Безопасность и Internet - статьи

         

Языки описания уязвимостей и проверок


Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Первая такая попытка была предпринята Витсом Венема и Деном Фармером - разработчиками системы SATAN. Описание новых уязвимостей, точнее их проверок, осуществлялось при помощи языка Perl. Это достаточно нетривиальная задача требовала обширных знаний как языка Perl, так и архитектуры стека протоколов TCP/IP и сканируемой операционной системы. По этому же пути (использование Perl) пошли разработчики системы WebTrends Security Analyzer. В приложении 1 приведен пример проверки, позволяющей определить тип операционной системы сканируемого узла. Язык Perl, наряду с языком C, используется и в системе Internet Scanner. Причем помимо возможностей, встроенных в саму систему Internet Scanner, компания ISS поставляет отдельную систему описания атак APX (Advanced Packets eXchange).

Другим языком, используемым при описании осуществляемых проверок, стал Tcl. Модификации этого языка используются в системах APX (бесплатное приложение к системе Internet Scanner), Security Manager и CyberCop Scanner. Компания Network Associates последовала примеру компании ISS и выделила механизм описания уязвимостей в отдельную систему CyberCop CASL (Custom Audit Scripting Language). Также как и APX, система CyberCop CASL может функционировать под управлением ОС Windows NT и Unix (Linux для CASL и Solaris для APX).

В системах APX и CASL описываются параметры сетевых пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов и т.д. В качестве примера (Приложение 2) можно привести проверку возможности осуществления подмены пакетов (Spoofing).

Однако наиболее удобным с точки зрения конечного пользователя (не программиста) является язык VDL (Vulnerability Descriptive Language) и VEL (Vulnerability Exploit Language), разработанный компанией Cisco. Проверки, описываемые этими языками, основаны на простых логических утверждениях, и пользователь может добавлять правила, если он видит, что они необходимы. Примером такого правила может быть:


# Секция описания сервисов: На анализируемом узле найден netstat

port 15 using protocol tcp => Service:Info-Status:netstat

Данная проверка описывает правило, которое определяет наличие сервиса netstat на 15-ом TCP-порту анализируемого узла. Более сложное следующее правило определяет наличие запущенного приложения SuperApp устаревшей версии по заголовку, возвращаемому на запрос, обращенный к портам 1234 или 1235.

# Пользовательская проверка: Приложение SuperApp 1.0 запущено на сканируемом хосте.

(scanfor "SuperApp 1.0" on port 1234) || (scanfor "SuperApp 1.0 Ready" on port 1235) => VULp:Old-Software:Super-App-Ancient:10003

Данная потенциальная уязвимость (VULp) относится к типу "устаревшее (потенциально уязвимое) программное обеспечение" (Old-Software) и носит название Supper-App-Ancient, задаваемое пользователем. Число 10003 определяет уникальный номер записи в базе данных уязвимостей системы NetSonar (NSDB).

Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки.Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако можно заметить, что язык, используемый в системе NetSonar и описывающий эти правила, достаточно элементарен и может помочь только в самых простых случаях. В сложных ситуациях, когда проверку нельзя записать одним правилом, необходимо использовать более сложные сценарии, которые достигаются применением языков Perl, Tcl и C.

Необходимо заметить, что хотя данная возможность и является полезной, ее эффективность достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности, не обладает глубокими познаниями в программировании. Кроме того, помимо анализа защищенности на нем "висит" еще много других задач (контроль пользователей, установка прав доступа и т.д.), и он просто не имеет времени для такой творческой работы, как описание новых проверок.


Эксперты дискутируют о настоящем и будущем систем обнаружения атак


Computer Security Journal vol. XIV, #1

Ричард Пауэр (Richard Power)

перевод Алексея Лукацкого, НИП "Информзащита"

Предисловие переводчика. Это первая публикация на русском языке, посвященная системам обнаружения атак без рекламы каких-либо конкретных продуктов. Рассуждения признанных экспертов в области сетевой безопасности и, в частности, в области обнаружения атак помогают ответить на многие вопросы, задаваемые пользователями. Данный перевод сделан с учетом российской терминологии в области информационной безопасности. Это не дословный перевод, и поэтому данная публикация в некоторых местах может не совпадать с оригиналом. Однако при переводе была сохранена общая идея первоначальной статьи, которая заключалась в том, чтобы рассказать о системах обнаружения атак, о достоинствах и недостатках существующих систем, о направлениях их развития, о том, чего в действительности можно ожидать от этой технологии.

Единственное, что можно добавить, в данной публикации ничего не сказано о таких новых направлениях в области обнаружения атак, как применение нечеткой логики и нейросетей.



Эшелонированная оборона


Многоуровневая система, задерживающая атаки и обеспечивающая своевременное резервное копирование данных, состоит из следующих уровней.



Этапы сканирования


Практически любой сканер проводит анализ защищенности в несколько этапов:

Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.

Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом "поступает" и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).

Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.

Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.

Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности "отката" не существует.

В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности:

Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым.

Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа "exploit check". Запуск сканирования с вашими пользовательскими правилами для нахождения конкретной проблемы. Все из вышеназванного.



Как это бывает?


Случай первый. В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:

- С вами говорит администратор сети, Иван. Как вас зовут?

- Оля!..

- Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль?

- А мне говорили, что чужим нельзя называть свой пароль.

- Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя наверняка есть дела вечером. К тому же твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?

- Да, согласна.

- Тогда назови свой пароль и все будет ОК.

- Мой пароль olja.

- ОК. Спасибо за помощь.

Случай второй. Пользователи получают письмо от имени службы технической поддержки своего Internet-провайдера со следующим текстом:

"Уважаемый пользователь бесплатной службы электронной почты "ОПАТЕЛЕКОМ"! Вас беспокоит служба технической поддержки сервера mail.domain.ru. В связи с участившимися в последнее время случаями краж паролей у наших пользователей мы просим срочно изменить Ваш существующий пароль на новый - o7gNaFu8. Данный пароль очень трудно подобрать хакерам и ваш почтовый ящик будет в полной безопасности.

Надеемся на Ваше понимание и содействие.

С уважением, служба технической поддержки сервера mail.domain.ru"



Как правильно выбрать средство контроля за электронной почтой.


Рынок IT стремительно развивается. Новинки появляются день ото дня, и уследить за ними чрезвычайно сложно. Да и в уже существующие продукты постоянно добавляются новые функции и возможности, порой весьма экзотические. Разбираться в них просто не хватает времени. Но зачастую это и ни к чему. Приобретая комплект офисных программ, мы заранее представляем, для чего он нам нужен - для составления и редактирования документов и т. д. Некоторые особенности данного продукта, к примеру возможность разместить в документе видеоклип или включить звуковое сопровождение, могут нас лишь неожиданно порадовать.

К сожалению, при выборе средств безопасности нередко даже специалисты подчиняются описанному стереотипу. Многие только в самых общих чертах представляют, для чего им необходим тот или иной продукт. В качестве примера мы будем рассматривать такую важную задачу, как построение системы контроля корпоративной электронной почты. Ее основные задачи - защита от спама, выявление неблагонадежных сотрудников, предотвращение утечки конфиденциальной информации, контроль за целевым использованием электронной почты, обнаружение вирусов и "троянских коней", блокировка передачи файлов запрещенного типа - перечислит каждый. Но когда дело доходит до внедрения, администраторы только разводят руками: как настроить систему, кто будет определять полномочия пользователей, от чего отталкиваться и чем руководствоваться при назначении полномочий и т. д.

А ведь спектр средств защиты информации довольно обширен. Поэтому, прежде чем приобретать любую систему защиты, стоит задуматься о том, какие цели планируется достичь в результате ее внедрения. Данный процесс должен привести к составлению правил использования тех или иных ресурсов. В сумме все эти правила составляют общекорпоративную политику безопасности. Без ее наличия любая система защиты, даже самая изощренная, окажется бесполезной тратой денег. К тому же, имея четкие представления о том, что вам нужно, проще определиться и с необходимой функциональностью продукта.

Но как же подойти к подобной задаче? Ответственность за построение политики безопасности следует возложить на комиссию из представителей отделов безопасности и отделов автоматизации. Работу целесообразно начать с рассмотрения объекта, над которым производится действие. В нашем примере это будут электронные письма. Самые главные атрибуты писем - адреса отправителя и получателя. Все письма делятся на две категории (по направлению их движения): входящие и исходящие. Очевидно, что и к тем, и другим предъявляются различные требования. С внешними, по отношению к вашей организации, адресами все более или менее понятно: весь мир делится на ваших партнеров и клиентов, с которыми вас связывают некоторые доверительные отношения, и всех остальных. К последней категории писем следует относиться особенно осторожно, так как помимо родственников и друзей сотрудников в это множество входят и ваши конкуренты. Взаимоотношения с партнерами и клиентами тоже могут иметь разную степень доверия.

Внутренние почтовые адреса организации - второй критерий отбора при построении политики. В каждой организации параллельно существуют две структуры упорядочивания сотрудников: организационно-штатная и ролевая. Поясню сказанное. Компания состоит из руководства и (по нисходящей) департаментов, управлений, отделов, отделениий, рабочих групп и т. д. (с точностью до названий и порядка их следования в конкретной структуре). На каждом уровне иерархии есть начальник, его помощники и рядовые сотрудники. Это и есть организационно-штатная структура. Идея ролевой структуры заключается в том, что у каждого из сотрудников могут быть особые, отличные от других, обязанности и сферы деятельности даже в рамках одной рабочей группы.

После того как мы определились с двумя основными критериями отбора, нам осталось выполнить еще два шага.

Прежде всего придется составить модель взаимодействия между внешними и внутренними адресатами. К примеру, это можно реализвать по следующей схеме. Вся почта организации разделяется на входящую и исходящую.


Исходящая почта может идти:

от подразделения 1 к партнеру 1, к партнеру 2 и к прочим адресам; от подразделения 2 только к партнеру 3 и т. д.

Входящая почта может идти:

от партнера 1, партнера 2 и с прочих адресов в подразделение 1; от партнера 3 и с прочих адресов в подразделение 2 и т. д.

Затем необходимо опуститься на следующий уровень иерархии: подразделение 1 состоит из таких-то структурных единиц, а те в свою очередь... и т. д., вплоть до каждого конкретного сотрудника.

Насколько глубоко придется спускаться при построении модели взаимодействия, подскажут руководители структурных подразделений. Ведь именно они знают, какие роли отведены их подчиненным. Иллюстрацией к сказанному может служить отдел продаж гипотетической компании, каждый менеджер которого общается со своей и только со своей группой клиентов.

Как видим, уже на этом этапе накладываются весьма существенные ограничения на свободу электронной переписки сотрудников.

Второй шаг, и это заключительный этап в построении рассматриваемой политики безопасности, состоит в наложении ограничений на разрешенные почтовые взаимодействия. В отличие от скучного описания схемы взаимодействия на предыдущем шаге - это процесс творческий. Конкретные ограничения необходимо разместить на каждой ветви построенного дерева.

Для выработки таких правил, вероятно, придется пообщаться с различными категориями людей. Но прежде всего по поводу ограничений на исходящую информацию стоит посоветоваться с руководителями соответствующих структурных подразделений и представителями отдела безопасности, чтобы они составили перечни слов и выражений, характерных для конфиденциальной или другой информации, выход которой за пределы компании нежелателен. Решения "под копирку" здесь не подойдут. К примеру, появление в письмах слов "вакансия", "резюме" и т. п. типично для переписки отдела кадров, но в переписке других отделов это может означать, что один из сотрудников занялся поиском работы на стороне, и к нему, возможно, отныне стоит относиться с недоверием. Необходимо помнить и о разумности накладываемых ограничений. Установление излишних запретов приведет к тому, что впоследствии администраторы безопасности не смогут выделить настоящие нарушения в ворохе блокированных по пустым подозрениям писем.

После уточнения этих параметров, необходимо проконсультироваться у системных администраторов относительно прочих нежелательных характеристик почтовых сообщений: например, их размера, наличия вложений определенного типа и т. д. Таким образом можно ограничить поступление в корпоративную сеть спама и прочего непродуктивного трафика (видеоклипов, картинок, аудиофайлов, рассылок от различных развлекательных сайтов).

Даже если вы ознакомите с принятой политикой безопасности всех своих сотрудников, то это не значит, что все будут беспрекословно ее соблюдать. Всегда найдутся те, кто попытается обойти новую систему. А может быть, вы хотите внедрить данное средство незаметно для пользователей? В любом из этих случаев важно не только обнаружить факт нарушения, но и предусмотреть ответную реакцию на такое событие. Реагирование может предусматривать полное или временное блокирование письма-нарушителя, занесение записи о событии в журнал регистрации, оповещение о нем администратора или другого уполномоченного лица либо уведомление самого пользователя - выбор зависит от возможностей конкретного средства.

В результате можно составить следующее мнемоническое правило политики безопасности для электронной почты: "Кому, откуда/куда запрещено получать/отправлять письма, удовлетворяющие условию, и как реагировать на такие события".

После того как четко определены все требования, вы сможете оценить необходимую функциональность средства для контроля содержимого электронной почты либо удостовериться в достаточности встроенных функций уже используемого межсетевого экрана или вскоре приобретаемой системы обнаружения атак для реализации вашей политики безопасности.

Естественно, что конкретные ограничения будут постоянно подвергаться корректировке, но наличие грамотно построенной политики безопасности поможет легко адаптировать ваше средство к любым жизненным испытаниям.

Быть может, кто-то спросит, зачем средства контроля содержимого необходимы именно мне? Сомневающимся в их практической полезности имеет смысл рассмотреть следующие соображения.

Вспомните, сколько времени ваша система бездействовала после последнего сбоя в результате активизации полученного по почте вредоносного кода и оцените свои прямые и потенциальные потери от этого. А все ли ваши сотрудники довольны работой и зарплатой? Не переманивают ли кого-нибудь конкуренты, и не пересылает ли он будущим работодателям, в знак своей преданности, конфиденциальные материалы, среди которых фрагменты исходных кодов программ, которые вы создали с огромным трудом (текстов договоров, сведений о планируемых сделках и т. п.)? А вдруг сотрудник использует в переписке с партнерами ненормативную лексику, да еще по отношению к вашим конкурентам или политическим деятелям, и кто-то потом выдает это за официальное мнение компании? А что, если деньги компании уходят на оплату рабочего времени сотрудников, когда они просматривают видео или прослушивают аудиофайлы, которыми обмениваются со своими знакомыми и между собой.

Если вы уже решились на внедрение тех или иных средств защиты, то, надеюсь, что эта статья поможет использовать их на полную мощность.

Михаил Савельев - ведущий специалист НИП "Информзащита". С ним можно связаться по адресу: saveliev@infosec.ru.


Как работает сканер безопасности?


А. В. Лукацкий, руководитель отдела Internet-решений

Научно-инженерное предприятие "Информзащита"



Как система обнаружения атак может


Карри: Это важные вопросы, которые должны тщательно рассматриваться при выборе системы обнаружения атак. Системы, основанные на профилях нападений хороши настолько, насколько хороши их базы данных сигнатур. Администратор должен иметь возможность создавать свои сигнатуры для известных атак. Реальный тест - может ли продавец не отставать от новых нападений и не только своевременно создавать новые сигнатуры, но и позволять корректировать старые, как временную меру. Механизмы распределения также важны. Когда Вы имеете дело с десятками, сотнями или тысячами модулей слежения системы обнаружения атак в одной компании, идея о ходьбе к каждому компьютеру с дискетой или CD-ROM неосуществима. Идеально, если система может быть дополнена новыми сигнатурами дистанционно. Чтобы принять меры против внесения поддельных сигнатур атак (например, как это произошло с распространением через сеть FIDO поддельных обновлений антивирусной базы для программы Dr.Web - примечание переводчика), необходимо использовать механизмы аутентификации и шифрования. Модификация сигнатур должна осуществляться без прерывания процесса обнаружения.

Саттерфилд: Идеально, если система обнаружения атак модифицируется, как минимум, ежеквартально. Сигнатуры атак строятся на основе бюллетеней безопасности, появляющихся в результате создания новых приложений, несущих в себе новые уязвимости. Самая лучшая модель модификации сигнатур в системах обнаружения атак представлена в антивирусных программах. В конечном счете, заказчики должны иметь возможность регулярной загрузки новых сигнатур, чтобы гарантированно иметь самую последнюю информацию об уязвимостях. Механизм распределения сигнатур должен быть построен в первую очередь по технологии "pull", а не "push" (т.е. вы должны получать обновления у производителя по своей инициативе, а не по его - примечание переводчика). Большинство заказчиков не хочет иметь автоматически модифицируемые системы из-за сложностей в управлении и повышенного риска безопасности. Желательно, если система "предупредит", что база данных сигнатур устарела и требует модификации. Затем система соединяется через Internet с Web-сервером производителя и загружает новую версию базы данных сигнатур.

Клаус: Имеется два источника получения новых сигнатур атак: компании (подобно ISS) и непосредственно пользователи. Хорошая система обнаружения атак должна не только получать регулярные обновления от экспертов компании-производителя, но и иметь механизм, позволяющий пользователям добавлять свои, специфичные сигнатуры. Поддержка системы обнаружения атак в актуальном состоянии требует постоянных усилий для проведения соответствующих исследований.

Ранум: В идеале, система обнаружения атак должна модифицировать сама себя. Как минимум, система обнаружения атак требует модификации словаря атак. Новые атаки будут появляться постоянно. Это закономерно. Но кто их разрабатывает? Прямо сейчас я вижу беспокоящую меня тенденцию, согласно которой, в компаниях, которые проектируют программные средства защиты, нанимают хакеров для разработки новых атак. Это мало чем отличается от использования труда вирусописателей компаниями, разрабатывающими антивирусные программы. Уже известен случай, когда инженер одного из производителей средств обнаружения атак опубликовал в журнале Phrack исходный текст инструментария для создания атаки SYN Flood типа "отказ в обслуживании" ("denial of service"). Спустя несколько недель этот производитель объявил, что они могут обнаруживать и блокировать атаку SYN Flood. Такое неэтичное поведение выставляет всех нас в плохом свете.

Спаффорд: Это зависит от используемой технологии. Если система обнаружения атак функционирует по принципу сравнения с сигнатурой, то необходимо загружать новые сигнатуры. Аналогично антивирусным сканерам. Если система обнаруживает аномальное поведение, то просто необходима периодическая подстройка. Например, система Tripwire не нуждается в модификации для получения новых атак. Необходимо только добавлять новые ресурсы, необходимые для контроля. Для систем, нуждающихся в новых профилях атак, их получение зависит от продавца или любой другой обслуживающей компании, обеспечивающей новые сигнатуры. Администратор может и сам создавать такие шаблоны, но это утомительно, требует большого количества исследований и подвержено ошибкам больше, чем в случае с профессиональными компаниями.



Как системы обнаружения атак "приноравливаются"


Ранум: Это не совсем правильная аналогия. Фильтрация, proxy, межсетевые экраны подобны броне вокруг Вашей сети. Системы обнаружения атак подобны хирургу, который сообщает Вам, что пуля прошла мимо вашей спины (т.е. не задела что-то важное - примечание переводчика). Первоначальная идея систем обнаружения атак состояла в том, что они были пассивными, т.е. "Системами Обнаружения Атак" ("Intrusion Detection System"), а не "Экспертами по Отражению Атак" ("Intrusion Countermeasure Expert" - ICE из Neuromancer). Межсетевые экраны и т.д. разработаны для активной или пассивной защиты, а системы обнаружения атак - для активного или пассивного обнаружения.

Карри: Это другой инструмент из защитного арсенала и он не должен рассматриваться как замена для любого из перечисленных механизмов. Конечно имеются некоторые перекрытия. Особенно с межсетевыми экранами. Последние уже выполняют некоторые ограниченные функции обнаружения атак, поднимая тревогу, когда "срабатывает" соответствующее правило. Системы обнаружения атак уникальны в том, что в отличие от межсетевых экранов, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение атак в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из межсетевых экранов, кроме, пожалуй, самого дорогого и сложного.

Саттерфилд: Системы обнаружения атак в значительной степени дополняют названные технологии. В некоторых случаях они могут заменять фильтрацию, proxy и т.п. В других случаях это будет другой уровень защиты. Дистанционно управляемая система обнаружения атак позволяет контролировать потоки данных в реальном масштабе времени. Я полагаю, что это будет иметь огромное воздействие на то, как мы будем управлять сетями в будущем. Текущее управление сетью сосредоточено на идентификации и управлении структурой и конфигурацией сети. Управление, основанное только на этой информации, подобно управлению строительством скоростного шоссе без знания структуры движения на нем. Технология обнаружения атак позволяет контролировать поток данных аналогично наблюдению за структурой движения на скоростном шоссе.

Клаус: И обнаружение атак, и анализ защищенности - критичные компоненты эффективной стратегии защиты. Вы имеете межсетевой экран, так? Отлично. Вы знаете, работает он или нет? Вы имеете туннели через межсетевой экран, правильно? Они используются? Ваши внутренние системы были атакованы когда-нибудь? Откуда Вы это знаете? Что Вы должны делать после этого? Мир изменяется каждый день. Секрет эффективной защиты информации в разработке политики безопасности, введении ее в эксплуатацию, аудите и регулярном их пересмотре. Вы не сможете этого сделать без использования технологий обнаружения атак и анализа защищенности.

Спаффорд: Межсетевые экраны и фильтрация предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти механизмы терпят неудачу из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества. Например, кто-то не понимает необходимости защиты сети и включает свой модем для доступа к рабочему компьютеру из дома. Межсетевой экран и proxy не могут не только защитить в этом случае, но и обнаружить этот случай. Системы обнаружения атак могут помочь в этом. Независимо от того, какова надежность фильтрации, пользователи зачастую находят способы обойти все Ваши преграды. Например, объекты ActiveX могут представлять новые направления для реализации угроз через межсетевые экраны. И, наконец, в большинстве систем наибольшую угрозу представляют люди, пользователи, действия которых должны также контролироваться.



Как защититься?


Никакими техническими мерами защититься от социального инжиниринга практически невозможно. А все потому, что злоумышленники используют слабости не технических средств, а как уже говорилось выше, слабость человеческой души. Поэтому единственный способ противодействовать злоумышленникам - постоянная и правильная работа с человеческим фактором.

Если вы - сотрудник организации, то необходимо провести обучение корпоративных пользователей, включая и тех, кто обращается к данным, системам и сетям извне (т.е. партнеров и клиентов). Такое обучение может проводиться как силами самой организации, так и при помощи приглашенных специалистов, а также в специализированных учебных центрах, которые стали в последнее время появляться в России, как грибы после дождя. Форма обучения может быть разная - начиная от теоретических занятий и обычных прктикумов и заканчивая online-семинарами, проводимыми через Internet, и ролевыми играми. Во время обучения обычные пользователи (не занимающиеся вопросами информационной безопасности в рамках своей основной работы) должны изучить следующие темы (помимо других тем, связанных с правильным выбором паролей, общими положениями политики безопасности организации и т.д.):

Как идентифицировать подозрительные действия и куда сообщать о них? Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников? Ни в коем случае нельзя забывать о внутренних угрозах - ведь по статистике основное число инцидентов безопасности происходит именно изнутри организации. Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый данным, системам и сетям?

Эти же темы должны изучаться и теми пользователями, которые используют компьютеры и сеть Internet из дома, в своих личных целях. Однако, если для корпоративного пользователя возможны описанные выше варианты обучения, то домашний пользователь может о них забыть. Не каждый человек готов выложить из своего кармана от 100 до 500 долларов за курс, выгода от которого достаточно эфемерна. Ведь атаку вас может ждать в будущем, а деньги надо выкладывать уже сейчас. Поэтому рядовому пользователю остается только самообразование по книгам, журналам и Internet, которые подчас ничем не уступают дорогостоящему обучению (в части информативности).

Прежде чем начинать реализовывать процесс корпоративного обучения, зачастую очень дорогостоящий, необходимо оценить уровень знаний персонала компании, который будет эксплуатировать имеющуюся или создаваемую инфраструктуру защиты информации. Если персонал не обладает необходимыми знаниями, то спросите кандидатов на обучение, каких знаний им не хватает. Несмотря на кажущуюся абсурдность этого совета, зачастую это самый простой путь, чтобы с минимальными затратами достичь максимальных результатов. Особенно тогда, когда вы не в состоянии правильно оценить уровень знаний своих сотрудников. Проанализируйте собранную информацию и разработайте (возможно с привлечением сторонних организаций) программу обучения сотрудников по вопросам обеспечения информационной безопасности. Такая программа должна быть разделена как минимум на две части. Первая часть должна быть ориентирована на рядовых сотрудников, а вторая - на персонал, отвечающий за информационную безопасность. Помимо всего прочего обучение должно быть обязательным для всех новых сотрудников, принимаемых на работу, и должно рассматривать все аспекты функциональных обязанностей служащего. По мере разработки этой программы примените ее в организации.

Необходимо периодически проверять эффективность обучения и готовности служащих к выполнению действий, связанных с обеспечением информационной безопасности. Регулярно проводите для своего персонала занятия по повышению квалификации, рассказывающие о новых изменениях в стратегии и процедурах безопасности, а также устраивайте "разбор полетов" после зафиксированных серьезных инцидентов. Для этого необходимо проводить регулярные тренинги, повышающие квалификацию персонала и отрабатывающие ситуации, которые могут появляться в реальности. Если такие ролевые игры проводятся у военных или в авиакомпаниях, то почему бы вам не использовать этот проверенный временем способ? Это позволит удостовериться, что персонал организации знает свои обязанности "на 5" и сможет адекватно реагировать на регулярно возникающие в последнее время критические ситуации, связанные с информационной безопасностью.



Как защититься от большинства компьютерных атак


Защита сети от компьтерных атак - это постоянная и нетривиальная задача; но ряд простых средств защиты смогут остановить большинство попыток проникновения в сеть. Например, хорошо сконфигурированный межсетевой экран и антивирусные программы, установленные на всех рабочих станциях, смогут сделать невозможными большинство компьютерных атак. Ниже мы кратко опишем 14 различных средств защиты, реализация которых поможет защитить вашу сеть.

Оперативная установка исправлений для программ (Patching) Компании часто выпускают исправления программ, чтобы ликвидировать неблагоприятные последствия ошибок в них. Если не внести исправления в программы, впоследствии атакующий может воспользоваться этими ошибками и проникнуть в ваш компьютер. Системные администраторы должны защищать самые важные свои системы, оперативно устанавливая исправления для программ на них. Тем не менее, установить исправления для программ на всех хостах в сети трудно, так как исправления могут появляться достаточно часто. В этом случае надо обязательно вносить исправления в программы на самых важных хостах, а кроме этого установить на них другие средства защиты, описанные ниже. Обычно исправления должны получаться ТОЛЬКО от производителей программ. Обнаружение вирусов и троянских коней Хорошие антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. Единственной проблемой, возникающей из-за них, является то, что для максимальной эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и регулярное обновление антивирусных баз в них может уходить достаточно много времени - но иначе это средство не будет эффективным. Пользователей следует учить, как им самим делать эти обновления, но при этом нельзя полностью полагаться на них. Помимо обычной антивирусной программе на каждом компьютере мы рекомендуем, чтобы организации сканировали приложения к электронным письмам на почтовом сервере. Таким образом можно обнаружить большинство вирусов до того, как они достигнут машин пользователей. Межсетевые экраны Межсетевые экраны (firewalls) - это самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак. Вскрыватели паролей (Password Crackers) Хакеры часто используют малоизвестные уязвимые места в компьютерах для того, чтобы украсть файлы с зашифрованными паролями. Затем они используют специальные программы для вскрытия паролей, которые могут обнаружить слабые пароли в этих зашифрованных файлах. Как только слабый пароль обнаружен, атакующий может войти в компьютер, как обычный пользователь и использовать разнообразные приемы для получения полного доступа к вашему компьютеру и вашей сети. Хотя это средство используются злоумышленниками, оно будет также полезно и системным администраторам. Они должны периодически запускать эти программы на свои зашифрованные файлы паролей, чтобы своевременно обнаружить слабые пароли. Шифрование Атакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы. Это особенно важно в тех случаях, если соединение осуществляется по Интернет или с важным сервером. Имеется ряд коммерческих и бесплатных программ для шифрования трафика TCP/IP (наиболее известен SSH). Сканеры уязвимых мест Это программы, которые сканируют сеть в поисках компьютеров, уязвимых к определенным видам атак. Сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест. Имеются как коммерческие, так и бесплатные сканеры. Грамотное конфигурирование компьютеров в отношении безопасности Компьютеры с заново установленными операционными системами часто уязвимы к атакам. Причина этого заключается в том, что при начальной установке операционной системы обычно разрешаются все сетевые средства и часто разрешаются небезопасным образом. Это позволяет атакующему использовать много способов для организации атаки на машину. Все ненужные сетевые средства должны быть отключены. Боевые диалеры(war dialer) Пользователи часто обходят средства защиты сети организации, разрешая своим компьютерам принимать входящие телефонные звонки. Пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть. Атакующие могут использовать программы-боевые диалеры для обзвонки большого числа телефонных номеров в поисках компьютеров, обрабатывающих входящие звонки. Так как пользователи обычно конфигурируют свои компьютеры сами, они часто оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть. Системные администраторы должны регулярно использовать боевые диалеры для проверки телефонных номеров своих пользователей и обнаружения сконфигурированных подобным образом компьютеров. Имеются как коммерческие, так и свободно распространяемые боевые диалеры. Рекомендации по безопасности (security advisories) Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах. Рекомендации обычно описывают самые серьезные угрозы, возникающие из-за этих уязвимых мест и поэтому являются занимающими мало времени на чтение, но очень полезными. Они описывают в-целом угрозу и дают довольно конкретные советы о том, что нужно сделать для устранения данного узявимого места. Найти их можно в ряде мест, но двумя самыми полезными являются те рекомендации, которые публикует группа по борьбе с компьютерными преступлениями CIAC и CERT Средства обнаружения атак (Intrusion Detection) Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Или они могут быть установлены перед межсетевым экраном, чтобы обнаруживать атаки на межсетевой экран. Средства этого типа могут иметь разнообразные возможности. Имеется статья об их использовании и видах систем обнаружения атак


Средства выявления топологии сети и сканеры портов Эти программы позволяют составить полную картину того, как устроена ваша сеть и какие компьютеры в ней работают, а также выявить все сервисы, которые работают на каждой машине. Атакующие используют эти средства для выявления уязвимых компьютеров и программ на них. Системные администраторы должны использовать эти средства для наблюдения за тем, какие программы и на каких компьютерах работают в их сети. С их помощью можно обнаружить неправильно сконфигурированные программы на компьютерах и установить исправления на них. Группа по расследованию происшествий с безопасностью В каждой сети, независимо от того, насколько она безопасна, происходят какие-либо события, связанные с безопасностью (может быть даже ложные тревоги). Сотрудники организации должны заранее знать, что нужно делать в том или ином случае. Важно заранее определить следующие моменты - когда вызывать правоохранительные органы, когда вызывать сотрудников группы по борьбе с компьютерными преступлениями, когда следует отключить сеть от Интернет, и что делать в случае компрометации важного сервера. CERT предоставляет общие консультации в рамках США. FedCIRC отвечает за консультирование гражданских государственных учреждений в США. Политики безопасностиСистема сетевой безопасности насколько сильна, насколько сильно защищено самое слабое ее место. Если в рамках одной организации имеется несколько сетей с различными политиками безопасности, то одна сеть может быть скомпрометирована из-за плохой безопасности другой сети. Организации должны написать политику безопасности, в которой определялся бы ожидаемый уровень защиты, который должен быть везде единообразно реализован. Самым важным аспектом политики является выработка единых требований к тому, какой трафик должен пропускаться через межсетевые экраны сети. Также политика должна определять как и какие средства защиты (например, средства обнаружения атак или сканеры уязвимых мест) должны использоваться в сети. Для достижения единого уровня безопасности политика должна определять стандартные безопасные конфигурации для различных типов компьютеров. Тестирование межсетевых экранов и WWW-серверов на устойчивость к попыткам их блокирования Атаки на блокирование компьютера распространены в Интернет. Атакующие постоянно выводят из строя WWW-сайты, перегружают компьютеры или переполняют сети бессмысленными пакетами. Атаки этого типа могут быть очень серьезными, особенно если атакующий настолько умен, что организовал продолжительную атаку, у которой не выявить источник. Сети, заботящиеся о безопасности, могут организовать атаки против себя сами, чтобы определить, какой ущерб может быть нанесен им. Мы рекомендуем проводить этот вид анализа на уязвимость только опытным системным администраторам или специальным консультантам.


Какие наиболее серьезные слабости в существующих коммерчески распространяемых системах?


Саттерфилд: Многие продукты управляются локально. Локальное управление системами обнаружения атак, аналогично управлению другими средствами защиты, имеет значительные недостатки, которые, зачастую, проявляются только через некоторое время после развертывания системы. Масштабируемость жизненно важна для эффективного применения системы, особенно в крупных сетях. Вторая проблема - производительность. Большинство коммерческих систем обнаружения атак не может эффективно функционировать даже в сетях Ethernet (10 Мбит/с), не говоря уже о сетях ATM и других более скоростных магистралях.

Клаус: Мы столкнулись с двумя основными проблемами. Во-первых, вы должны быть уверены, что ваша система обнаружения атак соответствует вашей сети. А, во-вторых, вы должны ответить на вопрос: "Что делать потом?". Необходимо настроить приобретенную систему таким образом, чтобы она обнаруживала атаки и распределяла их по приоритетам с учетом специфики вашей сетевой инфраструктуры. Вы не имеете старых версий операционной системы SunOS? Следовательно, вы неуязвимы к атакам типа "UDP Bomb". Это знание уменьшает вероятность ложных обнаружений. Однако для такой настройки требуется знание топологии сети и сведений об используемом программном и аппаратном обеспечении. Ни одна из современных систем обнаружения атак не проводит такого рода предварительной настройки. Ответ на вопрос "Что делать потом?" также немаловажен. Предположим, что система обнаружения атак сообщает о событии DNS Hostname Overflow. Что это означает? Почему это плохо? Как я должен реагировать в ближайшей и далекой перспективе? Многие современные системы не обеспечивает такой уровень подробности. Кроме этого иногда очень трудно отделить важную информацию от второстепенной. Необходимо иметь немалый опыт в области обнаружения атак, чтобы формализовать его и заложить в систему.

Ранум: Самая большая слабость - наличие огромного числа приложений, которые имеют неизвестные уязвимости. Для типичной системы обнаружения атак основной способ определения нападения - проверка на соответствие сигнатуре. Однако, это ограниченное с технической точки зрения решение.

Карри: Обнаружение атак в коммерческих системах - все еще новая, неисследованная область. Производители разрабатывают системы в очень быстром темпе. Хотя существуют некоторые очевидные слабости масштабируемости, удаленной модификации и т.п., большинство производителей уже решило эти проблемы в альфа-версиях или в версиях, находящихся в процессе опытной эксплуатации. Имеется только одна, действительно серьезная, на данный момент нерешенная, проблема - база данных сигнатур. Написание модуля слежения для системы обнаружения атак - достаточно простая задача. Для этого необходим хороший алгоритм сопоставления с образцом, организация буферизации данных и эффективные алгоритмы кодирования. Но самый лучший в мире модуль слежения бесполезен без полной, всесторонней базы данных сигнатур атак, которая должна быть очень быстро обновляемой, так как новые атаки и уязвимости обнаруживаются постоянно. Создание такой базы данных требует наличия хорошо осведомленных экспертов, имеющих доступ к большому числу источников информации об атаках. Способность создания и обновления такой базы данных будет главным параметром, по которому будут оцениваться производители систем обнаружения атак в следующие 12-24 месяцев.

Спаффорд: Современные производители сосредотачивают свое внимание на обнаружении внешних атак, а не на выработке обобщенного подхода к обнаружению нарушений стратегии защиты. Выработка этого подхода - это область активных исследований в ближайшее время.



Какие проблемы создают объемы


Клаус: Переполнение данных - одна из главных проблем с системами обнаружения атак. Имеется два основных пути - управление отчетами программы и наличие "здравых" средств управления данными. Хорошая система обнаружения атак должна иметь возможность точной настройки - некоторые атаки могут обнаруживаться, а могут и нет; определенные атаки могут изменять некоторые свои параметры (например, число портов, открытых в определенный промежуток времени, - примечание переводчика), варианты реагирования также могут быть настроены. Эта настройка позволяет вам управлять тем, что и как сообщает вам система обнаружения атак. Хорошая идея - интегрировать средство обнаружения атак с системой анализа защищенности. Это позволит вам сконцентрироваться на самых важных данных, сохранив менее критичные данные для последующего анализа. Хорошая система обнаружения атак способна генерировать сообщения об атаке, выдавать их на экран, и иметь контекстно-зависимую справочную систему. Она также должна иметь эффективные механизмы управления данными, чтобы персонал мог анализировать собранные данные удобным для себя образом. Персонал, работающий с системой обнаружения атак, должен не только быть обучен правилам работы с ней, но и знать, как интегрировать ее в инфраструктуру своей организации.

Что касается аутсорсинга, то компании могут иметь разные точки зрения на него. Некоторые не используют аутсорсинг, так как созданных системой обнаружения атак данных достаточно для принятия соответствующих решений. Другие, напротив, желают воспользоваться аутсорсингом, поскольку они не так хорошо разбираются в защитных механизмах и технологиях и им необходима сторонняя помощь. Все это зависит от критичности данных и здравого смысла конечного пользователя системы обнаружения атак.

Ранум: Если вы записываете весь трафик на загруженной сети, то недорогой жесткий диск будет делать это медленнее, чем система обнаружения атак "пишет" на него (например, в сетях Fast Ethernet пропускная способность равна 100 Мбит/сек, а скорость доступа к современным "стандартным" жестким дискам равна 24-80 Мбит/сек - примечание переводчика). Вы должны знать, что сохранять, а что нет. Например, если вы контролируете доступ к Web-серверу, то, вероятно, нет необходимости сохранять все графические GIF-файлы. Полезнее хранить URL к ним. Если вы - секретная спецслужба, ищущая секретные данные в изображениях (стеганография - наука о методах скрытия самого факта передачи сообщения, в т.ч. и скрытие данных в графическом изображении - примечание переводчика), то вы предъявляете совершенно другие требования. Приспосабливаемость к различным требованиям по управлению данными является большой проблемой современных систем обнаружения атак, - сколько данных записывать; как долго их хранить; как представить их конечному пользователю? Я чувствую, что большинство пользователей не захочет иметь дела с этими проблемами. Им проще будет приобрести систему обнаружения атак, как часть комплексного решения по обеспечению информационной безопасности сети, предлагаемого внешней организацией и поддерживаемого 24 часа в сутки, 7 дней в неделю (аналогичные услуги в последнее время получили широкое распространение за рубежом - примечание переводчика).

Карри: Проблема не в количестве данных. Это всего лишь побочный эффект. Реальная проблема в том, что вы будете делать, когда система обнаружения атак уведомит вас о нападении? Когда вы получаете такое уведомление, вы должны реагировать быстро и правильно - любая ошибка может стоить вам дорого. Кроме того, вы не можете уменьшить число ложных срабатываний без риска пропустить реальную атаку. Таким образом, вы должны уметь отделять зерна от плевел. Как только вы решили, что тревога реальна, что это значит? Как вы реагируете? Автоматический ответ хорош, но это последнее, что вы должны предлагать своим заказчикам. То есть вы нуждаетесь в постоянном человеческом присутствии и возможности обработки оператором почти всех тревог. Это требует выделенного, опытного персонала, который постоянно контролирует эти атаки, знает, как они реализуются и, что более важно, знает, что с ними делать. Обучение и укомплектование персонала для решения этой задачи сложно - большинство компаний не имеет такой возможности, не может себе позволить создавать такие подразделения, не имеет на это времени и, даже если они смогли бы сформировать их, то у них нет на это соответствующих материальных ресурсов.

Саттерфилд: Действительно, управление данными - самая большая проблема перед всем семейством средств защиты информации. Это особенно важно для технологии обнаружения атак. На скоростях 100 Мбит/сек и выше система обнаружения атак должна собирать и анализировать большое количество данных. Ранние прототипы систем обнаружения атак фиксировали нажатия клавиш, которые сохранялись на локальном жестком диске и затем, ночью, передавались на центральную консоль для обработки на следующий день. Это работало, но было не оперативно и не соответствовало требованиям работы в реальном режиме времени.

Современные технологии оперируют интеллектуальными датчиками, которые собирают только те пакеты, которые могут содержать возможные нарушения защиты. Пакеты анализируются датчиком, а затем, в виде кодированного сигнала передаются дальше. Фактические данные, вызвавшие тревогу, доступны, но уже не имеют большого значения. Дело в том, что датчик должен быть интеллектуальным и должен уметь выбирать только важную информацию. Остальное игнорируется. Это единственный способ создать крупномасштабную систему обнаружения атак, функционирующую в реальном режиме времени с заданной эффективностью. Эта технология очень мощная. Она обеспечивает сбор и отображение заинтересованным лицам всей информации об уровне защищенности организации. Хорошая система обнаружения атак будет разрабатываться таким образом, чтобы она могла эксплуатироваться обычным техником. Однако, пока все еще необходима экспертиза для анализа данных и выработки варианта реагирования. "Пробел в умении защищать" не дает многим организациям понять, как себя защищать на достаточно серьезном техническом уровне. Следовательно, я думаю, что большое количество организаций обратится к аутсорсингу в области сетевой безопасности. Мы часто слышим от клиентов, что их компании "не нуждаются в аутсорсинге". Однако, после того, как мы им демонстрируем требования к обучению и затраты на 24-часовое поддержание соответствующего уровня безопасности они пересматривают свои позиции. Часто задается один вопрос. Кому вы скорее доверите свою защиту? Служащим, которые могут на следующей неделе работать на ваших конкурентов, или поставщику услуг, связанному контрактом? Этот вопрос обычно ведет к очень интересному обсуждению. Сотрудники службы аутсорсинга - это текущий контроль местных тревог. Фактически, потребители поняли, что системы оповещения, расположенные на предприятии, имеют мало значения, если они не имеют удаленного контроля. Сколько раз вы останавливались на улице, чтобы узнать, почему раздается сигнал тревоги из дома соседа? Ответ - вы обычно ждете шестичасовых новостей, чтобы узнать об этом.

Спаффорд: Системы обнаружения не должны генерировать много данных. Что касается заданных вопросов, то позвольте мне обратить ваше внимание, что мы проводим исследования в этих областях (за исключением обучения и укомплектования персоналом) и пока не нашли лучшего решения.



Kerberos


Технология аутентификации и шифрования Kerberos (http://www.mit.edu/kerberos/www) была разработана в Массачусетском технологическом институте и «выпущена в свет» в 1987 году. С того момента эта технология превратилась в стандарт, которым занимается рабочая группа Common Authentication Technology Working Group, сформированная при Internet Engineering Task Force.

Свободно распространяемые версии Kerberos предлагаются для платформ Macintosh, Unix и Windows. Коммерческие реализации созданы Microsoft, Oracle, Qualcomm и рядом других компаний. Microsoft вызвала критику специалистов, работающих на этом рынке, интегрировав в Windows 2000 версию Kerberos, не в полной мере соответствующую стандарту.



Классификация компьютерных атак


Когда мы говорим "компьютерная атака", мы имеем в виду запуск людьми программ для получения неавторизованного доступа к компьютеру. Формы организации атак весьма разнообразны, но в целом все они принадлежат к одной из следующих категорий:

Удаленное проникновение в компьютер: программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть) Локальное проникновение в компьютер: программы, которые получают неавторизованный доступ к компьютеру, на котором они работают. Удаленное блокирование компьютера: программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем (для восстановления работоспособности чаще всего компьютер надо перезагрузить) Локальное блокирование компьютера: программы, которые блокируют работу компьютера, на котором они работают Сетевые сканеры: программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам. Сканеры уязвимых мест программ: программы, проверяют большие группы компьютеров в Интернете в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки. Вскрыватели паролей: программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей. Сейчас компьютеры могут угадывать пароли так быстро, что казалось бы сложные пароли могут быть угаданы. Сетевые анализаторы (снифферы): программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика.



Компьютер под защитой программного межсетевого экрана


Маршрутизатор защищает от атак извне. Однако некоторые типы злонамеренного программного обеспечения, такие как интернет-черви, троянские программы и программы-шпионы, работают изнутри. Для того чтобы прекратить их деятельность, необходим программный защитный экран, установленный непосредственно на компьютере.

Межсетевой экран, настроенный исключительно по принципу полномочий доступа, предупреждает о любой попытке приложения передать данные по сети и позволяет блокировать эту операцию, таким образом обращая внимание администратора на приложения, которые могут оказаться злонамеренными.

Таблица - программные и аппаратные межсетевые экраны

Из соображений удобства межсетевые экраны, встроенные в пакеты Panda Platinum Internet Security и Symantec Norton Internet Security 2004 автоматически предоставляют полномочия многим приложениям Windows. Однако такой шаг может привести к нарушению защиты. Например, первоначально продукт Panda, предоставляя доступ службам Windows, оставлял открытым порт 135 — именно через этот порт в компьютер проникает печально известный червь Blaster. Правда, когда это было замечено, ошибка была исправлена.

Встречается и обратный "перегиб": казалось бы, пакет обеспечения безопасности не может блокировать все подряд — он должен оставлять возможность работы хотя бы для собственных компонентов. Однако, оказалось, что в McAfee Internet Security Suite 6 это не так. Например, при попытке отправить письмо по электронной почте программа выдает сообщение о том, что MCSHIELD.EXE и MGHTML.EXE (два компонента пакета McAfee) пытаются получить доступ к защищенному файлу — то есть к dat-файлу почтового клиента.



Компоненты системы Internet Scanner


Система Internet Scanner&153; состоит из трех основных подсистем, предназначенных для тестирования сетевых устройств и систем (Intranet Scanner), межсетевых экранов (Firewall Scanner) и Web-серверов (Web Security Scanner).



Компоненты системы RealSecure


Система RealSecure использует распределённую архитектуру и содержит два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.

Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module).



Краткий обзор по протоколам


Терминальный сервис

Поддерживается протоколы telnet,rlogin,tn3270. Работа по этим протоколам

невозможна в обход МЭ. МЭ может быть сконфигурирован в прозрачном

режиме при использовании этих видов сервиса. При стандартном режиме работы

пользователь общается только с соответствующей программой, он не осуществляет

удаленный вход в систему МЭ. rlogin сервис не использует rlogind сервер

на МЭ. telnet и rlogin сервисы обслуживаются разными программами МЭ,

соответственно каждый сервис требует отдельной конфигурации.

Протокол передачи файлов

Протокол FTP аналогично telnet может быть сконфигурирован в прозрачном

и обычном режимах. При использовании прозрачного режима графические реализации

клиента FTP (например CuteFTP for Windows95) не требуют изменения.

При стандартном режиме и в случае дополнительной авторизации графические

версии использовать не рекомендуется (можно пользоваться терминальной

версией ftp в windows95). МЭ осуществляет полный контроль за

использованием команд протокола RETR,STOR и т.д.

Электронная почта.

МЭ предоставляет поддержку электронной почты с использованием протокола

SMTP. Поскольку известно большое количество проблем, связанных со стандартной

программы передачи почты sendmail, МЭ не запускает ее в привилегированном

режиме. Вместо этого с протоколом SMTP работает специальная программа

(2000 строк против 40 000 строк в sendmail), которая обрабатывает все

соединения по порту 25, проводит полный анализ всех управляющих команд

и заголовков письма, после чего вызывает sendmail для реальной передачи

сообщения. Все это происходит не в режиме суперпользователя и

на изолированном участке файловой системы.

Среди дополнительных возможностей имеется возможность скрыть реальную

внутреннюю структуру сети от анализа по почтовым адресам.

Для чтения почты пользователями используется специальная серверная программа,

использующая авторизацию через одноразовые пароли. МЭ поддерживает работу

по протоколу POP3 с использованием APOP стандарта( см. RFC1725).


WWW.

МЭ поддерживает все виды и вариации HTTP протокола. Программа МЭ,

отвечающая за этот протокол имеет размер исходных текстов примерно в 20 раз меньше

публично доступных аналогичных программ и может быть легко проанализирована.

Важнейшим отличием ее от других является возможность блокирования передачи

в составе гипертекстовых документов программ на языке JAVA. О полезности

этого свойства говорит наличии в архиве CERT 2-3 сообщений о проникновении

за системы защиты с помощью программ на этом языке, полученными пользователями приватной сети в составе документа. Кроме того, МЭ позволяет фильтровать такие

вещи, как JavaScript и Frames. МЭ позволяет осуществлять контроль

за используемыми HTTP методами (GET,PUT,HEAD).

X11.

X Window System хорошо известная проблемами с безопасностью среда.

X11 клиент, соединившийся с сервером, имеет возможность получить контроль

над клавиатурой, прочитать содержимое других окон. Система доступа к X11

в МЭ используется совместно с терминальными программами telnet и rlogin.

Она определяет псевдо-сервер, с которым и организуется соединений по

протоколу X11. При каждом таком соединении пользователю предлагается

сделать выбор мышкой - разрешить или запретить работу вызванного приложения.

Удаленная печать.

В некоторых случаях есть необходимость пересылки по сети печатной информации.

МЭ включает средства поддержки удаленной печати. При использовании

соответствующей программы проверяется откуда приходит запрос и на какой принтер.

также осуществляется контроль за удаленным управлением очередями печати

Удаленное выполнение задач.

Эта возможность реализована несколько ограниченно по причинам безопасности,

поскольку протокол rsh является одним из наиболее опасных. Пользователи

из приватной сети могут по правилам определенным администратором МЭ

выполнять задачи удаленно в открытой сети.

Передача звука - RealAudio.

Для пользователей приватной сети имеется возможность использовать

аудио по запросу протокол.

Доступ к базам данных.



В настоящий момент реализована возможность доступа к базам данных

Sybase с контролем на МЭ.

Нестандартные протоколы.

Для работы с нестандартными протоколами, использующих TCP в составе МЭ

имеется средство plug-ge, позволяющее использовать прозрачное прямое

соединение. Поскольку это средство не поддерживает авторизации, его

использование должно происходить под строгим контролем и только

если администратор понимает, что он делает. В общем случае рекомендуется

использовать circuit-level приложение из состава МЭ, поддерживающее

авторизацию. Управление этим средством со стороны пользователя

легко осуществляется с помощью стандартной программы telnet. Авторизовавшись,

пользователь может осуществить несколько соединений. Каждое такое соединение

происходит только при подтверждении со стороны пользователя, что это

делает именно его программа.


Май


Женщина-законодатель из

Калифорнии решила выяснить, почему она постоянно получает письма,

предназначенные одиноким родителям. Оказалось, что алгоритмы,

реализованные в демографических программах штата, содержат предположение

о том, что если в свидетельстве о рождении у родителей ребенка

разные фамилии, эти родители не состоят в браке. Таким образом,

правомерность статистического заключения "30% матерей в Калифорнии

воспитывают детей в одиночку", оказалась серьезно поколебленной.

В декабре столь же бурную реакцию вызвала публикация в "USA

Today", в которой утверждалось, что показатели компьютерного

индекса цен, базирующиеся на понятиях сельскохозяйственного и

индустриального прошлого, абсолютно не годятся для измерения производительности

труда и затрат в постиндустриальной экономике, основанной на информации

и предоставлении услуг. (Как говорится, что посеешь, то и пожнешь,

или, выражаясь более современно, мусор введешь, мусор и получишь.)

Информационный сервис

Edupage сообщил, что компания DVD Software предлагает утилиту

"UnGame", отыскивающую и уничтожающую компьютерные игры

в соответствии с ежемесячно обновляемым списком. По данным на

июнь, более 20 колледжей и университетов приобрели и используют

эту утилиту, чтобы уменьшить время, растрачиваемое студентами,

занимающими дефицитные терминалы и рабочие станции под игры, тогда

как другие студенты нетерпеливо ожидают возможности поработать

за компьютером. ("Chronicle of Higher Education", 7

июня 1996 года, с. A24).

Новая версия программы

управления дорожным движением, установленная в Вашингтоне, без

всяких видимых причин перевела работу светофоров с режима часов

пик (50 секунд зеленого света), на режим выходных дней (15 секунд

зеленого света). Возникший хаос привел к удвоению времени поездок

многих людей.("Washington Post", 9 мая).

Во Франции два поставщика

Интернет-услуг, WorldNet и FranceNet, решили отключить доступ

ко всем телеконференциям Usenet, поскольку французская прокуратура


пригрозила арестом директоров, несущих персональную ответственность

за нарушение национальных законов Франции о детской порнографии.

Последовала буря протестов, а Французская ассоциация профессионалов

Интернет обратилась за международной поддержкой в борьбе с полицейской

акцией, предложив блокировать всю сеть Usenet (см. RISKS 18.11).

Откликаясь на эти события,

Simson L. Garfinkel <simsong@vineyard.net> указал (см. RISKS 18.13), что блокировать отдельные телеконференции Usenet, поставляющие

педофилам детскую порнографию, довольно легко. Более того, хранение

или передача детской порнографии является федеральным преступлением.

Всякая организация, поддерживающая соответствующие телеконференции

на территории Соединенных Штатов (в том числе America Online),

нарушает федеральное законодательство.

Согласно сообщению агентства

AP от 18 мая, First National Bank of Chicago допустил самую большую

счетную ошибку в финансовой истории. В результате компьютерной

ошибки (читай - плохого контроля качества) около 900 миллионов

долларов были переведены на каждый из примерно 800 счетов. Суммарная

ошибка, таким образом, составила 763.9 миллиарда долларов. Интересно,

какую премию по итогам года получили программисты?

Также 18 мая австралийское

агентство Associated Press сообщило о краже микросхем памяти и

жестких дисков из 55 компьютеров, установленных в здании правительства

провинции Квинсленд.

Еврейское издательское

общество выпустило компакт-диск с иудейской информацией. Покупатели

этого диска были неприятно поражены, увидев, что в программе предохранения

экрана использована христианская символика. Вероятно, диск готовила

компания, ориентированная преимущественно на христиан, и предохранение

экрана было в данном случае добавлено без учета контекста. К счастью

для межрелигиозных отношений, обе стороны признали свою ответственность

за случившиеся и поделили расходы на переиздание и повторное распространение

исправленной версии диска. Автор сообщения об этом случае в RISKS 18.14, Matthew P Wiener <weemba@sagi.wistar.upenn.edu>,



пошутил, что, по всей видимости, издатели не смогли организовать

должного бета-тестирования.

По сообщению "Wall

Street Journal" от 22 мая, две японские компании потеряли

около 588 миллионов иен после того, как мошенники научились не

только подделывать денежные карты, но и увеличивать закодированную

на них сумму. Электронные деньги переводились на обычные банковские

счета.

23 мая Rachel Polanskis

<r.polanskis@nepean.uws.edu.au> сообщила о том, что поисковый

сервер AltaVista включил в свой индекс файлы из корневого каталога

незащищенного Web-сервера. Когда она посредством навигатора отправилась

по найденной ссылке, то обнаружила, что получила суперпользовательский

доступ к системе, о которой ранее никогда не слышала. Рэчел весьма

любезно проинформировала о создавшейся ситуации администраторов

Web-сервера, которые тут же отключили его от сети и занялись восстановлением

защиты. Мораль состоит в том, что плохая система безопасности

на Web-сервере почти наверняка ведет к его полной компрометации

и получению доступа ко всей информации. (RISKS 18.15).

David Kennedy изложил

(в RISKS 18.15) сообщение агентства Associated Press о сенатских

слушаниях, посвященных информационной безопасности. Правительственное

статистическое управление провело исследование числа незаконных

проникновений в компьютерные системы. Это исследование опиралось

на данные американского Министерства обороны, согласно которым

военные системы с несекретной информацией в 1995 году подвергались

атакам 160 тысяч раз. Агентство информационных систем Министерства

обороны собрало собственные данные, организовав около 38 тысяч

тестовых атак на несекретные системы. Примерно 65% атак оказались

успешными, причем лишь малая часть из них была обнаружена, а еще

меньшая - должным образом доведена до сведения командования. Обобщив

все эти данные, статистическое управление пришло к выводу, что

в 1995 году на правительственные компьютеры США было совершено

около 250 тысяч атак. На слушаниях говорилось также, что примерно



в 120 странах разрабатывают средства ведения информационной войны.

Peter Neumann указал, что отчет статистического управления можно

запросить в правительстве по наименованию "GAO/AIMD-96-84,

Information Security: Computer Attacks at Department of Defense

Pose Increasing Risks".

В конце мая с новой силой

разгорелась торговая война между Китаем и Соединенными Штатами.

США объявили о введении набора тарифов на общую сумму в 2 миллиарда

долларов в качестве компенсации за "массовое, терпимое и

даже поддерживаемое государством программное, музыкальное и видеопиратство,

поставленное в южном Китае на промышленную основу". (Reuters,

22 мая). Китайские чиновники заявили в ответ, что американское

давление на пиратов служит лишь прикрытием для "культурного

просачивания".

В Израиле полиция закрыла

три пиратские радиостанции, несанкционированно вещавшие на волнах,

зарезервированных для управления воздушным движением. (AP, 23

мая). Закрытию предшествовала забастовка авиадиспетчеров, парализовавшая

работу основного аэропорта Тель-Авива. Естественно, возникает

вопрос: "Если гражданские радиостанции могут непреднамеренно

нарушить функционирование важного аэропорта, то что в состоянии

сделать высокоэнергетические радиочастотные устройства (так называемые

HERF-пушки)?".

Продолжая борьбу за защиту

персональных данных, конгрессмен-республиканец Bob Franks и сенатор-демократ

Dianne Feinstein внесли на рассмотрение своих палат законопроект,

запрещающий предоставление информации о детях без согласия родителей

(AP, 23 мая). Подобная информация, которую собирают клубы дней

рождений в супермаркетах, магазинах игрушек, киосках быстрого

питания и т.п., поставляется компаниям, занимающимся рыночными

исследованиями и прямой рассылкой товаров по почте. Сторонники

законопроекта утверждают, что почтовые списки, доступные за плату

кому угодно, являются на самом деле списками потенциальных жертв.

28 мая Robert Alan Thomas,

40-летний житель калифорнийского города Милпитас, был приговорен



судом штата Юта к 26 месяцам заключения в федеральной тюрьме и

штрафу в размере 50 тысяч долларов за распространение детской

порнографии. Параллельно действует другой приговор, вынесенный

в Тенесси, согласно которому развратник и его жена должны отбыть

32 месяца в тюрьме штата за распространение непристойных изображений.

Данное дело имеет весьма серьезные последствия для операторов

электронных досок объявлений. Суд постановил, что любая передача

или прием подобного изображения может послужить основанием для

выдвижения обвинения.

Национальный исследовательский

совет опубликовал в конце месяца доклад, посвященный контролю

над криптосредствами. Коллектив известных ученых настоятельно

рекомендовал исключить криптосредства из законодательства о международной

торговле оружием. В докладе утверждается, что большинство целей,

ради которых ограничивается экспорт криптосредств, может быть

достигнуто путем разработки криптографического программного обеспечения,

предусматривающего возможность восстановления ключей или наличие

мастер-ключей для расшифровки сообщений по постановлению судебных

властей.

Один из сотрудников нашей

Ассоциации, занимающийся исследованием компьютерного подполья,

сообщил об аресте в собственном доме 16-летнего английского хакера

со звучным псевдонимом "Datastream Cowboy". Ему вменяются

в вину вторжения в компьютеры базы ВВС США в Rome Laboratories

(Нью-Йорк) и в некоторые другие международные сети. Еще одно сообщение

гласит, что вашингтонская группа криминальных хакеров "9x"

начала выпуск серии хакерских текстовых файлов.


Март


В начале марта система

электронной почты Белого Дома оказалась "затоплена"

из-за поддельной, непрошенной подписки на Интернетовские списки

рассылки, оформленной каким-то "доброжелателем" на правительственных

пользователей. "Автоответчик" в Белом Доме (whitehouse.gov)

реагировал на автоматически генерируемые входящие электронные

сообщения, направляя ответы в соответствующие списки, что вызвало

дополнительную перегрузку в Интернет. Эта атака на доступность

представляет собой еще одно проявление большой и постоянно растущей

проблемы киберпространства. В данном случае атаке способствовала

та простота, с которой можно подделать заголовки электронных писем,

в сочетании с неспособностью большей части программного обеспечения,

обслуживающего списки рассылки, выявлять поддельные запросы на

подписку.

В марте продолжалась атака

через телеконференции троянской программы с именем PKZ300B.ZIP

или PKZ300.EXE. Не принимайте, не передавайте и не выполняйте

файлы, выдающие себя за PKZip версии 3.0: это вредители, способные

уничтожить содержимое жестких дисков. Последняя версия программы

PKZip имеет номер 2.04g; соответствующее имя файла, скорее всего,

суть PKZ204g.zip.

В палату представителей

и сенат Конгресса США внесен законопроект, предусматривающий разрешение

экспорта аппаратуры и программ шифрования данных, если аналогичные

изделия доступны от зарубежных поставщиков. Законопроект утверждает

за каждым гражданином США право использовать внутри страны шифровальное

оборудование любого типа и запрещает обязательное использование

специальных ключей, позволяющих правоохранительным органам осуществлять

доступ к шифруемым данным. Кроме того, в законопроекте объявляется

преступлением применение криптосредств в преступных целях ("New

York Times", 4 марта 1996 года, с. C6).

Согласно сообщению "New

York Times" от 7 марта 1996 года, письмо, предназначавшееся

89 пользователям кредитных карт и извещавшее о приостановке их


счетов, в результате программной ошибки было отправлено в адрес

11 тысяч (из общего числа 13 тысяч) пользователей защищенных кредитных

карт банка Chase Manhattan. По иронии судьбы, это письмо получило

большинство самых благонадежных (и богатых) клиентов банка, что,

естественно, вызвало их раздражение. Как тут снова не вспомнить

о борьбе за повышение качества программного обеспечения?

Австралийская газета "The

Sunday Mail" (провниция Квинсленд) 10 марта сообщила об интересном

случае с двумя Белиндами - женщинами, носящими одно и то же имя,

Belinda Lee Perry, и родившимися в один день, 7 января 1969 года.

Из-за непродуманной реализации механизма уникальных идентификаторов

людей, совпадение имен и дат рождения гарантировало женщинам пожизненную

путаницу. Время от времени одна Белинда обнаруживала, что ее данные

затерты сведениями о тезке, что приводило к бесконечным неприятностям.

Единственный положительный момент во всей этой истории состоит

в установившихся дружеских отношениях двух страдалиц. Не пора

ли программистам понять, что пара (имя, дата рождения) не подходит

на роль уникального идентификатора?

Федеральная комиссия по

торговле (США) начала массированную атаку против мошенничества

в Интернет и WWW. Как сообщила 15 марта газета "Investor's

Business Daily", комиссия выдвинула против девяти физических

и юридических лиц обвинения в обманном использовании чужих имен.

В "Wall Street Journal"

от 15 марта сообщается о претензиях одного из производителей дисковых

приводов, компании IOMEGA. Утверждается, что ложная информация,

появившаяся в разделе "Motley Fool" (пестрые глупости)

сети America Online, вызвала сбои в торговле товарами этой компании.

IOMEGA направила жалобу в Комиссию по ценным бумагам и бирже (США).

Аналитики отмечают, что хоть в какой-то степени доверять такого

рода информации, публикуемой в сетях анонимно или под псевдонимом,

крайне глупо. (Конечно глупо, но, с другой стороны, кто слушает



советы аналитиков?)

Консультативный орган

по компьютерным инцидентам (Computer Incident Advisory Capability,

CIAC) Министерства энергетики США выпустил 18 марта бюллетень

"CIAC Notes" номер 96-01. В основной статье бюллетеня

приводится сводная информация об ошибках и исправлениях в области

безопасности Java и JavaScript. (Архив бюллетеней можно найти

по адресу ciac.llnl.gov).

Член Национальной ассоциации

информационной безопасности США David Kennedy сообщил (см. RISKS 17.95), что в конце марта компетентными органами Аргентины был

арестован Julio Cesar Ardita, 21 года, житель Буэнос-Айреса, системный

оператор электронной доски объявлений "Крик", больше

известный в компьютерном подполье под псевдонимом "El Griton".

Ему вменялись в вину систематические серьезные вторжения в компьютерные

системы ВМС США, NASA, многих крупнейших американских университетов,

а также в компьютерные системы Бразилии, Чили, Кореи, Мексики

и Тайваня. Одним из интересных аспектов данного дела является

использование гарвардской командой программ с искусственным интеллектом,

чтобы проанализировать тысячи возможных идентификаторов пользователей

и сузить круг подозреваемых до одного идентификатора, основываясь

на компьютерных привычках злоумышленника. Представители правительства

Аргентины конфисковали компьютер и модем хакера еще в январе.

Однако, несмотря на тесное сотрудничество компетентных органов

Аргентины и США, Ardita был отпущен без официального предъявления

обвинений, поскольку по аргентинскому законодательству вторжение

в компьютерные системы не считается преступлением. Кроме того,

в силу принципа "двойной криминальности", действующего

в международных правовых отношениях, Аргентина не может выдать

хакера американским властям. (Принцип "двойной криминальности"

утверждает, что необходимым условием выдачи гражданина другой

стране является уголовная наказуемость совершенного деяния в обеих

странах. Дело Ardita показывает, каким может быть будущее международных

компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних

соглашений о борьбе с компьютерной преступностью.)

Также в марте, "U4ea",

самопровозглашенный криминальный хакер, поднял волну Интернет-террора

в Бостоне. После атаки на компьютерную систему компании BerkshireNet

(см. выше информацию за февраль) и последовавших публикаций в

прессе, он, вероятно обидевшись, атаковал компьютеры газеты "Boston

Globe" и уничтожил хранившуюся на Web-сервере информацию.

Та же участь постигла Web-страницы газеты, хранившиеся на сервере

www.boston.net.


Механизмы работы


Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).

Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.

Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость.Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").

На практике указанные механизмы реализуются следующими несколькими методами.



Межсетевой экран для защиты локальной сети


Информация предоставлена "Р-Альфа"

При подключении локальной сети к сети общего пользования перед Вами сразу возникает проблема: как обеспечить безопасность информации в Вашей локальной сети?

Межсетевой экран "ПАНДОРА" на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера О2 фирмы Silicon Graphics под управлением IRIX 6.3 не только надежно решит проблему безопасности Вашей сети, но и позволит Вам:

скрыть от пользователей глобальной сети структуру Вашей сети (IP-адреса, доменные имена и т.д.)

определить, каким пользователям, с каких хостов, в направлении каких хостов, в какое время, какими сервисами можно пользоваться

описать для каждого пользователя, каким образом он должен аутентифицироваться при доступе к сервису

получить полную статистику по использованию сервисов, попыткам несанкционированного доступа, трафику через "Пандору" и т.д.

"Пандора" устанавливается на компьютер с двумя Ethernet интерфейсами на выходе между локальной сетью и сетью общего пользования.

"Пандора" построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы:

TELNET, Rlogin (терминалы)

FTP (передача данных)

SMTP,POP3 ( почта)

HTTP ( WWW )

Gopher

X11 (X Window System)

LP ( сетевая печать )

Rsh (удаленное выполнение задач)

Finger

NNTP (новости Usenet)

Whois

RealAudio

Кроме того, в состав "Пандоры" входит сервер общего назначения TCP уровня, который позволяет безопасно транслировать через "Пандору" запросы от базирующихся на TCP протоколов, для которых нет proxy серверов, а также сервер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.

Для аутентификации пользователей "Пандора" позволяет использовать следующие схемы аутентификации:

обычный UNIX пароль;

S/Key, MDauth ( одноразовые пароли).

POP3-proxy позволяет использовать APOP авторизацию и тем самым избежать передачи по сети открытого пароля.


FTP-proxy позволяет ограничить использование пользователями отдельных команд ( например RETR, STOR и т.д.)

HTTP-proxy позволяет контролировать передачу через "Пандору"

фреймов

описаний на языке Java

описаний на языке JavaScript

html конструкций, не попадающих под стандарт HTML версии 2 и т.д.

Гибкая и удобная система сбора статистики и генерации отчетов позволяет собрать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя ( если есть), а также аномалии в самой системе.

"Пандора" не требует ни внесения изменений в клиентское программное обеспечение, ни использования специального программного обеспечения

Прозрачный режим работы proxy серверов позволяет внутренним пользователям соединяться с нужным хостом за один шаг ( т.е. без промежуточного соединения с "Пандорой".

Система контроля целостности позволяет контролировать безопасность модулей самой системы.

Графический интерфейс управления служит для настройки, администрирования и просмотра статистики "Пандоры".

"Пандора" поставляется вместе с исходными текстами основных программ, с тем чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.

"Пандора" сертифицирована Государственной Технической Комиссией при президенте России СЕРТИФИКАТ N 73. Выдан 16 января 1997г. Действителен до 16 января 2000г.


Направления развития средств безопасности предприятия


Виктор Олифер, Корпорация Uni

Сегодня неотъемлемым элементом бизнеса многих предприятий становится осуществление электронных транзакций по Internet и другим публичным сетям. Прогнозируемое превращение в недалеком будущем Internet в новую публичную сеть (New Public Network), предоставляющую массовому пользователю все виды информационных услуг и переносящую все виды трафика в глобальном масштабе, должно превратить эту тенденцию в норму жизни. Электронная коммерция, продажа информации, оказание консультационных услуг в режиме on-line и многие другие услуги становятся для предприятий в новых условиях основными видами деятельности, поэтому разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести предприятию значительный материальный ущерб. В связи с этим информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно - цена каждой бреши в средствах защиты быстро растет и этот рост будет в ближайшем будущем продолжаться.

Поддержание массовых и разнообразных связей предприятия через Internet с одновременным обеспечением безопасности этих коммуникаций является сегодня основным фактором, влияющим на развитие средств защиты предприятия.

Трансформация Internet в глобальную публичную сеть означает для средств безопасности предприятия не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Для создания прочной основы массовой глобальной сети IP-технологии быстро приобретают такие новые свойства как поддержка дифференцированного по пользователям и приложениям качества обслуживания (QoS), управление сетью на основе централизованной политики, групповое вещание и т.д., и т.п. Постоянно появляются и новые информационные сервисы, например, сервис передачи голоса - VoIP, сервис поиска и доставки новостей PointCast и другие. Средства безопасности должны учитывать эти изменения, так как каждая новая технология и новый сервис могут потребовать своих адекватных средств защиты, а также оказать влияние на уже применяемые. Например, дифференцированное обслуживание трафика на основе признаков, находящихся в заголовке и поле данных IP-пакета, может быть затруднено работой средств инкапсуляции и шифрации IP-пакетов, применяемых в защищенных каналах VPN и закрывающих доступ к нужным признакам. На средства защиты может оказать значительное влияние и появление новых отдельных продуктов, особенно в том случае, когда ожидается массовое применение такого продукта (свежий пример этого рода - выход в свет Windows 2000).

Перспективные средства защиты данных предприятия должны учитывать появление новых технологий и сервисов, а также удовлетворять общим требованиям, предъявляемым сегодня к любым элементам корпоративной сети:


Основываться на открытых стандартах. Средства защиты особенно тяготеют к фирменным решениям, т.к. отсутствие информации о способе защиты безусловно повышает эффективность защиты. Однако без следования открытым стандартам невозможно построить систему защиты коммуникаций с предприятиями-партенерами и массовыми клиентами, которых поставляет сегодня Intrenet. Принятие таких стандартов как IPSec и IKE представляет значительный шаг в направлении открытости стандартов и эта тенденция должна поддерживаться. Обеспечивать интегрированные решения. Интеграция требуется в разных аспектах:

интеграция различных технологий безопасности между собой для обеспечения комплексной защиты информационных ресурсов предприятия - например, интеграция межсетвого экрана с VPN-шлюзом и транслятором IP-адресов. интеграция средств защиты с остальными элементами сети - операционными системами, маршрутизаторами, службами каталогов, серверами QoS-политики и т.п.

Допускать масштабирование в широких пределах, то есть обеспечивать эффективную работу при наличии у предприятия многочисленных филиалов, десятков предприятий-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.

Для того, чтобы обеспечить надежную защиту ресурсов корпоративной сети сегодня и в ближайшем будущем, разработчики системы безопасности предприятия должны учитывать следующие основные тенденции:


Nessus


Nessus (http://www.nessus.org) — сканер уязвимых мест в защите, позволяющий выполнять проверку защиты Web-сайта удаленным образом. Разработчики Nessus выпустили этот инструментарий в апреле 1998 года. Nessus поддерживает серверы, которые удовлетворяют требованиям POSIX и работают с клиентами Java, Win32 и X11.



Netfilter и iptables


Группа разработчиков свободно распространяемого программного обеспечения подготовила Netfilter и iptables для интеграции в ядро Linux 2.4. Netfilter (www.netwilter.org) дает пользователям возможность отслеживать обратные связи, ассоциированные с вторжением в сеть, тем самым позволяет выявлять тот факт, что система подвергается атаке. С помощью iptables (www.iptables.org) пользователи могут определять действия, которые должна предпринять система в случае обнаружения атаки.



Низкая удельная стоимость


Удельная стоимость PIX оказывается гораздо ниже, чем для большинства систем защиты. Во-первых, PIX благодаря наличию менеджера межсетевого экрана прост в установке и конфигурации, при этом сеть необходимо отключать только на непродолжительное время. Кроме того, PIX разрешает прозрачный доступ для мультимедийных приложений, что позволяет избежать модификации параметров рабочих станций - довольно неприятной процедуры.

Во-вторых, расширенные возможности по сбору статистики помогают понять и контролировать использование ресурсов. При помощи менеджера межсетевого экрана легко генерировать отчеты с описанием даты и времени соединения, полного времени соединения, статистики по пользователям (байты и пакеты), порты и другую важную информацию. Эти отчеты можно использовать в системе учета для различных подразделений.

В-третьих, сопровождение PIX достаточно дешево. Поскольку системы с proxy-серверами в основном базируются на UNIX платформах, компании должны содержать высокооплачиваемых специалистов. Кроме того, поскольку большинство предупреждений CERT (Computer Emergency Response Team ) имеют отношение к UNIX системам, компании должны затрачивать усилия для изучения этих предупреждений и инсталляции патчей. PIX базируется на небольшой, защищенной системе реального времени, не требующей серьезных ресурсов для сопровождения. Поскольку все программное обеспечение PIX загружается из FLASH памяти, не требуется жестких дисков, что обеспечивает более высокий срок службы и период времени между ошибками.

В-четвертых, межсетевые экраны PIX обеспечивают высокий уровень масштабируемости, поддерживая от 64 (минимум) до более чем 16000 одновременных соединений. Это позволяет защищать инвестиции пользователей, поскольку при росте компании можно заменить версию на более высокую.

В пятых, наличие сквозных proxy позволяет снизить затраты, время и деньги за счет использования базы данных сервера доступа компании, использующего TACACS+ или RADIUS.



Ноябрь


Юристы с нетерпением ждут

судебных дел по поводу проблем с датой в двухтысячном году, считая

это золотой жилой, классическими гражданскими делами для юридической

школы. Корреспондент телеконференции RISKS <stayton@ibm.net>

добавил: "Возможно, руководители отделов информатизации станут

обращать больше внимания на проблему двухтысячного года, когда

юристы начнут возбуждать против них дела".

Семь человек признаны

Королевским судом Лондона виновными в криминальном заговоре с

целью обмана британских банков путем прослушивания коммуникационных

линий между банкоматами и банковскими компьютерами. Перехваченные

данные должны были использоваться для изготовления большого числа

фальшивых банковских карт. (Reuters, 4 ноября).

Канадской полиции удалось

раскрыть самую крупную в истории страны банду, занимавшуюся детской

порнографией. Все началось с ареста 22-летнего жителя далекого

городка на севере провинции Онтарио. Затем полиция совместно с

ФБР прошлась по связям молодого человека, арестовав 16 членов

Интернет-клуба "Orchid Club", проживавших в Соединенных

Штатах, Австралии и Финляндии. Правоохранительными органами было

конфисковано 20 тысяч компьютерных файлов, содержащих фотографии

и видеоклипы противозаконных сексуальных действий с вовлечением

детей или их изображений. (AP, 4 ноября).

Руководители телефонной

индустрии пожаловались, что растущее использование Интернет приводит

к превышению расчетных показателей загрузки голосовых линий, что

в свою очередь вызывает увеличение числа сбоев в работе телефонной

системы США. Местные телефонные станции все чаще не справляются

с вызовами (меньшее число звонков проходит с первой попытки),

ответом на все большее количество вызовов оказываются сигналы

"занято" или полная тишина. (Reuters, 4 ноября).

Расследование, проведенное

сотрудниками ФБР, закончилось предъявлением обвинений бывшему

служащему американской корпорации Standard Duplicating Machines.

Похоже, что после трехлетней работы в корпорации, завершившейся


в 1992 году, этот служащий использовал свои знания об отсутствии

защиты корпоративной системы голосовой почты. Он извлекал директивы

по продажам и другие ценные данные в интересах прямого конкурента

- корпорации Duplo U.S.A. Успеху проникновений способствовало

использование подразумеваемых "паролей" голосовых почтовых

ящиков. Эти пароли в соответствии с общепринятой практикой состояли

из добавочного номера и символа "#" в конце. Предполагаемому

промышленному шпиону, если он будет признан виновным, грозит до

пяти лет тюрьмы и штраф в размере до 250 тысяч долларов. (PR News,

5 ноября). В конце месяца преступник признал себя виновным в телефонном

мошенничестве.

В начале ноября криминальные

хакеры атаковали антивоенный сервер www.insigniausa.com

и уничтожили сотни копий документов Министерства обороны США,

связанных с использованием химического и бактериологического оружия

во время войны в Персидском заливе. Поговаривали, что атаку финансировало

правительство. (Newsbytes, 5 ноября).

Компания Internet Security

Systems (ISS) объявила о выпуске первой известной коммерческой

системы мониторинга в реальном времени, способной справляться

с "SYN-наводнениями" и другими атаками против доступности.

(Эта информация не означает поддержку системы со стороны NCSA.)

(См. www.iss.net/RealSecure/).

Радио-телевизионная и

коммуникационная комиссия Канады (CRTC) по запросу телефонных

компаний наделила их правом запрещать продолжающуюся всю ночь

факсовую рассылку всякой ерунды. Запрет может действовать в пределах

Канады с 21:30 до 9:00 по рабочим дням и с 18:00 до 10:00 по выходным.

(Reuter, 7 ноября).

Отдел по информатике и

телекоммуникациям (CSTB) Национального исследовательского совета

США (NRC) объявил о выходе в свет окончательной версии труда по

криптографической политике "Роль криптографии в защите информационного

общества" (Cryptography's Role in Securing the Information

Society). Предварительный вариант работы был опубликован в мае.



( Более подробную информацию можно найти по адресу www.nap.edu/bookstore/).

Trevor Warwick <twarwick@madge.com>

сообщил об экспериментах с сотовыми телефонами. В его организации

обычно устойчиво работавшие серверы NetWare в течение трех дней

зависали несколько раз без всяких видимых причин. Наконец, обслуживающий

персонал обратил внимание, что каждый раз, когда сервер "умирал",

рядом находился специалист из компании AT&T (он налаживал

офисную АТС), разговаривавший по сотовому телефону. Эксперименты

подтвердили, что можно наверняка "завесить" сервер,

если использовать сотовый телефон на расстоянии порядка фута от

компьютера. Опыты на резервном сервере показали, что сотовый телефон

вызывает необратимое повреждение системного диска. Так что держите

сотовые телефоны подальше от своих компьютеров. (RISKS 18.60).

7-8 ноября дочерняя компания

AT&T - поставщик Интернет-услуг WorldNet - стала жертвой частичного

отключения электроэнергии, продолжавшегося 18 часов. Все это время

около 200 тысяч пользователей были лишены полного доступа к своим

системам электронной почты. (AP, 8 ноября).

Также 8 ноября Web-сервер

газеты "New York Times" был поражен "SYN-наводнением",

сделавшим один из самых популярных во "Всемирной паутине"

серверов недоступным. (См. www.news.com/News/Item/0,4,5215,00.html.

На некоторых коммерческих

Web-серверах неправильно установленные программы SoftCart делали

возможным неавторизованный доступ к информации о кредитных картах

клиентов, после того как те совершали покупки у онлайновых торговцев.

("Wall Street Journal" в изложении Edupage; RISKS 18.61).

Два года назад в Ливерморской

лаборатории наблюдался изрядный переполох (если не сказать паника).

В компьютерах Министерства энергетики было обнаружено 90 тысяч

изображений откровенно сексуального характера. Вероятно, прогресс

в области информационной безопасности, имевший место с тех пор,

так и не смог проникнуть за некоторые медные лбы. Физик-лазерщик



Kenneth Manes предоставил своему 16-летнему сыну суперпользовательский

доступ к правительственному компьютеру, использовавшемуся главным

образом для вычислений в интересах создания суперлазера, запланированного

как часть исследовательской программы Лаборатории в области ядерного

оружия. В каталогах суперпользователя также нашлось место для

90 откровенно сексуальных изображений, применявшихся для "бомбардировки"

компьютера в Швеции. Другой сын физика, 23 лет от роду, согласно

документам, представленным в муниципальный суд, обвинен в использовании

незаконно полученного пользовательского счета для торговли краденым

программным обеспечением. Сам Manes и еще один ученый обвиняются

в судебно наказуемых проступках.

Региональное управление

федеральных программ по охране окружающей среды (EPA), обслуживающее

атлантическое побережье США, 6 ноября было вынуждено выключить

свои компьютерные сети после того, как вирусная инфекция поразила

15% рабочих станций и серверов. (AP, 10 ноября).

Примерно в это же время

кто-то заполнил порнографией и насмешками официальный Web-сервер

встречи на высшем уровне глав 21 латиноамериканской страны. Сервер

был спешно выключен побагровевшими представителями властей. (Reuters,

11 ноября).

Американский фонд "Загадай

желание" помимо собственной воли стал наглядным примером

того, какой вред могут нанести недатированные, неподписанные,

недостоверные, но неубиенные письма, циркулирующие в Интернет.

Фонду пришлось организовать горячую линию и Web-страницу, моля

об окончании одного из многих вариантов современного городского

мифа. Герой этого мифа - Craig Shergold, мальчик, страдавший от

опухоли мозга. К счастью, операция по удалению опухоли прошла

успешно, и сейчас мальчик здоров. Тем не менее, в Интернет, среди

добрых, но наивных людей, каждый день продолжают циркулировать

тысячи писем. Эти люди думают, что бедный паренек все еще хочет,

чтобы ему присылали почтовые и визитные карточки. Однако, ни он,



ни почтовые служащие того района, где он живет, этого не желают.

Фонд приплел к этому делу какой-то глупец, захотевший всего лишь

приукрасить свой рассказ, и с тех пор "Загадай желание"

нежданно-негаданно стал получать тысячи кусочков бумаги для человека,

к которому он не имеет никакого отношения. Вывод: НЕ пересылайте

письма, пока не убедитесь в их достоверности. (Дополнительную

информацию можно получить по адресу www.wish.org/wish/craig.html

или по телефону (001) 800-215-1333, добавочный 184).

Все больше глупцов разносят

все больше страшных "вирусных" сказок. Одна из последних

вспышек глупости возникла на почве "вируса" "Deeyenda",

который вроде бы делает ужасные вещи по электронной почте. (Подробности

можно найти по адресу www.kumite.com/myths/myth027.htm).

Другие идиотские слухи относятся к "вирусу" "PENPAL

GREETINGS", делающему столь же ужасные (и столь же невозможные)

вещи. (RISKS 18.72; www.symantec.com/avcenter/vinfodb.html).

Общая настоятельная рекомендация: не пересылайте "предупреждения"

о "вирусах", пока не попросите компетентного человека

проверить достоверность подобного предупреждения. (RISKS 18.73).

Чтобы нам не показалось

мало со страхом ожидаемых катастрофических крахов древних компьютерных

систем, все еще неспособных представить дату, большую, чем 31

декабря 1999 года, нас решили напугать реальными крахами, которые

могут случиться примерно в это же время. Оказывается, пик 11-летнего

цикла солнечных пятен приходится на 2000 год, о чем предупреждает

центр с длинным названием National Oceanic and Atmospheric Administration's

Space Environment Center. Некоторые из возможных последствий:

волны в линиях электропитания; сбои в работе спутниковой системы

глобального позиционирования; помехи в спутниковых системах сотовой

телефонной связи; повреждение компьютеров и других электронных

систем на спутниках; расширение земной атмосферы и вызванные этим



пертурбации орбит спутников и космического мусора; наведенные

токи в трубопроводах и других больших металлических объектах;

изменения магнитного поля Земли; интерференция с сигналами, управляющими

работой глубинных нефтяных буровых установок. Думаю, в самом конце

1999 года я изыму из банковской системы все свои деньги и постараюсь

перевести их в золото. (AP, 19 ноября; RISKS 18.62).

Газета "USA Today"

сообщает об обзоре 236 крупных корпораций, подготовленном для

одного из комитетов Конгресса. Оказалось, что более половины крупных

американских корпораций стали жертвами компьютерных вторжений.

Около 58% компаний-респондентов заявили, что в прошлом году они

подвергались вторжениям. Почти 18% потеряли из-за этого более

миллиона долларов. Две трети жертв сообщили о потерях, превышающих

50 тысяч долларов. Согласно утверждениям респондентов, более 20%

вторжений представляли собой случаи промышленного шпионажа и вредительства

со стороны конкурентов. Респонденты дружно выразили озабоченность

отрицательным воздействием огласки компьютерных инцидентов на

доверие общественности к компаниям-жертвам. (AP, 21 ноября).

Служащий правительства

города Нью-Йорк использовал искажение данных, чтобы удалить налоговые

записи на общую сумму 13 миллионов долларов. Это крупнейшее однократное

налоговое мошенничество в истории Нью-Йорка. Представители полиции

дали понять, что по данному делу может быть арестовано более 200

человек. Виновным в мошенничестве и взяточничестве грозит до 10

лет тюрьмы. (22 ноября; RISKS 18.63).

Peter Garnett и его жена

Linda, 54 и 52 лет, депонировали поддельный чек на сумму, эквивалентную

16.6 миллиона долларов, якобы выданный Британским центральным

банком. Одновременно они предъявили благотворительный чек на сумму

в 595 долларов. Похоже, криминальные наклонности не всегда подкрепляются

достаточным интеллектом. Дополнительной уликой, показывающей,

что дело тут не чисто, стал расточительный образ жизни парочки

без всякой видимой поддержки расходов на круизы, изысканные обеды



и Роллс-Ройсы. Глупцов приговорили к трем с половиной годам заключения

в британских тюрьмах. (AP, 22 ноября).

В последнюю неделю ноября

был ликвидирован WWW-сервер, сообщавший новости об оппозиции жесткой

линии президента Белоруссии. (AP, 26 ноября).

29 ноября американская

государственная железнодорожная компания Amtrak лишилась доступа

к своей национальной программной системе резервирования и продажи

билетов - как раз перед началом самого напряженного в году периода

путешествий. Как правило, у агентов не было твердых копий расписаний

и цен на билеты, что приводило к большим задержкам в обслуживании

клиентов. (RISKS 18.64).

Издающаяся на Шетландских

островах (Великобритания) газета "Shetland Times" обратилась

в суд, чтобы заставить конкурирующую электронную "газету"

"Shetland News" отказаться от практики помещать ссылки

на Web-страницы Times, оформленные в виде оригинальных заголовков

последней. (RISKS 18.64). (Комментарий автора. Этот случай напоминает

о прежних дебатах в Web, когда с сервера "Babes on the Web"

начали рассылать гипертекстовые ссылки на каждую персональную

Web-страницу, подготовленную женщиной. Некоторые женщины возражали,

что такое использование ссылок является неприличным. В связи с

"Шетландским делом" возникает два вопроса. Во-первых,

является ли заголовок объектом авторского права? Во-вторых, является

ли гипертекстовая ссылка потенциальным нарушением авторского права?

Если кто-то, разместивший информацию на Web-странице, сможет законодательно

запретить другим ссылаться на нее, последствия для Web будут весьма

серьезными.)

29 ноября обиженный компьютерный

специалист из агентства Reuters в Гонконге взорвал логические

бомбы в пяти инвестиционных банках - пользователях сервиса Reuters.

В результате сеть, поставляющая рыночную информацию, критически

важную для торговли, не работала 36 часов. Банки немедленно переключились

на альтернативные сервисы, так что бомбы не оказали заметного

влияния на их работу. А вот в Reuters пришли в полное замешательство.

(RISKS 18.65).

30 ноября в Онтарио система

дебетовых карт крупного канадского банка (CIBC) отказала из-за

ошибки в новой версии программного обеспечения. Примерно половина

всех транзакций в восточной Канаде была приостановлена на несколько

часов. (RISKS 18.65).

Вышел 49-й номер журнала

"Phrack", содержащий коды "стирателя" и другие

средства использования брешей в защите. Склонная к проказам группа

телефонных хакеров "Phone Losers of America" организовала

штаб-квартиру для межрегиональной координации.


Объединенными силами


Маршрутизаторы, такие как модели Linksys и Microsoft, отражают внешние атаки, в то время как программные межсетевые экраны защищают компьютерные системы от вирусов-червей, распространяющихся через диски общего доступа, электронную почту и приложения для обмена файлами, такие как Kazaa и Gnutella. Программные межсетевые экраны — необходимый защитный компонент для ноутбуков, подключаемых не только к защищенной офисной или домашней сети, но также к сетям общего доступа, особенно беспроводным.

Из рассмотренных межсетевых экранов нам больше всего понравились Sygate и ZoneAlarm. Sygate впачатляет быстродействием и модульной конфигурацией, благодаря которой его можно настраивать практически как угодно. Правда, некоторые его сообщения способны поставить в тупик, несмотря на подробность. Как, например, реагировать на такое предупреждение: "Internet Explorer (IEXPLORE.EXE) is trying to connect to (207.46.134.221) using remote port 80 (HTTP – World Wide Web)"? Даже в переводе на русский — "Internet Explorer (IEXPLORE.EXE) пытается соединиться с www.microsoft.com (207.46.134.221) через удаленный порт 80 (HTTP – World Wide Web)" не совсем понятно… А вот сообщение ZoneAlarm в той же ситуации вполне ясно: "Do you want to allow Internet Explorer to access the Internet?" — "Разрешаете ли вы доступ Internet Explorer к интернету?".

Быстродействие ZoneAlarm не хуже, чем у Sygate, а интерфейс значительно понятнее. Тем же, кому недостает терпения настраивать межсетевой экран, работающий по принципу предоставления полномочий, можно порекомендовать экран с фильтрацией портов, такой как PC-cillin.



Общая информация о компьютерной безопасности


NIST Computer Security Resource Clearinghouse

Federal Computer Incident Response Capability

Center for Education and Research in Information Assurance and Security

Carnegie Mellon Emergency Response Team



Обзор средств атакующих


Сейчас в Интернет доступно огромное число ресурсов, позволяющих злоумышленникам проникать в компьютерные сети. Детальная информация об уязвимых местах программ публично обсуждается в группах новостей и списках рассылки. Имеются легкодоступные руководства по организации атак, в которых описывается, как написать программы для проникновения в компьютерные сети, используя информацию об уязвимых местах в программах. И тысячи таких программных средств, позволяющих любому организовать компьютерную атаку, уже написаны. Описания компьютерных атак теперь не находятся на известных лишь узкому кругу лиц пиратских BBS, а размещаются на широко известных коммерческих веб-сайтах.

Эти программы для организации компьютерных атак доступны для получения любым пользователем Интернет. Но мало того, что доступны программы для организации атак, теперь эти программы стало легче использовать. Несколько лет назад нужно было иметь Unix, чтобы организовать атаку и нужно было уметь компилировать исходный текст программы атаки. Сегодня эти программы имеют дружественный графический интерфейс и могут работать в ряде случаев под управлением Windows 9'X или Windows NT. Имеются специальные скрипты для организации автоматизированных атак, которые позволяют легко организовать очень опасные атаки. Поэтому системным администраторам важно понимать опасность этих атак и уметь защищать свои сети от них.



Оглавление


Что такое IDS

Почему следует использовать IDS

Типы IDS

Архитектура IDS

Совместное расположение Host и Target

Разделение Host и Target

Способы управления

Централизованное управление

Частично распределенное управление

Полностью распределенное управление

Скорость реакции

Информационные источники

Network-Based IDS

Host-Based IDS

Application-Based IDS

Анализ, выполняемый IDS

Определение злоупотреблений

Определение аномалий

Возможные ответные действия IDS

Активные действия

Сбор дополнительной информации

Изменение окружения

Выполнение действия против атакующего

Пассивные действия

Тревоги и оповещения

Использование SNMP Traps

Возможности отчетов и архивирования

Возможность хранения информации о сбоях

Дополнительные инструментальные средства

Системы анализа и оценки уязвимостей

Процесс анализа уязвимостей

Классификация инструментальных средств анализа уязвимостей

Host-Based анализ уязвимостей

Network-Based анализ уязвимостей

Преимущества и недостатки систем анализа уязвимостей

Способы взаимодействия сканера уязвимостей и IDS

Проверка целостности файлов



Ограничение функциональности сетевых сервисов


Некоторые корпоративные сети используют топологию, которая трудно "уживается" с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.

Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.



Октябрь


Администрация Клинтона

объявила, что она обжалует июньское решение против Закона о благопристойности

коммуникаций в Верховном суде (1 октября).

Администрация объявила

также о смягчении ограничений на экспорт криптосредств. Согласно

планам президентской команды, компании смогут экспортировать программы

с 56-битными ключами, если в течение двух лет будет реализовано

восстановление ключей (которое может осуществляться не только

правительственными ведомствами).

Альянс коммерческого ПО

(Business Software Alliance, BSA) пригрозил судебными карами египетским

фирмам, в которых, согласно экспертным оценкам, доля краденого

программного обеспечения составляет 80%.

В одной из программ новостей

BBC прошло сообщение о том, что услуги сотового пейджинга легко

доступны для перехвата и манипулирования посредством радиосканера

и соответствующего программного обеспечения для персональных компьютеров.

Центральное агентство

новостей Тайваня сообщило о появлении нового "политического"

вируса, созданного в знак протеста против претензий Японии на

острова, которые тайванцы называют Diaoyus. Вирус выдает следующие

сообщения: "Diaoyus - это территория Китайской Республики",

"Даже не надейтесь заполучить эти острова, японские чудовища",

"Вирус написан юным патриотом из школы Feng Hsi". После

этого вирус пытается уничтожить данные, хранящиеся на диске.

Газета "San Francisco

Chronicle" сообщила о новой серии мошеннических электронных

писем. В этих письмах жертвам сообщается, что у них есть только

24 часа на очищение от "страшного греха". Для очищения

нужно позвонить по номеру с региональным кодом 809. Междугородный

звонок стоит не менее 3 долларов, а на самом деле значительно

больше, если выслушивать бесконечные записанные сообщения. Peter

Neumann (ведущий телеконференции RISKS) указал также, что электронный

адрес отправителя писем "Global Communications"@demon.net

является вымышленным (RISKS 18.50).


В августе 1994 года Andrew

Stone, 32 лет, осужденный за махинации с кредитными картами, но

проводящий в тюрьме только ночи, был нанят редакторами журнала

"Which?", чтобы продемонстрировать уязвимость британских

банкоматов. После тестирования механизмов безопасности, проведенного

с благословения журнала, Эндрю вместе с сообщником организовали

автоматизированное "подглядывание через плечо". Они

разместили видеокамеры в нескольких точках, что позволило фиксировать

как детали банковских карт, так и движения пальцев пользователей

во время ввода персональных идентификационных кодов. Вооруженные

сведениями, добытыми за две недели подглядывания, сообщники изготовили

фальшивые банковские карты, "приняв за основу" дисконтные

карты для бензозаправочных станций. Банк-жертва был выбран в силу

особой насыщенности цветов на его картах, так что данные о счете

были ясно видны даже на расстоянии. Стоун и его сообщник похитили

сумму, эквивалентную 216 тысячам долларов США. В конце концов

полиция начала подозревать Стоуна, за ним стали следить и сопоставили

огромное число жалоб на неавторизованные изъятие средств с присутствием

Эндрю в пунктах выдачи наличных денег. В начале октября 1996 года

Стоун был приговорен к тюремному заключению на срок в пять с половиной

лет; его сообщник получил четыре с половиной года. (PA News, 4

октября).

Верховный суд США отклонил

апелляцию, которую подали Robert и Carleen Thomas из города Милпитас

(штат Калифорния). В 1994 году их осудили в результате процесса,

ставшего вехой в судебной практике, поскольку он затронул определение

границ сообщества в киберпространственный век. Стандарты сообщества

определяют, не переходит ли порнографический материал пределов

дозволенного. В данном случае почтовый инспектор из Мемфиса (штат

Тенесси) загрузил материал с электронной доски объявлений, расположенной

в Калифорнии, и возбудил уголовное преследование двух обвиняемых.

Их судили в Мемфисе и приговорили, соответственно, к 37 и 30 месяцам



тюремного заключения за пересылку незаконных файлов откровенно

сексуального характера через границу штата. (Reuters, 7 октября).

Португальское правительство

обязало компании-операторы сотовой телефонной связи установить

технические средства, позволяющие немедленно организовать прослушивание

любого звонка по сотовой связи. (Reuters, 9 октября).

В Колорадо-Спрингс программная

ошибка привела к невозможности зарегистрировать многократные идентичные

платежи, проводимые через банкоматы в течение одного дня клиентами

Федерального кредитного союза. Создавалось впечатление, что только

первый платеж относился на счет клиента. Кредитный союз известили

об этой ошибке сами пользователи несколько месяцев назад, но от

них просто отмахнулись. В октябре союз объявил о снятии 1.2 миллиона

долларов со счетов 12 тысяч "многократных плательщиков",

что вызвало всеобщее недовольство. (RISKS 18.53).

Профессор Гамбургского

университета Klaus Brunnstein обнаружил в середине октября, что

корпорация Microsoft выпустила еще один компакт-диск, зараженный

макровирусом Word "WAZZU.A". Естественно, персонал на

торговой выставке, где распространялся этот диск, проигнорировал

обращение профессора, утверждая, что вирус безвреден. Зараженные

документы пять дней находились на Web-сервере корпорации Microsoft,

прежде чем вирус был обнаружен. Профессор пояснил, что "WAZZU"

случайным образом переставляет пару слов в зараженном документе

и иногда вставляет цепочку символов "WAZZU". Если это

считается безвредным, то страшно даже подумать о том, что такое

подлинный вред. (RISKS 18.53).

Компания Concentric Network,

поставщик Интернет-услуг в северной Калифорнии, добилась еще одного

успеха в борьбе против злостных изготовителей электронного почтового

хлама - Sanford Wallace и ее дочерней фирмы Cyber Promotions.

Суд запретил этим фирмам использовать в их вздорных письмах адреса

Concentric Network в качестве адреса отправителя или адреса для



ответа. По утверждениям представителей компании Concentric Network

в суде, мошенническое использование ее области управления "вызывало

возврат десятков тысяч недоставляемых сообщений в почтовую систему

Concentric Network, где их приходилось обрабатывать и хранить,

что вело к перегрузкам оборудования и отказам в обслуживании для

подписчиков" (см. www.concentric.net).

В середине октября компания

Digital Technologies Group (Хартфорд) лишилась всех своих компьютерных

файлов и резервных копий. По-видимому, компания стала жертвой

классического вредительства со стороны обиженного бывшего сотрудника.

Прямой ущерб от вредительства составил 17 тысяч долларов. К этому

необходимо добавить потерю многомесячных трудов и недельный перерыв

в работе, серьезно повредивший репутацию компании как поставщика

Интернет-услуг. Вероятного преступника арестовали в конце декабря.

Ему грозит заключение на срок до 20 лет, если обвинение во вредительстве

будет доказано. (AP, 18 декабря).

Испанская полиция после

ареста в Барселоне двух юных каталонцев раскрыла шайку, занимавшуюся

распространением через Интернет детской порнографии. Сообщается,

что в процессе прослеживания преступников (а в их непристойности

были вовлечены даже дети трехлетнего возраста) успешно взаимодействовали

полицейские из многих стран. (Reuters, 10 октября).

Середина октября принесла

новые подтверждения правоты излюбленной мысли главы NCSA Боба

Бейлса (Bob Bales) о том, что Интернет может способствовать злоупотреблениям,

ведущим к отказам в обслуживании... для работодателей. Компания

Nielsen Media Research опубликовала обзор, показывающий, что служащие

компаний IBM, Apple и AT&T только за один месяц совместно

потратили 13048 человеко-часов на посещение WWW-сервера Penthouse.

Если принять стоимость одного человеко-часа равной, скажем, 20

долларам, то растраченное время обошлось работодателям в четверть

миллиона долларов. Из компании Compaq (Хьюстон) была уволена дюжина

сотрудников, каждый из которых в рабочее время нанес более 1000



зарегистрированных визитов на секс-серверы. (UPI, 14 октября).

Серия несчастий с голландскими

детьми вызвала гнев многих обозревателей Интернет. В течение одной

недели октября двенадцать детей были травмированы ручными гранатами,

изготовленными по детальным инструкциям, помещенным в Интернет.

Несмышленыши в возрасте от 8 до 13 лет собирали боеприпасы домашнего

изготовления из шариков, камешков и монет, прикрепленных к петардам.

Одна девочка лишилась глаза; у другой навсегда ухудшился слух;

другие дети получили ожоги. (AP, 18 октября).

Тревожное предупреждение

по поводу "смертельного пинга" опубликовал Mike Bremford

из Великобритании. Размер датаграмм (TCP/IP-пакетов) не должен

превышать 65535 байт. Любой процесс, генерирующий датаграммы большего

размера, может вызвать переполнение стека в операционной системе

принимающей машины. Это серьезная проблема, делающая практически

все операционные системы уязвимыми по отношению к атакам на доступность.

В качестве меры противодействия десятки производителей операционных

систем распространяют соответствующие заплаты. (Более подробную

информацию можно найти по адресу www.sophist.demon.co.uk/ping/).

22 октября состоялся массовый

выброс в Интернет почтового хлама. Тысячи поддельных рекламных

объявлений о нелегальной детской порнографии попали в почтовые

ящики пользователей разных стран. В качестве автора рекламы злоумышленниками

был указан житель Нью-Джерси Stephen Barnard. ФБР быстро разобралось

в ситуации, сняв со Стефана, жертвы отвратительного розыгрыша,

все подозрения. Письма были дополнительно замаскированы поддельными

заголовками, указывавшими на двух пользователей сети America Online,

но расследование оправдало и их. (PA News, Reuters, 22 октября).

В ежегодном отчете Французской

правительственной группы по борьбе с подделками (CNAC) указывается,

что Интернет активно используется изготовителями поддельных промышленных

изделий. "Подражатели" рассылают по своим подпольным



фабрикам, расположенным в разных странах, выкройки новых моделей

одежды прямо в день появления этих моделей.

На бизнес-семинаре, проводившемся

в гостинице Strathmore (Лутон, Бердфордшир), во время 20-минутного

обеденного перерыва воры проникли в запертую семинарскую аудиторию

и украли 11 ПК-блокнотов общей стоимостью примерно 75 тысяч долларов,

если не считать программного обеспечения и данных. (PA News, 25

октября).

В конце октября домашняя

Web-страница Верховного суда Флориды была "подправлена"

неизвестными лицами, заменившими благородный фон "под дерево"

картинками обнаженных людей, совершающих различные сексуальные

действия. Хотя фон вернули в первоначальное состояние в течение

пары дней, любознательное население Интернет подняло посещаемость

сервера на недосягаемую высоту. (UP, Reuters, 25 октября).

Председатель Федерации

коммуникационных услуг Jonathan Clark заявил, что мошенничество

ежегодно наносит британской телефонной индустрии и потребителям

ущерб в размере около 332 миллионов долларов. (PA News, 29 октября).

В конце октября были опубликованы

результаты ежегодного обзора информационной безопасности, подготовленного

компанией Ernst&Young. Ущерб от заражения вирусами, атак внутренних

и внешних пользователей существенно возрос, а умение поддерживать

информационную безопасность осталось на крайне низком уровне.

(См. techweb.cmp.com/iw/602/02mtsec.htm).

С разрешения владельца

авторских прав приведем фрагмент из публикации "Стратегия

развития безопасных систем в странах центральной и восточной Европы

(CEESSS):

Инциденты в области информационной

безопасности. Хакеры атакуют чешские банки. Опубликование персональных

данных о чешских гражданах.

Steven Slatem <sslatem@intellitech.cz>

Copyright (c) 1996

IntelliTech


Хакеры похитили 50 миллионов

чешских крон (1.9 миллиона долларов) в результате атак на неназванные

чешские банки. Другое нарушение безопасности состоит в получении

и размещении на электронной доске объявлений файла с персональной



информацией о чешских гражданах. Эти сведения нам сообщил в интервью

на выставке INVEX (Брно, 22-26 октября) Jiri Mrnustik, глава расположенной

в Брно компании по разработке антивирусного и криптографического

программного обеспечения AEC s.r.o."

В четырехлетней битве

между подразделением Opel корпорации General Motors и концерном

Volkswagen германский региональный суд отклонил гражданский иск,

в котором Volkswagen обвинял Opel в клевете и требовал возмещения

убытков в сумме 10 миллионов немецких марок (6.6 миллионов долларов).

Volkswagen подал этот иск в суд Франкфурта, чтобы прекратить заявления

Opel о криминальном заговоре с целью осуществления промышленного

шпионажа против Opel и General Motors. Заявления начались после

того, как Jose Lopez, удачливый менеджер в General Motors и Opel,

переметнулся в Volkswagen - как утверждается, с тремя чемоданами

конфиденциальных документов General Motors. (Dow Jones, 30 октября).

В конце ноября Lopez ушел из правления Volkswagen. (Reuters, 29

ноября). В середине декабря полиция Германии предъявила ему официальные

обвинения; однако, никаких обвинений в промышленном шпионаже против

концерна Volkswagen не выдвигалось. (Reuters, 13 декабря).

Житель Арканзаса Marion

Walton был уличен в киберсексуальной связи с канадской женщиной.

В отместку за это его жена Pat "прибила" почтовую программу.

Муж не остался в долгу и дважды поколотил жену. Полиция посоветовала

ей обратиться в суд. (Reuters, 31 октября; RISKS 18.57).


Oracle - сервер аутентификации


Oracle принимает запросы на аутентификацию через локальное устройство,

сверяет полученный запрос с политикой безопасности, описанной администратором

межсетевого экрана, и в случае, если запрос соответствует правилам, разрешает его выполнение.

При необходимости аутентифицировать пользователя, Oracle может в качестве

ответа заносить дополнительную информацию, например пароль пользователя или

запрос для системы одноразовых паролей.

Oracle - единственный процесс межсетевого экрана, осуществляющий доступ к аутентификационной

базе данных.

Oracle каждый час создает резервную копию базы, и в случае сбоя в работе

автоматически производит восстановление рабочей версии базы.

Oracle стартует при начальной загрузке системы.



Основные свойства


Защита на основе технологии контроля состояния защита сетевых соединений, позволяет ограничить неавторизованных пользователей от доступа к сетевым ресурсам. технология перехвата соединений на прикладном уровне позволяет обеспечить аутентификацию пользователей с использованием стандартных протоколов TACACS+ и RADIUS Поддерживает более 16,000 одновременных соединений Удобный и простой менеджер межсетевых экранов обеспечивает легкое администрирование нескольких межсетевых экранов PIX Поддержка третьего сетевого интерфейса для поддержки открытых для пользователей Интернет сервисов типа WWW, электронной почты и др. Поддержка протокола Point-to-Point Tunneling Protocol (PPTP) компании Микрософт для реализации виртуальных корпоративных сетей (VPN) Поддержка протокола Oracle SQL*Net для защиты приложений клиент/сервер Командный интерфейс, присущий CISCO IOS системе Высокая надежность благодаря возможности дублирования и горячего резерва Трансляция сетевых адресов (NAT) согласно RFC 1631 Трансляция портов (PAT) позволяет расширить пул адресов компании - через один IP адрес можно отображать 64000 адресов ( 16,384 одновременно) Псевдонимы сетевых адресов позволяют отобразить перекрывающиеся IP адреса в одно адресное пространство Для зарегистрированных IP адресов можно отменить режим трансляции адресов, что позволяет пользователям использовать их настоящие адреса Прозрачная поддержка всех распространенных TCP/IP сервисов - WWW, FTP, Telnet и т.д. Поддержка мультимедийных типов данных с использованием трансляции адресов и без нее, включая Progressive Networks' RealAudio, Xing Technologies' Streamworks, White Pines' CuSeeMe, Vocal Tec's Internet Phone, VDOnet's VDOLive, Microsoft's NetShow, VXtreme's Web Theater 2 Поддержка приложений для работы с видеоконференциями, совместимыми с H.323 спецификацией, включая Internet Video Phone (Intel) и NetMeeting (Микрософт) Возможнсоть фильтрации потенциально опасных Java апплетов Защищенная система реального времени Поддержка нескольких уровней входа в систему Поддержка прерываний (trap) SNMP протокола Сбор аудита через syslog утилиту Поддержка Management Information Base (MIB) для syslog Аудит использования URL и обменов по FTP протоколу Поддержка удаленного вызова процедур (RPC) Программа контроля почтового траффика позволяет отказаться от размещения внешнего почтового сервера в демилитаризованной зоне (DMZ) Защита от SYN атак защищает хост от атак типа "отказ в обслуживании" Трансляция NetBIOS протокола обеспечивает поддержку взаимодействия клиентов и серверов Microsoft Networking через PIX Две аппаратные платформы (PIX и PIX10000) позволяют обеспечить производительность от 45 Мбит/с до более чем 90 Мбит/с



Основными преимуществами такого решения являются:


Гибкость - одновременно решаются вопросы маршрутизации, обеспечения защищенного доступа в Интернет. В описаниии правил доступа используется информация о пользователях, адресах, типах приложений, как для входящих, так и выходящих соединений; Защита инвестиций - дополнительные возможности по защите в маршрутизаторе позволяет сэкономить средства на обучении работе с иной аппаратной платформой; Легкость управления - использование возможностей удаленного администрирования позволяет управлять системой со своего рабочего места через сеть; Совместимость с другими продуктами и решениями компании Cisco Systems

Ниже приведено краткое описание основных функциональных возможностей FFS:

Основанный на контексте контроль доступа

Поддерживаемые приложенияОбнаружение и предотвращение атак типа "отказ в обслуживании"Блокировка Java апплетовОповещение об атаках в реальном времениСетевое управление

Контроль состояния соединения Контроль состояния и контекста всех соединений через роутер
Протокольно-зависимая фильтрация Учет в правилах фильтрации команд служебных протоколов прикладного уровня, обнаружение атак на уровне протоколов, динамическое открытие необходимых для работы приложений портов
TCP/UDP приложения Telnet, FTP, HTTP, SNMP
FTP протокол Активный и пассивный режим
Мультимедиа приложения Контроль потоков служебной информации для правильного открытия необходимых портов для аудио/видео соединений (включает H.323 приложения, CU-SeeME, RealAudio, VDOLive, Streamworks и др.)
Контроль SMTP приложений Обнаружение неверных SMTP команд, что позволяет избежать необходимости установки почтовых серверов в демилитаризованной зоне
Поддержка RCP сервисов Контроль запросов portmapper на открытие соединений для работы RCP приложений
Поддержка R-команд Проверка ответов сервера с запросами на установление дополнительных соединений
Поддержка приложений Oracle Контроль сообщений о перенаправлении соединений от серверной части Oracle в приложениях клиент-сервер; открытие портов для работы клиентов с сервером
Приложения по поддержке видеоконференций на основе H.323 Проверка контрольных сообщений Q.931 и H.245, которые служат для открытия дополнительных UDP соединений для передачи видео и аудио данных
Защита от популярных видов атак Защита от syn атак, сканирования портов, защита от атак с исчерпыванием ресурсов маршрутизатора.
Контроль порядковых номеров Проверка порядковых номеров (sequence number) в TCP соединениях для гарантии того, что они находятся в ожидаемом диапазоне
Статистика соединений Статистика соединений, включающая время, адреса источника/назначения, порты и полное число переданных байт
Рекомендуемые настройки по умолчанию Настройки при загрузке, вкл/выкл source routing, разр/запр proxy arp, разрешение всех/только требуемых приложений, шифрование паролей на роутере с помощью MD5, списки доступа и пароли к виртуальным терминалам, разр/запр аутентификации роутеров в поддерживавемых протоколах маршрутизации
Расширенная статистика по TCP/UDP соединениям Статистика доступа пользователей (порты и адреса источника/назначения)
Установка уровня защиты Можно настроить правила фильтрации или полного запрета Java апплетов, не находящихся внутри архивов или сжатых файлов
Расширенные возможности Сообщения в случае атак типа "отказ в обслуживании" или иных заранее описанных событий через syslog механизм на заданный хост
Совместимость с остальными возможностями Cisco IOS Совместимость со списками доступа, трансляцией адресов, рефлексивными списками доступа, технологией шифрования, используемой в Cisco
Поддержка в ConfigMaker Программа под Windows95/NT, облегчающая настройку сетевых параметров, адресации и параметров FFS



Особенности применения


Если сканер не находит уязвимостей на тестируемом узле, то это еще не значит, что их нет. Просто сканер не нашел их. И зависит это не только от самого сканера, но и от его окружения. Например, если Вы тестируете сервис Telnet или FTP на удаленной машине, и сканер сообщает Вам, что уязвимостей не обнаружено - это может значить не только, что уязвимостей нет, а еще и то, что на сканируемом компьютере установлен, например, TCP Wrapper. Да мало ли еще чего? Вы можете пытаться получить доступ к компьютеру через межсетевой экран или попытки доступа блокируются соответствующими фильтрами у провайдера и т.д. Для ОС Windows NT характерен другой случай. Сканер пытается дистанционно проанализировать системный реестр (registry). Однако в случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не обнаружит. Существуют и более сложные случаи. И вообще различные реализации одного итого же сервиса по-разному реагируют на системы анализа защищенности. Очень часто на практике можно увидеть, что сканер показывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. И удаленно определить, существует ли в действительности уязвимость или нет, практически невозможно. В этом случае можно порекомендовать использовать систему анализа защищенности на уровне операционной системы, агенты которой устанавливаются на каждый контролируемый узел и проводят все проверки локально.

Для решения этой проблемы некоторые компании-производители пошли по пути предоставления своим пользователям нескольких систем анализа защищенности, работающих на всех указанных выше уровнях, - сетевом, системном и уровне приложений. Совокупность этих систем позволяет с высокой степенью эффективности обнаружить практически все известные уязвимости. Например, компания Internet Security Systems предлагает семейство SAFEsuite, состоящее из четырех сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner. В настоящий момент это единственная компания, которая предлагает системы анализа защищенности, функционирующие на всех трех уровнях информационной инфраструктуры. Другие компании предлагают или два (Axent) или, как правило, один (Network Associates, NetSonar и др.) сканер.

Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла другим путем для устранения проблемы ложного срабатывания. Она делит все уязвимости на два класса:


Потенциальные - вытекающие из проверок заголовков и т.н. активных "подталкиваний" (nudge) анализируемого сервиса или узла. Потенциальная уязвимость возможно существует в системе, но активные зондирующие проверки не подтверждают этого. Подтвержденные - выявленные и существующие на анализируемом хосте.

Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и использование "несильных подталкиваний". "Подталкивание" используется для сервисов, не возвращающих заголовки, но реагирующих на простые команды, например, посылка команды HEAD для получения версии HTTP-сервера. Как только эта информация получена, система NetSonar использует специальный механизм (rules engine), который реализует ряд правил, определяющих, существует ли потенциальная уязвимость.

Таким образом, администратор знает, какие из обнаруженных уязвимостей действительно присутствуют в системе, а какие требуют подтверждения.

Однако в данном случае остаются уязвимости, с трудом обнаруживаемые или совсем не обнаруживаемые через сеть. Например, проверка "слабости" паролей, используемых пользователями и другими учетными записями. В случае использования сетевого сканера вам потребуется затратить очень много времени на удаленную проверку каждой учетной записи. В то же время, аналогичная проверка, осуществляемая на локальном узле, проводится на несколько порядков быстрее. Другим примером может служить проверка файловой системы сканируемого узла. Во многих случаях ее нельзя осуществить дистанционно.

Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможных рисков деятельности пользователя.

Многие сканеры используют более чем один метод проверки одной и той же уязвимости или класса уязвимостей. Однако в случае большого числа проверок использование нескольких методов поиска одной уязвимости привносит свои проблемы. Связано это со скоростью проведения сканирования.

Например, различие между системами CyberCop Scanner и Internet Scanner в том, что разработчики из NAI никогда не добавят в свой продукт проверку, если не могут с уверенностью сказать, что проверка надежно обнаруживает уязвимость. В то время как разработчики ISS пополняют свою базу даже в том случае, если их проверка обнаруживает уязвимость с некоторой точностью. Затем, уже после выпуска системы, происходит возврат к разработанным проверкам, их улучшение, добавление новых механизмов осуществления проверок той же уязвимости для повышения достоверности, и т.д. Достаточно спорный вопрос, что лучше. С одной стороны лучше, когда вы с уверенностью можете сказать, что на анализируемом узле определенной уязвимости нет. С другой, даже если существует хоть небольшой шанс, что вы можете обнаружить уязвимость, то надо этим шансом воспользоваться. В любом случае наиболее предпочтительным является проверка типа "имитация атак", которая обеспечивает наибольший процент точного обнаружения уязвимостей.

Не все проверки, разработанные в лабораторных условиях, функционируют так, как должны. Даже, несмотря на то, что эти проверки тестируются, прежде чем будут внесены в окончательную версию сканера. На это могут влиять некоторые факторы:

Особенности конфигурации пользовательской системы. Способ, которым был скомпилирован анализируемый демон или сервис. Ошибки удаленной системы. И т.д.

В таких случаях автоматическая проверка может пропустить уязвимость, которая легко обнаруживается вручную и которая может быть широко распространена во многих системах. Проверка заголовка в совокупности с активным зондированием в таком случае может помочь определить подозрительную ситуацию, сервис или узел. И хотя уязвимость не обнаружена, еще не значит, что ее не существует. Необходимо другими методами, в т.ч. и неавтоматизированными, исследовать каждый подозрительный случай.


Отсутствие контроля своей конфигурации


Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, - сотрудники хотят получить доступ к новым ресурсам Internet, работать с новым сервисами (RealAudio, VDOLive и т.п.) и т.п. Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: "разрешено все и всем".

В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа "отказ в обслуживании"), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа "подбор пароля", позволяющие обнаружить "слабые" пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS).



Отсутствие снижения производительности сети


При использовании системы RealSecure? снижения производительности сети незначительное (не более 3-5%). Проблемы могут возникнуть при функционировании модуля слежения на компьютере с минимально требуемыми системными требованиями и большой интенсивности сетевого трафика. В этом случае часть пакетов может быть пропущена без соответствующей обработки.



Отсутствие защиты новых сетевых сервисов


Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма "посредников" (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких "посредников" достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.

Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов). В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.



Отсутствие защиты от авторизованных пользователей


Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.

Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.



Пакетные фильтры


Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или

отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета.

IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но

пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные

сервисы в TCP/IP ассоциируются с определенным номером порта.

Для описания правил прохождения пакетов составляются таблицы типа:

Действие тип пакета адрес источн. порт источн. адрес назнач. порт назнач. флаги

Поле "действие" может принимать значения пропустить или отбросить.


Тип пакета - TCP, UDP или ICMP.


Флаги - флаги из заголовка IP-па-кета.


Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.



Параллельное сканирование


Система Internet Scanner&153; позволяет параллельно сканировать до 128 узлов сети, которые могут принадлежать разным диапазонам IP-адресов. Такая возможность дает администратору безопасности более гибко проводит анализ защищенности больших сетей, состоящих из нескольких сегментов с разными требованиями по защищенности.

Выбор сканируемых узлов может осуществляться тремя способами:

задание одного или нескольких диапазонов сканируемых узлов в текстовом файле; задание одного или нескольких диапазонов сканируемого узлов в диалоговом режиме; использование всего диапазона сканируемых узлов, заданного в ключе авторизации системы Internet Scanner&153;.



Перспективы


Широкому применению свободно распространяемых систем защиты мешает целый ряд сложностей и проблем.



Перспективы развития


С 1992 года, когда появился первый сканер SATAN, существенно изменились требования к такого рода средствам. Сейчас уже недостаточно, чтобы система анализа защищенности обладала только обширной базой уязвимостей. Поэтому производители стали расширять функциональность своих продуктов за счет добавления следующих возможностей.



По мере того, как в компьютерной


Хотя свободно распространяемые системы защиты существуют уже давно, они никогда не использовались столь широко, как операционная система Linux и Web-сервер Apache. Джон Пескаторе, директор компании Gartner по исследованиям, связанным с безопасностью в Internet, отметил, что среди применяемых систем защиты на долю свободно распространяемых средств сейчас приходится 3-5%, но к 2007 году этот показатель может возрасти до 10-15%.

Основной причиной такого потенциала является качество многочисленных свободно распространяемых пакетов защиты. «Поддержка некоторых общеупотребительных средств защиты осуществляется на достаточно высоком уровне, и многие разработчики предлагают для них новый инструментарий и шаблоны. В определенном смысле такие решения конкурируют с коммерческим инструментарием», — заметил Юджин Спаффорд, директор Центра обучения и исследований в области информационной безопасности университета Пурди.

К свободно распространяемым программным продуктам относятся бесплатные инструментальные средства, которые можно загрузить из Internet, пакеты, для которых производители предлагают коммерческие услуги поддержки, а также дополнительный инструментарий, поставляемый вместе с коммерческими продуктами.

К наиболее популярным инструментам относятся Netfilter и iptables; системы обнаружения вторжений, например, Snort, Snare и Tripwire; сканеры уязвимых мест в системах защиты, такие как Kerberos; межсетевые экраны, в частности, T.Rex.

Некоторые предприятия даже начали использовать свободно распространяемые системы защиты для обеспечения безопасности своей критически важной инфраструктуры.



Почему это возможно?


Каждый из нас имеет струны, за которые стоит только подергать и все, вы размякли, не готовы критически оценивать свои поступки и будете делать все, о чем вас попросит опытный психолог, манипулирующий вами, как кукловод. Не стоит думать, что влиять на ваши поступки может только квалифицированный психолог. Эта наука доступна любому, потратившему на ознакомление с ее азами всего-лишь 1-2 часа. Каждый человек имеет болевые точки, поразить которые и есть задача хакера, желающего использовать социальный инжиниринг в своей противоправной деятельности.

При этом, если всех так называемых психокомплексов существует несколько десятков, то тех, которые применяются хакерами, не так уж и много. Перечислю их:

Страх. Пожалуй, это самый часто используемый и самый опасный психокомплекс человека. Существуют десятки и сотни разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так.

Любопытство. Помните детскую игру? Вам давали свернутую "раскладушкой" полоску бумаги, на которой было написано "разверни". Вы послушно разворачивали "раскладушку" и в конце бумажки видели фразу "а теперь заверни обратно". Более взрослая, но безопасная шутка заключалась в посылке другу ссылки: http://sky.chph.ras.ru/~foxy/cl.html, нажав на которую вам приходилось в течение долгого времени нажимать на кнопку OK в появляющихся в броузере окнах. Закрыть броузер стандартными средствами становится невозможным. Приходится "убивать" процесс, что может сказаться на работоспособности других приложений. Более опасные примеры использования любопытства в хакерских целях заключались в создании обманных серверов с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли. А так как обычно пользователи используют один и тот же пароль для доступа и к своему компьютеру и к Internet и к почтовому ящику, то узнав один пароль, с высокой вероятностью вы получали доступ и к другим паролям. Кстати, можно проверить, любопытны ли вы. Допустим, что я вам категорически не рекомендую заходить на страницу http://chatcenter.virtualave.net/delwin, потому что это очень опасно. Особенно, если вы используете броузер Internet Explorer. Сможете ли вы удержаться от того, чтобы не посмотреть, что находится по этому адресу?

Жадность. Этот психокомплекс завершает лидирующую тройку, которая может быть использована хакерами в своей зловредной деятельности. Проиллюстрирую его на реальном примере, с которым мне пришлось столкнуться в своей деятельности. У нас был сотрудник, на которого пало подозрение, что он ведет нечестную игру. И действительно, найдя в Internet его резюме, нами было составлено письмо от имени потенциального работодателя, в котором этому человеку было предложено заманчивое предложение. Взамен, мы задали ему несколько завуалированных вопросов о нашей корпоративной сети, ее системе защиты и ряд других, не менее важных вопросов. Нечистоплотный сотрудник, прекрасно понимая всю конфиденциальность этих сведений, предоставил их нам. После получения доказательств нами были сделаны соответствующие оргвыводы.

Превосходство. Можете ли вы с уверенностью сказать, что вам не знакомо чувство превосходства? Если да, то вы счастливый человек. Немногие могут похвастаться этим. Хакеры нередко использую этот психокомплекс в своих целях. Представьте, что к вам подошел "крутой" специалист, "кидающий пальцы" по какому-либо техническому вопросу. Вы, желая показать свое превосходство, начинаете опровергать его, указывать ему его место и т.д. В результате, в угаре словесного боя, вы можете выболтать что-то важное. И хотя данный метод большинству читателей знаком по шпионским боевикам (например, "Судьба резидента"), он вполне может быть применен и в обычной жизни.

Великодушие и жалось. Эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие. К вам может обратиться красивая девушка (кстати, эротический психокомлекс является одним из самых опасных - на него "ведутся" даже профессионалы) и, протягивая дискету, попросить помочь ей распечатать какой-то файл. Вы, по простоте душевной, вставляете эту дискету в свой компьютер и… получаете целый набор троянских коней, которые, активизируясь, начинают красть у вас пароли, финансовые отчеты и другую конфиденциальную информацию.

Доверчивость. Людям свойственно надеяться на лучшее и верить, что именно ИХ никто не обманет. Именно этот психокомплекс использовался при организации пирамид "МММ", "Русский Дом Селенга" и т.д. И он же с успехом может применяться в IT-области. Например, 25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз. Грамотно составленное письмо внушает к нему доверие, особенно если адрес отправителя соответствует человеку, подпись которого стоит под письмом.



Почему ЮНИ выбрала Check Point?


Выбор Check Point FireWall-1 как основы для реализации проектов сетевой безопасности был не случаен. Впервые мы познакомились с этим продуктом более четырех лет назад. В то время он был представлен на Российском рынке ОЕМ-версией от SUN Microsystems. Первые версии продукта представляли в большей степени теоретический интерес: Check Point реализовал совершенно новый по тем временам подход к инспекции IP-пакетов, но вскоре этот метод (Statefull Inspection Technology) получил высокую оценку и был запатентован. Сейчас многие производители систем firewall используют принципиально похожие технологии. Продукт совершенствовался и через два года своего существования стал наиболее распространенной в мире системой сетевой защиты. В России Check Point FireWall-1 начал пользоваться заслуженной популярностью в 1995 году, когда появление крупных проектов потребовало соответствующей технической поддержки и активного взаимодействия с непосредственным производителем. А затем ЮНИ и Check Point заключили сначала реселлерское, а затем и дистрибьюторское соглашения. В 1997 году ЮНИ авторизовала в Check Point свой учебный центр NTC. Возможность подготовить специалистов по материалам, одобренным производителем, на наш взгляд, является одним из ключевых моментов в реализации комплекса мер по защите сетей.



Почему следует использовать IDS


Обнаружение проникновения позволяет организациям защищать свои системы от угроз, которые связаны с возрастанием сетевой активности и важностью информационных систем. При понимании уровня и природы современных угроз сетевой безопасности, вопрос не в том, следует ли использовать системы обнаружения проникновений, а в том, какие возможности и особенности систем обнаружения проникновений следует использовать.

Почему следует использовать IDS, особенно если уже имеются firewall’ы, антивирусные инструментальные средства и другие средства защиты?

Каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация иногда называет безопасностью в глубину), можно защититься от максимально большого спектра атак.

Firewall’ы являются механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики firewall’а. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. Они могут обнаружить атакующих, которые обошли firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки.

IDS становятся необходимым дополнением инфраструктуры безопасности в каждой организации. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует, и не маленькая. Использование IDS помогает достичь нескольких целей: Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность. Это определяется следующим образом: "Я могу прореагировать на атаку, которая произведена на мою систему, так как я знаю, кто это сделал или где его найти". Это трудно реализовать в сетях TCP/IP, где протоколы позволяют атакующим подделать идентификацию адресов источника или другие идентификаторы источника. Также очень трудно осуществить подотчетность в любой системе, которая имеет слабые механизмы идентификации и аутентификации.Возможность блокирования означает возможность распознать некоторую активность или событие как атаку и затем выполнить действие по блокированию источника. Данная цель определяется следующим образом: "Я не забочусь о том, кто атакует мою систему, потому что я могу распознать, что атака имеет место, и блокировать ее". Заметим, что требования реакции на атаку полностью отличаются от возможности блокирования.


Атакующие, используя свободно доступные технологии, могут получить неавторизованный доступ к системам, если найденные в системах уязвимости не исправлены, а сами системы подсоединены к публичным сетям.

Объявления о появлении новых уязвимостей являются общедоступными, например, через публичные сервисы, такие как ICAT (http://icat.nist.gov) или CERT (http://www.cert.org), которые созданы для того, чтобы эти уязвимости нельзя было использовать для выполнения атак. Тем не менее существует много ситуаций, в которых использование этих уязвимостей все же возможно: Во многих наследуемых системах не могут быть выполнены все необходимые обновления и модификации.Даже в системах, в которых обновления могут быть выполнены, администраторы иногда не имеют достаточно времени или ресурсов для отслеживания и инсталлирования всех необходимых обновлений. Это является общей проблемой, особенно в окружениях, включающих большое количество хостов или широкий спектр аппаратуры и ПО.Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости.Как пользователи, так и администраторы делают ошибки при конфигурировании и использовании систем.При конфигурировании системных механизмов управления доступом для реализации конкретной политики всегда могут существовать определенные несоответствия. Такие несоответствия позволяют законным пользователям выполнять действия, которые могут нанести вред или которые превышают их полномочия.

В идеальном случае производители ПО должны минимизировать уязвимости в своих продуктах, и администраторы должны быстро и правильно корректировать все найденные уязвимости. Однако в реальной жизни это происходит редко, к тому же новые ошибки и уязвимости обнаруживаются ежедневно.

Поэтому обнаружение проникновения может являться отличным выходом из существующего положения, при котором обеспечивается дополнительный уровень защиты системы. IDS может определить, когда атакующий осуществил проникновение в систему, используя нескорректированную или некорректируемую ошибку. Более того, IDS может служить важным звеном в защите системы, указывая администратору, что система была атакована, чтобы тот мог ликвидировать нанесенный ущерб. Это гораздо удобнее и действеннее простого игнорирования угроз сетевой безопасности, которое позволяет атакующему иметь продолжительный доступ к системе и хранящейся в ней информации. Возможно определение преамбул атак, обычно имеющих вид сетевого зондирования или некоторого другого тестирования для обнаружения уязвимостей, и предотвращения их дальнейшего развития.



Когда нарушитель атакует систему, он обычно выполняет некоторые предварительные действия. Первой стадией атаки обычно является зондирование или проверка системы или сети на возможные точки входа. В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания. Имея такой неограниченный доступ, атакующий в конечном счете может найти уязвимость и использовать ее для получения необходимой информации.

Та же самая сеть с IDS, просматривающей выполняемые операции, представляет для атакующего более трудную проблему. Хотя атакующий и может сканировать сеть на уязвимости, IDS обнаружит сканирование, идентифицирует его как подозрительное, может выполнить блокирование доступа атакующего к целевой системе и оповестит персонал, который в свою очередь может выполнить соответствующие действия для блокирования доступа атакующего. Даже наличие простой реакции на зондирование сети будет означать повышенный уровень риска для атакующего и может препятствовать его дальнейшим попыткам проникновения в сеть. Выполнение документирования существующих угроз для сети и систем.

При составлении отчета о бюджете на сетевую безопасность бывает полезно иметь документированную информацию об атаках. Более того, понимание частоты и характера атак позволяет принять адекватные меры безопасности. Обеспечение контроля качества разработки и администрирования безопасности, особенно в больших и сложных сетях и системах.

Когда IDS функционирует в течении некоторого периода времени, становятся очевидными типичные способы использования системы. Это может выявить изъяны в том, как осуществляется управление безопасностью, и скорректировать это управление до того, как недостатки управления приведут к инцидентам. Получение полезной информации о проникновениях, которые имели место, с предоставлением улучшенной диагностики для восстановления и корректирования вызвавших проникновение факторов.

Даже когда IDS не имеет возможности блокировать атаку, она может собрать детальную, достоверную информацию об атаке. Данная информация может лежать в основе соответствующих законодательных мер. В конечном счете, такая информация может определить проблемы, касающиеся конфигурации или политики безопасности. IDS помогает определить расположение источника атак по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Оглавление Вперёд