложение Centrax способно создавать так называемые файлы-приманки, при­сваивая второстепенному файлу многозначительное название вроде «Ведомость.xls» и тем самым вводя в заблуждение излишне любопытных пользователей. Такой алго­ритм представляется нам слишком прямолинейным, но и он может сослужить неплохую службу: с его помощью удается «застукать» сотрудников за «прочесыванием» корпоративной сети на предмет выявления конфиденциальной информации.

Каждый из рассмотренных программных продуктов генерирует отчеты о подозри­тельных случаях сетевой активности. Высоким качеством таких отчетов и удобством работы с ними выделяются приложения ICEcap и eTrust Intrusion Detection. После­дний пакет отличается особенной гибкостью, возможно, потому, что ведет свое проис­хождение от декодера протоколов. В частности, администратор может проанализиро­вать сетевые события в проекции на отдельные ресурсы, будьте протоколы, станции-клиенты или серверы. В eTrust предусмотрено множество заранее разрабо­танных форматов отчетов. Их хорошо продуманная структура заметно облегчает об­наружение злоумышленников и позволяет наказать провинившихся пользователей.

Каждый продукт имеет свои сильные и слабые стороны, поэтому рекомендовать его можно только для решения определенных задач. Если речь идет о защите комму­тируемых сетей, неплохим выбором являются разработки Network ICE, Axent Technologies и CyberSafe. Пакет eTrust Intrusion Detection идеален для своевременно­го уведомления о случаях нарушения этики бизнеса, например, об употреблении не­нормативной лексики в сообщениях электронной почты. Системы Intruder Alert и Centrax - прекрасный инструментарии для консультантов по вопросам информаци­онной безопасности и организаций, располагающих штатом профессионалов в данной области. Однако тем компаниям, которые не могут себе позволить прибегнуть к услу­гам высокооплачиваемых специалистов, рекомендуем установить продукты компании Network ICE. Эти приложения заменят истинного эксперта по сетевой защите лучше любой другой системы из тех, что когда-либо попадалась нам на глаза.