Безопасность и Internet - статьи

Адаптивное управление защитой

Алексей ЛУКАЦКИЙ НИП "Информзащита", СЕТИ #10/99
Современные сетевые технологии уже трудно представить без механизмов защиты. Однако при их детальном анализе всегда возникают несколько вопросов: насколько эффективно реализованы и настроены имеющиеся механизмы, как противостоит атакам инфраструктура защиты, может ли администратор безопасности своевременно узнать о начале таких атак?
Информация об уязвимости аппаратных и программных средств постоянно публикуется в различных списках рассылки по проблемам безопасности (например, Bugtraq), и сетевым администраторам следует внимательно следить за этими «черными» списками.
Противостояние атакам — важное свойство защиты. Казалось бы, если в сети установлен межсетевой экран (firewall), то безопасность гарантирована, но это распространенное заблуждение может привести к серьезным последствиям.
Например, межсетевой экран (МЭ) не способен защитить от пользователей, прошедших аутентификацию. А квалифицированному хакеру не составляет труда украсть идентификатор и пароль авторизованного пользователя. Кроме того, межсетевой экран не только не защищает от проникновения в сеть через модем или иные удаленные точки доступа, но и не может обнаружить такого злоумышленника.
При этом система защиты, созданная на основе модели адаптивного управления безопасностью сети (Adaptive Network Security, ANS), способна решить все или почти все перечисленные проблемы. Она позволяет обнаруживать атаки и реагировать на них в режиме реального времени, используя правильно спроектированные, хорошо управляемые процессы и средства защиты.
Компания Yankee Group опубликовала в июне 1998 г. отчет, содержащий описание процесса обеспечения адаптивной безопасности сети. Этот процесс должен включать в себя анализ защищенности (security assessment), т. е. поиск уязвимостей (vulnerabilities assessment), обнаружение атак (intrusion detection), а также использовать адаптивный (настраиваемый) компонент, который расширяет возможности двух первых функций, и управляющий компонент.
Анализ защищенности осуществляется на основе поиска уязвимых мест во всей сети, состоящей из соединений, узлов (например, коммуникационного оборудования), хостов, рабочих станций, приложений и баз данных. Эти элементы нуждаются как в оценке эффективности их защиты, так и в поиске в них неизвестных уязвимостей. Процесс анализа защищенности предполагает исследование сети для выявления в ней «слабых мест» и обобщение полученных сведений, в том числе в виде отчета. Если система, реализующая данную технологию, содержит адаптивный компонент, то устранение найденной уязвимости будет осуществляться автоматически. При анализе защищенности обычно идентифицируются:

«люки» в системах (back door) и программы типа «троянский конь»;

слабые пароли;

восприимчивость к проникновению из внешних систем и атакам типа «отказ в обслуживании»;

отсутствие необходимых обновлений (patch, hotfix) операционных систем;

неправильная настройка межсетевых экранов, Web-серверов и баз данных.

Обнаружение атак — это процесс оценки подозрительных действий в корпоративной сети, который реализуется посредством анализа журналов регистрации операционной системы и приложения (log-файлов) либо сетевого трафика. Компоненты ПО обнаружения атак размещаются на узлах или в сегментах сети и «оценивают» различные операции, в том числе с учетом известных уязвимостей.

Адаптивный компонент ANS позволяет модифицировать процесс анализа защищенности, предоставляя самую последнюю информацию о новых уязвимостях. Он также модифицирует компонент обнаружения атак, дополняя его последней информацией о подозрительных действиях и атаках. Примером адаптивного компонента может служить механизм обновления баз данных антивирусных программ, которые являются частным случаем систем обнаружения атак.

Управляющий компонент предназначен для анализа тенденций, связанных с формированием системы защиты организации и генерацией отчетов.

К сожалению, эффективно реализовать все описанные технологии в одной системе пока не удается, поэтому пользователям приходится применять совокупность систем защиты, объединенных единой концепцией безопасности. Пример таких систем — семейство продуктов SAFEsuite, разработанных американской компанией Internet Security Systems (ISS). Сегодня это — единственный комплект средств, который включает в себя все компоненты модели адаптивного управления защиты сети.

Сначала в него входили всего три продукта: система анализа защищенности на уровне сети Internet Scanner, средства анализа защищенности на уровне хоста System Scanner и обнаружения атак на уровне сети RealSecure Network Engine. В дальнейшем ISS пополнила комплект системой анализа защищенности на уровне баз данных Database Scanner и средствами обнаружения атак на уровне хоста RealSecure System Agent.

В настоящее время комплект ПО SAFEsuite поставляется в новой версии — SAFEsuite Enterprise, в которую входит также ПО SAFEsuite Decisions, обеспечивающее принятие решений по проблемам безопасности. Остановимся на компонентах SAFEsuite Enterprise более подробно.

Database Scanner

Проблемы, связанные с безопасностью баз данных, идентифицирует ПО Database Scanner. В этом ПО реализованы проверки подсистем аутентификации, авторизации и контроля целостности; дополнительно выявляется соответствие СУБД требованиям перехода к 2000 г. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, содержит перечень рекомендуемых корректирующих действий для устранения обнаруженных уязвимостей.
Пока Database Scanner поддерживает СУБД Microsoft SQL Server и Sybase Adaptive Server; работу с другими СУБД (Oracle, Informix) планируется обеспечить в сентябре 1999 г.
Все системы анализа защищенности компании ISS используют похожие методы работы и интерфейс. Различие состоит в характере обнаруживаемых уязвимых мест (их общее число для всех четырех систем превышает 1600).

Internet Scanner

Система анализа защищенности — Internet Scanner — предназначена для проведения регулярных всесторонних или выборочных тестов сетевых служб, операционных систем, используемого прикладного ПО, маршрутизаторов, межсетевых экранов, Web-серверов и т. п. Результатом тестирования являются отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее дислокации в корпоративной сети, а также рекомендации по коррекции или устранению «слабого места». Хотелось бы отметить, что еще год назад Internet Scanner был сертифицирован Гостехкомиссией РФ (сертификат № 195) и пока является единственной системой анализа защищенности, получившей «добро» в этой организации.

Более 3000 компаний во всем мире (включая Россию) используют Internet Scanner в качестве основного компонента системы обеспечения сетевой безопасности

Internet Scanner может быть использован для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP, — как компьютеров, подключенных к локальной или глобальной сети (Internet), так и автономных ПК с установленной поддержкой TCP/IP. Продукт состоит из трех основных подсистем: Intranet Scanner для тестирования рабочих станций, серверов, X-терминалов; Firewall Scanner для проверки межсетевых экранов и коммуникационного оборудования; Web Security Scanner для контроля за Web-, FTP-, SMTP- и другими службами. Firewall Scanner используется Гостехкомиссией РФ при проверках МЭ для их сертификации на информационную безопасность.

Технология SmartScan сделала Internet Scanner «самообучаемым» ПО. Модуль SmartScan действует как настоящий хакер; он изучает сеть, запоминает информацию, собранную в течение различных сеансов сканирования сети, создает полную картину уязвимостей организации и способен автоматически применить накопленные сведения для расширения возможностей сканирования

Подробно описывать все возможности системы Internet Scanner нет нужды — этому посвящено немало статей. Хотелось бы остановиться на некоторых функциях, не получивших освещения в российских публикациях. Краткий перечень ключевых возможностей Internet Scanner насчитывает почти 20 позиций, среди которых — задание своих собственных и множества стандартных проверок (более 600), определение глубины сканирования, централизованное управление процессом сканирования, параллельное сканирование до 128 сетевых устройств и систем, запуск процесса по расписанию, генерация отчетов различных форматов и уровня детализации, функционирование под управлением ряда ОС и невысокие системные требования к программно-аппаратному обеспечению.

Рис. 1. Типовой отчет о защищенности сети, полученный с помощью Internet Scanner

Настройка на конкретное сетевое окружение организации облегчается за счет шаблонов для поиска тех или иных «слабых мест». Все 600 уязвимостей, обнаруживаемых Internet Scanner, разделены на 26 категорий, по которым можно создавать и собственные новые шаблоны.

Продукт ISS обеспечивает такую уникальную проверку, как определение работающих в сети модемов. С ее помощью реально предотвращается несанкционированный доступ к корпоративной сети через модем в обход межсетевого экрана.

Механизм генерации отчетов Internet Scanner позволяет выбирать из 30 готовых форм. Они позволяют получить как обобщенные данные об уровне защищенности всей организации (рис. 1), так и подробные отчеты, содержащие техническую информацию о том, где и какие «слабые места» обнаружены, а также инструкции по их устранению (например, пошаговые рекомендации по изменению системного реестра Windows или строки в конфигурационных файлах Unix, гиперссылка на FTP- или Web-сервер с обновлением, устраняющим уязвимость). Отчеты могут быть выведены не только на английском, но и на немецком, французском, испанском, португальском и, что примечательно, на русском языке. Русифицирована и подсистема описания уязвимостей (рис. 2.).

Рис. 2. Вид экрана описания
уязвимостей Internet Scanner

Последняя версия Internet Scanner имеет возможность добавлять собственные проверки уязвимых мест, например описанных в Bugtraq или обнаруженных в процессе работы.

Подсистема моделирования атак — Advanced Packet eXchange — поставляется бесплатно c Internet Scanner и позволяет администратору создавать допустимые и запрещенные IP-пакеты, с помощью которых он может проверить функционирование и эффективность защитных механизмов маршрутизаторов, межсетевых экранов, Web-серверов, системного и прикладного ПО.

ОБ АВТОРЕ

Алексей Лукацкий — руководитель отдела Internet-решений НИП «Информзащита». С ним можно связаться по адресу luka@infosec.ru.

RealSecure

Наряду с анализом защищенности процесс обеспечения адаптивной безопасности включает в себя обнаружение атак. ПО RealSecure 3.1, полноправный член семейства SAFEsuite, позволяет обнаруживать враждебную деятельность на хостах, распознавать атаки на корпоративную сеть и реагировать на них соответствующим образом в режиме реального времени. При этом RealSecure может использоваться для защиты как внешнего доступа (например, из Internet), так и внутренней сети (по статистике, до 75% всех инцидентов происходят по вине сотрудников организации).
Пока RealSecure — единственная система на рынке средств защиты, которая функционирует на двух уровнях: сети (network-based) и хоста (host-based). Продукты других производителей, как правило, ориентированы только на сетевые атаки. При работе на уровне сети RealSecure анализирует весь сетевой трафик, а на уровне хоста — журналы регистрации ОС (EventLog и syslog) и деятельность пользователей в режиме реального времени.
Необходимо отметить, что система RealSecure обладает возможностью не только контролировать 600 событий (в том числе 200 сетевых атак), но и добавлять свои собственные сигнатуры, что позволяет своевременно защищать сеть от постоянно появляющихся угроз безопасности.

RealSecure поддерживает базу данных инцидентов по 700 контролируемым событиям

ПО RealSecure имеет распределенную архитектуру и содержит два основных компонента: RealSecure Detector и RealSecure Manager. Первый обеспечивает обнаружение атак и реакцию на них; он состоит из двух модулей-агентов — сетевого и системного. Сетевой агент устанавливается на критичном сегменте сети и распознает атаки путем «прослушивания» трафика. Системный агент инсталлируется на контролируемом узле и выявляет несанкционированные операции. Компонент RealSecure Manager служит для настройки продукта и сбора информации от RealSecure Detector.
Управление компонентами RealSecure осуществляется и с помощью так называемого модуля консоли, и с использованием дополнительного модуля, подключаемого к системам сетевого управления HP OpenView (HP OpenView Plug-In Module) или Tivoli. В распределенной сети можно установить нескольких консолей, обеспечивающих управление всеми модулями обнаружения атак.
Любую систему обнаружения атак характеризуют возможности ее реакции на эти атаки. RealSecure обеспечивает три типа реакций: уведомление (notification), хранение (storage) и активная реакция (active response).
Уведомления могут рассылаться на одну или несколько консолей управления (RealSecure Manager) по электронной почте или (при подключении системы AlarmPoint) по факсу, телефону и на пейджер. Предусмотрена генерация управляющих SNMP-последовательностей визуализиции контролируемых событий в системах сетевого управления (например, HP OpenView, CA Unicenter, Tivoli). Все данные о событиях сохраняются в стандартном (дата и тип события, адрес атакующего и атакуемого, дополнительные сведения) и расширенном форматах. В последнем случае сохраняется и содержание всего трафика. RealSecure обеспечивает воспроизведение администратором всех действий нарушителя с заданной скоростью для последующего анализа. Часто это помогает разобраться, каким образом злоумышленник проник в корпоративную сеть и что именно требуется противопоставить ему в дальнейшем.
При атаке, которая может привести к выведению из строя узлов корпоративной сети, RealSecure позволяет автоматически разорвать соединение с атакующим узлом, блокировать учетную запись нарушителя (если он сотрудник организации) или реконфигурировать МЭ и маршрутизаторы таким образом, чтобы последующие соединения с таким узлом были запрещены. В настоящее время ПО поддерживает МЭ CheckPoint Firewall-1 и Lucent Managed Firewall, маршрутизаторы компаний Cisco, Nortel и ODS Networks. Администратор способен также создать собственные сценарии обработки контролируемых событий и задать операции активной реакции.
Применение RealSecure в сети не снижает ее производительности не только при использовании каналов Ethernet, Token Ring и FDDI, но и при работе с высокоскоростными магистралями типа Fast Ethernet. Сама система RealSecure может быть защищена от внешних атак при помощи так называемой Stealth-конфигурации, которая не позволяет «видеть» эту систему из внешней сети.

SAFESuite Decisions

Системы, обеспечивающие управление разнородными сетевыми средствами, почти всегда содержат элементы так называемых средств принятия решений. Таковы продукты компаний Computer Associates (ProtectIT, DirectIT, Unicenter TNG), Tivoli Systems (Management Framework, User Administration, Security Management), PLATINUM (ProVision AutoSecure Access Control, ProVision AutoSecure Enterprise Security Administration). В одном ряду с ними — система SAFEsuite Decisions, которая позволяет собирать, анализировать и обобщать сведения, получаемые от различных установленных в организации средств защиты информации. К средствам, поддерживаемым первой версией, относятся все продукты компании ISS, МЭ CheckPoint Firewall-1 и Gauntlet (и, как следствие, МЭ российского производства «Пандора» и «Застава-Джет», разработанные на базе Gauntlet).
Пакет SAFEsuite Decisions состоит из нескольких взаимосвязанных компонентов:

подсистемы SAFElink, обеспечивающей сбор данных от различных средств защиты и их запись в централизованную базу данных SAFEsuite Enterprise Database;

базы данных SAFEsuite Enterprise Database для хранения данных, полученных от SAFElink (построена на основе СУБД Microsoft SQL Server);

подсистемы SAFEsuite Decisions Report, которая дает возможность обрабатывать, анализировать и обобщать информацию, хранящуюся в базе данных. Decisions Report позволяет ранжировать риски системы защиты организации, идентифицировать нарушителей политики безопасности, выявлять тенденции, прогнозировать изменение уровня защищенности ресурсов организации и т. д.

Все системы семейства SAFEsuite Enterprise прошли сертификацию Госкомсвязи на соответствие требованиям перехода к 2000 году.

System Scanner и Security Manager

Одной из главных задач, на которые нацелены системы анализа защищенности, разработанные компанией ISS, является сбор информации о ПК-клиентах. Иногда это удается сделать дистанционно с помощью Internet Scanner, но часто разумнее проводить такую операцию, используя локальный компьютер (например, при проверке «слабых» паролей, наличия установленных пакетов модификаций, обновлений ОС или приложений и т. п.).
На первый взгляд, для анализа уязвимостей ОС Windows и Unix вполне достаточно Internet Scanner. Но дополнительный анализ, осуществляемый System Scanner (S2), способствует значительному повышению уровня защищенности. Как правило, общий анализ защищенности реализуется только на уровне сети, без локального сканирования на уровне ОС и без анализа защищенности приложений. System Scanner как бы обеспечивает взгляд на сеть «изнутри», обнаруживая «слабые места», которые не проявляются при дистанционном сканировании через сеть, но весьма опасны для Unix- и Windows-систем. Например, переполнение буфера (buffer overflow), может использоваться злоумышленником, в том числе с паролем «Guest», для получения привилегированного (root) доступа.
Весьма серьезной угрозой для работоспособности информационных систем является неправильная работа пользователя. Сканирование, обеспечиваемое S2, дает более детальный анализ его деятельности, чем сканирование с помощью систем дистанционного анализа защищенности на уровне сети. System Scanner позволяет проверять файлы .rhost, применять словарь часто используемых паролей, а также обнаруживать программы-«анализаторы протокола» типа «sniffer».
Любой системный администратор заинтересован в информации об установленных patches (модификациях). Благодаря своим встроенным функциям S2 не только обнаруживает уже установленные patches, но и выявляет необходимые модификации, имеющиеся у поставщиков программно-аппаратного обеспечения.
Подсистема Security Manager во многом аналогична системе System Scanner и также проводит анализ защищенности на уровне ОС. Однако Security Manager поддерживает гораздо больше платформ и ОС, чем S2 (в том числе SCO OpenServer и UnixWare, Netware), и обладает возможностью добавления своих собственных проверок.
Все указанные достоинства реализованы ISS вместе с купленной ею компанией March Information Systems (из Великобритании). В конце III квартала текущего года компания ISS планирует интегрировать системы System Scanner и Security Manager в единую систему анализа защищенности на уровне ОС.

Бронежилет для компьютера

А. В. Лукацкий

Научно-инженерное предприятие "Информзащита"
Как только речь заходит о средствах личной безопасности, то первое, что приходит на ум - это бронежилет, защищающий его владельца от многих опасностей. Его применение в некоторых случаях ни у кого не вызывает сомнение и многие владельцы ни разу не пожалели о затраченных средствах. Ведь речь идет об их жизни. Но почему-то никто не вспоминает о средствах "личной" безопасности для своих компьютеров, на которых зачастую обрабатывается важная и конфиденциальная информация, ценность которой может измеряться десятками и сотнями тысяч долларов. А такие средства существуют - это персональные межсетевые экраны, которым и посвящена эта статья.
Первое, о чем я хотел бы сказать, это о произошедших изменениях в структуре корпоративных сетей. Если еще несколько лет назад границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Раньше такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой межсетевым экраном сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Требуется ли им защита? Несомненно. Но все межсетевые экраны построены так, что защищаемые пользователи и ресурсы должны находиться под сенью их защиты, т.е. с внутренней стороны, что является невозможным для мобильных пользователей. Чтобы устранить эту проблему было предложено два подхода - виртуальные частные сети (virtual private network, VPN) и распределенные межсетевые экраны (distributed firewall). Первое решение, которое не раз освещалось на страницах изданий компании "Гротек", заключается в установке на удаленный узел специального программного обеспечения, которое позволяло получать доступ к защищаемым МСЭ ресурсам по защищенному каналу. Примером такого решения можно назвать абонентский пункт "Континент-К", разработанный НИП "Информзащита" (www.infosec.ru). Другой пример - VPN-1 SecuRemote компании Check Point Software (www.checkpoint.com), являющейся мировым лидером (по данным компании Dataquest - 52% мирового рынка средств построения VPN) в области разработки средств построения VPN. Такая схема, похожая на осьминога, раскинувшего свои щупальца, обладала только одним недостатком - сам удаленный узел был подвержен атакам. Установленный на него троянский конь мог дать возможность проникнуть злоумышленнику через межсетевой экран и по защищенному каналу. Ведь VPN шифрует и обычный, и несанкционированный трафик, не делая между ними различий. Тогда-то и родилась идея распределенного межсетевого экрана, который являлся мини-экраном, защищающим не всю сеть, а только отдельный компьютер. Примерами такого решения является RealSecure Server Sensor и BlackICE Defender компаний Internet Security Systems (www.iss.net) и Network ICE (www.networkice.com), которая была приобретена 28 апреля 2001 года компанией ISS. Это решение понравилось и домашним пользователям, которые наконец-то получили возможность защиты своих компьютеров от рыскающих в сети злоумышленников. Но, т.к. многие функции распределенного МСЭ (например, централизованное управление) для домашних пользователей были лишними, то родилась новая технология, получившая название "персонального межсетевого экрана" (personal firewall), яркими представителями которых являются ZoneAlarm и Norton Internet Security (носивший ранее имя AtGuard) компаний ZoneLabs (www.zonelabs.com) и Symantec (www.symantec.com) соответственно. Компания Check Point Software оказалась впереди и здесь, предложив системы VPN-1 SecureClient и VPN-1 SecureServer, которые не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т.е. организуя VPN). Именно такая интеграция сделала подвластными межсетевым экранам сети с нечетко очерченными границами.
В чем отличие персонального межсетевого экрана от распределенного? Главное отличие одно - наличие функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях - персональной (для домашних пользователей) и распределенной (для корпоративных пользователей). Так, например, поступила компания Internet Security Systems, которая предлагает персональный межсетевой экран BlackICE Defender и распределенный межсетевой экран BlackICE Agent (www.infosec.ru/produkt/adapt/ice_sentry/ice_agent.html).
Какими функциями должен обладать надежный персональный МСЭ? Сразу необходимо сказать, что далее я, упоминая персональные МСЭ буду иметь ввиду и распределенные МСЭ. Во-первых, этот экран не должен быть пассивной программой, которая только и делает, что блокирует входящий на компьютер трафик по заданным критериям, к которым обычно относятся адрес и порт источника. Злоумышленники давно научились обходить такие простые защитные механизмы и в сети Internet можно найти большое число программ, которые могут проникнуть через многие традиционные защитные барьеры. Примером такой программы является троянский конь SubSeven 2.2, позволяющий выполнять большое число функций на скомпрометированном компьютере без ведома его владельца. Чтобы защититься необходим инструмент, который позволит проводить более глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить свой настоящий адрес, тем самым делая невозможным отслеживание злоумышленника. Мало того, хакер может "подставить" кого-нибудь другого, заменив свой адрес на адрес подставного лица. И, наконец, для некоторых атак (например, "отказ в обслуживании") адрес источника вообще не нужен и по статистике в 95% случаев этот адрес хакером изменяется. Можно привести хорошую аналогию. Персональный межсетевой экран - это охранник в здании, который выписывает пропуска всем посетителям. В такой ситуации злоумышленник может без труда пронести в здание оружие или бомбу. Однако если на входе поставить металлодетектор, то ситуация в корне меняется и злоумышленнику уже не так легко пронести в защищаемую зону запрещенные предметы.
К сожалению приходится отметить, что немногие межсетевые экраны обладают встроенной системой обнаружения атак. Одним из таких решений является системы BlackICE Defender и BlackICE Agent компании Internet Security Systems. Любой из компонентов семейства BlackICE содержит два основных модуля, осуществляющих обнаружение и блокирование несанкционированной деятельности - BlackICE Firewall и BlackICE IDS. BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. В последнем случае, реконфигурация происходит после обнаружения несанкционированной деятельности модулем BlackICE IDS. При этом блокирование трафика может осуществляться на любой промежуток времени. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС. BlackICE IDS отвечает за обнаружение атак и других следов несанкционированной деятельности в трафике, поступающем от модуля BlackICE Firewall. Модуль BlackICE IDS основан на запатентованном алгоритме семиуровневого анализа протокола.

Рисунок 1. Архитектура персонального межсетевого экрана

Следующим механизмом, которым должен обладать эффективный персональный межсетевой экран, является защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.

В некоторые персональные МСЭ (например, в Norton Internet Security компании Symantec) встроены антивирусные системы, которые помимо обнаружения троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Internet-червей.

Т.к. распределенные экраны управляются централизованно, то они должны обладать эффективным механизмом настройки, администрирования и контроля, позволяющим администратору безопасности без дополнительных усилий получить подробную информацию о зафиксированных попытках проникновения на защищаемые узлы. Мало того, в некоторых случаях необходимо инициировать процедуру расследования компьютерного преступления или собрать доказательства для обращения в правоохранительные органы (например, Управление "Р"). И здесь будет незаменимым механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах. Например, уже упоминаемые BlackICE Agent и Defender, позволяют отследить злоумышленника, осуществляющего атаку на защищаемый компьютер, и собрать о хакере следующую информацию:

IP-, DNS-, WINS-, NetBIOS- и MAC-адреса компьютера, с которого осуществляется атака.

Имя, под которым злоумышленник вошел в сеть.

Немаловажной является возможность удаленного обновления программного обеспечения персонального межсетевого экрана. В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО. Представьте, какую бурю возмущений это вызвало бы у владельцев компьютеров, которых отрывали бы от своей работы. Удаленное же и, главное, незаметное для владельца компьютера, обновление (включая и обновление сигнатур атак и вирусов) снимает эту проблему и облегчает нелегкий труд администратора безопасности. Осуществляя удаленное управление, не стоит забывать и о защите трафика, передаваемого между центральной консолью и удаленными агентами. Злоумышленник может перехватить или подменить эти команды, что нарушит защищенность удаленных узлов.

В заключение хочу сказать, что правильный выбор персонального или распределенного межсетевого экрана позволит повысить защищенность компьютеров, которые при обычных условиях остаются незащищенными и могут служить точкой проникновения в корпоративную сеть. А чтобы можно было из чего выбирать, я хотел бы привести список персональных межсетевых экранов, которые известны в России:

BlackICE Agent и Defender от компании Internet Security Systems (www.infosec.ru/produkt/adapt/ice_sentry/ice_agent.html).

AtGuard Personal Firewall от компании WRQ, который был приобретен компанией Symantec и встроен в ее семейство Norton Internet Security (www.symantec.com/region/ru/product/npf_index.html).

ZoneAlarm от компании ZoneLabs (www.zonelabs.com).

Outpost Firewall (ранее носивший имя Sphere) от компании Agnitum (www.agnitum.com/products/outpost/).

Также упоминаются и другие решения. Например, PGP 7.0 (www.pgp.com), Sygate Personal Firewall (www.sygate.com), ConSeal Private Desktop (www.mcafee.com), переименованный в McAfee Personal Firewall, или Tiny Personal Firewall (www.tinysoftware.com/russia/).

Об авторе:

Алексей Викторович Лукацкий, заместитель директора по маркетингу Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании Check Point Software Technologies. Автор книги "Обнаружение атак". Связаться с ним можно по тел. (095) 937-3385 или e-mail: luka@infosec.ru.

9 ноября 2001 г.

Forbidden

You don't have permission to access /internet/pswpage/deny/ok.shtml on this server.
Apache/2.2.16 (Debian) Server at citforum.ru Port 80

Безопасность и Internet - статьи

Кое-как расставленные столы и стулья в тестовой лаборатории ParaProtect имели мало общего с меблировкой респектабельного офиса. Сам Боб, с забранными в косичку волосами и длинной бородой вполне соответствовал образу непримиримого хакера.
Однако подобная атрибутика ввела меня в заблуждение ненадолго. До того как прийти в фирму, Боб служил компьютерным аналитиком в Департаменте систем информационной защиты Министерства обороны США. Его последняя должность в военном ведомстве - сотрудник группы реагирования на нарушения компьютерной защиты (CERT).
Боб считает, что первым шагом в деятельности, которой он теперь занимается, является подробное изучение сетевой инфраструктуры клиента. В данном случае он начал свои действия с посещения Web-сервера тестируемой компании, изобиловавшего сведениями о ее истории, корпоративной культуре и партнерах. На этом же этапе были исследованы электронные "реквизиты" партнеров, по которым частенько удается обнаружить дополнительные соединения с исследуемой сетью. Обычно информационные системы удаленных офисов или мелких партнерских компаний защищены гораздо слабее основной сети.
В ходе первого сканирования не обнаружилось ничего необычного. Поэтому Бобу пришлось обратиться к электронным реестрам InterNIC и ARIN, где содержатся сведения о доменных именах и адресах хост-компьютеров Всемирной сети, и выдать команду whois. В результате система тут же "выболтала" доменное имя нашего клиента, а кроме того, проверила корректность IP-адресов, на которые было направлено острие затевавшейся атаки. Мы не только узнали IP-адреса трех серверов компании-заказчика, но и получили другую ценную стратегическую информацию: краткие имена, используемые в компании вместо полных сетевых адресов, имена и телефоны сетевых администраторов.
По мнению Боба, сведений, добытых при помощи двух упомянутых сервисных систем, вполне достаточно, чтобы восстановить детальную конфигурацию тестируемой сети. Осталось только проверить данные, относящиеся к доменному имени нашей жертвы. Фирме ParaProtect пришлось бы быстро завершить свою деятельность, если бы она хоть раз по ошибке предприняла атаку не на тот объект.

Безопасность и Internet - статьи

Следующий шаг состоял в запуске утилиты traceroute, в качестве параметра которой последовательно фигурировал каждый из интересовавших нас IP-адресов. Как известно, программа traceroute может функционировать под управлением операционных систем UNIX и Windows NT и обычно используется сетевыми администраторами для отслеживания пакетов, передаваемых от источника к адресату. В ходе тестирования эта утилита сообщала, что маршрутизатор блокировал сгенерированные нами пакеты, т. е. позволяла убедиться в корректности его функционирования.
Тем не менее нам удалось пронаблюдать за исходящим трафиком, который был адресован на порт с определенным номером и служил для соединения сети заказчика с провайдером UUNET.
Теперь настало время обратиться к профессиональному инструментарию хакеров. В компании ParaProtect создано целое хранилище любимых программных "приспособлений" для сетевого взлома. Тем не менее для чистоты эксперимента Боб решил пойти по традиционному пути. Запустив одну из поисковых машин Internet и задав в качестве ключевых слов "hacker tools", он решил проверить, какая часть хакерского арсенала доступна любому желающему во Всемирной сети. Результаты поиска содержали ни много ни мало 2070 ссылок. Система обнаружила, в частности, такие программы, как пакет Shadow Advantis Administrator, позволяющий с требуемой периодичностью выдавать команды ping на заранее определенную группу портов. Эти команды могут следовать с невысокой частотой, а генерируемые ими пакеты столь малы, что обычно не регистрируются средствами защиты от внешних атак.
Безопасность и Internet - статьи

Мировой рынок услуг в области информационной безопасности
Однако Боб предпочитает использовать программу nmap, выполняющую практически те же функции. Эта утилита, также свободно доступная в Internet, исходно предназначалась для обнаружения IP-адресов. На самом же деле она является мощным средством сканирования трафика, проходящего через отдельные порты. Помимо выявления незащищенных портов, nmap способна изменять характеристики отправляемых пакетов с целью обхода установленного на маршрутизаторе IP-фильтра.
В течение дня Бобу пришлось несколько раз запустить утилиту nmap (относящаяся к ней техническая информация доступна на сервере www.insecure.org/nmap/) с различными опциями:

SYN служит для установления сеанса TCP. Получив ответ на команду nmap с этим параметром, можно быть уверенным в том, что атакуемый хост-компьютер активен. Если же ответа на команду ping не поступает, хост заблокирован;

FIN позволяет использовать пустой пакет в качестве зонда с целью определить, является порт открытым или закрытым. Зная параметры обычно используемых открытых портов, можно догадаться, какие из наиболее традиционных сервисов активны на атакуемом узле. Если же порт закрыт, он все равно обязан ответить на данную команду, отправив пакет RST. Если такой пакет поступит, значит, порт закрыт. Отсутствие ответа соответствует открытому порту;

сканирование с использованием фрагментированных пакетов. Для анализа содержимого принятого пакета хост-компьютер должен предварительно собрать его из отдельных частей. Отправка на атакуемый сервер фрагментированных пакетов нарушает его работу и при определенных условиях позволяет обойти системы контроля доступа.

Первый запуск утилиты nmap с опцией SYN закончился неудачей, поскольку Боб задал в командной строке неверные параметры конфигурации; эту ошибку удалось исправить позднее. Тогда пришлось посетить сервер UUNET и при помощи подкоманды nslookup заставить систему доменных имен (DNS) этого сервера сообщить известные ему имена машин в атакуемой корпоративной сети. В ответ мы получили три доменных имени - "mail", "www" и еще одно, которое здесь не приводится, дабы не выдать название тестировавшейся фирмы.
Конечно, в атакуемой сети могли быть и другие компьютеры, однако в данном случае они нас не интересовали. Сервер DNS сообщил также, какой из известных нам трех IP-адресов относится к Web-узлу. С другой стороны, мы знали IP-адреса маршрутизатора, установленного на входе в корпоративную сеть. Отсюда нетрудно было догадаться, что третий адрес относится к proxy-серверу, отвечающему за обмен ключами.
Теперь уже можно было нарисовать диаграмму сети. Как мы и предполагали, маршрутизатор играл роль часового, охранявшего доступ к Web-серверу, proxy-серверу и еще одному серверу, который, по нашим прикидкам, отвечал за электронную почту. Оставалось выяснить, какие сетевые сервисы были запущены на каждом из серверов. Причина такого интереса проста: хакеры обычно ищут те сервисы, уязвимость которых неоднократно доказана на практике; они-то и подвергаются нападению в первую очередь.
Замаскировавшись под местного Internet-провайдера, Боб открыл сеанс telnet и выдал команду на порт 80. Хорошо известно, что этот порт открыт в 99 случаях из 100, поскольку именно его сетевые администраторы выделяют для Web-трафика. Команды сеанса telnet позволили узнать, какое программное обеспечение запущено на сервере HTTP. Им оказался пакет Internet Information Server 4.0 корпорации Microsoft. После этого не осталось никаких сомнений, что на сервере установлена операционная система Windows NT.
И тут зазвонил телефон. Администратор компании-клиента увидел в списке сообщений системы управления доступом предупреждение, выданное маршрутизатором. В нем фигурировал IP-адрес Internet-провайдера, подставленный Бобом в целях конспирации. Администратор решил удостовериться в том, что указанное предупреждение было вызвано нашими действиями, а не атакой настоящего хакера. Мы поспешили успокоить его.
Итак, наша жертва узнала, что кто-то настойчиво стучится в ее дверь. Боб решил не использовать стандартный метод последовательного сканирования портов, который в подобной ситуации мог отнять уйму времени. Вместо этого он запустил утилиту nmap с опцией FIN, распространив ее действие на все возможные порты - с номерами от 1 до 65 334.
"Подобная операция порождает множество данных, не относящихся к делу, - замечает Боб. - Однако чтобы последовательно "просканировать" все порты да еще миновать систему контроля доступа, придется убить несколько дней. Нам же дано всего двое суток, так что придется делать все сразу".
Сканирование не выявило ничего примечательного. На серверах работали только стандартные сервисы вроде FTP и HTTP, а это означало, что мы имеем дело с типичной конфигурацией. Тем не менее даже в этом простейшем случае любая ошибка администратора при настройке конфигурации FTP-сервера или иной стандартной службы может быть использована хакером в самых неблаговидных целях.

и за коротким ланчем Боб

Самое время для перерыва, и за коротким ланчем Боб поделился со мной планами дальнейших действий. Они могли бы состоять в выявлении наиболее уязвимых мест на уровне сети, серверных операционных систем и отдельных приложений. Впрочем, столь скрупулезный анализ в данном случае оказался ни к чему. На самом деле основная часть работы была уже выполнена, и несведущий читатель может только подивиться тому, с какой легкостью машины под Windows NT или UNIX раскрывают свои секреты.
На весьма продвинутых курсах по сетевым атакам, которые прошлым летом организовала в Хьюстоне компания Ernst & Young, присутствовавшие с потрясающей непринужденностью разбились на две группы, которые работали в средах Windows NT и UNIX. Те, кому достался компьютер под NT, начали с установления сеанса null. Так называется утилита фирмы Microsoft, позволяющая различным сетевым службам обмениваться данными без применения паролей и идентификаторов пользователей. Представ перед системой в качестве "нулевого" пользователя, мы получили доступ к массе служебных сведений. Нам открылось то, о чем можно было только мечтать: файлы с паролями, регистрационные записи пользователей, сетевые сервисы, представляющие собой удобные мишени для нападения. И при этом имя пользователя или пароль не пришлось ввести ни разу.
По правде говоря, в этом режиме доступной оказалась не вся управляющая информация, однако имена пользователей системы удалось скопировать без труда. Затем мы вошли в систему под именем "backup" и чисто интуитивно ввели совпадающий с именем пароль. Он оказался верным. В результате нам сразу же удалось добраться до хешированных (закодированных) паролей и заменить их на "10phtcrack" и "John the Ripper". Эти последовательности были выбраны неслучайно: так называются две утилиты для взламывания паролей, свободно распространяемые через Internet.
Не более 15 минут ушло на то, чтобы взломать 70% имевшихся в системе паролей, зарегистрироваться в качестве суперпользователя и получить доступ ко всем серверным ресурсам. В довершение мы сохранили применявшийся хакерский инструментарий на сервере нашей жертвы в файле readme.txt, чтобы воспользоваться им в дальнейшем.
По мнению нашего инструктора Эрика Шульца, пароли в среде Windows NT взломать проще простого, поскольку программное обеспечение LAN Manager разбивает пароли на две равные части длиной по семь символов, а затем для шифрования образовавшихся половинок использует известную числовую константу. Средства взлома паролей изначально разрабатываются с учетом этого алгоритма, так что расшифровка пароля не вызывает никаких проблем. Администратор может обнаружить спрятанный на сервере арсенал хакерских средств единственным способом - настроить системы управления регистрационными журналами на выдачу предупреждающих сообщений в случае резкого изменения размера свободной части дискового пространства.
Как это ни странно, но получить полный доступ к UNIX-машине оказалось столь же легко, хотя при этом понадобилось вводить иные команды и запускать другие утилиты. В ходе выполнения учебного задания нам пришлось "попутешествовать" по четырем компьютерам под UNIX. Мы сумели модифицировать записи на сервере DNS, и в результате трафик был направлен на ложный IP-адрес. Затем мы инсталлировали на UNIX-машине "троянского коня" под названием Back Orifice, после чего вход на нее - безо всякого идентификатора пользователя и пароля - стал открыт для нас в любое время.
Сотрудники компании ParaProtect предпринимают множество подобных полномасштабных атак на сети своих клиентов. Войдя в образ искушенного хакера, Боб обычно бывает готов провести дальнейший анализ слабых мест своей "жертвы". Останавливают его множество другой работы да строгие положения контрактов, подписываемых с заказчиками.

День второй

На следующее утро мы занялись сканированием хост-компьютеров с использованием фрагментированных пакетов. В итоге нам удалось обнаружить массу открытых портов, которые могут стать жертвами атак этого типа. По заверению Боба, для него не составило бы труда несколько модифицировать используемый инструментарий и обойти установленный в сети маршрутизатор.
В отчете, который был составлен по результатам тестирования, заказчику рекомендовалось обзавестись брандмауэром, а также провести более детальное обследование всей сетевой инфраструктуры. Конечно, всякая дальнейшая деятельность в данном направлении напрямую зависит от того, способна ли фирма окупить связанные с нею расходы.
Однако получив такой отчет, сетевой администратор не должен ограничиваться доведением его основных выводов до сведения высшего менеджмента компании. Полученные сведения следует преподнести так, чтобы руководство осознало: усиление системы информационной безопасности приведет к реальному увеличению прибыли.
"Если пытаться оправдать расходы на средства защиты данных только на основе анализа рисков, связанных с несанкционированным вторжением в корпоративную сеть, эту затею можно заранее считать обреченной, - утверждает Грегори Уайт, технический директор компании Secure Logic. - Средства информационной безопасности надо рассматривать исключительно в качестве инструмента для успешного ведения бизнеса".
Дебора Рэдклифф (Deborah Radcliff) - технический писатель из Калифорнии. С ней можно связаться по электронной почте:derad@aol.com.

Хроника хакерской атаки

Журнал "Сети", #02/2000

Дебора РЭДКЛИФФ
В один из тех ясных солнечных дней, что нередко выдаются в Александрии (шт. Виргиния) в конце ноября, на втором этаже скромно обставленного офиса компании ParaProtect склонившийся над монитором "хакер" Боб выдавал Unix-команды с такой скоростью, будто его руки лежали не на клавиатуре, а на спусковом крючке автомата.
Боб проверял на прочность периферийные средства защиты сертифицированной компании, специализирующейся на предоставлении услуг электронной почты в Internet и являющейся клиентом ParaProtect.
У молодых фирм, руководство которых решило заняться электронной коммерцией, как правило, недостаточно средств для оплаты полномасштабной атаки на корпоративную сеть, в ходе которой имитируются действия реальных хакеров и ключевые серверы компании выводятся из строя. Более того, такие фирмы в принципе не могут себе позволить перевести серверы в нерабочее состояние даже на минуту, хотя эта мера будет содействовать повышению уровня защищенности сети. Тем не менее одна из них решилась обратиться в ParaProtect - компанию, предоставляющую консалтинговые услуги в области информационной безопасности - для осуществления своеобразной разведывательной вылазки в корпоративную сеть.
По мнению экспертов, коммерческие услуги, моделирующие реальные хакерские атаки, являются идеальным отправным пунктом при проектировании систем сетевой защиты, поскольку "проникающие" тесты позволяют сформировать базу для разработки правил и стратегий защиты информации.
Современные корпоративные сети подвергаются нападениям со всех сторон - из Internet, через модемные соединения и даже со стороны нелояльного персонала, поэтому потребность в услугах вроде тех, что предоставляет ParaProtect, неуклонно растет.
Молодые представители индустрии электронной коммерции принадлежат к числу наиболее уязвимых компаний. Обостряющаяся конкуренция заставляет их как можно быстрее выходить на рынок с коммерческими продуктами, поэтому при развертывании сетевой инфраструктуры средствам защиты данных обычно не уделяется того внимания, какого они заслуживают.
"Нам приходится работать с организациями, у которых не установлены даже брандмауэры, - говорит Ян Пойнтер, президент консалтинговой компании Jerboa из Кембриджа. - Обычно это начинающие фирмы, только что получившие первые инвестиции. Они становятся легкой добычей для хакеров, и только после этого руководство начинает осознавать, что уровень защищенности корпоративной сети мог бы быть повыше".
В нашем случае единственный эшелон обороны компании-заказчика был представлен маршрутизатором серии 8000 производства Cisco Systems. Если бы это устройство оказалось в состоянии противостоять попыткам взломать сеть извне, компания смогла бы воспользоваться технической документацией, которая прилагается к отчету о тестировании, чтобы убедить своих клиентов в высокой защищенности серверных приложений, использующих инфраструктуру обмена ключами (PKI).
Однако сотрудники ParaProtect с самого начала были настроены скептически. "Мы никогда не согласимся с тем, что компания может обойтись без брандмауэра. Использование одного лишь маршрутизатора не позволяет защитить периферию сети, даже если это устройство обладает множеством интеллектуальных функций. Брандмауэры предлагают гораздо больше методов фильтрации пакетов, да и вообще, система информационной безопасности должна быть многоуровневой", - считает Роберт Перхольц, менеджер компании по работе с корпоративными клиентами.
Вот как развивались события в ходе атаки на сеть компании-заказчика, предпринятой сотрудником ParaProtect.

Имитационный сценарий хакерской атаки

Первый этап
Получение данных о тестируемой сети (количество сетей филиалов, IP-адреса, типы компьютеров)
Второй этап
Выявление наиболее уязвимых участков сети (выдача команд ping на отдельные порты и анализ сервисов, которые на них запущены)
Третий этап
Проверка степени уязвимости (попытки нарушить работу сервисов, скопировать файлы с паролями, внести в них изменения и т. д.)
Четвертый этап
Атака на корпоративную сеть с целью прервать работу сервисов и вызвать сбои в функционировании ключевых серверов.

Безопасность и Internet - статьи

Акт о прослушивании

Федеральный Акт о прослушивании (USA Wiretap Act) в целом запрещает любому лицу прослушивать переговоры (в том числе, контролировать электронные сеансы связи), за исключением случаев, перечисленных в разделе, описывающем сферу применения этого закона. Хотя нарушитель не может «обоснованно рассчитывать на соблюдение конфиденциальности» при проникновении на вашу ловушку, это вовсе не означает, что Акт о прослушивании разрешает вести мониторинг. Даже человек, который не вправе рассчитывать на конфиденциальность, защищаемую Конституцией, может апеллировать к своему праву на конфиденциальность, гарантируемому Актом. Более того, лицо, нарушившее условия Акта, в соответствии с федеральным законодательством, могут привлечь к гражданской, а, в некоторых случаях, даже к уголовной ответственности.
Акт о прослушивании содержит множество исключений из общего правила, запрещающего прослушивание переговоров. Владелец или оператор компьютерной сети, в том числе и ловушки, может использовать так называемые исключение «защиты провайдера» и исключение «согласия стороны» как основание для контроля деятельности пользователя в сети. Если мониторинг выполняется по указанию государственных органов, владелец и оператор могут следить за деятельностью хакера на основании исключения «компьютерного нарушителя».
Исключение «защиты провайдера» позволяет системному оператору прерывать соединение, если это делается с целью защитить права или имущество оператора.
Данное исключение разрешает оператору анализировать трафик пользователя, чтобы предотвратить ущерб, который может нанести мошенничество или нелегитимное использование услуг, предлагаемых этим оператором. На право выполнять мониторинг в соответствии с данным исключением ограничения не распространяются, но это право следует осуществлять таким образом, чтобы минимизировать прослушивание переговоров, не связанных с обеспечением защиты. Суды пока не приняли решение о том, применимо ли исключение «защиты провайдера», когда сеть, где велся мониторинг, являлась ловушкой, т.е. оператор действительно надеялся и рассчитывал на то, что он станет объектом нападения и действий хакеров.

Исключение « согласие стороны» разрешает прослушивание переговоров в тех случаях, когда одна из сторон, принимающих участие в этих переговорах, дает свое согласие на мониторинг (если этот мониторинг не преследует иную противозаконную цель). Оператор ловушки, как и любой сетевой оператор, может обезопасить себя, разместив на ловушке «баннер согласия», который могут увидеть нарушители. Такой баннер может уведомлять пользователей (в том числе и потенциальных хакеров) о том, что получая доступ в систему, они дают согласие на мониторинг своих действий. Если нарушитель после того, как прочитает этот баннер, продолжает оставаться в системе, он принимает предложенные условия, т. е. дает согласие на мониторинг своих действий во время работы в системе. Конечно, на некоторые порты баннеры повесить нельзя, и может оказаться, что хакер, проникающий в систему через эти порты и не видевший этого баннера, не давал предполагаемого согласия на мониторинг. Если при мониторинге действий пользователей вы полагаетесь исключительно на «баннер согласия», необходимо строго следить за тем, чтобы прослушивание трафика велось только на тех портах, где есть соответствующие баннеры.

Есть и другой возможный вариант использования «исключения согласия». Можно утверждать, что когда хакер взаимодействует с ловушкой, используя, к примеру, FTP для пиратского копирования интеллектуальной собственности, то сама ловушка может считаться «участником сеанса связи» и, как следствие, здесь будет действовать (через владельца сети) «исключение согласия» на прослушивание трафика, как поступающего в ловушку, так и передаваемого с нее. Идея заключается в том, что ловушка — это «участник сеанса связи», однако она перестает выполнять эту функцию, если она используется хакером просто как своего рода перевалочный пункт для взаимодействия с другой сетью.

Четвертая поправка

Если вы создаете ловушку для государственного учреждения или в качестве его сотрудника, вполне возможно, что Четвертая поправка к Конституции США ограничивает ваше право на контроль за действиями пользователей. Эта поправка запрещает сотрудникам госорганов вести розыск или получать доказательства без предварительной санкции судьи. Мониторинг действий пользователя в сети может включать в себя то, что подпадает под определение «розыск и получение доказательств».
Более того, доказательства, полученные во время мониторинга, проводимого в нарушение Конституции, во время слушания дела могут быть изъяты из рассмотрения, а, в некоторых случаях, некоторым государственным служащим придется отвечать за свои действия в судебном порядке. Однако утверждать, что их розыск был антиконституционным в соответствии с Четвертой поправкой, могут утверждать только те лица, кто «обосновано мог рассчитывать на соблюдение конфиденциальности». Те же, кто проник в сеть, являются нарушителями закона и не могут «обоснованно» рассчитывать на конфиденциальность, учитывая их неправомерные действия в сети, подвергнувшейся атаке. Кроме того, Четвертая поправка применима только к расследованиям, проводимым государственными органами. Частное лицо, действующее не по распоряжению государственного органа, вправе развертывать ловушки и контролировать действия пользователей, не опасаясь быть обвиненным в нарушении Четвертой поправки.

Четыре этапа

Honeynet Project разделяет свою деятельность на четыре этапа. Участники берут на себя все финансирование деятельности Honeynet Project; каждый на безвозмездной основе предоставляет аппаратное обеспечение, а также тратит свое время и силы, не получая никакого вознаграждения. Вместе с тем, в момент подготовки данной статьи представители Honeynet Project изыскивали возможность получения государственного финансирования.
Этап I. Первый этап начался в 1999 году и продолжался два года. Его целью было подтверждение основополагающей идеи: создание, развертывание и тестирование технологии сетей-приманок и их возможности собирать информацию о деятельности хакеров. За первыми сетями-приманками закрепилось название GenI. Их структура была весьма далека от совершенства, они опирались лишь на базовые механизмы и не имели методов для сбора сведений о зашифрованных действиях злоумышленников. Однако они эффективно выявляли большинство автоматизированных атак. Кроме того, уже на этом этапе были успешно протестированы средства раннего предупреждения и прогнозирования атак.
Этап II. Второй этап начался в 2002 году и должен продлиться примерно два года. Его основная цель — усовершенствовать возможности сетей-приманок и упростить работу с ними. Предполагается развернуть сети GenII, которые будут отличаться более совершенными методами мониторинга и контроля действий хакеров. Адаптация методов контроля позволяет хакерам совершать значительно больше операций, при этом снижая риск того, что они обнаружат, что «попали в ловушку» и нанесут ущерб другим сетям. Опубликовано три документа, посвященные виртуальным сетям-приманкам. В 2002 году в Вашингтоне была развернута первая беспроводная сеть-приманка. Значительно улучшены возможности сбора информации (особенно касающейся зашифрованных передач), развертывание сетей-приманок стало существенно проще.
Этап III. Третий этап начинается в 2003 году и рассчитан примерно на год. За этот период планируется создать средства, позволяющие размещать технологии развертывания сетей-приманок GenII на загружаемом компакт-диске. Предполагается, что организации будут просто загружать диск, действующий как шлюз сети-приманки, развертывая тем самым все, что необходимо для работы сетей-приманок, в том числе средства регистрации в глобальной базе данных полной информации о деятельности хакеров.

Этап IV. Четвертый этап, скорее всего, начнется в 2004 году. Его цель — разработать централизованную систему сбора данных, которая согласовывает сведения, получаемые из множества распределенных сетей-приманок, и предоставляет интерфейсы для их анализа. Работа в рамках данной концепции, связанная с созданием двух пользовательских интерфейсов, уже началась. Первый из этих интерфейсов будет действовать локально в каждой сети-приманке, позволяя администраторам анализировать в реальном времени атаки на их сеть и выполнять мониторинг функциональности, в частности, анализировать трафик и извлекать передаваемые по сети пакеты. Второй пользовательский интерфейс будет служить для анализа данных, полученных из множества различных сетей-приманок, и хранить эти сведения в единой базе данных. Распределенные сети-приманки будут передавать в центральную систему такие данные, как журналы регистрации межсетевых экранов, описание передаваемых пакетов и уведомления систем обнаружения вторжений. Эта информация затем будет согласовываться и анализироваться в реальном времени. Здесь открываются огромные потенциальные возможности для анализа тенденций или раннего предупреждения и прогнозирования атак.

Honeynet Project: ловушка для хакеров

Ланс Спитцнер

07.08.2003
Открытые системы, #07-08/2003
Чем именно хакеры угрожают компьютерным сетям? Кто осуществляет эти угрозы, и каким образом? Цель инициативы Honeynet Project состоит в том, чтобы найти ответы на подобные вопросы, изучая действия злоумышленников, и распространяя полученную информацию и сделанные выводы. Участники проекта собирают данные, развертывая сети, получившие название «сети-приманки» (honeynet), основное назначение которых — стать объектом злонамеренных действий хакеров.
Honeynet Project: ловушка для хакеров

Одна из самых серьезных задач, которую приходится решать специалистам по безопасности, — это сбор сведений, позволяющих обнаружить врагов, понять, как они действуют и почему. Раньше суть киберугрозы пытались выяснить, исключительно анализируя программы, использованные для проникновения: после того как произошел инцидент, единственные данные, которыми располагали специалисты, — это информация, остававшаяся во взломанной системе. К сожалению, она крайне скудна и мало что может сказать об угрозе в целом. Но как защититься и обезвредить врага, если мы даже не знаем, кто этот враг?
Honeynet Project предлагает иной подход: «заманивать» хакеров в систему и анализировать их действия с самого начала. Такой метод эффективно дополняет хорошо известные технологии обнаружения и предотвращения вторжений.
В статье рассказывается о работе Honeynet Project, предлагается несколько примеров данных, которые собирают сети-приманки и ловушки (honeypot), а также приводятся дальнейшие планы развертывания распределенных сетей-приманок.

Honeynet Project

Honeynet Project (www.honeynet.org) — это научная организация, занимающаяся исследованиями в области систем безопасности и специализирующаяся на изучении инструментария, используемого злоумышленниками, их тактики и мотивов. Затем полученная информация и сделанные выводы предлагаются для ознакомления всем желающим. В состав организации входят специалисты по вопросам безопасности из разных стран, которые на добровольной основе предоставляют свои ресурсы для развертывания и изучения сетей-приманок, основное назначение которых — стать объектом атаки хакеров. После каждого зарегистрированного инцидента собранная информация тщательно анализируется.

Юридические ловушки при использовании ловушек

Определение корректных с технической точки зрения конфигураций — лишь часть работы, связанной с развертыванием ловушек (honeypot). Необходимо подумать о многочисленных юридических тонкостях, способных превратить вашу ловушку в источник неприятностей для вас самих, в частности, заставить вас отвечать перед судом. Прежде, чем вы займетесь проектированием и развертыванием собственной ловушки, посоветуйтесь с юристом. Он сможет проанализировать вашу ситуацию и рассказать о законах, под которые подпадают ваши действия.
Так, если вы устанавливаете ловушку в США, обратите внимание на три следующие юридические момента (ваш юрист, возможно, укажет и другие). Во-первых, примите в расчет нормативные акты, которые ограничивают ваше право на мониторинг действий пользователей в системе. Во-вторых, подумайте о том, что хакеры могут использовать вашу ловушку для того, чтобы нанести вред другим. В третьих, если вы создаете ловушку с тем, чтобы уличить хакеров и привлечь их к судебной ответственности, подумайте о том, что ответчик, в свою очередь, может обвинить вас в умышленном введении в заблуждение. Тщательное проектирование ловушки с учетом всех юридических аспектов проблемы убережет вас от беды. Обязательно изучите соответствующие законы той страны, под юрисдикцию которой подпадают ваши действия.

Как принять участие

Если вы хотите принять участие в исследовании, выполняемом с помощью сетей-приманок, это можно сделать разными способами. Например, можно стать членом Honeynet Research Alliance. Эта группа имеет четкий устав и требования, которые можно найти по адресу www.honeynet.org/alliance.
Если вы предпочитаете менее формальное участие и хотите вести свои исследования независимо, обратитесь по адресу www.honeynet.org/research. Здесь перечислено несколько связанных с сетями-приманками тем, которые нуждаются в изучении. Если вы ищите тему для диссертации или ваша организация хочет выбрать направление для собственных исследований, то начинать имеет смысл именно с этого сайта.
Наконец, можно присоединиться к списку рассылки по сетям-приманкам (www.securityfocus.com/popups/forums/honeypots/ faq.shtml); это открытый форум для индивидуальных разработчиков, где обсуждаются технологии сетей-приманок.

Какие сведения собирают на приманку

Лучше всего работу сетей-приманок можно продемонстрировать на примере анализа данных, собранных о конкретной атаке.
В феврале 2002 года член Honeynet Project Майкл Кларк с помощью технологии GenI развернул виртуальную сеть, аналогичную представленной на рис. 1. В роли предполагаемых жертв выступали несколько ловушек, на которых был установлен Linux. 18 февраля с помощью стандартного эксплоита FTP хакер проник на одну из ловушек с операционной системой Linux, установленную в сети-приманке. В данном случае использовался wu-ftpd massrooter, хорошо известный и весьма эффективный инструментарий для автоматизированных атак. Сеть-приманка легко обнаружила атаку и собрала о ней сведения, в том числе первые команды хакера, инициированные на взломанной системе. Проанализировав все сетевые пакеты, собранные Snort, мы легко определили природу атаки и команды, выполненные на удаленной системе.
После запуска эксплоита, хакер инициировал команду для загрузки из удаленной системы исполняемого файла foo, установил его под именем /usr/bin/mingetty и запустил, после чего покинул систему. Это еще раз подтверждает, что простая запись всех команд хакера не позволяет получить всю необходимую информацию. Что представляет собой исполняемый файл foo, и чего хотел добиться хакер?
Вскоре после того, как этот файл был выполнен, механизм фильтрации сети-приманки для управления данным (в нашем случае IPTables) зарегистрировал, что с ловушки передаются входящие и исходящие пакеты, но наш анализатор Snort не получил и не зарегистрировал никакой деятельности. Мы совершили ошибку. После анализа трафика мы поняли, в чем она состояла. В этом случае кто-то посылал в ловушку нестандартные IP-пакеты — пакеты протокола Network Voice Protocol. Межсетевой экран регистрировал эту передачу, но анализатор — нет. Мы сами попали в ловушку, проектируя сеть-приманку так, чтобы она собирала сведения о том, что, по нашему предположению, должны были делать хакеры, но, на самом деле, далеко не все, что они могли действительно делать. К счастью, поскольку информация в сети-приманке собирается на нескольких уровнях, то, если один уровень не срабатывает, за трафиком проследят другие.

После того, как стало понятно, в чем состояла ошибка, мы исправили ее, переконфигурировав Snort так, чтобы он собирал данные и регистрировал весь IP-трафик. Теперь мы могли собирать все передаваемые пакеты всего трафика NVP, пересылаемого как на ловушку, так и с нее. Во-первых, в пакетах трудно было разобраться; как показано на рис. 4, они маскируются или шифруются. Кроме того, разнообразные источники, используемые для маскировки (такие как army.mil) посылают множество идентичных пакетов.

Рис. 4. Записанный пакет IP-протокола NVP, присланный на ловушку, куда проник хакер. Команда закодирована, чтобы скрыть ее истинное назначение

Чтобы лучше разобраться в том, что происходит, мы извлекли исполняемый файл foo из сети-приманки, провели обратный инжиниринг этого файла и проанализировали его. Оказалось, что бинарный файл foo, выполненный на ловушке, был средством проникновения, которое давало хакеру удаленное управление над системой. Этот исполняемый файл пассивно прослушивал пакеты протокола NVP, записывал их, декодировал и выполнял команду. К примеру, после декодирования пакета, показанного на рис. 4, стало ясно, какие команды были выполнены на удаленной ловушке (см. рис. 5). Этот исполняемый файл также поддерживал различные возможности организации DoS-атак, позволяя хакеру запускать координированные, распределенные DoS-атаки посредством отсылки замаскированных пакетов IP-протокола NVP.

Рис. 5. Декодированный пакет IP-протокола NVP. Это пример удаленной передачи команд на взломанную систему. В декодированном пакете можно видеть, какие команды действительно выполняются на удаленной системе. В данном случае хакер «приказывает» взломанной системе загрузить инструментарий с другого взломанного сайта, запустить этот инструментарий, а затем удалить загруженный исполняемый модуль. В этом случае инструментарий использован для перехвата сеансов IRC

После анализа исполняемого файла, мы проводили мониторинг взломанной ловушки в течение нескольких недель. За это время хакер загрузил в ловушку еще один инструментарий и попытался просканировать ICQ-сайты в поисках адресов электронной почты, скорее всего для того, чтобы создать базу данных для последующей продажи ее спаммерам. В этот момент доступ хакера в ловушку был прерван из-за превышения предельно допустимого числа исходящих соединений.

Для большинства организаций практически не в состоянии обнаружить и определить, что этот трафик является вредоносным. Выявление нелегитимных средств доступа в систему, к примеру, трудно потому, что ни один из прослушиваемых портов они не открывают, а просто пассивно прослушивают команды. Еще труднее декодировать пакеты и определить их истинную цель, не имея возможности проанализировать исполняемый файл. В нашем случае сеть-приманка продемонстрировала свою способность собирать информацию в управляемой среде, несмотря на то, что анализатор был некорректно сконфигурирован и не регистрировал трафик NVP.

Деятельность Honeynet Project подтвердила ценность технологий создания сетей-приманок, доказав, что она заключается, прежде всего, в информации, которую они собирают. Однако реальный потенциал сетей-приманок не может быть реализован до тех пор, пока организации не смогут эффективно развертывать многочисленные сети-приманки и согласовывать информацию, которую они собирают. В этом и состоит будущее Honeynet Project. Первым шагом к нему станет создание загружаемого компакт-диска, который значительно упростит развертывание таких сетей и стандартизует собираемую ими информацию. После этого организации смогут развертывать различные сети-приманки в распределенной среде. Как только такую информацию станет возможно регистрировать в центральной базе данных, будут разработаны пользовательские интерфейсы, позволяющие легко анализировать и согласовывать накопленные данные, учитывая их крайнюю важность для организаций. У технологий сетей-приманок большие перспективы.

Литература

L. Spitzner, Honeypots: Tracking Hackers, Addison-Wesley, 2002; www.tracking-hackers.com/book.

B. Schneier, Applied Cryptography, John Wiley & Sons, 1996.

Ланс Спитцнер (lance@honeynet.org) — ведущий архитектор систем безопасности корпорации Sun Microsystems и преподаватель SANS Institute. К его основным научным интересам относится изучение сетей-приманок.

Lance Spitzner, The Honeynet Project: Trapping the Hackers. IEEE Security & Privacy, January-February 2003. IEEE Computer Society, 2003, All rights reserved. Reprinted with permission.

Ловушки «промышленные» и исследовательские

Чтобы лучше понять значение ловушек, разделим их на две категории: «промышленные» и исследовательские. Первые призваны защитить организацию. Основная задача, которая ставится перед вторыми, — сбор информации о хакерах. Эта информация косвенно помогает защитить сеть. Развернуть промышленную ловушку проще и менее рискованно, но такие ловушки получают меньше информации о злоумышленниках, которые атаковали их.
Промышленные ловушки помогают защитить компанию тремя способами: за счет предотвращения атаки, обнаружения атаки и помощи специалистам в организации адекватных действий в ответ на атаку. Такие ловушки могут предотвращать нападения за счет замедления или эффекта увязания (tarring) автоматизированных атак, как это делает ловушка LaBrea. Ловушки могут более эффективно обнаруживать атаки, поскольку порождают меньшее количество тревог, как истинных, так и ложных. Свободно распространяемый инструментарий Honeyd не имеет себе равных в обнаружении атак, особенно в крупных сетях. Кроме того, промышленные ловушки можно использовать для организации действий в ответ на атаку (например, разоблачать хакеров после того, как они укажут на изъян в защите) или для анализа ситуации на ловушке, в которую проник хакер. Скажем, в крупной компании могут знать, что защита была взломана, но им не известно, в какие именно системы проник хакер и кто он такой. Ловушки, развернутые во внутренней сети, могут помочь идентифицировать хакеров и понять, как они проникли в систему и в какую именно ее часть.

Ловушки

Сеть-приманка — вид ловушки, представляющей собой «защищенный ресурс, назначение которого состоит в том, чтобы служить объектом зондирования, атак и взломов» [1]. Концепция, лежащая в ее основе, очень проста. Вы создаете ресурс, который не используется в работе и на котором не ведется никакая содержательная деятельность. Это значит, что, если в данную ловушку передается какой-нибудь пакет или кто-то предпринимает попытку получить к ней доступ, то, скорее всего, это зондирование, сканирование или атака. Неотъемлемым преимуществом этой модели является ее простота.
Трафик, передаваемый через ловушки, невелик, но деятельность этих ресурсов очень важна. Значительно сокращается число ложных тревог. Вместо того чтобы генерировать, к примеру, 10 тыс. уведомлений в день, ловушка может генерировать всего пять или десять таких уведомлений, но большинство из них будут сообщениями о реальных попытках зондирования или атаках. Кроме того, ловушки, в отличие от других средств обнаружения вторжения, не зависят от сигнатур, правил или новых алгоритмов, поэтому они могут без труда собирать информацию даже о ранее неизвестных атаках. В частности, в январе 2002 года ловушка смогла распознать атаку, совершенную с помощью эксплоита dtspcd для операционной системы Solaris. Наконец, поскольку ловушки собирают крайне ценные и при этом вовсе не избыточные сведения, согласовывать данные и выявлять общие тенденции становится значительно проще.
Тем не менее, ловушки имеют два основных недостатка. Первый из них заключается в том, что сфера действия ловушек весьма ограничена: они способны отслеживать только те атаки, которые направлены непосредственно против них. Ловушки игнорируют атаки на Web-серверы или внутренние базы данных, если при этом в сами ловушки не передается никакой информации. Второй недостаток является общим для всех технологий защиты — риск. Всякий раз, когда вы предлагаете новую технологию, особенно ту, которая работает со стеком протоколов IP, возникает риск, что в результате злонамеренных действий ресурс выйдет из строя, или, как в случае ловушки, будет использован для организации атак на другие системы. Из-за этих недостатков ловушки не смогут заменить существующие технологии организации защиты. Но с их помощью можно добиться более эффективного использования уже имеющихся архитектур.

Мониторинг действий пользователей

Даже если вы работаете в собственной компьютерной сети и отвечаете за ее безопасность и функционирование, у вас может не быть законных прав контролировать всю деятельность пользователей системы. Существует множество ограничений, в силу которых подобный контроль может считаться нелигитимным. В частности, это может оговариваться в местных или общенациональных нормативных актах, в правилах обеспечения конфиденциальности или в контрактах с сотрудниками, в соглашениях об обслуживании и иных документах. Из-за нарушений этих ограничений вы можете быть привлечены к гражданской или даже уголовной ответственности. Поскольку основная ценность ловушек заключается в том, что они позволяют получить данные, накапливаемые практически исключительно при мониторинге действий пользователей, учитывать ограничения на право слежения за операциями пользователей крайне важно.

Объем информации и уровень интерактивности

Сведения, которые собирают исследовательские ловушки, крайне важны и используются в разных целях. Распределенные исследовательские ловушки могут собирать общую информацию (раннее предупреждение и прогнозирование атак) или сведения, касающиеся конкретных организаций или угроз (сбор информации о потенциальном враге). В 2002 году группа хакеров из Пакистана проникла в ряд федеральных систем США. Информация, собранная в ловушках, помогла специалистам по безопасности разобраться в методах злоумышленников и адекватно отреагировать на их действия.
Как правило, уровень интерактивности в промышленных ловушках, в отличие от исследовательских, довольно низок. Уровень интерактивности определяет, насколько активную деятельность ведет хакер, проникший в ловушку. Чем больше уровень интерактивности, тем больше хакер может сделать. Чем больше хакер может сделать, тем больше мы можем узнать — и тем больше вреда он может нанести. Большинство систем с низким уровнем интерактивности эмулируют те или иные службы. Ловушка с низким уровнем интерактивности, например, может эмулировать FTP-сервер или Web-сервер. Насколько активно хакер будет работать в ловушке, зависит от уровня эмуляции, свойственного конкретной реализации.
Ловушки с высоким уровнем интерактивности службы не эмулируют. Вместо этого они предоставляют реальную операционную среду. В ловушке с высоким уровнем интерактивности устанавливается и используется реальный FTP-сервер (такой как wu-ftpd) или Web-сервер (такой как Microsoft IIS).

Патриотический Акт

Исключение «компьютерный правонарушитель», описанное в Патриотическом Акте США (USA Patriot Act), принятом в октябре 2001 года, в определенных ситуациях дает государственным органам право мониторинга действий хакеров. Это исключение применяется для того, чтобы предоставить определенному лицу, действующему как представитель государственного органа, право отслеживать трафик хакера, «передаваемый в сеть, через нее или из нее», если:

владелец или оператор сети имеет право на такое прослушивание;

лицо, выполняющее прослушивание сеанса связи хакера, проводит законное расследование;

это лицо имеет веские основания полагать, что прослушиваемые сеансы связи имеют отношение к проводимому расследованию.

Это исключение может оказаться весьма полезным для владельцев ловушек, в тех случаях, когда ловушка создается с участием или по указанию государственных органов.

Причинение вреда другим лицам

При развертывании ловушек особое внимание следует обратить на снижение риска их использования в неправомерных целях. Хакеры могут попытаться с помощью вашего аппаратного обеспечения реализовать свои злые умыслы. Хакеры способны не только проникнуть в вашу сеть, но и использовать ее и имеющуюся полосу пропускания для организации атак на другие системы.
Корректное и безопасное использование ловушек требует постоянного контроля. Нельзя установить ловушку и предоставить ее самой себе, поскольку она может стать средством хранения краденных кредитных карт, коммерческих тайн и файлов с паролями, либо быть превращена в сайт для размещения пиратских копий программ или точку распространения детской порнографии. Оставленная без должного внимания ловушка может быстро стать частью очень серьезной проблемы, которую она, по идее, призвана решать.

Провокация

Некоторые участники дискуссии о ловушках указывают на то, что владельца подобных систем могут обвинить в умышленной провокации на уголовно наказуемое деяние. Эти опасения несколько преувеличены. Умышленная провокация, в буквальном смысле, — это аргумент в свою защиту, которую ответчик по уголовному делу может привести в попытке избежать обвинительного приговора. Защита ссылкой на провокацию может применяться во время слушания уголовного дела в том случае, если представители государственных органов своими действиями на самом деле вынудили ответчика совершить преступление, в котором его обвиняют. Ответчик, который склонен к совершению преступления, не может обоснованно ссылаться на провокацию. Во всяком случае, аргументы защиты вряд ли будут убедительными, если хакер проник в компьютер, оказавшийся ловушкой, к которой государственные органы не имеют никакого отношения.
Ричард Салгадо — старший юридический советник отдела компьютерных преступлений и интеллектуальной собственности департамента уголовных преступлений Министерства юстиции США. Также занимает должность доцента юридического центра Джорджтаунского университета и преподает в SANS Institute. В данной статье изложено мнение самого Салгадо, которое может не совпадать с официальной позицией министерства.

Различные виды сетей-приманок

Сеть-приманка, по существу, — это разновидность исследовательской ловушки. Ее основное предназначение — собирать информацию о хакерах. С этой целью развертывается сеть систем, способных служить объектами атаки. Ничего не эмулируется; используются реальные системы и приложения. Цель — добиться того, чтобы хакеры проникли в систему, расположенную внутри сети-приманки, и записать и проконтролировать каждое их действие, причем так, чтобы они об этом не догадывались.
Главная сложность, возникающая при развертывании сети-приманки, — отсутствие готового решения. Нельзя установить готовый программный пакет и начать использовать сеть-приманку. Во многом, сеть-приманка напоминает аквариум: можно видеть все, что происходит в ее среде. Как только соответствующая архитектура сформирована и созданы все условия для ее работы, в контролируемой среде развертываются системы-цели. На рис. 1 представлена сеть-приманка GenI.


Рис. 1. Сеть-приманка первого поколения GenI. Сеть-приманка — специальным образом устроенная искусственная среда. Расположенные в этой среде системы играют роль приманки

Архитектура сети-приманки в обязательном порядке должна отвечать двум важным требованиям: поддерживать управление данным и сбор данных. Для реализации этих требований можно использовать любые технологии, но при этом необходимо гарантировать, что данные требования выполняются. Цель управления данными — снизить риск. Точнее говоря, гарантировать, что после того, как хакер проник в системы сети-приманки, он не сможет использовать взломанные системы для атаки или для нанесения вреда другим системам. Сбор данных гарантирует, что можно обнаружить и зарегистрировать все действия хакеров, даже если они замаскированы или зашифрованы.
И при управлении данными, и при их сборе ситуация усугубляется тем, что необходимо действовать так, чтобы нарушитель этого не обнаружил. Давайте посмотрим, как это делается в рамках GenII.

Сбор данных

Для гарантии эффективной записи данных Honeynet Project использует сразу несколько методов, поскольку ни один в отдельности не в состоянии получить всю требуемую информацию. Многие считают, что если записать все команды, выдаваемые хакером, то таким образом можно получить все необходимые сведения. Это далеко не так. Предположим, выясняется, что записанная команда запускает некий сценарий? Что этот сценарий делает, какие изменения вносит и какую функциональность поддерживает? Восстановление этого сценария столь же важно, как и его обнаружение. Для этого Honeynet Project использует разные уровни сбора данных.
Первый уровень — это сам мост. Шлюз IDS, который идентифицирует и блокирует атаки, пассивно просматривает каждый пакет и весь трафик, который тот создает в сети. Это гарантирует, что мы можем записать и зарегистрировать все действия хакера для последующего анализа. В частности, шлюз позволяет восстанавливать такие данные, как учетные записи или пароли, к примеру, из открытых протоколов, таких как IRC, HTTP или telnet. По журналу регистрации, содержащему информацию о передаче файлов, можно восстановить, какой инструментарий применял хакер. Даже при использовании зашифрованных протоколов, с помощью пассивного анализа характерных признаков пакетов не очень сложно определить тип атакующей системы и ее возможное местонахождение.
Второй уровень сбора данных — это журнал регистрации межсетевого экрана. Мостовое устройство второго уровня имеет механизм фильтрации пакетов, позволяющий блокировать исходящие соединения при достижении установленного предельного их числа. Тот же самый механизм регистрирует все входящие и исходящие соединения. Входящие соединения содержат важную информацию, поскольку с их помощью, скорее всего, выполняются зондирование, сканирование или атаки. Исходящие соединения имеют еще большее значение, поскольку могут свидетельствовать о проникновении в ловушку и поскольку исходящее соединение инициирует хакер.
Третий уровень предназначен для сбора информации о том, какие команды инициировал хакер, и вообще о его деятельности в системе. Это сделать намного труднее, чем кажется: хакеры стали часто использовать шифрование. Большинство организаций, стремясь обеспечить защиту данных, развертывают шифрующие протоколы наподобие SSH и HTTPS. Однако и хакеры, чтобы скрыть свои действия, могут использовать те же самые протоколы. Как только хакер проник в систему, расположенную в сети-приманке, он может осуществлять удаленное администрирование системы с помощью SSH, в силу чего проследить его действия становится еще сложнее. Даже если в системе, куда попал хакер, SSH не установлен, все чаще оказывается, что в этом случае хакер инсталлирует свою собственную версию протокола.

Чтобы преодолеть эти трудности, в Honeynet Project были разработаны модули ядра, устанавливаемые в системах, которые могут стать объектами нападения. Эти модули накапливают информацию обо всей деятельности хакеров, в частности, о зашифрованных командах или о scp (защищенное копирование или инструментарий, для зашифрованной передачи файлов) при загрузке наборов инструментальных средств. Информацию, которую собирают модули ядра, нельзя сохранять локально в ловушке, поскольку хакер может обнаружить, случайно удалить или изменить ее. Данную информацию необходимо удаленно собирать на защищенной системе, причем так, чтобы хакер об этом не знал.

В частности, это можно сделать, отправляя собранные сведения в сеть. Шлюз IDS анализирует и собирает сведения обо всей сетевой активности в сети-приманке, записывая все пакеты, сгенерированные модулем ядра, так что в этом случае мост второго уровня действует как сетевой анализатор, накапливающий сведения и регистрирующий всю деятельность хакера. Смысл данного метода — передать информацию таким образом, чтобы хакер этого не заметил.

Хакеры легко могут проанализировать трафик в канале и увидеть, что в пересылаемых по нему пакетах содержатся сведения об их собственной деятельности. Чтобы воспрепятствовать этому, модуль ядра маскирует пакеты под трафик NetBIOS, передаваемый из других систем. IP- и MAC-адреса отправителей и получателей маскируются под адреса локального сервера Windows. Даже если хакер анализирует канал и просматривает пакеты, то для него они будут выглядеть как обычный трафик. Реальные данные, содержащиеся в пакетах, шифруются Blow-fish, что гарантирует их конфиденциальность [2].

Эти многочисленные уровни сбора данных гарантируют, что мы получим истинное представление о деятельности хакеров. Другие методы, такие как обратный инжиниринг и судебные расследования, выходят за рамки данной статьи. Чтобы больше узнать о технических подробностях развертывания сетей-приманок, посетите сайт www.honeynet.org/papers/honeynet.

Стремясь собирать как можно более широкий спектр сведений, Honeynet Project развертывает в своих сетях-приманках различные виды операционных систем. Существуют сети-приманки, где работают Solaris, OpenBSD, Linux и Windows. Хотя все эти проекты пока находятся на начальных этапах реализации, можно отметить весьма интересные тенденции: главная заключается в том, что разные операционные системы привлекают разные категории злоумышленников. Windows-системы, как правило, становятся объектами нападения червей или простых автоматизированных атак, таких как сканирование открытых совместно используемых ресурсов или передача рекламных объявлений через порт 135. На Linux-системы, как правило, организаторами нападения становятся жители Восточной Европы, в основном, румыны, которые используют общеизвестные дефекты систем и автоматизированные средства планирования атак, такие как wu-ftpd massrooter. Системы, работающие под управлением Solaris и OpenBSD, подвергаются более разнообразным и интересным атакам, в частности, организуемым с использованием туннелирования IPv6.

Скромное начало

Проект был инициирован в 1999 году небольшой группой специалистов как неформальный список рассылки. Однако в скором времени стало понятно, что ни один специалист сам по себе не обладает всем опытом, необходимым для анализа собранных сведений об атаках. Ряды участников проекта постепенно расширялись, и в июне 2000 года он получил официальное название Honeynet Project.
По прошествии двух лет деятельность в рамках Honeynet Project была формализована. Число участников группы достигло 30, она получила статус некоммерческой организации. Был создан совет директоров, в состав которого вошли Брюс Шнейер, Джордж Куртц, Элиас Леви и Дженифер Граник. Однако группа по-прежнему не обладала ресурсами, достаточными для проведения исследований, разработки и массового развертывания сетей-приманок. В январе 2002 года был создан альянс Honeynet Research Alliance, а в декабре того же года в его состав входило уже 10 активных организаций из Бразилии, Греции, Индии, Мексики, Ирландии и США. Альянс значительно расширил возможности Honeynet Project, касающиеся сбора данных и формирования общего представления о том, с какими угрозами сталкивается Internet.

Управление данными

Поскольку необходимо предоставить хакерам возможность попасть в наши системы, но не позволить им проникнуть дальше и нанести вред другим, следует изолировать системы-цели в сети-приманке с помощью мостового устройства второго уровня. В этом случае весь трафик, проходящий через системы сети-приманки, сначала пересылается через «невидимый» мост второго уровня (см. рис. 2). Поскольку мост действует на втором уровне, не происходит никакого замедления при маршрутизации пакетов или появления MAC-адресов, которые может идентифицировать хакер. Мост позволяет злоумышленникам проникнуть в сеть, но дает возможность контролировать их действия и исходящий трафик. Это очень важно. Было обнаружено, что в большинстве случаев взлома сетей-приманок Honeynet хакеры предпринимали попытки использовать такие сети для проникновения в другие системы, в частности, для организации DoS-атак (denial of service — «отказ в обслуживании»).


Рис. 2. Сеть-приманка второго поколения GenII. Мостовое устройство второго уровня (на рисунке оно называется сенсором сети-приманки) изолирует и ограничивает системы в сети-приманке

Таким образом, главное в управлении данными — предоставить хакерам свободу действий и в то же время не дать им возможность причинять вред. Одно из потенциальных решений — создать сеть-приманку, в которую может попасть любой, а затем блокировать на мосту все исходящие соединения. Это позволило бы не допустить причинение вреда другим системам, но подобная сеть-приманка будет практически бесполезной: выяснить, что делали хакеры после того, как проникли в сеть, будет невозможно. Кроме того, хакерам не составит труда распознать сеть-приманку, если после попадания в нее они будут лишены обратной связи.
Второе решение, опирающееся на технологии GenI, предполагает подсчет числа исходящих соединений и блокировку любых соединений, превышающих установленный лимит. Можно начать с пяти-десяти соединений в час. Как только число соединений на ловушке достигнет этого предела, все остальные исходящие соединения необходимо блокировать. Это предотвращает большинство DoS-атак, сканирование или другую вредоносную деятельность, но по-прежнему оставляет хакерам достаточную свободу действий.

Этот метод эффективен, но имеет свои ограничения: хакеры по-прежнему могут опознавать сеть-приманку и инициировать атаки, не превышая ограничения на число исходящих соединений. В GenII существует второй уровень управления данными: шлюз IPS (intrusion prevention system — «система предотвращения вторжений»). Этот шлюз обладает теми же возможностями для обнаружения атак, что и обычные IDS (intrusion detection system — «система обнаружения вторжений»), но имеет преимущество, поскольку позволяет блокировать атаки после того, как те идентифицированы.

Рис. 3. Сигнатура Snort-Inline применяется для модификации и обезвреживания известной DNS-атаки, использующей опцию замены. Жирным шрифтом выделена команда, служащая для модификации и обезвреживания атаки

Honeynet Project еще более эффективно использует эту возможность за счет применения Snort-Inline, представляющей собой модифицированную версию свободно распространяемой технологии обнаружения вторжений Snort. Вместо того чтобы блокировать обнаруженные исходящие атаки, их модифицируют и обезвреживают (на рис. 3 представлен пример известной DNS-атаки). Хакеры запускают свои эксплоиты, которые путешествуют по Internet и поражают установленные для них цели, но Snort-Inline обезвреживает такие атаки, и те заканчиваются впустую. Хакеры осознают свою неудачу, но понять ее причины они не в состоянии. В этой ситуации можно выполнять мониторинг действий хакеров, одновременно снижая риск нанесения ущерба удаленным системам.

Есть вероятность того, что шлюз IDS не распознает новую или замаскированную атаку, но существует и иной риск, который следует принять во внимание при развертывании данной технологии. Если хакер инициирует ранее неизвестную атаку, а шлюз IDS пропустит ее, хакер потенциально может использовать жертву в своих интересах. К счастью, однако сеть-приманка будет регистрировать все действия хакера, в том числе задействованные инструменты, его методы и сигнатуру новой атаки. Эта информация затем будет распространена в сообществе специалистов по защите, что позволит им уберечься от повторения такой атаки.

Структура современных систем обнаружения вторжения

Системы обнаружения вторжения (СОВ) – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [1, 2]. Структура СОВ представлена на рис. 1.
До недавнего времени наиболее распространенной структурой СОВ была модель, предложенная Дороти Деннинг (D. Denning) [3].
В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных [2].

Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы.

Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему.

Подсистема представления данных (пользовательский интерфейс) позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.

Структура современных систем обнаружения вторжения

Рис. 1. Структура системы обнаружения вторжения
Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации. В соответствии с общей структурой информационных систем выделяют следующие типы:

датчики приложений – данные о работе программного обеспечения защищаемой системы;

датчики хоста – функционирование рабочей станции защищаемой системы;

датчики сети – сбор данных для оценки сетевого трафика;

межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.

Система обнаружения вторжения может включать любую комбинацию из приведенных типов датчиков.
Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.
Подсистема представления данных необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.

Характеристика направлений и групп методов обнаружения вторжений

Среди методов, используемых в подсистеме анализа современных СОВ, можно выделить два направления: одно направлено на обнаружение аномалий в защищаемой системе, а другое – на поиск злоупотреблений [2]. Каждое из этих направлений имеет свои достоинства и недостатки, поэтому в большинстве существующих СОВ применяются комбинированные решения, основанные на синтезе соответствующих методов. Идея методов, используемых для обнаружения аномалий, заключается в том, чтобы распознать, является ли процесс, вызвавший изменения в работе системы, действиями злоумышленника. Методы поиска аномалий приведены в таблицах 1 и 2.
Выделяются две группы методов: с контролируемым обучением («обучение с учителем»), и с неконтролируемым обучением («обучение без учителя»). Основное различие между ними заключается в том, что методы контролируемого обучения используют фиксированный набор параметров оценки и некие априорные сведения о значениях параметров оценки. Время обучения фиксировано. В неконтролируемом же обучении множество параметров оценки может изменяться с течением времени, а процесс обучения происходит постоянно.
Таблица 1. Обнаружение аномалии – контролируемое обучение («обучение с учителем»)
Методы обнаружения
Используется в системах
Описание метода

Моделирование правил	W&S	Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии.
Описательная статистика	IDES, NIDES, EMERLAND, JiNao, HayStack	Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико.
Нейронные сети	Hyperview	Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии.

<
Таблица 2. Обнаружение аномалии – неконтролируемое обучение («обучение без учителя»)
Методы обнаружения
Используется в системах
Описание метода

Моделирование множества состояний	DPEM, JANUS, Bro	Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы.
Описательная статистика	MIDAS, NADIR, Haystack, NSM	Аналогичен соответствующему методу в контролируемом обучении.

Таблица 3. Обнаружение злоупотреблений – контролируемое обучение («обучение с учителем»)
Метод обнаружения
Используется в системах
Описание метода

Моделирование состояний	USTAT, IDIOT	Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события.
Экспертные системы	NIDES, EMERLAND, MIDAS, DIDS	Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы.
Моделирование правил	NADIR, HayStack, JiNao, ASAX, Bro	Простой вариант экспертных систем.
Синтаксический анализ	NSM	Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса.

Цель второго направления (обнаружение злоупотреблений) – поиск последовательностей событий, определенных (администратором безопасности или экспертом во время обучения СОВ) как этапы реализации вторжения. Методы поиска злоупотреблений приведены в таблице 3. В настоящие время выделяются лишь методы с контролируемым обучением.
Реализованные в настоящее время в СОВ методы основаны на общих представлениях теории распознавания образов. В соответствии с ними для обнаружения аномалии на основе экспертной оценки формируется образ нормального функционирования информационной системы. Этот образ выступает как совокупность значений параметров оценки. Его изменение считается проявлением аномального функционирования системы. После обнаружения аномалии и оценки ее степени формируется суждение о природе изменений: является ли они следствием вторжения или допустимым отклонением. Для обнаружения злоупотреблений также используется образ (сигнатура), однако здесь он отражает заранее известные действия атакующего.

Выбор оптимальной совокупности признаков оценки защищаемой системы

В настоящие время используется эвристическое определение (выбор) множества параметров измерений защищаемой системы, использование которого должно дать наиболее эффективное и точное распознавание вторжений. Сложность выбора множества можно объяснить тем, что составляющие его подмножества зависят от типов обнаруживаемых вторжений. Поэтому одна и та же совокупность параметров не будет адекватной для всех типов вторжений.
Любую систему, состоящую из привычных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими особенностями. Это является объяснением возможности пропуска специфичных для защищаемой системы вторжений теми СОВ, которые используют один и тот же набор параметров оценки. Наиболее предпочтительное решение – определение необходимых параметров оценки в процессе работы. Трудность эффективного динамического формирования параметров оценки состоит в том, что размер области поиска экспоненциально зависит от мощности начального множества. Если имеется начальный список из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств этого списка составляет 2N. Поэтому не представляется возможным использование алгоритмов перебора для нахождения оптимального множества. Одно из возможных решений – использование генетического алгоритма [4].

Получение единой оценки состояния защищаемой системы

Общая оценка аномальности должна определяется из расчета множества параметров оценки. Если это множество формируется так, как было предложено в предыдущем параграфе, то получение единой оценки представляется весьма не простой задачей. Один из возможных методов – использование статистики Байеса. Другой способ, применяемый в NIDES, основан на использовании ковариантных матриц [5].
Статистика Байеса
Пусть А1.. Аn – n измерений, используемых для определения факта вторжения в любой момент времени. Каждое Аi оценивает различный аспект системы, например – количество активностей ввода-вывода, количество нарушений памяти и т.д. Пусть каждое измерение Аi имеет два значения 1 – измерение аномальное, 0 – нет. Пусть I – это гипотеза того, что в системе имеются процессы вторжения. Достоверность и чувствительность каждого измерения определяется показателями
Получение единой оценки состояния защищаемой системы

(1)
Вероятность вычисляется при помощи теоремы Байеса.
Получение единой оценки состояния защищаемой системы

(2)
Для событий I и ¬I, скорее всего, потребуется вычислить условную вероятность для каждой возможной комбинации множества измерений. Количество требуемых условных вероятностей экспоненциально по отношению к количеству измерений. Для упрощения вычислений, но теряя в точности, мы можем предположить, что каждое измерение Аi зависит только от I и условно не зависит от других измерений Аj где i ? j. Это приведет к соотношениям
Получение единой оценки состояния защищаемой системы

(3)
и
Получение единой оценки состояния защищаемой системы

(4)
Отсюда
Получение единой оценки состояния защищаемой системы

(5)
Теперь мы можем определить вероятность вторжения, используя значения измерений аномалий, вероятность вторжения, полученную ранее, и вероятности появления каждого из измерений аномальности, которые наблюдали ранее во время вторжений.
Однако для получения более реалистичной оценки Р(I|А1..Аn), необходимо учитывать влияние измерений Аi друг на друга.
Ковариантные матрицы
В NIDES, чтобы учитывать связи между измерениями, при расчете используются ковариантные матрицы. Если измерения А1.. Аn представляет собой вектор А, то составное измерение аномалии можно определить как
Получение единой оценки состояния защищаемой системы

(6)
где С – ковариантная матрица, представляющая зависимость между каждой парой измерений аномалий.
Сети доверия (сети Байеса)
Байесовы сети представляют собой графовые модели вероятностных и причинно-следственных связей между переменными в статистическом информационном моделировании. В байесовых сетях органически сочетаются эмпирические частоты появления различных значений переменных, субъективные оценки «ожиданий» и теоретические представления о математических вероятностях тех или иных следствий из априорной информации [6].

Описательная статистика

Один из способов формирования «образа» нормального поведения системы состоит в накоплении в специальной структуре измерений значений параметров оценки. Эта структура называется профайлом. Основные требования, которые предъявляются к структуре профайла: минимальный конечный размер, операция обновления должна выполняться как можно быстрее.
В профайле используется несколько типов измерений, например, в IDES используются следующие типы [3]:

Показатель активности – величина, при превышении которой активность подсистемы оценивается как быстро прогрессирующая. В общем случае используется для обнаружения аномалий, связанных с резким ускорением в работе. Пример: среднее число записей аудита, обрабатываемых для элемента защищаемой системы в единицу времени.

Распределение активности в записях аудита – распределение во всех типах активности в свежих записях аудита. Здесь под активностью понимается любое действие в системе, например, доступ к файлам, операции ввода-вывода.

Измерение категорий – распределение определенной активности в категории (категория – группа подсистем, объединенных по некоему общему принципу). Например, относительная частота регистрации в системе (логинов) из каждого физического места нахождения. Предпочтения в использовании программного обеспечения системы (почтовые службы, компиляторы, командные интерпретаторы, редакторы и т.д).

Порядковые измерения – используется для оценки активности, которая поступает в виде цифровых значений. Например, количество операций ввода-вывода, инициируемых каждым пользователем. Порядковые изменения вычисляют общую числовую статистику значений определенной активности, в то время как измерение категорий подсчитывают количество активностей.

При обнаружении аномалий с использованием профайла в основном применяют статистические методы оценки. Процесс обнаружения происходит следующим образом: текущие значения измерений профайла сравнивают с сохраненными значениями. Результат сравнения – показатель аномальности в измерении. Общий показатель аномальности в простейшем случае может вычисляться при помощи некоторой общей функции от значений показателя аномалии в каждом из измерении профайла. Например, пусть M1,M2…Mn, – измерения профайла, а S1,S2….Sn, соответственно, представляют собой значения аномалии каждого из измерений, причем чем больше число Si, тем больше аномалии в i-том показателе. Объединяющая функция может быть весом сумм их квадратов:
a1s12 + a2s22+…+ansn2>0, (7)

где ai – показывает относительный вес метрики Mi.
Параметры M1,M2…Mn, на самом деле, могут зависеть друг от друга, и поэтому для их объединения может потребоваться более сложная функция.
Основное преимущество заключается в том, что применяются хорошо известные статистические методы.
Недостатки:

Нечувствительность к последовательности возникновения событий. То есть статистическое обнаружение может упустить вторжение, которое проявляется в виде последовательности сходных событий.

Система может быть последовательно обучена таким образом, что аномальное поведение будет считаться нормальным. Злоумышленники, которые знают, что за ними наблюдают при помощи таких систем, могут обучить их для использования в своих целях. Именно поэтому в большинстве существующих схем обнаружения вторжения используется комбинация подсистем обнаружения аномалий и злоупотреблений.

Трудно определить порог, выше которого аномалии можно рассматривать как вторжение. Занижение порога приводит к ложному срабатыванию (false positive), а завышение – к пропуску вторжений (false negative).

Существуют ограничения к типам поведения, которые могут быть смоделированы, используя чистые статистические методы. Применение статистических технологий для обнаружения аномалий требует предположения, что данные поступают от квазистатического процесса.

Нейронные сети

Другой способов представления «образа» нормального поведения системы – обучение нейронной сети значениями параметров оценки.
Обучение нейронной сети осуществляется последовательностью информационных единиц (далее команд), каждая из которых может находиться на более абстрактном уровне по сравнению с используемыми параметрами оценки. Входные данные сети состоят из текущих команд и прошлых W команд, которые обрабатываются нейронной сетью с целью предсказания последующих команд; W также называют размером окна. После того как нейронная сеть обучена множеством последовательных команд защищаемой системы или одной из ее подсистем, сеть представляет собой «образ» нормального поведения. Процесс обнаружения аномалий представляет собой определение показателя неправильно предсказанных команд, то есть фактически обнаруживается отличие в поведение объекта. На уровне рецептора (рис. 2) стрелки показывают входные данные последних W команд, выполненных пользователем. Входной параметр задает несколько значений или уровней, каждый из которых уникально определяет команду. Выходной реагирующий слой состоит из одного многоуровневого, который предсказывает следующую возможную команду пользователя [7].
Нейронные сети

Рис. 2. Концептуальная схема нейронных сетей СОВ
Недостатки:

топология сети и веса узлов определяются только после огромного числа проб и ошибок;

размер окна – еще одна величина, которая имеет огромное значение при разработке; если сделать окно маленьким то сеть будет не достаточно производительной, слишком большим – будет страдать от неуместных данных.

Преимущества:

успех данного подхода не зависит от природы исходных данных;

нейронные сети легко справляются с зашумленными данными;

автоматически учитываются связи между различными измерениями, которые, несомненно, влияют на результат оценки.

Генерация патернов

Представление «образа» в данном случае основывается на предположении о том, что текущие значения параметров оценки можно связать с текущим состоянием системы. После этого функционирование представляется в виде последовательности событий или состояний.
Ченг (K. Cheng) [8] предложил временные правила, которые характеризуют совокупности значений параметров оценки (далее паттерна) нормальной (не аномальной) работы. Эти правила формируются индуктивно и заменяются более «хорошими» правилами динамически во время обучения. Под «хорошими правилами» понимаются правила с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы. Для примера рассмотрим следующее правило:
Е1->Е2->Е3 => (Е4 = 95%,Е5=5%), (8)
где Е1… Е5 - события безопасности.
Это утверждение, основанное на ранее наблюдавшихся данных, говорит о том, что для последовательности паттернов установилась следующая зависимость: если имеет место Е1 и далее Е2 и Е3, то после этого вероятность проявления Е4 95% и Е5 – 5%.
Именно множество правил, создаваемых индуктивно во время наблюдения работы пользователя, составляет «образ». Аномалия регистрируется в том случае, если наблюдаемая последовательность событий соответствует левой части правила выведенного ранее, а события, которые имели место в системе после этого, значительно отличаются от тех, которые должны были наступить по правилу.
Основной недостаток данного подхода заключается в том, что неузнаваемые паттерны поведения могут быть не приняты за аномальные из-за того, что они не соответствуют ни одной из левых частей всех правил.
Данный метод довольно эффективно определяет вторжения, так как принимаются во внимание:

зависимости между событиями;

последовательность появления событий.

Достоинства метода:

лучшая обработка пользователей с большим колебанием поведения, но с четкой последовательностью паттернов;

возможность обратить внимание на некоторые важные события безопасности, а не на всю сессию, которая помечена как подозрительная;

лучшая чувствительность к обнаружению нарушений: правила содержат в себе семантику процессов, что позволяет гораздо проще заметить злоумышленников, которые пытаются обучить систему в своих целях.

Анализ методов обнаружения аномалий

Методы обнаружения аномалий направлены на выявление неизвестных атак и вторжений. Для защищаемой системы СОВ на основе совокупности параметров оценки формируется «образ» нормального функционирования. В современных СОВ выделяют несколько способов построения «образа»:

накопление наиболее характерной статистической информации для каждого параметра оценки;

обучение нейронных сетей значениями параметров оценки;

событийное представление.

Легко заметить, что в обнаружении очень значительную роль играет множество параметров оценки. Поэтому в обнаружении аномалий одной из главных задач является выбор оптимального множества параметров оценки.
Другой, не менее важной задачей является определение общего показателя аномальности. Сложность заключается в том, что эта величина должна характеризовать общее состояние «аномальности» в защищаемой системе.

Использование условной вероятности

Для определения злоупотреблений нужно определить условную вероятность
Р(Вторжение|Патерн событий).
То есть, другими словами, определяется вероятность того, что какие-то множество или множества событий являются действиями злоумышленника.
Далее используется формула Байеса
Использование условной вероятности

(9)
где I – вторжение, а A1… An – последовательность событий. Каждое событие – это совокупность параметров оценки защищаемой системы.
Для примера рассмотрим сеть университета как систему, для которой необходимо определить условную вероятность вторжения. Эксперт безопасности, работающий с таким типом сетей, может, используя свой опыт, определить эмпирический количественный показатель – вероятность вторжения Р(вторжения)=P(I). Далее, если все отчеты о вторжениях и предшествующих им событиях в подобных сетях свести к табличному виду, можно определить следующую условную вероятность: P(A1…An|I) = Р(Последовательность событий|Вторжение). Анализируя множество записей аудита без вторжений, можно получить Р(Последовательность событий|¬Вторжение). Используя эти две условные вероятности, можно легко определить левую часть уравнения Байеса
Использование условной вероятности

(10)
где sequence – последовательность событий; ES – выступает как последовательность событий, а I – вторжение.

Продукционные/Экспертные системы

Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем.
Примеры использования таких систем в СОВ описаны достаточно широко. Такая система кодирует информацию о вторжениях в правилах вида if(если) причина then(то) решение, причем при добавление правил причина соответствует событию(ям), регистрируемых подсистемой сбора информации СОВ. В части (if) правила кодируются условия (причины), необходимые для атаки. Когда все условия в левой части правила удовлетворены, выполняется действие (решение), заданное в правой его части [9].
Основные проблемы приложений, использующих данный метод, которые обычно возникают при их практическом применении:

недостаточная эффективность при работе с большими объемами данных;

трудно учесть зависимую природу данных параметров оценки.

При использовании продукционных систем для обнаружения вторжений можно установить символическое проявление вторжения при помощи имеющихся данных.
Трудности:

Отсутствие встроенной или естественной обработки порядка последовательностей в анализируемых данных. База фактов, соответствующая левой части «продукции», используется для определения правой части. В левой части продукционного правила все элементы объединяются при помощи связи «и».

Встроенная экспертиза хороша только в том случае, если моделируемые навыки администратора безопасности не противоречивы. Это практическое рассуждение, возможно, касается недостаточной централизованности усилий экспертов безопасности в направлении создания исчерпывающих множеств правил.

Обнаруживаются только известные уязвимости.

Существуют определенный программный инжиниринг, связанный с установкой (поддержанием) баз знаний. При добавлении или удалении какого-либо из правил должно изменяться остальное множество правил.

Объединение различных измерений вторжений и создание связанной картины вторжения приводит к тому, что частные причины становятся неопределенными. Ограничения продукционных систем, в которых используется неопределенная причина, довольно хорошо известны.

Анализ изменения состояний

Этот метод был описан в STAT [10] и реализован в USTAT [11]. Сигнатура вторжения представляется как последовательность переходов между состояниями защищаемой системы. Паттерны атаки (совокупность значений параметров оценки) соответствуют какому-то состоянию защищаемой системы и имеют связанную с ними логическую функцию. Если эта функция выполняется, то считается, что система перешла в это состояние. Последующие состояния соединены с текущим линиями, которые представляют собой необходимые события для дальнейших переходов. Типы возможных событий встроены в модель и соответствуют, хотя и не обязательно, значениям параметров оценки по принципу один к одному [10, 11].
Паттерны атаки могут только задать последовательность событий, поэтому более сложный способ определения событий не поддерживается. Более того, отсутствует общий механизм целей, который можно было бы использовать для обрезания частичного соответствия атак, вместо этого используется простая встроенная логическая функция.

Наблюдение за нажатием клавиш

Для обнаружения атак в данной технологии используется мониторинг за нажатием пользователя на клавиши клавиатуры. Основная идея – последовательность нажатий пользователя задает паттерн атаки. Недостатком этого подхода является отсутствие достаточно надежного механизма перехвата работы с клавиатурой без поддержки операционной системы, а также большое количество возможных вариантов представления одной и той же атаки. Кроме того, без семантического анализатора нажатий различного рода псевдонимы команд могут легко разрушить эту технологию. Поскольку она направлена на анализ нажатий клавиш, автоматизированные атаки, которые являются результатом выполнения программ злоумышленника, также могут быть не обнаружены [12].

Методы, основанные на моделировании поведения злоумышленника

Одним из вариантов обнаружения злоупотребления является метод объединения модели злоупотребления с очевидными причинами. Его суть заключается в следующем: есть база данных сценариев атак, каждая из которых объединяет последовательность поведений, составляющих атаку. В любой момент времени существует возможность того, что в системе имеет место одно из этих подмножеств сценариев атак. Делается попытка проверки предположения об их наличии путем поиска информации в записях аудита. Результатом поиска является какое-то количество фактов, достаточное для подтверждения или опровержения гипотезы. Проверка выполняется в одном процессе, который получил название антисипатор. Антисипатор, основываясь на текущей активной модели, формирует следующее возможное множество поведений, которое необходимо проверить в записях аудита, и передает их планировщику. Планировщик определяет, как предполагаемое поведение отражается в записях аудита и трансформирует их в системно-аудитозависимое выражение. Эти выражения должны состоять из таких структур, которые можно было бы просто найти в записях аудита, и для которых имелась бы достаточно высокая вероятность появления в записях аудита.
По мере того как основания для подозрений некоторых сценариев накапливаются, а для других – снижаются, список моделей активностей уменьшается. Вычисление причин встроено в систему и позволяет обновлять вероятность появления сценариев атак в списке моделей активности [13].
Преимущества:

появляется возможность уменьшить количество существенных обработок, требуемых для одной записи аудита; сначала наблюдаются более «грубые» события в пассивном режиме, и далее, как только одно из них обнаружено, наблюдаются более точные события;

планировщик обеспечивает независимость представления от формы данных аудита.

Недостатки:

при применении данного подхода у лица, ответственного за создание модели обнаружения вторжения, появляется дополнительная нагрузка, связанная с назначением содержательных и точных количественных характеристик для разных частей графического представления модели;

эффективность этого подхода не была продемонстрирована созданием программного прототипа; из описания модели не ясно, как поведения могут быть эффективно составлены в планировщике, и какой эффект это окажет на систему во время работы;

этот подход дополняет, но не заменяет подсистему обнаружения аномалий.

Анализ методов обнаружения злоупотреблений

Использование только методов обнаружения аномалий не гарантирует выявление всех нарушений безопасности, поэтому в большинстве СОВ существует технологии распознавания злоупотреблений. Обнаружение вторжений-злоупотреблений основывается на прогностическом определении атак и последующим наблюдением за их появлением [2]. В отличие от обнаружения аномалии, где образ – это модель нормального поведения системы, при обнаружении злоупотребления он необходим для представления несанкционированных действий злоумышленника. Такой «образ» применительно к обнаружению злоупотреблений называется сигнатурой вторжения. Формируется сигнатура на основе тех же входных данных, что и при обнаружении аномалий, то есть на значениях параметров оценки. Сигнатуры вторжений определяют окружение, условия и родство между событиями, которые приводят к проникновению в систему или любым другим злоупотреблениям. Они полезны не только при обнаружении вторжений, но и при выявлении попыток совершения незаконных действий. Частичное совпадение сигнатур может означать, что в защищаемой системе имела место попытка вторжения.

Недостатки существующих систем обнаружения

Недостатки современных систем обнаружения можно разделить на две группы – недостатки, связанные со структурой СОВ, и недостатки, относящиеся к реализованным методам обнаружения.
Недостатки структур СОВ.

Отсутствие общей методологии построения. Частично это можно объяснить недостаточностью общих соглашений в терминологии, так как СОВ – это достаточно новое направление, основанное Андерсоном (J.P. Anderson) в 1980 г. [14].

Эффективность. Часто методы системы пытаются обнаружить любую понятную атаку, что приводит к ряду неудовлетворительных последствий. Например, при обнаружении аномалий существенно потребляется ресурсы – для любого профайла требуются обновления для каждого из наблюдаемых событий. При обнаружении злоупотреблений обычно используются командные интерпретаторы экспертных систем, при помощи которых кодируются сигнатуры. Очень часто эти командные интерпретаторы обрабатывают свое собственное множество правил и, соответственно, также потребляют ресурсы. Более того, множество правил разрешает только непрямые зависимости последовательности связей между событиями.

Портативность. До сих пор большинство СОВ создается для использования на конкретном оборудовании, и достаточно трудно использовать их в другой системе, где требуется реализовать похожую политику безопасности. Например, задача по перемещению СОВ из системы, в которой поддерживается только одноуровневый список доступа, в систему с многоуровневой довольно сложна, и для ее решения потребуются значительные доработки. Основной причиной этого является то, что многие СОВ наблюдают за определенными устройствами, программами конкретной ОС. Также следует заметить, что каждая ОС разрабатывается для выполнения конкретных задач. Следовательно, переориентировать СОВ на другие ОС достаточно сложно, за исключение тех случаев, когда ОС разработаны в каком-то общем стиле.

Возможности обновления. Очень сложно обновить существующие системы новыми технологиями обнаружения. Новая подсистема должна взаимодействовать со всей системой, и порой невозможно обеспечить универсальную возможность взаимодействия.

Для установки СОВ очень часто требуются дополнительные навыки, существенно отличающиеся от навыков в области безопасности. Например, для обновления множества правил в системах обнаружения злоупотреблений требуются специализированные знания экспертной системы. Подобное можно сказать и про статические измерения системы обнаружения аномалий.

Производительность и вспомогательные тесты – трудно оценить производительности СОВ в реальных условиях. Более того, отсутствует общий набор правил для тестирования СОВ, на основании которых можно было сказать о целесообразности использования данной системы в конкретных условиях и получить какие-то количественные показатели.

Отсутствие хороших способов тестирования.

Недостатки методов обнаружения:

недопустимо высокий уровень ложных срабатываний и пропусков атак;

слабые возможности по обнаружению новых атак;

большинство вторжений невозможно определить на начальных этапах;

трудно, иногда невозможно, определить атакующего, цели атаки;

отсутствие оценок точности и адекватности результатов работы;

невозможно определять «старые» атаки, использующие новые стратегии;

сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях;

слабые возможности по автоматическому обнаружению сложных координированных атак;

значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;

Направления совершенствования СОВ

Дальнейшие направления совершенствования связаны с внедрением в теорию и практику СОВ общей теории систем, методов теории синтеза и анализа информационных систем и конкретного аппарата теории распознавания образов, так как эти разделы теории дают конкретные методы исследования для области систем СОВ.
До настоящего времени не описана СОВ как подсистема информационной системы в терминах общей теории систем. Необходимо обосновать показатель качества СОВ, элементный состав СОВ, ее структуру и взаимосвязи с информационной системой.
В связи с наличием значительного количества факторов различной природы, функционирование информационной системы и СОВ имеет вероятностный характер. Поэтому актуальным является обоснование вида вероятностных законов конкретных параметров функционирования. Особо следует выделить задачу обоснования функции потерь информационной системы, задаваемую в соответствии с ее целевой функцией и на области параметров функционирования системы. При этом целевая функция должна быть определена не только на экспертном уровне, но и в соответствии с совокупностью параметров функционирования всей информационной системы и задачами, возложенными на нее. Тогда показатель качества СОВ будет определяться как один из параметров, влияющих на целевую функцию, а его допустимые значения – допустимыми значениями функции потерь.
После обоснования законов и функций реальной задачей является получение формализованными методами оптимальной структуры СОВ в виде совокупности математических операций. Таким образом, может быть решена задача синтеза структуры СОВ. На основе полученных математических операций можно будет рассчитать зависимости показателей качества функционирования СОВ от параметров ее функционирования, а также от параметров функционирования информационной системы , то есть будет возможен реальный анализ качества функционирования СОВ.
Сложность применения к СОВ формализованного аппарата анализа и синтеза информационных систем заключается в том, что конкретные информационный комплекс и его подсистема – СОВ состоят из разнородных элементов, которые могут описываться различными разделами теории (системами массового обслуживания, конечными автоматами, теорией вероятностей, теорией распознавания образов и т.д), то есть, рассматриваемый объект исследования является агрегативным. Поэтому математические модели по-видимому можно получить только для отдельных составных частей СОВ, что затрудняет анализ и синтез СОВ в целом, но дальнейшая конкретизация применения формализованного аппарата анализа и синтеза позволит оптимизировать СОВ.
На основе изложенного можно сделать вывод о том, что в практической деятельности накоплен значительный опыт решения проблем обнаружения вторжений. Применяемые СОВ в значительной степени основаны на эмпирических схемах процесса обнаружения вторжений, дальнейшее совершенствование СОВ связано с конкретизацией методов синтеза и анализа сложных систем, теории распознавания образов в применении к СОВ.

Аннотация

Рассматривается структура современных систем обнаружения вторжений (СОВ). Характеризуются основные направления распознавания нарушений безопасности защищаемых систем в современных СОВ. Выполнен анализ используемых методов и моделей структуры СОВ в соответствии с выделенными основными группами. Приведены основные недостатки существующих СОВ и обоснованы направления их совершенствования.

Системы и методы обнаружения вторжений: современное состояние и направления совершенствования

УДК 004.056.53
А.А. Корниенко, ПГУПС, И.М. Слюсаренко «InfoSoftCom»

Безопасность и Internet - статьи

1. Структура современных систем обнаружения вторжения
2. Характеристика направлений и групп методов обнаружения вторжений
3. Анализ методов обнаружения аномалий
3.1. Выбор оптимальной совокупности признаков оценки защищаемой системы
3.2 Получение единой оценки состояния защищаемой системы
3.3 Описательная статистика
3.4 Нейронные сети
3.5 Генерация патернов
4. Анализ методов обнаружения злоупотреблений
4.1 Использование условной вероятности
4.2 Продукционные/Экспертные системы
4.3 Анализ изменения состояний
4.4 Наблюдение за нажатием клавиш
4.5 Методы, основанные на моделировании поведения злоумышленника
5. Недостатки существующих систем обнаружения
6. Направления совершенствования СОВ
Список литературы

Список литературы

Городецкий В.И., Котенко И.В., Карсаев О. В., Хабаров А.В. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах. ISINAS – 2000. Труды. – СПб., 2000.

J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000,

D. Denning, An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232,

R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. // Technical report, Department of computer since, University of New Mexico, August 1990.

D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). // Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994.

С.А. Терехов. Байесовы сети // Научная сессия МИФИ – 2003, V Всеросийская научно - техническая конференция «нейроинформатика-2003»: лекции по нейроинформатике. Часть 1.-М.:МИФИ, 2003.-188с

H. Debar, M. Becker,D. Siboni. A neural network component for intrusion detection systems // In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 – 250, Oakland, CA, USA, May 1992.

K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. // Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988.

P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997.

K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995.

K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX // Proceeding of the IEEE Symposium on Research in Security and Privacy.

T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 – 304.

T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection // Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991.

J.P. Anderson, Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980.

Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection // Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994.

Vern Paxon. Bro: A system for detection network intruders in real time // Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.

Поиск уязвимостей в современных системах IDS

Евгений Жульков

07.08.2003
Открытые системы, #07-08/2003
Еще совсем недавно считалось, что сетевые системы обнаружения атак, построенные по классической архитектуре, позволяют остановить множество сетевых атак. Но оказалось, что они могут быть легко скомпрометированы и имеется вероятность сокрытия факта проведения некоторых типов атак — особенно, если злоумышленнику известны определенные нюансы работы атакуемой системы.
Поиск уязвимостей в современных системах IDS

Сетевые системы обнаружения атак (IDS — Intrusion Detection System), построенные по классической архитектуре, могут быть легко скомпрометированы, хотя ранее считалось, что их использование позволяет остановить многие сетевые атаки [1].
Среди множества сетевых атак можно выделить класс сигнатурных атак, в процессе которых передается неизменяемый блок данных заданного уровня сетевого взаимодействия. Большинство современных инструментов IDS используют сигнатурный метод поиска вторжений; он прост в использовании и при корректной реализации механизмов поиска сигнатур позволяет достичь высоких результатов обнаружения. Следует подчеркнуть: методы сокрытия атак, предложенные Томасом Птачеком и Тимоти Ньюшемом [1], позволяют скрыть от IDS факт проведения только сигнатурных атак.
Успешное использование методов сокрытия основано на предположении о том, что стеки протоколов, реализованные в IDS и в атакуемой (целевой) системе, различаются. Подобные различия могут быть вызваны несколькими причинами:

отсутствует единый стандарт для сетевых протоколов; существующие стандарты не описывают все возможные состояния сетевого взаимодействия, и разработчики вольны выбирать те решения поставленной задачи, которые покажутся им оправданными;

как и любые программные продукты, IDS содержит ошибки, внесенные на стадии разработки или реализации;

возможно неправильное конфигурирование IDS во время установки или администрирования;

IDS и атакуемые системы решают различные задачи.

Передаваемая по сети информация может быть по-разному обработана IDS и целевой системой, а из-за различий в стеках протоколов появляется возможность создать последовательность пакетов, которая будет принята IDS, но отвергнута целевой системой. В таком случае IDS не знает, что целевая система не приняла пакет, и атакующий может воспользоваться этим для сокрытия факта проведения атаки, посылая специально созданные пакеты. Создавая ситуацию, когда целевая система отбрасывает пакеты, а система обнаружения атак их принимает, нарушитель как бы «вставляет» данные в анализатор событий IDS (рис. 1).

Рис. 1. Метод вставки

В общем случае можно сказать, что метод вставки применим, когда стек протоколов в IDS реализован менее строго, чем в целевой системе. Естественное решение данной проблемы — создать стек протоколов настолько строгим, насколько возможно. Однако в этом случае появляется возможность использовать другой метод сокрытия — метод уклонения, при котором целевая система примет, а сетевая система обнаружения вторжений отбросит пакеты (рис. 2).

Рис. 2. Метод уклонения

Поиск уязвимостей

Поиск уязвимостей IDS был проведен посредством посылки запросов целевой системе с работающей IDS. Запрос формировался с учетом обнаруженных ранее различий. Успешное сокрытие атаки позволяло говорить о том, что найдена уязвимость. Описание некоторых методов сокрытия сигнатурных атак, использующих найденные уязвимости в зависимости от операционной системы целевой системы, типа атаки и используемой системы обнаружения, представлены в таблицах 1-5. Методы, которые можно использовать для сокрытия атак через Internet, отнесены к классу межсегментных. Если же метод подходит только для атак внутри одной сети, он отнесен к внутрисегментному классу.
Как выяснилось, существуют уязвимости IDS, которые можно использовать для проведения скрытой сигнатурной атаки, даже если нарушитель не знает, какая ОС установлена на целевой системе. Скажем, можно использовать тот факт, что Dragon 5.0 не воспринимает данные в TCP-сегменте с установленным флагом FIN или не в состоянии обработать некоторый фрагментированный трафик. Практически все исследованные IDS имеют такие уязвимости.
Если для проведения атак используются различия в работе IDS и операционной системы, то в зависимости от того, какую операционную систему защищает IDS, могут появляться новые уязвимости. Например, мы рассмотрели только связку RealSecure 6.0/Windows 2000. А что, если RealSecure 6.0 защищает Web-сервер на платформе Linux Red Hat? Понятно, что некоторые ранее найденные уязвимости будут неактуальны. Однако, используя особенности реализации стека Linux Red Hat, полученного на первом этапе тестирования, можно обнаружить новые уязвимости.
Используя результаты, полученные после поиска различий, нарушитель может разработать методы сокрытия для любых комбинаций IDS и ОС. Для этого ему необходимо выяснить, какая IDS защищает конкретный сегмент сети. Это основная проблема — особенно, если нарушитель находится вне сегмента. Если же нарушитель находится в том же сегменте сети, то появляется возможность определить тип IDS по служебной информации, которой IDS обменивается со своими агентами и сенсорами (если имеется распределенная архитектура IDS). После этого, используя генератор пакетов и проведя несколько тестирующих легальных запросов на целевую систему, нарушитель определяет особенности ее работы. Скажем, он может проанализировать, как обрабатывается фрагментированный трафик. Далее, используя базу данных с особенностями работы конкретной IDS и результатами тестирования, нарушитель сможет найти различия и сгенерировать такую последовательность пакетов, которая позволит незаметно провести сигнатурную атаку.

Проведение тестирования

Тестирование реализации стеков операционной системы и IDS проводилось на макете, состоящем из двух компьютеров, объединенных сетью Ethernet. Хост, с которого проводилось тестирование, назывался «атакующей системой», а тестируемый хост — «целевой системой» (рис. 3). На хосте имелся файл с названием PHF. Доступ к данному файлу моделировал доступ к уязвимому сценарию phf (www.infosecurity.com/archive/1). В случае HTTP-запроса с атакующей системы к этому файлу Web-сервер передавал его содержимое атакующему, что говорило об успехе атаки. Совсем необязательно выполнять сам сценарий на Web-сервере: если Web-сервер выдал содержимое файла, можно считать, что атака состоялась. Атакующий мог видеть результат атаки на экране с помощью запущенного сетевого анализатора Snort. В случае успеха Snort перехватывал содержимое файла PHF. Обращение к файлу PHF выбрано не случайно. Во-первых, в [1] рассматривали также обращение к PHF. Во-вторых, данная уязвимость была обнаружена в 1996 году и все рассмотренные IDS имели правила для поиска такой сигнатуры.


Рис. 3. Тестовый макет

Создание тестирующей последовательности пакетов проводилось при помощи специально разработанной программы NetStuff, которая является расширенным генератором пакетов, позволяющим выполнять следующие действия.

Установка связи. Программу можно использовать для установления TCP-соединения с удаленным сервером. В качестве параметров трехэтапного квитирования пользователь может выбрать IP-адреса отправителя и получателя, номера портов отправителя и получателя, а также задать начальный номер ISN.

Разрыв связи. Для разрыва ранее установленного соединения предусмотрена специальная функция. Пользователю предоставляется возможность определить IP-адреса и номера портов отправителя и получателя, а также текущий номер последовательности.

Посылка пакетов. Основная функция программы - посылка данных в пакетах TCP/IP. Программа имеет возможность посылки данных как в одном пакете, так и в нескольких TCP- или IP-фрагментах. При посылке пакетов имеется возможность настроить все известные поля протоколов канального, сетевого и транспортного уровней. Автоматически высчитывается контрольная сумма TCP-сегментов и IP-пакетов.

Для посылки данных в виде фрагментов можно выбрать протокол, в рамках которого проводится фрагментация и количество фрагментов. При необходимости можно сделать так, что сигнатура атаки будет разбита и передана в нескольких фрагментах. Разбив данные на фрагменты, можно настроить каждый фрагмент, изменяя при этом поля заголовков. Также можно модифицировать полезные данные, которые несут фрагменты.

Особое внимание уделялось выбору систем для тестирования: необходимо было рассмотреть как коммерческие, так и свободно распространяемые средства IDS.

В качестве исследуемых систем IDS были выбраны Snort 1.8.4. beta for Linux [4], Snort 1.8. for Win32 [4], eTrust Intrusion Detection 1.0 от Computer Associates [5], Dragon 5.0 от Enterasys Networks [6], RealSecure 6.0 от Internet Security Systems. Первые две системы распространяются свободно, для работы остальных понадобился демо-ключ, не ограничивающий функциональные возможности. Операционные системы, защищенные IDS: Windows 98 SE v4.10.2222; Windows 2000 SP2 v5.00.2195; Windows NT 4.0 SP3; Linux Red Hat 7.2 на ядре 2.4.7-10.

Поиск уязвимостей проходил по следующему сценарию.

Исследовалась реализация стека протоколов сетевого взаимодействия целевой системы. Для этого использовался генератор пакетов NetStuff и ранее подготовленные тестирующие последовательности сетевых пакетов. Инициировался запрос к файлу PHF, хранящемуся на Web-сервере целевой системы. В случае, если Web-сервер обработал запрос и выдавал содержимое файла, можно говорить о том, что конкретная реализация стека целевой системы восприняла текущую тестирующую последовательность, в противном случае, - что стек целевой системы не смог обработать запрос.

Аналогично проводилось тестирование IDS. Если IDS смогла обнаружить сигнатуру атаки "phf" и выдала сообщение об атаке, то можно говорить о том, что IDS восприняла тестирующую последовательность.

После изучения особенностей реализации стеков рассматривались полученные результаты и искались различия в работе стеков систем. Так, если конкретная целевая система оставляет новые данные при обработке перекрывающихся IP-фрагментов, а IDS оставляет старые, можно говорить о том, что найдено различие.

Последний этап поиска - попытка проведения скрытой атаки методом вставки или сокрытия. Для этого использовались результаты, полученные в предыдущем пункте. В том случае, если удавалось незаметно для IDS получить содержимое файла PHF, можно говорить о том, что найдена новая уязвимость.

Результаты

Действительно существуют различия в реализации стеков протоколов целевых систем и IDS. Эти различия, прежде всего, основаны на неполном описании межсетевого взаимодействия и ошибках проектирования. Большинство таких различий основывается на разном порядке обработки фрагментированного трафика. Также встречались явные недоработки в IDS, например, IDS Snort и Dragon принимают IP-пакеты с неправильной контрольной суммой, а IDS RealSecure 6.0 и eTrust 1.0 — с неправильной версией протокола IP.
Очень много различий основано на некорректной реализации стеков. Это приводит к тому, что одни и те же ситуации обрабатываются по-разному различными системами. В качестве примера можно привести недостатки в работе IDS Dragon при анализе трафика, направленного ОС Linux RedHat.

Прием пакетов, направленных на неправильный Ethernet-адрес.

Прием пакетов с неправильной контрольной суммой IP.

Прием TCP-сегментов со смещением данных меньше 20 октетов или равным 0.

Отсутствие обработки данных, если они пришли в TCP-сегменте, с установленным флагом FIN.

Прием данных полностью, если они пришли в пакете с неправильным номером очереди. (Согласно спецификации протокола TCP, место полезной информации, передаваемой конкретным TCP-сегментом, строго определяется его номером очереди; в случае неправильного номера, целевая система "отрезала" лишние данные.)

Прием IP-фрагментов, направленных на неверный Ethernet-адрес.

Прием IP-фрагментов с неправильной контрольной суммой IP.

IDS не обрабатывает поток TCP-фрагментов, в случае посылки в потоке повторяющихся фрагментов. После проведения таких действий, IDS выходит из строя и уже не в состоянии обработать любые TCP-фрагменты.

IDS не обрабатывает поток TCP-фрагментов, пришедших в обратном порядке.

IDS оставляет новые данные при посылке частично перекрывающихся TCP-фрагментов, тогда как операционная система оставляет старые.

Также интересны результаты работы IDS RealSecure 6.0, анализирующей трафик для Windows 2000.

RealSecure 6.0 принимает пакеты, направленные на неправильный Ethernet-адрес.

IDS принимает пакеты с неправильной версией IP-протокола.

IDS принимает данные полностью в случае посылки их в TCP-сегменте с неправильным номером очереди, тогда как операционная система "отрезает" лишние данные.

IDS принимает IP-фрагменты, направленные на неправильный Ethernet-адрес.

IDS принимает IP-фрагменты с неправильной версией IP-протокола.

IDS принимает TCP-фрагменты, направленные на неверный Ethernet-адрес.

IDS принимает TCP-фрагменты с неправильной версией IP-протокола.

IDS не в состоянии обработать поток TCP-фрагментов в случае посылки их в произвольном порядке.

Много различий в обработке было связано с решением о том, какие данные оставить. Это достаточно интересный факт, так как при разработке IDS, необходимо по максимуму приблизить реализацию стека к стеку той операционной системы, на которой будет работать IDS. Если использование различий в обработке заголовков для проведения атаки не всегда очевидно для разработчиков, то различия в обработке фрагментов должны быть учтены в первую очередь. В противном случае проведение скрытой атаки существенно упрощается.

Это же относится и к обработке потока TCP-фрагментов, например Dragon 5.0 и RealSecure 6.0 были не в состоянии обработать некоторые случаи: Dragon 5.0 просто выходил из строя после получения повторяющихся TCP-фрагментов и не обрабатывал поток TCP-фрагментов, пришедших в обратном порядке; RealSecure 6.0 не смог обработать TCP-фрагменты, пришедшие в произвольном порядке. Получается, что для нарушения работы IDS можно просто послать сигнатуру атаки в различной последовательности TCP-фрагментов. Dragon 5.0 не рассматривал TCP-сегменты с установленным флагом FIN, даже если они несли полезную информацию.

Особо следует отметить тот факт, что IDS Snort (как для Win32, так и для Linux), не смогла обработать HTTP-запрос, начинающийся с двух символов возврата строки. Целевая система смогла это сделать после правильного подбора номеров очереди (она просто «отрезала» эти символы в начале запроса), что делает Snort также уязвимым к проведению сокрытой атаки методом уклонения. Помимо этого, Snort еще имел восемь несоответствий при работе с Linux и Windows 2000, три из которых связаны с обработкой некорректных заголовков и пять — с различными комбинациями IP- и TCP-фрагментов.

Итак, тестирование выявило следующее количество различий в работе стеков.

Snort 1.8.4 for Linux с RedHat Linux 7.2 - 10 различий: 4 основаны на разной обработке некорректных заголовков, 1 - на обработке неправильного HTTP-запроса и 5 - на обработке фрагментированного трафика.

Snort 1.8 for Win32 с Windows 2000: те же различия плюс еще одно при обработке фрагментированного трафика.

Dragon 5.0 с Linux Red Hat 7.2 - 10 различий: 5 связаны с фрагментами, 1 - с установленным флагом FIN и 4 - с обработкой некорректных заголовков.

eTrust ID 1.0 с Windows 2000 - 8 различий: 5 - фрагментированный трафик, 3 - некорректные заголовки.

Real Secure 6.0 с Windows 2000 - 8 различий: 5 - фрагментированный трафик, 3 - некорректные заголовки пакетов.

Как показали дальнейшие исследования, все обнаруженные различия можно использовать при проведении сокрытых сигнатурных атак при помощи методов вставки и уклонения.

В качестве исследуемых IDS выбирались

В качестве исследуемых IDS выбирались наиболее популярные системы. Факт наличия в них уязвимостей позволяет говорить о том, что и в остальных доступных инструментах ситуация будет не лучше.
С точки зрения возможности применения методов вставки и уклонения, самыми уязвимыми оказались Dragon 5.0 и eTrust 1.0. Поэтому, если нарушитель знает, что сегмент сети защищен системой обнаружения вторжений Dragon 5.0, то он имеет возможность провести сигнатурную атаку, скрыв ее, например, при помощи модификации потока TCP-фрагментов.
eTrust 1.0 оказалась лучше Dragon 5.0 с точки зрения уязвимостей, позволяющих скрыть атаку, но и здесь имеется семь различных способов скрыть факт проведения сигнатурной атаки (таблица 4). В том случае, если нарушитель не знает, как работает целевая система, он может провести межсегментную атаку, скрыв ее при помощи посылки частично перекрывающихся IP-фрагментов.
Среди коммерческих систем RealSecure 6.0 оказалась наиболее стойкой к методу сокрытия, однако у нарушителя все же имеется пять различных способов скрыть атаку, один из которых позволяет провести межсегментную атаку (таблица 5).
Несмотря на то, что система Snort является бесплатной, она показала достойные результаты. Нет недоработок, связанных, например, с обработкой фрагментированного трафика.
Осталось непонятным, зачем разработчики изменили порядок обработки одинаковых TCP-фрагментов при переходе на платформу Win32. Операционные системы этого класса обрабатывают перекрывающиеся пакеты не так, как Linux, однако, в новой версии Snort, работающей и на платформе Win32, и для Linux имеется уязвимость, связанная с обработкой таких фрагментов.
Надеюсь, разработчики IDS впредь будут уделять больше внимания не только удобству работы с системой, но попытаются по максимуму приблизить логику работы IDS к защищаемым операционным системам.
Литература

Ptacek T., Newsham T. Insertion, evasion, and denial of service: eluding network intrusion detection. Secure Networks, 1998.

RFC 791 - IP.

RFC 793 - TCP.

Snort. The Open Source Network Intrusion Detection System. http://www.snort.org.

eTrust Intrusion Detection, http://www3.ca.com/Solutions/Overview.asp?ID=163.

Dragon IDS. Intrusion Detection Solutions, http://www.enterasys.com/ids/dragonids.html.

Евгений Жульков (ezhulkov@openwaygroup.com) — магистр кафедры «Информационная безопасность компьютерных систем» Санкт-Петербургского государственного политехнического университета.

Безопасность и Internet - статьи

Координированный контроль доступа в нескольких точках

Распределенная архитектура системы безопасности FireWall-1/VPN-1 и ее централизованное управление как нельзя лучше подходят для организации контроля доступа и образования защищенных каналов VPN в нескольких точках корпоративной сети.
В точках контроля доступа в центральной сети предприятия, а также в удаленных сетях его филиалов могут быть установлены модули шлюзов FireWall-1/VPN-1, защищающие все узлы, находящиеся в подсетях предприятия. Шлюзы могут быть установлены в виде программных модулей на стандартные платформы (Windows NT, Solaris, HP-UX, IBM AIX, Linux и Windows 2000), либо в виде специализированного аппаратно-программного комплекса.
Для защиты удаленных компьютеров предназначены продукты VPN-1 SecureClient, которые наряду с возможностью установления защищенного канала с соответствующим шлюзом выполняют такой же полнофункциональный контроль доступа, как и экраны FireWall-1. Эта возможность особенно полезна при постоянных соединениях удаленных пользователей с Internet (например, с помощью xDSL или кабельных модемов), когда клиентский компьютер в течение длительного времени может подвергаться атакам злоумышленников. С помощью продукта VPN-1 SecureServer можно аналогичным образом защитить отдельный сервер приложений, работающий в сети предприятия, что может быть полезно для увеличения гибкости политики доступа, либо для дополнительной защиты ответственного сервера.
Количество точек, в которых контролируется прохождение трафика, можно также увеличить, установив на маршрутизаторы и коммутаторы сети Inspection Module, который выполняет базовые функции контроля доступа технологии Stateful Inspection. Сегодня список моделей, для которых выпускается Inspection Module, включает маршрутизаторы Nortel Networks, а также коммутаторы Xylan и Nortel Contivity, и в дальнейшем он будет пополняться.
Все модули FireWall-1/VPN-1 предприятия, установленные в центральной сети, в сетях филиалов и на отдельных компьютерах удаленных пользователей, управляются централизованно и координировано. Сервер политики Management Server хранит общий для предприятия набор правил доступа и защиты, который загружается для исполнения во все модули FireWall-1/VPN-1, в какой области корпоративной сети они бы не находились. Правила политики могут создаваться и редактироваться удаленно несколькими администраторами безопасности с разграничением между ними полномочий.
Все модули FireWall-1/VPN-1 предприятия могут при необходимости синхронизировать свою работу, что позволяет корректно поддерживать сессии при динамических изменениях маршрутов.
Таки образом, система безопасности, построенная на продуктах FireWall-1/VPN-1, обеспечивает координированную и синхронную работу всего набора межсетевых экранов, шлюзов VPN, а также индивидуальных экранов и VPN-клиентов, необходимых для надежной и гибкой защиты информационных ресурсов предприятия.

Межсетевые экраны традиционно являются основным средством контроля внешнего доступа к ресурсам корпоративной сети, ограничивая проникновение трафика во внутренние подсети предприятия и тем самым существенно снижая потенциальные угрозы для ресурсов корпоративной сети. Долгое время функции межсетевых экранов ориентировались на достаточно простую схему доступа:

Доступ контролировался в одной точке, которая располагалась на пути соединения внутренней сети с Internet или другой публичной сетью, являющейся источником потенциальных угроз.

Все субъекты доступа делились на группы по IP-адресам, причем чаще всего - на две группы - внутренние пользователи и внешние пользователи. Таким образом субъектами доступа были подсети и классификацию трафика выполнять было достаточно просто - по IP-адресам, явно указанным в пакете.

Внешним пользователям разрешалось для доступа к внутренним ресурсам сети использовать один-два популярных сервиса Internet, например электронную почту, основанную на протоколе SMTP, а трафик остальных сервисов отсекался

Сегодня в связи с широким использованием разнотипных соединений внутренней сети предприятия с Internet и через Internet, а также повышенными требованиями к защите ресурсов от внутренних угроз схема контроля доступа существенно усложняется.
У предприятия появляется, как правило, несколько точек контроля доступа. Во-первых, это точки, в которых контролируется доступ к нескольким внешним сетям, например, к публичной части Internet и IP-сети провайдера. Предприятие может также иметь несколько связей с Internet через разных провайдеров для надежности или по другим соображениям. Кроме того, вовлечение в автоматизированную обработку информации практически всех подразделений предприятия и повышение требований к защите обрабатываемой и передаваемой информации приводит к необходимости использования межсетевых экранов и между внутренними подсетями, что приводит к появлению дополнительных точек контроля доступа.
Применение нескольких межсетевых экранов в пределах одной внутренней сети требует изменений их функциональных возможностей. Прежде всего это касается возможности координированной работы всех экранов на основе общей политки доступа. Координация нужна для того, чтобы корректно обрабатывать пакеты пользователей независимо от того, через какую точку доступа проходит их маршрут. Изменение маршрутов пакетов может происходить как на долговременной, так и на кратковременной основах. Долговременные изменения (на часы или сутки) происходят обычно из-за перемещения пользователя между разными географическими пунктами (сегодня пользователь работает в основном здании, завтра - дома, а через неделю - в филиале в другом городе) и для их учета достаточно загрузить во все межсетевые экраны единый набор правил контроля доступа. Кратковременные изменения маршрута пакетов - на секунды или даже миллисекунды - вызываются динамической природой IP-маршрутизации (ожидаемый переход на маршрутизацию с учетом маршрутизаторов - QoS-based routing -, только усилит эту динамику). Кратковременные изменения маршрутов требуют от экрана не только координированного задания правил доступа, но и синхронизации состояний отслеживаемых сессий во всех экранах для того, чтобы любой пакет корректно соотносился с определенной сессией.
Для обеспечения масштабируемости координация правил доступа требует централизованной системы задания и распространения правил.

Структура современных систем обнаружения вторжения

Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы.

Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему.

датчики приложений – данные о работе программного обеспечения защищаемой системы;

датчики хоста – функционирование рабочей станции защищаемой системы;

датчики сети – сбор данных для оценки сетевого трафика;

межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.

Защищенное и эффективное управление инфраструктурой IP-адресов предприятия

Функции управления инфраструктурой IP-адресов реализуются в нескольких продуктах компании Check Point.
Межсетевые экраны FireWall-1 поддерживают трансляцию адресов по распространенным в Internet алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Internet. Сервис NAT модулей FireWall-1 поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с правилами, определяемыми с помощью нрафического редактора правил политики FireWall-1. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта или другим способом, принятым при определении объектов FireWall-1). При динамической трансляции адресов внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Internet. Функции NAT позволяют скрыть значения внутренних адресов сети и/или использовать в качестве внутренних частные адреса, к которым маршрутизация из Internet не поддерживается, что во мнгоих случаях надежно защищает корпоративную сеть от внешних атак.
Продукты VPN-1 позволяют скрыть внутренние адреса сети за счет инкапсуляции оригинальных пакетов от внутренних узлов сети в новый пакет, адрес источника которого соответствует адресу внешнего интерфейса шлюза VPN-1 Gateway. Так как адреса внутренних узлов надежно защищены при передаче через Internet за счет VPN-технологии, которая также гарантирует аутентичность и целостность каждого передаваемого пакета, то такой способ обмена существенно сокращает вероятность атаки на внутренние взлы сети по их IP-адресам.
Meta IP является комплексной системой управления IP-адресами, тесно интегрированной с межсетевыми экранами FireWall-1. Помимо уже описанного сервиса UAM, отображающего имена пользователей на IP-адреса и служащего основой для эффективной работы экранов FireWall-1 на уровне пользователей, система Meta IP выполняет также ряд функций, крайне полезных в крупной корпоративной сети.
Meta IP позволяет создать отказоустойчивую систему управления IP-адресами и DNS-именами, продолжающую эффективно работать при отказах отдельных DHCP и DNS серверов, поддерживающую динамическое обновление записей в зонах DNS при распределении IP-адресов с помощью службы DHCP и управляемую централизованно.

Инфраструктура IP- адресов современного предприятия, ведущего бизнес с помощью Internet, является для системы безопасности одновременно и ресурсом, который нужно защищать, и источником данных, на основе которых система безопасности выполняет свои основные обязанности - управляет доступом к другим ресурсам сети, обнаруживает атаки и т.д.
Защита IP-адресов предприятия состоит в скрытии их от внешних пользователей, так что внешний пользователь не может ни изучить внутренний адрес из перехваченного пакета, ни даже использовать его для непосредственной отправки пакета внутреннему узлу, если он каким-то образом все же получил сведения о внутреннем адресе. Обычно для этой цели в корпоративной сети для внутренних коммуникаций используются частные адреса (специальные диапазоны частных адресов в IPv4 или адреса для локального использования в IPv6), назначаемые самой организацией, а для коммуникаций через Internet - глобальные адреса, уникальность которых обеспечивается такими органами как IANA или другими уполномоченными организациями. Провайдеры Internet не поддерживают маршруты к частным диапазонам адресов, поэтому их использование автоматически исключает возможность атаки на хост с частным адресом извне корпоративной сети, что существенно повышает безопасность сети.
Для обеспечения взаимодействия сети с частными адресами с внешним миром в Internet разработана техника трансляции адресов NAT, поддержка которой является прямой обязанностью системы безопасности. Реализация некоторых режимов NAT (например, организация соединений по инициативе внешних хостов или двойной NAT, решающий проблему пересечения адресного пространства внутренних и внешних адресов) требует помощи службы DNS, поэтому для защиты адресного пространства средства безопасности должны быть тесно интегрированы с этой службой.
Защиту IP-адресов обеспечивают также VPN-шлюзы, скрывающие за счет инкапсуляции истинный адрес отправителя и отправляющие пакет во внешнюю сеть от адреса своего внешнего интерфейса.
Перспективные средства защиты IP-адресов должны учитывать возможность использования адресации по стандарту IPv6, плавный переход на который ожидается в ближайшем будущем.
Интеграция средств безопасности с основными службами сети, управляющими IP-адресацией, нужна и для выполнения первыми основных функций по контролю доступа. Традиционное использование средствами защиты IP-адресов в качестве идентификаторов субъектов доступа сегодня существенно затрудняется динамическим характером назначения адресов, поддерживаемым службой DHCP. Для того, чтобы сопоставить IP-адрес с пользователем, средства защиты должны получать информацию от двух сетевых служб: аутентификации и DHCP.
Наличие службы DHCP влияет и на работу транслятора адресов, который должен при установлении внешних соединений с внутренними хостами корректно заменять DNS-имена на внутренние IP-адреса хостов. Эта проблема может решаться стандартным образом, если служба DNS поддерживает режим Dynamic DNS, в противном случае сервис NAT должен решать ее самостоятельно.
В результате для эффективной работы в новых условиях средства безопасности сети должны уметь координировать свою работу с основными службами управления IP-адресами (DHCP, DNS), а также обеспечивать поддержку новых протоколов, связанных с IP-адресацией (например, IPv6, Mobile IP) в случае необходимости.

Система Meta IP включает:

Реализацию DNS-сервера в среде Windows NT, основанную на последней версии BIND 8.1.2 и дополненную инетрфейсом со службой WINS Microsoft. Эта реализация поддерживает наиболее полную на настоящее время версию стандарта Dynamic DNS для среды Windows NT.

Коммерческую реализацию версии DHCP-сервера организации Internet Software Consortium для среды Windows NT, дополненную сервисом регистрационных сообщений для службы Dynamic DNS, а также возможностью автоматического восстановления работоспособности при отказе DHCP-сервера. В Meta IP преодолены недостатки стандарта DHCP, не предусматривающего никаких мер при отказах DHCP-серверов. Вместо традиционного и неэффективного решения этой проблемы за счет расщепления пула отдаваемых в аренду IP-адресов, в системе Meta IP серверы DHCP делятся на первичные и резервные. Резервный DHCP-сервер постоянно отслеживает процесс раздачи IP-адресов первичным DHCP-сервером, а в случае отказа первичного сервера берет на себя его функции, не нарушая логики работы службы DHCP.

Сервис UAM, тесно интегрированный с FireWall-1, и агентов UAT, работающих в службах аутентификации операционных систем.

Централизованную систему управления, обеспечивающую защищенное конфигурирование и управление любым из сервисов DNS, DHCP или UAM в корпоративной сети. Система управления использует в каждой территориально обособленной части корпоративной сети отдельной сервис управления (Manager Service), который собирает в LDAP-совместимой базе всю необходимую информацию об управляемых в данной части сети серверах DNS, DHCP и UAM, а также о администраторах системы Meta IP и их правах доступа к управляемым серверам. Сервис управления обеспечивает репликацию данных между всеми LDAP-базами корпоративной сети, так что управление ведется на основе общей согласованной информации, а отказ отдельного LDAP-сервера не ведет к потере данных. Meta IP включает реализацию LDAP-совместимой базы, но может работать и с любой стандартной службой каталогов, поддерживающей протокол LDAP - например, Microsoft Active Directory, Novell NDS, Netscape Directory Server.

Все коммуникации между сервисом управления и управляемыми службами выполняются с помощью защищенных каналов. Администраторы управляют системой Meta IP с помощью графической консоли, которая имеет две реализации - для среды Win32 и виде Java-апплета, способного работать в любой системе с помощью поддерживающего Java браузера. С помощью Meta IP можно управлять также стандартными DNS-серверами.
Отказоустойчивость, интеграция служб DNS и DHCP в среде Windows NT, а также централизованное и согласованное управление многочисленными серверами DNS и DHCP, работающими на любой платформе, делают систему Meta IP необходимым компонентом сетевой инфраструктуры корпоративного уровня.

Централизованное управление средствами безопасности

Продукты компании CheckPoint в полной мере удовлетворяют требованиям централизованного управления в масштабах предприятия.
Системы контроля доступа FireWall-1, защиты данных VPN-1 и управления трафиком FloodGate-1 конфигурируются и управляются с помощью общей системы управления политикой компании Check Point. Эта система позволяет администратору с помощью графического редактора Policy Editor создавать и редактировать правила контроля доступа, VPN-защиты и управления трафиком в едином стиле и с использованием, если нужно, общих объектов. Правила всех типов хранятся в сервере Management Server, откуда централизованно распространяются по всем модулям FireWall-1, VPN-1 и FloodGate-1 предприятия. Графический редактор построен в архитектуре клиент-сервер, что позволяет администратору (или администраторам) создавать и редактировать правила из любой удобной точки сети. Данная архитектура обеспечивает согласованное управление основными компонентами системы безопасности сети на основе продуктов компании Check Point, хорошо масштабируется и может применяться в отказоустойчивом варианте при резервировании центрального сервера Management Server.
Администратор системы безопасности FireWall-1/VPN-1/FloodGate-1 может использовать графический пользовательский интерфейс модуля Account Management, входящего в состав FireWall-1, для использования в правилах политики имена пользователей и групп пользователей, учетные данные которых хранятся во внешней LDAP-совместимой службе каталогов. Это свойство позволяет использовать в системе безопасности Check Point все преимущества централизованного управления пользовательскими данными на основе стандартных служб каталогов, во многих сетевых операционных системах (например, NDS для NetWare и Windows NT, Active Directory для Windows 2000 и т.д.).
Такие продукты компании CheckPoint как RealSecure и Meta IP имеют собственные системы управления, которые построены в архитектуре клиент-сервер и обеспечивают централизованное управление своими модулями в масштабах предприятия.

Наличие у современного предприятия многочисленных средств защиты (межсетевых экранов, VPN-шлюзов, VPN-клиентов, систем аутентификации, контроля доступа по содержанию и т.п.), распределенных к тому же по территории, требует централизованного управления.
Централизованное управление средствами безопасности подразумевает наличие некоторой единой (возможно, распределенной) базы правил, описывающих согласованную политику безопасности предприятия. Эта политика определяет поведение многочисленных средств защиты предприятия - межсетевых экранов, VPN-шлюзов, VPN-клиентов, трансляторов адресов и т.п. Согласованное задание администратором правил политики безопасности для различных устройств защиты с помощью общей консоли управления обеспечивает их непротиворечивость и эффективность, а также сокращает затраты труда и, соответственно, стоимость управления. Каждое устройство защиты, работающее в сети, должно поддерживать взаимодействие с централизованной системой управления и получать от нее защищенным образом правила безопасности, относящиеся к данному устройству. Управление на основе политики является эффективным инструментом не только в области безопасности, но в других областях, например, при управлении качеством транспортного обслуживания. Возможность интеграции различных систем управления на основе политики безусловно повышает эффективность управления и является весьма желательным свойством для корпоративных продуктов безопасности и поддержки QoS.
Общая тенденция при построении централизованно управляемых сетей состоит в использовании единой службы каталогов (называемой также справочной службой), хранящей данные, необходимые для управления всеми аспектами сетевой активности и всеми компонентами сети: учетные данные пользователей, права их доступа к сети и отдельным ее ресурсам, данные о распределении программных компонент по компьютерам сети, правила управления качеством обслуживания и т.д. и т.п. Над общей службой каталогов работают различные сетевые сервисы, использующие данные о компонентах сети для выполнения частных задач управления: администрирования пользователей, аутентификации пользователей, управления качеством обслуживания и т.д.
В этом ряду должны находиться и сервисы управления безопасностью, однако пока производители средств безопасности предпочитают использовать для хранения правил политики отдельные базы данных и фирменные протоколы распределения правил по устройствам защиты. Возможно, что дальнейшее развитие и распространение служб каталогов приведет к переносу в них и баз правил политики безопасности. Ситуация усложняется сегодня и тем, что продукты безопасности разных производителей если и имеют систему централизованного управления, то она не совместима с системами управления других производителей.
Наличие централизованных средств управления продуктами безопасности является безусловным требованием для возможности их применения в корпоративном масштабе. Также крайне желательна интеграция систем централизованного управления различными продуктами в единую систему управления, работающую на основе общей политики безопасности.

Использование открытых стандартов для интеграции средств защиты разных производителей

Следование открытым стандартам является принципиальной политикой компании Check Point. Такая политика обеспечивает эффективную интеграцию продуктов разных производителей при создании комплексной системы безопасности корпоративной сети.
Продукты Check Point соответсвуют всем основным стандартам безопасности, используемым в Internet: IPSec, IKE, SSL, RADIUS и стандарту X.509 для цифровых сертификатов. Кроме того, поддержка стандарта LDAP, не относящегося непосредственно к области защиты данных, позволяет продуктам Check Point взаимодействовать со стандартными службами каталогов.
Мощным средством интеграции средств безопасности служат открытые стандарты и инструменты платформы OPSEC, развиваемые компанией Check Point и компаниями, поддерэживающими эту платформу.
В рамках платформы OPSEC можно выделить три направления стандартизации средств безопасности:

Использование языка классификации трафика INSPECT или модулей Inspection Module как стандартных средств контроля доступа в продуктах тертьих фирм. Примерами такого использовани могут служить маршрутизаторы Nortel Networks или коммутаторы Alcatel (Xylan).

Применение открытых протоколов взаимодействия между компонентами безопасности определенного типа. Платформа OPSEC включает следующте протоколы:

CVP (Contenet Vectoring Protocol), используемый для экранирования содержания или анти-вирусной проверки,

UFP (URL Filter Protocol), используемый для контроля доступа к внешним Web-серверам

SAMP (Suspiсious Activity Monitoring Protocol), используемый для обнаружения и блокирования вторжений,

LEA (Log Export API), используемый для извлечения и экспорта данных журнала регистрации FireWall-1,

OMI (Object Management Interface), используемый для взаимодействия клиента с Management Server системы FireWall-1 при задании и модификации правил политики.

Использование при разработке продуктов безопасности инструментальных средств OPSEC SDK, которые предоставляют соответсвующие API к перечисленным выше протоколам и тем самым обеспечивают совместимость разрабатываемых продуктов.

Наличие большого количества продуктов третьих фирм для платформы OPSEC и ее растущая популярность создают хорошие перспективы для развития системы безопасности корпоративной сети на основе продуктов компании Check Point и ее партнеров по инициативе OPSEC.
Более подробную информацию вы можете найти на сайте корпорации Uni: http://www-win.uniinc.msk.ru/chkpf/index.htm

Переход на открытые стандарты составляет одну из основных тенденций развития средств безопасности. Такие стандарты как IPSec и PKI обеспечивают защищенность внешних коммуникаций предприятий и совместимость с соответствующими продуктами предприятий-партнеров или удаленных клиентов. Цифровые сертификаты X.509 также являются на сегодня стандартной основой для аутентификации пользователей и устройств. Перспективные средства защиты безусловно должны поддерживать эти стандарты уже сегодня.
Однако стандартизация распространяется пока далеко не все компоненты комплексной системы безопасности предприятия. Большой проблемой остается совместимость продуктов безопасности, работающих внутри сети и обеспечивающих различные аспекты защиты ресурсов. Например, система обнаружения вторжений должна при распознавании атаки каким-то образом воздействовать на межсетевой экран, чтобы заблокировать действия злоумышленника, а также сделать запись в журнале регистрации, который должен быть общим для всех компонент системы безопасности.
Совместимость различных продуктов безопасности можно обеспечить в том случае, когда их выпускает один производитель, и этот путь часто выбирают разработчики систем безопасности предприятия. Однако проблема надежной защиты корпоративных ресурсов настолько сложна и многопланова, что трудно ожидать от одного производителя выпуска всего спектра продуктов по всем направлениям защиты. Другим решением является интеграция лучших продуктов по каждому направлению от разных производителей на основе некоторых открытых стандартов взаимодействия. Построение системы защиты на основе такого подхода является гораздо более гибким и эффективным подходом.
Более подробную информацию вы можете найти на сайте корпорации Uni: http://www-win.uniinc.msk.ru/chkpf/index.htm

в подсистеме анализа современных СОВ,

Моделирование правил	W&S	Система обнаружения в течение процесса обучения формирует набор правил, описывающих нормальное поведение системы. На стадии поиска несанкционированных действий система применяет полученные правила и в случае недостаточного соответствия сигнализирует об обнаружении аномалии.
Описательная статистика	IDES, NIDES, EMERLAND, JiNao, HayStack	Обучение заключается в сборе простой описательной статистики множества показателей защищаемой системы в специальную структуру. Для обнаружения аномалий вычисляется «расстояние» между двумя векторами показателей – текущими и сохраненными значениями. Состояние в системе считается аномальным, если полученное расстояние достаточно велико.
Нейронные сети	Hyperview	Структура применяемых нейронных сетей различна. Но во всех случаях обучение выполняется данными, представляющими нормальное поведение системы. Полученная обученная нейронная сеть затем используется для оценки аномальности системы. Выход нейронной сети говорит о наличии аномалии.

Моделирование множества состояний	DPEM, JANUS, Bro	Нормальное поведение системы описывается в виде набора фиксированных состояний и переходов между ними. Где состояние есть не что иное как вектор определенных значений параметров измерений системы.
Описательная статистика	MIDAS, NADIR, Haystack, NSM	Аналогичен соответствующему методу в контролируемом обучении.

Моделирование состояний	USTAT, IDIOT	Вторжение представляется как последовательность состояний, где состояние – вектор значения параметров оценки защищаемой системы. Необходимое и достаточное условие наличия вторжения – присутствие этой последовательности. Выделяют два основных способа представления сценария вторжений: 1) в виде простой цепочки событий; 2) с использованием сетей Петри, где узлы – события.
Экспертные системы	NIDES, EMERLAND, MIDAS, DIDS	Экспертные системы представляют процесс вторжения в виде различного набора правил. Очень часто используются продукционные системы.
Моделирование правил	NADIR, HayStack, JiNao, ASAX, Bro	Простой вариант экспертных систем.
Синтаксический анализ	NSM	Системой обнаружения выполняется синтаксический разбор с целью обнаружения определенной комбинации символов, передаваемых между подсистемами и системами защищаемого комплекса.

Управление доступом на уровне пользователей

Наряду с субъектами-сетями межсетевыми экранами FireWall-1 поддерживаются такие субъекты доступа как пользователи и группы пользователей . Для таких субъектов в правилах доступа в качестве действия экрана определяется метод аутентификации, в результате чего трафик данного пользователя проходит через экран только том случае, когда пользователь докажет свою аутентичность.
Наиболее полно возможности управления безопасностью на уровне пользователей проявляются в продуктах FireWall-1/VPN-1 при установке в корпоративной сети такого продукта компании CheckPoint, как MetaIP. Сервис UAM, работающий в системе MetaIP, постоянно следит за процессами аутентификации пользователей и процессами получения компьютерами IP-адресов от DHCP серверов. В результате сервис UAM имеет данные о том, какие пользователи в настоящее время авторизовано работают в сети и какие IP-адреса они используют. При обработке очередного IP-пакета экран FireWall-1 может запросить у сервиса UAM информацию о пользователе, работающем с данным IP-адресом, и применить затем к пакету правило доступа, относящееся к этому пользователю. Таким образом, администратор безопасности может работать с правилами, написанными для пользователей, а не для IP-адресов, и в такой же форме получать отчеты о событиях, происходящих в сети. Это значительно повышает безопасность сети, так как администратор получает достоверные данные о том, какой пользователь выполнял действия с защищаемыми ресурсами сети.
Интеграция средств защиты FireWall-1 с сервисом UAM системы MetaIP позволяет также реализовать такую полезную для пользователя возможность, как единый логический вход в сеть. Пользователь избавляется от необходимости при каждом новом обращении к ресурсу через межсетевой экран повторять процедуру аутентификации - за него это делает экран, обращаясь прозрачным образом к сервису UAM.

В новых условиях требуются изменения

В новых условиях требуются изменения и в отношении субъектов доступа - наряду с подсетями ими все чаще становятся группы пользователей и даже отдельные пользователи. Это связано, во-первых, с тем, что через Internet и другие глобальные сети с корпоративной сетью сегодня связываются различные категории пользователей, и им необходимо предоставить различный доступ к внутренним ресурсам. Во-вторых, ориентация на пользователей является следствием применения межсетевых экранов для контроля трафика между внутренними подсетями, что добавляет к субъектам межсетевого доступа большую армию сотрудников данного предприятия. В результате от межсетевого экрана требуется распознавание большого числа групп пользователей, в которые входят:

Сотрудники подразделений предприятия, работающие во внутренней сети

Удаленные и мобильные сотрудники предприятия

Сотрудники предприятий-партнеров по бизнесу, в том числе удаленные и мобильные

Клиенты предприятия, получающие услуги по Internet

Потенциальные клиенты, просматривающие рекламные материалы предприятия через Internet.

Каждая из этих категорий пользователей отличается правами доступа, причем категории могут включать и подкатегории, а некоторым пользователям (например, руководителям или администраторам) нужен индивидуальный доступ.
Классифицировать эти группы пользователей только на основании их IP-адреса, как это традиционно делали межсетевые экраны, практически невозможно, учитывая применение таких методов управления IP-адресами как DHCP, NAT и туннелирование. Поэтому контроль доступа на уровне пользователей требует поддержки в межсетевых экранах собственных средств работы с учетной информацией пользователей и средств аутентификации. Кроме того, очень желательна тесная интеграция этих средств с применяемыми в сетях системами администрирования и аутентификации пользователей.
Пользователь, прошедший аутентификацию на межсетевом экране, становится объектом правил доступа, разработанных либо для него лично, либо для группы пользователей, куда он входит. Кроме детализации прав доступа, работа на уровне пользователей позволяет повысить эффективность аудита событий, связанных с безопасностью. Такой аудит дает информацию о том, кто, когда и с помощью каких средств (протоколов и приложений) получал доступ к ресурсам предприятия.
Управление безопасностью на уровне пользователей не исключает использования IP-адресов при принятии решений о доступе и отслеживании активности пользователей. Более того, выполнение детального аудита невозможно без информации о том, какому пользователю принадлежит IP-адрес, указанный в пакетах, с помощью которых выполнялся тот или иной доступ к ресурсам. В условиях динамического назначения и изменения адресов эта задача требует от системы безопасности дополнительной работы по установлению соответствия между пользователями и используемыми ими IP-адресами.

Выбор оптимальной совокупности признаков оценки защищаемой системы

Получение единой оценки состояния защищаемой системы

(3)
и
Получение единой оценки состояния защищаемой системы

(4)
Отсюда
Получение единой оценки состояния защищаемой системы

Описательная статистика

Нейронные сети

Рис. 2. Концептуальная схема нейронных сетей СОВ
Недостатки:

топология сети и веса узлов определяются только после огромного числа проб и ошибок;

Преимущества:

успех данного подхода не зависит от природы исходных данных;

нейронные сети легко справляются с зашумленными данными;

Генерация патернов

зависимости между событиями;

последовательность появления событий.

Достоинства метода:

лучшая обработка пользователей с большим колебанием поведения, но с четкой последовательностью паттернов;

накопление наиболее характерной статистической информации для каждого параметра оценки;

обучение нейронных сетей значениями параметров оценки;

событийное представление.

Развитие методов и средств аутентификации

Средства безопасности FireWall-1/VPN-1 поддерживают разнообразные схемы аутентификации пользователей, которые могут активизироваться при задании соответствующих правил доступа. Эти схемы на сегодня включают аутентификацию на основе паролей, хранящихся в FireWall-1, цифровых сертификатов X.509, систем аутентификации ОС, RADIUS, TACACS, SecurID и ряда других. С помощью модуля Account Management, входящего в состав FireWall-1/VPN-1, в правилах доступа можно использовать информацию о пользователях и группах, хранящуюся во внешних базах учетных данных, поддерживающих протокол LDAP (например, NDS или Active Directory), что освобождает администратора безопасности от необходимости дублировать пользовательские данные в системе FireWall-1/VPN-1.
Поддержка цифровых сертификатов и инфраструктуры публичных ключей PKI в продуктах CheckPoint обеспечивает масштабированное решение проблемы аутентификации массовых пользователей. Продукты FireWall-1/VPN-1 работают сегодня с системами PKI компаний Entrust, VeriSign, Netscape, Microsoft, Baltimore Technologies и Data Key, это делает возможным аутентификацию пользователей в гетерогенной среде, когда сертификаты изданы и подписаны различными сертифицирующими организациями. Используя систему VPN-1 Certificate Manager компании CheckPoint, в которую входит сервер сертификатов от Entrust Technologies и LDAP-совместимая служба каталогов от Nescape Communications, предприятие может самостоятельно поддерживать инфраструктуру публичных ключей, администрируя ее с помощью стандартной графической утилиты Account Management.
Компания CheckPoint уделяет большое внимание поддержке схем аутентификации, обеспечивая возможность интеграции своих продуктов практически со всеми распространенными в корпоративных сетях системами этого назначения.

Для работы с пользователями межсетевой экран (а при необходимости и другие средства безопасности, например, шлюз VPN) может выполнять аутентификацию пользователей либо полностью самостоятельно, либо с привлечением внешних систем аутентификации и авторизации, которые имеются в сетевых операционных системах или системах удаленного доступа. Самостоятельное выполнение аутентификации экраном ведет к дублированию базы учетных записей пользователей, что нежелательно по многим причинам. В то же время сегодня в корпоративных сетях широко используются средства аутентификации, основанные на централизованной службе каталогов, такой как NDS компании Novell или Directory Services компании Microsoft (которую должна сменить служба Active Directory для Windows 2000, обладающая существенно более высокой масштабируемостью и совместимостью с основными стандартами Internet ). Такие системы аутентификации обладают многими привлекательными свойствами:

обеспечивается единый логический вход пользователя в сеть (а не на отдельный сервер),

администратор работает с единственной записью учетных данных о каждом пользователе и системном ресурсе,

система отлично масштабируются за счет распределенного характера базы данных каталога,

доступ к данным каталога осуществляется с помощью стандартного для Internet протокола LDAP (службой Directory Services не поддерживается)

данные о пользователях и ресурсах сети хранятся в иерархическом виде, соответствующем структуре организации и сети.

Для повышения эффективности работы с пользователями межсетевой экран должен уметь использовать учетные данные, хранящиеся в службе каталогов сети, при конструирования правил доступа (например, обращаясь к ним по протоколу LDAP), а также выполнять транзитную аутентификацию, выполняя роль посредника между пользователем и используемой в сети системой аутентификации. Такой вариант работы средств безопасности позволяет администратору средств безопасности сосредоточиться на выполнении своих прямых обязанностей и не дублировать работу по администрированию пользователей.
Особым случаем является аутентификация массовых клиентов предприятия, которые возникают при ведении бизнеса с помощью Internet. При усложнении схем бизнеса появляются различные категории массовых клиентов, которым нужно давать разные права доступа. Для аутентификации массовых клиентов традиционные схемы на основе индивидуальных паролей неэффективны, так как требуют ввода в систему и хранения каждого пароля, и, следовательно, плохо масштабируются. Для работы с массовыми пользователями очень желательно, чтобы межсетевой экран поддерживал технологию аутентификации на основе цифровых сертификатов стандарта X.509 и инфраструктуры публичных ключей (PKI), которая получает все большее распространение в Internet. Сертификаты позволяют разбить пользователей на несколько классов и предоставлять доступ в зависимости от принадлежности пользователя к определенному классу. Инфраструктура публичных ключей нужна для организации жизненного цикла сертификатов и позволяет, в частности, проверить подлинность предъявленного сертификата за счет проверки подлинности цифровой подписи сертифицирующей организации (Certificate Authority) или цепочки сертифицирующих организаций, если организация, выдавшая сертификат, не входит в перечень пользующихся на данном предприятии доверием сертификационных центров.
Аутентификация на основе сертификатов может применяться не только к массовым клиентам, но и к сотрудникам предприятий-партнеров, а также и к собственным сотрудникам.
Поддержка межсетевым экраном сертификатов и инфраструктуры публичных ключей приводит к исключительно масштабируемым системам аутентификации, так как в этом случае в системе требуется хранить только открытые ключи нескольких корневых сертифицирующих организаций и поддерживать протоколы взаимодействия с их серверами сертификатов. Для успешной работы в гетерогенной среде, порождаемой взаимодействием с различными пользователями и организациями, важно, чтобы средства безопасности могли поддерживать продукты PKI основных ведущих производителей, таких как Entrust, Netscape, Microsoft и т.п.

Использование условной вероятности

(10)
где sequence – последовательность событий; ES – выступает как последовательность событий, а I – вторжение.

Главное преимущество использования продукционных систем заключается в возможности разделения причин и решений возникающих проблем.
Примеры использования таких систем в СОВ описаны достаточно широко. Такая система кодирует информацию о вторжениях в правилах вида if(если) причина then(то) решение, причем при добавление правил причина соответствует событию(ям), регистрируемых подсистемой сбора информации СОВ. В части (if) правила кодируются условия (причины), необходимые для атаки. Когда все условия в левой части правила удовлетворены, выполняется действие (решение), заданное в правой его части [9].
Основные проблемы приложений, использующих данный метод, которые обычно возникают при их практическом применении:

недостаточная эффективность при работе с большими объемами данных;

трудно учесть зависимую природу данных параметров оценки.

Обнаруживаются только известные уязвимости.

Анализ изменения состояний

Наблюдение за нажатием клавиш

Методы, основанные на моделировании поведения злоумышленника

планировщик обеспечивает независимость представления от формы данных аудита.

Недостатки:

этот подход дополняет, но не заменяет подсистему обнаружения аномалий.

Анализ методов обнаружения злоупотреблений

Контроль доступа на основе содержания передаваемой информации

Система безопасности FireWall-1/VPN-1 поддерживает развитые методы контроля доступа на основе содержания передаваемой информации. Модуль FireWall-1/VPN-1 позволяет задавать правила доступа для различных типов объектов-ресурсов, которые классифицируются в зависимости от типа протокола доступа (HTTP, FTP, SMTP), выполняемой протокольной операций (например, только GET для ресурса протокола FTP), адресов отправителя или получателя и других признаков.
Если в контролируемом трафике встречается ресурсный объект, удовлетворяющий заданным в правилах признакам, то его содержание проверяется и над ним выполняется некоторое действие. Базовые проверки и действия выполняют модули Security Server, входящие в состав FireWall-1/VPN-1, а более специфический контроль, содержания, например, проверка на наличие вирусов, контроль содержания электронной почты или блокирование Java и ActiveX угроз, может быть выполнен продуктами третьих фирм на основе открытых протоколов платформы OPSEC.
Платформу OPSEC сегодня поддерживают многие ведущие производители продуктов контроля содержания, например, Symantec, Contenet Security, Aladdin Knowledge Systems, Trend Micro, X-Stop, JSB Software Technologies, и процесс присоединения к OPSEC продолжается. Это дает возможность системам безопасности на основе FireWall-1/VPN-1 осуществлять разносторонний контроль содержания путем привлечения лучших продуктов третьих фирм и в то же время сохранять традиционный для FireWall-1 способ управления этим процессом - на основе правил политики.

Во многих случаях необходимо контролировать доступ не на основе IP-адресов или каких-либо данных об отправителях/получателях, а в зависимости от содержания передаваемой информации. Например, многие атаки на сеть основаны на внедрении вирусов в коды загружаемых пользователями предприятия программ или в макросы загружаемых документов. Часто источником угроз является содержимое электронной почты, рассылаемой в массовом порядке. Еще одним распространенным типом содержания, представляющего потенциальную опасность для сети, являются Java и ActiveX апплеты, загружаемые в компьютеры предприятия при просмотре активных Web-страниц.
Средства контроля содержания могут также служить эффективным дополнением для традиционных средств контроля доступа в том случае, когда, например, доступ на уровне пользователей был ошибочно задан слишком свободно, но известен список ключевых слов, содержащихся в конфиденциальных документах.
Так как для каждого типа потенциально опасного содержания требуется применение специфических методов контроля, то доступ по содержанию обычно выполняется отдельными продуктами, дополняющими функции межсетевого экрана. Однако, для повышения оперативности защиты важно, чтобы экран мог самостоятельно выполнять некоторый набор примитивных функций, часто также относимых к контролю доступа по содержанию, например:

разрешение выполнения только определенного подмножества операций, определенных в протоколе (например, только команды GET в протоколе FTP или метода GET в протоколе HTTP),

доступ только по определенному списку URL,

доступ на основе списка разрешенных адресов электронной почты.

В остальных случаях межсетевой экран должен уметь взаимодействовать со специализированными продуктами, передавая им проверку определенного типа содержания.

Недостатки существующих систем обнаружения

Отсутствие хороших способов тестирования.

Недостатки методов обнаружения:

недопустимо высокий уровень ложных срабатываний и пропусков атак;

слабые возможности по обнаружению новых атак;

большинство вторжений невозможно определить на начальных этапах;

трудно, иногда невозможно, определить атакующего, цели атаки;

отсутствие оценок точности и адекватности результатов работы;

невозможно определять «старые» атаки, использующие новые стратегии;

сложность обнаружения вторжений в реальном времени с требуемой полнотой в высокоскоростных сетях;

слабые возможности по автоматическому обнаружению сложных координированных атак;

значительная перегрузка систем, в которых функционируют СОВ, при работе в реальном времени;

Защита данных при передаче через публичные сети

Спектр VPN-продуктов, выпускаемых компанией CheckPoint, позволяет на основе открытых стандартов защитить передаваемые данные для всех типов коммуникаций, использующих публичные сети, а также для наиболее ответственных соединений внутри корпоративной сети:
Для защиты соединений "сеть-сеть" как в рамках intranet (то есть соединений между сетями предприятия), так и в рамках extranet (соединений сетей предприятия с сетями партнеров по бизнесу) могут использоваться продукты VPN-1 Gateway или VPN-1 Appliance.
VPN-1 Gateway представляет собой программное решение, объединяющее функции межсетевого экрана FireWall-1 с VPN-функциями на основе платформ Windows NT или Unix. Линия продуктов VPN-1 Appliance представляет собой несколько моделей специализированных аппаратно-программных устройств, разработанных компанией CheckPoint совместно с компанией Nokia.
Как VPN-1 Gateway, так и устройства VPN-1 Appliance, поддерживают стандарты IPSec, IKE, цифровые сертификаты X.509 и инфраструктуру публичных ключей PKI. Реализация протоколов IPSec в VPN-продуктах компании CheckPoint прошла сертификацию ICSA, что гарантирует возможность установления защищенных extranet-каналов с предприятиями-партнерами, пользующимися стандартными IPSec-продуктами. Помимо IPSec, данные продукты поддерживают защиту передаваемых данных на основе распространенного в Internet протокола SKIP, а также с помощью фирменного протокола FWZ. Для аутентификации пользователей могут применяться все схемы, описанные выше в разделе 3.
Устройства линии VPN-1 Appliance объединяют функциональные возможности VPN-1 Gateway с развитыми методами IP-маршрутизации от компании Nokia. Устройства VPN-1 Appliance предназначены для организации защищенных каналов в крупных и средних организациях, в которых особенно необходимы высокая производительность и надежность, обеспечиваемые специально спроектированной аппаратной платформой. Устройство VPN-1 Appliance очень удобно использовать в удаленных офисах предприятия, в которых часто отсутствует квалифицированный персонал. Разработанное компанией Nokia и основанное на Web приложение Network Voyager позволяет конфигурировать и управлять шлюзом VPN-1 Appliance с помощью стандартного Web-браузера из любой точки сети. Первое место и награда "Blue Ribbon", присужденные VPN-1 Appliance журналом Network World в апреле 1999 года по результатом тестирования шлюзов VPN от шести ведущих производителей, свидетельствуют о больших перспективах этой новой линии продуктов CheckPoint.
Удаленные и мобильные сотрудники предприятия могут поддерживать защищенные связи с сетями своего предприятия с помощью клиентского программного обеспечения VPN-1 SecuRemote и VPN-1 SecureClient. VPN-1 SecuRemote поддерживает станадрты IPSec, IKE и цифровые сертификаты, что позволяет устанавливать VPN-соединения не только с шлюзами своего предприятия, но и с шлюзами предприятий-партнеров в рамках extranet. Продукт VPN-1 SecureClient добавляет к VPN-возможностям SecuRemote функции контроля доступа на основе той же технологии Stateful Inspection которая применяется в продуктах FireWall-1/VPN-1. Использование VPN-1 SecureClient усиливает защиту предприятия за счет того, что установление VPN-соединения разрешается удаленному компьютеру только в том случае, когда его конфигурация безопасности соответствует установленной администратором предприятия.
С помощью продукта VPN-1 SecureServer можно обеспечить полную функциональность защиты FireWall-1/VPN-1 для отдельного ответственного сервера предприятия, что может быть полезно в незащищенных удаленных офисах, а также для обеспечения дополнительных мер безопасности для определенного сервера внутренней подсети предприятия.
Все продукты VPN компании CheckPoint работают с различными системами и средствами поддержки инфраструктуры публичных ключей от ведущих производителей, что позволяет предприятию без проблем организовывать защиту данных при установлении соединений с предприятиями-партнерами.

Средства контроля доступа защищают внутренние ресурсы сети от преднамеренного и непреднамеренного разрушения или использования. Широкое использование Internet и других публичных сетей для организация различных связей предприятия делает необходимым защищать информацию также и при ее передаче. Эта задача решается средствами создания виртуальных частных сетей (VPN) в публичных сетях с коммутацией пакетов. Средства VPN организуют в публичных сетях защищенные каналы, по которым передаются корпоративные данные. Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись отправителя, удостоверяющую аутентичность и целостность пакета. Для защиты от несанкционированного доступа пакеты могут шифроваться, причем для скрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут шифроваться вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.
Предыдущие поколения VPN-шлюзов (защищающих данные всех узлов сети) и VPN-клиентов (защищающих данные отдельного компьютера) во многом использовали фирменные алгоритмы и протоколы защиты данных (для аутентификации сторон, реализации цифровой подписи и шифрования). Сегодня ситуация изменилась - основой для организации защищенных VPN-каналов стал комплекс стандартов Internet, известный под названием IPSec. Стандартам IPSec свойственна гибкость: в них оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчику продукта не запрещается дополнять этот список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сессионных ключей в IPSec предусмотрена возможность использования цифровых сертификатов и инфраструктуры PKI, что делает решение IPSec масштабируемым и согласованным с другими средствами защиты, например, контроля доступа. Протоколы IPSec прошли успешную широкомасштабную проверку в экстрасети ANX автомобильных концернов Америки, и поддержка IPSec сегодня стала обязательным условием для перспективных VPN-продуктов.
Средства VPN предприятия должны эффективно поддерживать защищенные каналы различного типа:

с удаленными и мобильными сотрудниками (защищенный удаленный доступ)

с сетями филиалов предприятий (защита intranet)

с сетями предприятий-партнеров (защита extranet)

Для защиты удаленного доступа важно наличие клиентских частей VPN для основных клиентских операционных систем, которые сегодня пока не поддерживают протоколы IPSec в стандартной поставке. От шлюза VPN в этом варианте требуется хорошая масштабируемость для поддержания сотен, а возможно и тысяч защищенных соединений.
При защите extranet основным требованием является соответствие реализации VPN-продуктов стандартам IPSec, что с большой степенью уверенности подтверждается наличием у продукта сертификата ICSA.
Предприятие может снять с себя часть забот по защите данных, воспользовавшись услугами провайдера по организации VPN. Провайдер настраивает параметры защищенных каналов для своих клиентов в соответствии с их требованиями, а при необходимости дополняет услуги VPN услугами межсетевого экрана, также настраиваемого по заданию пользователя.
В том случае, когда VPN-шлюз поддерживает удаленное защищенное управление, провайдер может взять на себя услуги по конфигурированию и эксплуатации шлюза, установленного на территории пользователя.

Интеграция средств контроля доступа и средств VPN

Средства контроля доступа и средства VPN в продуктах CheckPoint полностью интегрированы:

Администратор создает VPN-объекты и правила, определяющие защищаемый трафик, с помощью того же графического интерфейса, который он использует для задания объектов и правил контроля доступа для модулей FireWall-1. Интеграция политики контроля доступа и VPN-защиты существенно повышают безопасность корпоративной сети за счет согласованности и непротиворечивости набора правил.

Объекты и правила обоих типов хранятся в сервере политики Management Server, который распространяет их по межсетевым экранам и шлюзам предприятия.

Модули FireWall-1 и VPN-1 согласованно работают в продуктах компании CheckPoint, корректно обрабатывая защищенный трафик и применяя к нему те же правила доступа, что и к незащищенному. Интегрированное устройство FireWall-1/VPN-1 не требует наличия двух каналов связи с Internet, принимая по одному каналу как защищенный, так и незащищенный трафик.

Модули контроля доступа и VPN-защиты используют общие средства аутентификации пользователей, что значительно упрощает конфигурирование системы безопасности и уменьшает количество административных ошибок.

Результаты аудита записываются в общий журнал регистрации в едином стиле, что повышает эффективность анализа событий, связанных с безопасностью.

Высокая степень интеграции присуща не только модулям FireWall-1 и VPN-1, но и всем продуктам компании Check Point, а также ее партнеров. Интегрированность продуктов упрощает создание комплексной системы безопасности предприятия, перекрывающие все возможные направления атак, а также существенно сокращает затраты на конфигурирование и управление такой системой.

Средства контроля доступа в сеть на основе межсетевых экранов и средства организации защищенных каналов представляют собой две основные составляющие любых систем защиты предприятия, поэтому они должны применяться вместе и работать согласованно. Интеграция этих средств может порождать определенные проблемы, особенно в том случае, когда эти средства выполнены в виде отдельных продуктов.
Так как и межсетевой экран и VPN-шлюз могут требовать проведения аутентификации пользователей, то желательно согласовывать эти процедуры и выполнять их по возможности прозрачным для пользователя способом. Использование общих схем аутентификации, например, на основе цифровых сертификатов и PKI, упрощает эту задачу.
Другой аспект интеграции связан с взаимным расположением экрана и шлюза относительно внешней связи. Экран может выполнять контроль доступа только при работе с незашифрованным трафиком, поэтому по этой причине он должен располагаться после VPN-шлюза. С другой стороны, многие VPN-шлюзы, выполненные как отдельные продукты, не могут защитить себя от разнообразных атак из внешней сети, с чем хорошо справляются межсетевые экраны. Из этих соображений экран помещается перед VPN-шлюзом, но тогда экран пропускает любой зашифрованный трафик, полагаясь на то, что аутентифицированная сторона не причинит вреда внутренним ресурсам сети, что не всегда соответствует действительности. Часто производители отдельных VPN-устройств считают предпочтительной параллельную установку экрана и VPN-шлюза за счет двух каналов доступа к публичной сети. Эта архитектура потенциально еще более опасна, чем предыдущие: VPN-устройство открыто для атак из публичной сети, а контроль доступа для трафика, проходящего через VPN-шлюз, не производится.
Наиболее просто вопросы интеграции решаются при объединении функций межсетевого экрана и VPN-шлюза в одном продукте, но это требует высокопроизводительной платформы, так как вычислительная сложность операций аутентификации и VPN существенно выше сложности операций фильтрации трафика при контроле доступа. При решении проблем производительности реализациия межсетевого экрана и VPN-щлюза в одном продукте является наиболее перспективной для организации комплексной защиты корпоративной сети.

Направления совершенствования СОВ

Обнаружение вторжений

Необходимым в современных условиях дополнением к возможностям межсетевых экранов и VPN-шлюзов является система обнаружения вторжений Check Point RealSecure. Эта система представляет собой совместный продукт двух лидеров -лидера сектора адаптивных систем управления безопасностью компании Internet Security Systems (ISS) и лидера в области построения интегрированных систем безопаоснти компании CheckPoint.
Система Check Point RealSecure:

Автоматически анализирует и сопоставляет в реальном времени данные мониторинга событий, происходящих в сетевых сегментах и узлах корпоративной сети

Попытки взлома системы защиты автоматически рапознаются экспертной подсистемой на основе обширной базы знаний, которая на сегодня включает более 160 известных образцов атак и постоянно пополняется. Также отслеживаются несанкционированные и подозрительные действия, которые могут нанести ущерб информационным ресурсам предприятия.

При обнаружении атаки или подозрительной активности:

автоматически предупреждает администратора системы с помощью уведомлений разного типа,

регистрирует событие в системном журнале

может автоматически блокировать атаку или нескнкционированные действия путем реконфигурации межсетевого экрана FireWall-1

Позволяет очень гибко генерировать отчеты разной степени подробности в удобной для администратора форме. Новая технология Fusion компании ISS способна сгруппировать многочисленные взаимосвязанные события в одно укрупненное событие, которое и предоставляется в отчете администратору для осмысления ситуации. Последнее свойство очень важно при управлении безопасностью, так как системы искусственного интеллекта в обозримом будущем не смогут замеить естественный интеллект и совершенствование системы безопасности в конечном счете должно опираться на решения человека.

"Проигрывает" зарегистрированные события для детального анализа или для использования в качестве доказательства факта нарушения

Обладает развитой контекстно-зависимой справочной системой, которая сама по себе является хорошим инструментом помощи администратору при принятии решений.

Система RealCecure обладает хорошей масштабируемостью за счет распределенной архитектуры клиент-сервер. Сетевые агенты устанавливаются во всех требующих внимания сегментах сети (например, перед межсетевым экраном, в демилитаризованной зоне, а также в ответственных внутренних сегментах), а системные агенты контролируют активность операционных систем и приложений в компьютерах сети. Все данные собираются в общей базе данных и обрабатываются таким компонентом системы как RealSecure Engine, а централизованное управление обеспечивает RealSecure Manager, доступ к которому возможен с помощью графических консолей администраторов, распределенных по сети. Дальнейшее развитие распределенных свойств RealSecure возможно на основе архитектуры микроагентов, над которой работает в настоящее время компания ISS. Микроагенты встариваются во все защищаемые узлы корпоративной сети - маршрутизаторы, коммутаторы, компьютеры - и контролируют только тот трафик, который относится к данному узлу, за счет чего резко повышается производительность системы, что очень важно в условиях применения высокоскоростных технологий, таких как Fast Ethernet, Gigabit Ethernet, ATM и других.

Обеспечение высокой производительности средств защиты и поддержка QoS

Постоянно возрастающие требования приложений к производительности коммуникаций удовлетворяются в системах безопасности на основе продуктов CheckPoint следующими способами:

Высокой скоростью выполнения операций контроля доступа и VPN-защиты трафика. Эта скорость обеспечивается высокой эффективностью алгоритмов технологии Stateful Inspection, возможностью установки продуктов CheckPoint на высокопроизводительных, в том числе и мультипроцессорных, аппаратных платформах, а также применением в случае необходимости устройства VPN-1 Accelerator Card, которое устанавливается в любую стандартную платформу и аппаратно реализует наиболее сложные в вычислительном отношении операции VPN-функций.

Возможнстью распределения функций безопасности между несколькими параллельно работающими средствами защиты сети. В сети можно установить несколько межсетевых экранов и шлюзов VPN, координирующих и синхронизирующих свою работу, так что обработка многочисленных сессий будет распределяться между ними. Возможна также организация пулов серверов контроля доступа по содержанию, повышая тем самым производительность таких трудоемких операций как сканирование файлов на присутствие вирусов, поиск определенных ключевых слов в тексте, защита от Java и ActiveX атак и т.п. Отдельный модуль ConnectControl, входящий в состав межсетевого экрана FireWall-1, позволяет также распределять нагрузку между пулом однотипных серверов (например, Web-серверов или FTP-серверов), что удобно при организации демилитаризованной зоны.

Управлением распределением полосы пропускания с помощью отдельного продукта FloodGate-1, выпускаемого компанией CheckPoint.

Продукт FloodGate-1 тесно интегрирован с базовым средством защиты FireWall-1/VPN-1, но может работать и как самостоятельный продукт поддержки QoS. Основное назначение FloodGate-1 - распределение пропускной способности между трафиком различных приложений на границе корпоративной сети, а именно, в каналах, подключенных к интерфейсам межсетевого экрана/VPN-шлюза FireWall-1/VPN-1. Через эти интерфейсы проходит весь внешний трафик приложений защищенной сети предприятия, причем как критически важных, так и менее ответственных. Дифференцированное распределение пропускной способности в интерфейсах межссетевого экрана может существенно улучшить работу ответственных приложений, предоставив им необходимую полосу пропускания и защитив их от интенсивного, но гораздо менее важного трафика, например, трафика пользователей, просматривающих новости в Internet или загружающих из FTP-архива новую версию какой-либо утилиты.
Операционные системы, поверх которых работает FireWall-1/VPN-1 на стандартных платформах, пока не поддерживают функции QoS. Установка FloodGate-1 в узлах, выполняющих роль межсетевого экрана и VPN-шлюза, ликвидирует этот пробел и дополняет систему управления QoS сети, работающую на современных маршрутизаторах и коммутаторах, важным QoS-элементом.
FloodGate-1 управляет полосой пропускания на основе улучшенного алгоритма взвешенного справедливого обслуживания WFQ, часто применяемого в IP-маршрутизаторах и коммутаторах. Компания Check Point дополнила базовые механизмы WFQ собственными интеллектуальными алгоритмами, благодаря чему FloodGate-1 поддерживает практически неограниченное количество виртуальных очередей, гарантируя определенную долю пропускной способности как для агрегированных потоков (например, для потоков всего Web-трафика), так и для потоков отдельных соединений (например, отдельного соединения RealAudio). Для каждого типа потока кроме гарантированной доли от общей пропускной способности интерфейса можно задать также верхнюю и нижнюю границы пропускной способности. Это позволяет гибко учитывать потребности приложений и обеспечить привилегированное обслуживание ответственных приложений при соблюдении некоторого минимума для остальных приложений, соблюдаемого при всех обстоятельствах. Полоса пропускания распределяется динамически, быстро реагируя на изменения набора существующих потоков в соответствии с заданными првилами.
Классификации потоков выполняется с помощью технологии Statful Inspection, той же, что работает и в межсетевых экранах FireWall-1. Большой опыт компании CheckPoint в этой области позволил реализовать в продукте FloodGate-1 один из наиболее мощных в сетевой индустрии механизмов классификации трафика для целей управления QoS. Этот механизм позволяет учесть практически все ситуации, складывающиеся при работе корпоративной сети и сгруппировать трафик наиболее рациональным образом по приложениям и пользователям.
Эффективность использования полосы пропускания при использовании FloodGate-1 увеличивается за счет фирменного алгоритма RDED (Retransmission Detect Early Drop), который решает известную проблему уменьшения полезной пропускной способности TCP-соединений из-за многочисленных повторных передачах при перегрузках. Механизм RDED предотвращает передачу некскольких копий одного и того пакета, за счет чего полезная пропускная способность повышается до 95% от полной пропускной способности канала вместо традиционных 50%- 60%.
Система управления трафиком FloodGate-1 полностью интегрирована с продуктом FireWall-1/VPN-1 и повторяет его распределенную архитектуру. Правила управления трафиком задаются в том же стиле, что и правила контроля доступа и VPN-защиты и могут использовать общие объекты. Для задания правил управления трафиком используется графический редактор, который в случае использования на предпритии системы FireWall-1 представлен в виде отдельной закладки редактора CheckPoint Policy Editor. Правила управления трафиком хранятся централизовано в базе правил Management Server и распределяются по всем модуля FloodGate-1 предприятия.
Система FloofGate-1 позволяет администратору осуществлять мониторинг за распределением полосы пропускания между потоками пакетов в реальном масштабе времени. Это дает возможность оценить эффективность заданных администратором правил и перераспределить весовые коээфициенты и границы пропускной способности таким образом, чтобы они наилучшим образом отражали реальные потребности приложений и пользователей.
Интеграция FloodGate-1 с FireWall-1/VPN-1 гарантирует корректность совместной работы средств управления трафиком со средствами VPN-защиты.

Появление и широкое распространение новых высокоскоростных сетевых технологий, в том числе и технологий доступа к глобальным сетям и Internet (xDSL, кабельные модемы и т.п.), ставит перед средствами защиты новые задачи в области производительности. Разработанные первоначально для работы на одном канале доступа со скоростями в десятки, максимум сотни килобит, межсетевые экраны и VPN-устройства сегодня должны обрабатывать трафик в реальном времени на скоростях в десятки, а иногда и сотни мегабит.
Учитывая вычислительную сложность и специализированный характер многих операций, выполняемых средствами защиты, основным направлением повышения производительности этих средства является аппаратная реализация типовых функций, используемых при аутентификации и других VPN-операциях. Аппаратное устройство может быть выполнено как дополнение к стандартной компьютерной платформе, или же в виде автономного специализированно устройства, включающего компьютерную платформу и выполняющему все функции экрана или VPN-шлюза.
Производительность отдельного устройства всегда ограничена, поэтому весьма перспективным является поддержка средствами защиты такого классического способа повышения производительности как распараллеливание. Кластеры VPN-шлюзов или межсетевых экранов, синхронизирующие свою работу, могут понадобиться для обслуживания тысяч одновременных соединений, возникающих при современном ведении бизнеса через Internet.
Еще одной существенной тенденцией в области производительности, которую нужно учитывать при развитии систем безопасности, является быстрое развитие различных технологий поддержки качества обслуживания (QoS) для IP-сетей. Эти технологии распределяют доступную полосу пропускания между классами трафика и отдельными соединениями, обеспечивая тем самым определенное качество транспортного обслуживания, требуемое для многих современных приложений. Для успешной работы таких QoS-технологий как DiffServ, RSVP и MPLS, применяемых сегодня как в корпоративных сетях, так и в Internet (пока - только на магистралях отдельных провайдеров), нужна их сквозная поддержка всеми сетевыми устройствами, через которые проходит трафик соединений. Устройства защиты - межсетевые экраны и VPN-устройства - всегда располагаются в точках, через которые проходит внешний трафик, поэтому данные устройства должны поддерживать QoS-технологии, чтобы обеспечить качество обслуживания "из конца в конец".
Поддержка функций QoS в межсетевом экране или VPN-шлюзе важна и в том случае, когда остальные устройства сети и публичная сеть не поддерживают управление качеством обслуживания. Обеспечиваемое устройством защиты дифференцированное обслуживание разных классов трафика в канале связи с внешней сетью (который часто представляет собой узкое место) способно заметно улучшить работу наиболее ответственных приложений.
В том случае, когда VPN-шлюз не поддерживает QoS-протоколы, он должен быть расположен в сети так, чтобы не мешать работе других QoS-устройств, которым нужен доступ к данным заголовков IP-пакетов для классификации трафика..

Надежность и отказоустойчивость средств защиты

Надежность системы безопасности, построенной на продуктах компании CheckPoint, обеспечивается комплексно. Во-первых, она определяется высокой надежностью программного обеспечения продуктов компании CheckPoint, проверенного большим количеством инсталляций по всему миру. Во-вторых, общая надежность системы безопасности зависит от надежности аппаратно-программной платформы (ОС + компьютер). Платформу для экранов и шлюзов корпоративной сети предприятие может выбрать либо самостоятельно (и нести в этом случае ответственность за ее надежность), либо положиться на выбрать платформу с гарантированно высокой надежностью, применив специализированные устройства VPN-1 Appliance.
Межсетевые экраны FireWall-1 и шлюзы VPN-1 поддерживают отказоустойчивые конфигурации, основанные на кластерах избыточных устройств и обеспечивающие прозрачный для трафика пользователей переход на резервное или избыточное устройство при отказе основного. Такие конфигурации необходимы для наиболее ответственных приложений, так как какой бы высокой ни была надежность отдельных продуктов, отказы их все же возможны, и в этих условиях единственно возможным решением является применение избыточных устройств.
Разработка отказоустойчивых систем является для компании CheckPoint одним из приоритетных стратегических направлений. Свойствами отказоустойчивости на сегодня обладают не только продукты FireWall-1/VPN-1, но и системы контроля доступа на основе содержания.
Отказоустойчивые конфигурации FireWall-1/VPN-1 используют такое свойство этих продуктов как возможность синхронизации данных о состоянии соединений, содержащихся во внутренних таблицах модулей. Синхронизируются данные состояния контролируемых по доступу сессий, а также сессий протоколов IPSec и FWZ шлюзов VPN-1. На основе этих данных можно построить различные схемы, обеспечивающие отказоустойчивость.
Сегодня существует возможность построения отказоустойчивой конфигурации исключительно на продуктах CheckPoint, а также с привлечением продуктов третьих фирм. Вариант CheckPoint основан на применении модуля High Availability в экранах-шлюзах FireWall-1/VPN-1, который контролирует работоспособность устройств и обеспечивает прозрачных переход на работоспособное устройство в случае отказа без разрыва соединений, проходящих через экран и защищенных соединений VPN-шлюза. Кроме поддержки отказоустойчивости модуль High Availability является программируемым монитором работоспособности FireWall-1/VPN-1, что упрощает его обслуживание. Возможно также создание кластерных конфигураций, включающих большое количество синхронизируемых систем FireWall-1/VPN-1.
Существует также ряд продуктов от партнеров по программе OPSEC, обеспечивающих прозрачный переход на резервную систему FireWall-1/VPN-1 при отказе основной, например, StoneBeat от Stonesoft или Legato FullTime HA+ for FireWall-1 от Legato Systems.
Отказоустойчивость VPN-соединений можно также обеспечить на клиентской стороне с помощью продукта VPN-1 SecuRemote. Этот вариант может применяться тогда, когда в центральной сети имеется несколько VPN-шлюзов, но он не требует их синхронизации и резервирования. Клиент VPN-1 SecuRemote может самостоятельно обнаружить отказ шлюза и перейти на другой доступный VPN-шлюз. Такой способ полезен при наличии у предприятия нескольких шлюзов, обеспчеивающих доступ в копроративную сеть, но расположенных в разных географических пунктах, так что их синхронизация может оказаться проблематичной.
Отказоустойчивость средств контроля доступа на основе содержания может быть достигнута за счет установки на предприятии пула серверов, на которых работает один и тот же набор сервисов контроля третьих фирм. Отказ одного из таких серверов не влечет отказ системы системы контроля доступа по содержанию, а только означает некоторое снижение ее производительности.

Очевидно, что к надежности и отказоустойчивости средств защиты предприятия, предъявляются очень высокие требования, так как при отказе, например, межсетевого экрана или VPN-шлюза, предприятие полностью или частично (в зависимости от количества каналов связи) лишается возможности взаимодействовать с внешним миром, а это при современной схеме ведения бизнеса крайне убыточно.
Надежность и отказоустойчивость отдельного продукта безопасности определяется соответствующими характеристиками его платформы и качеством реализации самого продукта. Для обеспечения нужного уровня надежности средств защиты необходимо тщательно выбирать для них платформу (компьютер и операционную систему) или же пользоваться аппаратными устройствами безопасности, надежность которых гарантируется производителем.
В особо ответственных применениях надежность и отказоустойчивость системы защиты необходимо повышать за счет резервирования и избыточности самих средств защиты - межсетевых экранов, VPN-устройств, средств обнаружения вторжений и т.д. Для поддержки такой архитектуры устройства защиты должны поддерживать возможность работы по схемам горячего резервирования или кластерной организации с полной синхронизацией состояний. Переход на резервный межсетевой экран или избыточный шлюз должен происходить автоматически при обнаружении отказа основного устройства. Важным свойством отказоустойчивых средств безопасности является прозрачность перехода на резервное устройство для внешних пользователей, сессии которых не должны разрываться из-за реконфигурации устройств защиты.

А бывает ли это на самом деле?

"Описанные выше два случая - это сказки для детей", - скажете вы. "На самом деле такого не бывает". Скажете и будете не правы. Чтобы лишний раз убедить вас в этом - приведу только два примера "из жизни".
По данным издания "Компьютерра", 12 июня 2000 г. неизвестный хакер сумел добраться до базы данных с адресами электронной почты клиентов канадского онлайнового магазина Future Shop. Правда, сам Future Shop здесь не причем - рассылка электронных писем осуществлялась при помощи третьей стороны. Хакер, взломав сервер этой компании, сумел отдать команду на массовую рассылку сообщений всем 10000 клиентам Future Shop. В письме говорилось о том, что номера их кредитных карточек были украдены, а посему они должны срочно их заменить. Заголовок письма выглядел так, как будто его послали владельцы Future Shop. Большого вреда хакер, к счастью, причинить не успел. Администраторы магазина оперативно связались со всеми крупными эмитентами кредитных карт и предупредили об этом неприятном инциденте. Свои карты успели поменять менее 50 человек.
Другой пример подробно описан на странице http://www.citforum.ru/internet/securities/seccas1.shtml и я не хотел бы его лишний раз пересказывать. Хочу только отметить, что современные технологии Internet позволяют создавать сообщения электронной почты таким образом, что они будут выглядеть "как настоящие", со всеми атрибутами (адрес и имя отправителя, подпись и т.д.).

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании
эффективной и надежной системы защиты. Ошибки при определении правил доступа могут
образовать дыру, через которую может быть взломана система. Поэтому в большинстве
брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора
правил. Наличие этих утилит позволяет также производить проверки на синтаксические или
логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют
просматривать информацию, сгруппированную по каким либо критериям - например, все что
относится к конкретному пользователю или сервису.

"Активные зондирующие проверки" (active probing check)

Также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.
Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.
Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков".

Антишпионское программное обеспечение:

защищает от программ класса adware, шпионских программ и "угонщиков браузеров", cookies-сканеров и других интернет-паразитов.

Антиспамерское программное обеспечение:

блокирует вводящие в заблуждение, жульнические ("рыболовные") схемы;

сокращает работу по фильтрованию писем, уменьшая вероятность того, что пользователь случайно второпях активирует вирус, полученный по электронной почте.

Антивирусное программное обеспечение:

защищает систему от известных вирусов, червей и "троянцев", но менее эффективно против новых инфекций;

не защищает систему от программ распространения рекламы (adware), шпионских программ и "угонщиков браузеров".

Аппаратная расширяемость

Строгая защита, обеспечиваемая операционной системой реального времени, дополняется возможностью расширения аппаратных возможностей. В первую очередь это возможность встраивания третьего сетевого интерфейса. Это позволяет разместить за ним доступные извне WWW сервера, почту, сервера доменных имен. Другим применением третьего интерфейса может быть размещение за ним серверов, которые фильтруют содержимое пакетов. Размещения этих приложений, тербующих значительных вычислительных ресурсов, на отдельной платформе, обеспечивает как высокий уровень защиты, так и высокую производительность.

Аппаратный маршрутизатор:

с помощью NAT (Network address Translation, трансляция сетевых адресов, — стандарт Internet, позволяющий использовать в локальной сети различные наборы IP-адресов для внешнего и внутреннего трафика) маскирует IP-адреса, делая неэффективным сканирование портов.

блокирует поступление данных из интернета, на которые нет разрешения пользователя;

не защищает систему от большинства злонамеренных программ, таких как "троянские кони", вирусы, почтовые "черви" и шпионские программы.

Апрель

В начале апреля 19-летнему
Christopher Schanot, известному в компьютерном подполье Сент-Луиса
под псевдонимом "N00gz", в Филадельфии было предъявлено
обвинение в компьютерном мошенничестве. Старшекласснику-отличнику
инкриминировался несанкционированный доступ ко многим корпоративным
и правительственным компьютерам, Его жертвами стали такие компании,
как Southwestern Bell, Bellcore, Sprint и SRI. В ноябре он признал
себя виновным по двум пунктам обвинения в компьютерном мошенничестве
и одном пункте обвинения в незаконном прослушивании. Ему грозит
до 15 лет тюрьмы и штраф в размере 750 тысяч долларов. Как сообщило
агентство AP 15 ноября, приговор должен быть вынесен 31 января
1997 года.
В телеконференциях (см.
RISKS 18.02) появились разоблачения, касающиеся сотрудников Управления
социального страхования США. Эти сотрудники злоупотребили своими
правами на доступ к компьютерам Управления и продали детальную
персональную информацию о более чем 11 тысячах жертвах членам
шайки, занимающейся махинациями с кредитными картами. (Еще один
урок по поводу важности человеческого фактора в информационной
безопасности.)
Агентство Associated Press
19 апреля сообщило о проникновении хакеров в систему голосовой
почты полиции Нью-Йорка. Вандалы заменили обычное вежливое приветствие
на следующий текст: "Вы попали в полицейский департамент
Нью-Йорка. В случае реальной опасности позвоните по телефону 119.
Для всех остальных дел как раз сейчас мы немного заняты - пьем
кофе с пирожными". Далее следовало: "Вы можете не вешать
трубку - мы скоро ответим. Мы немного тормозим, если Вы понимаете,
что имеется в виду. Спасибо". Поддельные сообщения звучали
в течение 12 часов, прежде чем власти исправили ситуацию.
Peter Neumann подготовил
краткое изложение новостийной статьи о важном повороте в битве
против законодательства, касающегося международной торговли оружием.
"16 апреля 1996 года
районный судья Marilyn Hall Patel вынесла постановление, согласно

которому математик Daniel Bernstein может попробовать доказать,

что сфера действия принятых в США правил контроля за экспортом

криптографических технологий слишком широка и затрагивает его

права на общение с другими учеными и компьютерной общественностью

- права, защищаемые свободой печати. (Криптографические программы,

которые разработал Bernstein, называются Snuffle и Unsnuffle.

Государственный департамент США в 1993 году принял решение о том,

что на статью и программы, написанные математиком, необходимо

получить экспортную лицензию, поскольку согласно действующему

в США законодательству поставщик криптосредств приравнивается

к международному торговцу оружием. Позднее ограничения на экспорт

статьи были сняты. После этого Bernstein возбудил судебное дело,

требуя снять ограничения со своих программ.)"

В декабре судья Patel

нанесла решающий удар по запрету, назвав его "примером бессистемного

произвола", неспособного обеспечить право граждан на свободу

слова (UPI, 19 декабря; RISKS 18.69).

Согласно сообщению в "San

Francisco Chronicle" от 20 апреля (Peter Neumann изложил

его в RISKS 18.07), личный секретарь вице-президента корпорации

Oracle получила отказ в иске по поводу незаконности ее увольнения.

Женщина утверждала, что ее уволили после того, как она отказалась

вступить в связь с президентом компании. В качестве доказательства

она привела фрагмент электронного письма, якобы отправленного

ее боссом президенту. В письме босс подтверждал, что выполнил

просьбу президента и уволил секретаршу. Однако, как показало следствие,

в то время, когда было отправлено письмо, босс на самом деле находился

за рулем автомобиля (во всяком случае, об этом свидетельствуют

протоколы переговоров по сотовой связи). Истица знала пароли своего

начальника (он имел обыкновение просить ее о смене пароля). Местный

прокурор пришел к заключению, что электронное письмо было сфабриковано

секретаршей и обвинил ее в лжесвидетельстве.

Весьма интересны выводы,

к которым пришел Peter Neumann:

Не следует верить,

что заголовок FROM: электронного письма соответствует реальному

отправителю.

Не следует доверять

содержанию электронного сообщения вне зависимости от корректности

его заголовков.

Не следует разделять

свой пароль с кем бы то ни было или делать кого-либо другого ответственным

за Ваши пароли.

Не следует использовать

скрытно компрометируемые многоразовые фиксированные пароли; частота

их смены не имеет принципиального значения.

Вместо фиксированных

паролей используйте одноразовые средства аутентификации.

Даже если Вы используете

PEM, PGP или иные средства криптографической защиты электронной

почты, Вы не можете быть уверены в аутентичности сообщений из-за

потенциальной ненадежности операционных систем и пользователей.

Остерегайтесь использовать

сообщения электронной почты в качестве судебных доказательств.

Однако, не следует

думать, что протоколы сотовой связи являются безупречными судебными

доказательствами; они также могут быть сфабрикованы или изменены.

Если Вас втягивают в судебное разбирательство, найдите кого-нибудь,

кто в состоянии продемонстрировать, насколько легко изменить эти

протоколы.

К этому Mike Marler

добавляет (см. RISKS 18.07):

Не следует думать,

что некто не может запустить на своем компьютере пакетное задание

или фоновый процесс, которые отправят электронное сообщение другому

лицу (с подделкой заголовков или без таковой), в то время как

автор, например, ловит рыбу в пяти милях от побережья Коста-Рики.

Не следует думать,

что некто не может располагать автоматизированной системой ответов

на письма, которая пошлет ответ на "фрагмент электронного

письма", начинающийся примерно так: "К сожалению, я

не могу направить развернутый ответ на Ваш 'фрагмент электронного

письма', поскольку до конца дня я буду очень занят на собраниях".

В это время упомянутый некто может просто бездельничать или продолжать

ловить рыбу у берегов Коста-Рики.

J.R.Valverde (младший)

еще добавил:

Никогда не беритесь

за обслуживание счета другого пользователя, не получайте доступ

к чужому компьютеру.

Причуды America Online

развеселили Интернет и особенно жителей небольшого городка на

востоке Англии с названием Scunthorpe, когда житель этого городка

Doug Blackie попытался зарегистрировать свой новый счет. Если

верить статье в "Computer underground Digest" выпуск

8.29 (изложение которой можно найти в RISKS 18.07), фильтр непристойностей,

встроенный в программное обеспечение America Online, отверг слово

"Scunthorpe", но принял "Sconthorpe". (На

русском языке это приблизительно соответствует замене названия

"Отпадинск" на "Отпудинск" - прим. перев.)

С тех пор фильтр стал повсеместно известен как "AOL's Scunthorpe

Filter". В других сообщениях, поступивших в телеконференцию

RISKS, многочисленные корреспонденты прокомментировали эффекты

фильтрации безобидных жаргонных словечек, имеющих ложные вхождения

в нормальные слова на английском или, в особенности, на других

языках. (Несомненно, русский читатель тут же вспомнит массу анекдотов,

построенных на этом принципе - прим. перев.) Можно подумать, что

программисты America Online брали уроки у разработчиков современных

антивирусных средств.

Согласно сообщению английской

газеты "Daily Mail" от 27 апреля (см. также RISKS 18.09),

криминальные хакеры получили доступ к конфиденциальным файлам

университета в Кембридже, из-за чего пришлось срочно менять пароли

у 10 тысяч студентов и преподавателей. Некоторые из файлов содержали

медицинскую, коммерческую и научную информацию. Однако, в отличие

от эффектной газетной заметки, правда оказалась более прозаичной.

Как сообщил Stephen Early

(см. RISKS 18.10), в одной из подсетей информационной системы

университета была обнаружена установленная программа перехвата

сетевых пакетов.

Аутентификация

Аутентификация является одним из самых важных компонентов брандмауэров. Прежде
чем пользователю будет предоставлено право воспользоваться тем или иным сервисом,
необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается,
что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы
разрешены называется авторизацией. Авторизация обычно рассматривается в контексте
аутентификации - как только пользователь аутентифицирован, для него определяются
разрешенные ему сервисы). При получении запроса на использование сервиса от имени
какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для
данного пользователя и передает управление серверу аутентификации. После получения
положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое
пользователем соединение.
Как правило, используется принцип, получивший название "что он знает" - т.е.
пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в
ответ на его запрос.
Одной из схем аутентификации является использование стандартных UNIX паролей.
Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть
перехвачен и использован другим лицом.
Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи
перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить
следующий пароль из предыдущего является крайне трудной задачей. Для генерации
одноразовых паролей используются как программные, так и аппаратные генераторы -
последние представляют из себя устройства, вставляемые в слот компьютера. Знание
секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд
брандмауэров поддерживают Kerberos - один из наиболее распространенных методов
аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем. Как правило, все коммерческие брандмауэры
поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее
приемлемой для своих условий.

Аварийное завершение соединения с атакующим узлом

Модуль слежения системы RealSecure? может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак.

Август

По каналам европейских
новостей прошли сообщения о том, что ЦРУ США осуществило хакерские
проникновения в компьютеры Европейского парламента и Европейской
комиссии, чтобы выкрасть экономические и политические секреты.
Утверждается, что персонал Комиссии обнаружил свидетельства того,
что американцы использовали информацию, добытую криминальным,
хакерским путем, для получения преимуществ по Генеральному соглашению
по тарифам и торговле. ("Sunday Times", 4 августа; RISKS 18.30).
Телефонные хакеры проникли
в офисную АТС Скотланд-Ярда и нанесли ущерб в размере около 1.5
миллионов долларов неоплаченными звонками с использованием прямого
доступа к внутренним сервисам. (Reuters, 5 августа).
Церковь сайентологов приняла
решение отозвать один из своих многочисленных судебных исков о
нарушении авторских прав после того, как компания Netcom On-Line
Communication Services согласилась выдавать на пользовательские
экраны предостережения о необходимости соблюдать права на интеллектуальную
собственность. Церковь сайентологов нередко добивается возмещения,
когда ее религиозные учения, оформленные ею как защищенные авторскими
правами коммерческие секреты, публикуются без получения на то
разрешения. (AP, 5 августа).
Один из корреспондентов
списка рассылки "Best of Security" сообщил 9 августа:
"Exploder - это один из элементов управления в среде ActiveX.
демонстрирующий проблемы с информационной безопасностью в Microsoft
Internet Explorer. Exploder выполняет аккуратное завершение работы
систем под Windows 95 и даже выключает питание на компьютерах,
BIOS которых содержит средства энергосбережения (так называемые
"зеленые" компьютеры)."
Несколько недель спустя
профессор Принстонского университета Ed Felten вместе со своей
группой обнаружил брешь в защите в Internet Explorer 3.0. Используя
эту брешь, атакующий, должным образом сформировав свою Web-страницу
и "заманив" на нее пользователя Explorer, может выполнить

на компьютере последнего любую DOS-команду. Например, атакующий

может прочитать, изменить или удалить файлы, внедрить вирус или

троянскую программу в компьютер своей жертвы. Ученые создали Web-страницу,

чтобы продемонстрировать выявленную проблему, удаляя файл на машине

зашедшего на эту страницу Explorer-пользователя. (RISKS 18.36).

В декабре газета "Computerworld" сообщила, что объекты,

построенные в среде ActiveX, могут осуществлять доступ к системным

ресурсам на компьютерах пользователей, что способно привести к

нарушениям безопасности или повреждению данных на ПК. (RISKS 18.69).

На собрании Американской

психологической ассоциации в Торонто говорилось о явлении "интернетомании",

напоминающем наркоманию. Доктор Kimberly Young из Питсбургского

университета рассматривала детали интернетоманского поведения.

Например, известны случаи, когда люди в силу личной потребности

проводили в Интернет в среднем 38.5 часа в неделю. Некоторые интернетоманы

старались ходить в Сеть посреди ночи, чтобы избежать упреков со

стороны родных; другие норовили сказаться больными, чтобы иметь

возможность остаться дома и путешествовать по Интернет. Часть

людей растягивала обеденный перерыв на три часа, чтобы вдоволь

поиграть в Сети. (AP, UPI, 10 августа).

Профессор юриспруденции

Peter D. Junger возбудил дело в федеральном суде Кливленда. Цель

профессора - запретить федеральным властям ограничивать его или

чьи бы то ни было права на обсуждение несекретных криптографических

технологий с любым гражданином любой страны, равно как и права

на свободную публикацию информации такого рода. Толчком к подаче

иска стало раздражение профессора, вызванное ощущением, что законодательство

о контроле за международной торговлей оружием мешает ему обсуждать

криптографические алгоритмы в рамках курса по компьютерному праву,

среди слушателей которого есть иностранные студенты. ("COMTEX

News", 12 августа).

Эмоционально неуравновешенный

субъект, использовавший псевдоним "johnny xchaotic",

взял на себя ответственность за крупный взрыв "почтовой бомбы",

вызванный сфабрикованной подпиской десятков жертв на сотни списков

рассылки. В непоследовательном, бессвязном письме, посланном им

в Интернет, он (или она?) позволил себе грубые замечания в адрес

людей знаменитых и не очень, по существу лишившихся возможности

получать осмысленную электронную почту из-за приходящих каждый

день тысяч нежелательных сообщений. (Dow Jones, 16 августа). По-видимому,

тот же субъект, действуя на этот раз под псевдонимом "unamailer"

(так пресса окрестила виновника августовского происшествия), организовал

аналогичную массовую "подписку" в конце декабря.

В середине августа нападению

вандалов подвергся Web-сервер Министерства юстиции США. Электронные

"художники" поместили на сервер свастику, изображения

Гитлера, фотографии обнаженных женщин, а также грубые насмешки

в адрес администрации Клинтона и закона о благопристойности коммуникаций

(Communications Decency Act). Кроме того, была искажена информация

о правительственной программе помощи оскорбленным женщинам (AP,

17 августа). В сентябре список организаций с оскверненными Web-серверами

пополнили Британская консервативная партия, "Нация Ислама",

Американская ассоциация психоаналитиков и ЦРУ, которое шведские

кибервандалы 19 сентября переименовали в "Центральное Управление

Тупости". (Иллюстрация)

В городке Амерст (США)

воры украли компьютеры и носители данных с информацией, стоимость

которой оценивается в 250 миллионов долларов. Этот случай следует

охарактеризовать как акт откровенного промышленного шпионажа,

направленного против компании Interactive Television Technologies,

Inc. Похищенная информация касалась совершенно секретного проекта

по превращению каждого телевизионного приемника в устройство доступа

к Интернет.

Вирус "HDEuthanasia",

который создал некто с псевдонимом "Demon Emperor",

вызвал в августе легкую панику, главным образом из-за преувеличений

и передергиваний в средствах массовой информации. На самом деле,

этот "скачущий" вирус не обладает какими-то уникальными

свойствами. (PA News, 20 августа; Reuters, 22 августа).

По сообщению журнала "Defense

News", американская армия в Боснии столкнулась с многочисленными

случаями заражения компьютерными вирусами "Monkey",

"AntiEXE" и "Prank". Армейскому персоналу

пришлось потратить сотни часов, отыскивая вирусы и очищая зараженные

системы. (RISIS 18.39).

В Хельсинки Johan Helsingius

опротестовал обвинение в том, что большая часть мировой детской

порнографии пересылается через его сервис анонимной почты anon.penet.fi.

Спустя короткое время он все-таки закрыл свой сервис, поскольку

продолжавшееся полицейское расследование вызвало у него отвращение.

(Reuters, 28 августа; см. также www.stack.nl/~galactus/remailers/index-penet.html).

Новости из подполья. Шайка

криминальных хакеров "Scriptors of Doom" начала еженедельную

публикацию средств использования слабостей в защите операционной

системы HP-UX. Криминальный хакер "Galf" начал мстить

за нападки на Netta Gilboa на съезде Defcon, разрушая системы

обидчиков.

Автоматическое обновление уязвимостей

До недавнего времени пополнение сканера новыми уязвимостями проводилось достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии программного обеспечения.
Сейчас ситуация меняется. В некоторых системах, например, HackerShield существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей. При этом соединение с сервером может производиться как по требованию оператора системы, так и по заданному расписанию.

Автоматизированная система разграничения доступа Black Hole версии BSDI-OS.

"Black Hole" ( продукт компании Milkyway Networks ) - это firewall, работающий на proxy серверах протоколов прикладного уровня ( TELNET, FTP и т.д. ). Он служит для разграничения доступа между локальной и глобальной сетью ( ИНТЕРНЕТ ) или между двумя подразделениями локальной сети ( ИНТРАНЕТ ). "Black Hole" построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.
"Black Hole" поддерживает следующие виды сервисов:

терминальный доступ (TELNET)

передача файлов (FTP)

почта (SMTP)

новости Usenet (NNTP, SNNTP)

Web (HTTP, HTTPS)

Gopher

Real Audio

Archie

Wais

X Window System

Кроме этого, в состав "Black Hole" входят proxy сервер уровня TCP и proxy сервер для UDP протокола.
"Black Hole" осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам.

Правила доступа могут использовать в качестве параметров:

адрес источника

адрес назначения

сервис ( FTP, TELNET, и т.д.)

дата и время доступа

идентификатор и пароль пользователя

"Black Hole" поддерживает строгую аутентификацию как с использованием обычных
паролей, так и различных типов одноразовых паролей:

S/Key

Enigma Logic Safeword

Security Dynamics SecureID,

при этом аутентификация может быть включена для любого вида сервиса.
"Black Hole" поддерживает два режима аутентификации:

аутентификацию каждой TCP сессии

прозрачную аутентификацию

Второй режим позволяет прозрачно пользоваться всеми авторизованными
пользователю сервисами ( без аутентификации каждой сессии ). Для установки этого
режима пользователю необходимо аутентифицироваться при помощи одного из
следующих сервисов ( TELNET, FTP, Gopher, WWW). Для каждого пользователя можно
задать период времени, в течении которого он может использовать этот режим. Это
позволяет создать крайне удобный для пользователя режим использования firewall.
Система выдачи предупреждений о попытках НСД в реальном времени в "Black Hole"

позволяет администратору системы описывать опасные события и реакцию на них

системы (вывод на консоль, звонок на пейджер и т.д.)

"Black Hole" позволяет описывать различные типы нарушений и определять реакцию

на их появление.

"Black Hole" позволяет образовывть соединения за один шаг ( т.е. в качестве хоста

назначения сразу указывается необходимый сервер, без первоначального

соединения с proxy и с proxy до нужного хоста).

"Black Hole" предоставляет сервис для создания групп пользователей, сервисов,

хостов и сетей и позволяеть создавать правила для этих групп, что дает возможность

легко описывать и администрировать большое количество пользователей.

"Black Hole" имеет удобную и дружественную графическую оболочку под X-Windows,

так что настойкой системы может заниматься неискушенный в UNIX человек. Все

административные функции могут быть выполнены из этой оболочки. Ядро ОС

модифицировано для защиты графического интерфейса от внешнего доступа.

"Black Hole" предоставляет следующие возможности по конвертации адреса

источника пакета при прохождении через firewall:

адрес может быть заменен на адрес firewall;

адрес может быть оставлен без изменения;

адрес быть заменен на выбранный администратором

Последняя опция позволяет для пользователей INTERNET представлять

внутреннюю сеть как состоящую из набора подсетей.

"Black Hole" позволяет организвать дополнительную подсеть (Service Network) (через

дополнительный сетевой интерфейс) для открытых сервисов (FTP, HTTP, Gopher).

Это позволяет вынести эти сервисы из внутренней сети, обеспечив при этом

контроль доступа и сбор статистики за использованием этих сервисов.

"Black Hole" использует для хранения и обработки статистической информации

реляционную базу данных с языком запросов SQL. Большой выбор типов выборок

по различным параметрам соединения в сочетании со средствами графического

представления

"Black Hole" функционирует на PC и Sun Sparc платформах под управлением

модифицированных версий операционных систем BSDI и SunOS.

"Black Hole" имеет сертификат NCSA, гарантирующий его высокую надежность и уровень защиты.

"Black Hole 3.0" для BSDI платформы сертифицирована Государственной Технической Комиссией при Президенте России. СЕРТИФИКАТ N79

Безопасность в Internet

Системы и методы обнаружения вторжений:
современное состояние и направления совершенствования
А.А. Корниенко, ПГУПС, И.М. Слюсаренко «InfoSoftCom»

Брешь в конфиденциальности (Практика использования сети Интернет в конкурентной разведке)

Евгений Ющук

Кевин Митник: поймай меня, если сможешь...

Андрей Кадацкий

Intrusion Detection Systems (IDS)
Лекция из курса "Межсетевое экранирование"

Лапонина Ольга Робертовна

Интернет-Университет Информационных Технологий, INTUIT.ru

Создание VPN с использованием протоколов PPP и SSH. Глава из книги "LINUX. Создание виртуальных частных сетей (VPN)"

Олег Колесников, Брайан Хетч, Издательство "КУДИЦ-ОБРАЗ"

VPN в Linux - простой способ

abdullah

Posix.ru

Политики безопасности компании при работе в Internet

CISO Сергей Петренко, CISSP Владимир Курбатов, Группа компаний "АйТи".

"IT Manager", #01/2005

Защита конфиденциальной информации в Интернете на основе встраивания данных в цифровые изображения

Михаил В. Смирнов, http://www.smirnov.sp.ru/.

Сильнее угроза - крепче защита
Елена Полонская, Издательский Дом "КОМИЗДАТ"

Примеры использования IPF

Darren Reed, http://coombs.anu.edu.au/~avalon/examples.html, перевод Михаила Печкина, OpenBSD.ru

Настройка Ethernet Bridge

OpenBSD.ru

Безопасность систем электронной почты

Александр Таранов, Олег Слепов, "Jet Info", #6/2003

Поиск уязвимостей в современных системах IDS

Евгений Жульков, Открытые системы, #07-08/2003

Honeynet Project: ловушка для хакеров

Ланс Спитцнер, Открытые системы, #07-08/2003

Безопасность Web-сервисов

Автор: Билал Сиддикуи (Bilal Siddiqui)
Перевод: Intersoft Lab
Авторские права: market@iso.ru

Вопросы обеспечения безопасности корпоративных беспроводных сетей стандарта 802.11. Специфика России.

Максим Филиппов, ОАО "Элвис-Плюс", журнал "Сети", №7 2003г.

Свободно распространяемые средства защиты: шанс или казус?

Джордж Лоутон, Открытые системы, #03/2003

Правила пользования... электронной почтой?

Михаил Савельев, LAN, #04/2002

Выявление уязвимостей компьютерных сетей.

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Бронежилет для компьютера

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Новые грани обнаружения и отражения угроз

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Способы обхода межсетевых экранов

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Инженеры человеческих душ

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Как работает сканер безопасности?

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Firewall - не панацея

А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"

Защищаем электронную почту

Мэтью Ньютон Журнал "Мир ПК", #06/2000

Защищая "последнюю милю"

Джоул СНАЙДЕР, журнал "Сети", #02/2000

Хроника хакерской атаки

Дебора РЭДКЛИФФ, Журнал "Сети", #02/2000

Направления развития средств безопасности предприятия

Виктор Олифер, Корпорация Uni

Совершенствование системы безопасности предприятия на основе продуктов компании CheckPoint Software Technologies

Виктор Олифер, Корпорация Uni

Безопасность TCP/IP

Vadim Kolontsov

Атака через Internet

Медведовский И.Д., Семьянов П.В., Платонов В.В., НПО "Мир и семья-95", 1997 г.

Адаптивное управление защитой

Алексей ЛУКАЦКИЙ, НИП "Информзащита", СЕТИ #10/99

Компьютерные атаки: что это такое и как защититься от них

перевод Владимира Казеннова

FAQ: Системы обнаружения атак на сетевом уровне

Robert Graham, перевод Алексея Лукацкого, НИП "Информзащита"

"Системы анализа защищенности. Стратегия выбора"

НИП "Информзащита"

"Обнаружение атак. Сетевой или системный уровень?

НИП "Информзащита"

Руководство пользователя по обеспечению безопасности pи pаботе на компьютеpе

Э. Гутман, Л. Леонг, Дж. Малкин

Эксперты дискутируют о настоящем и будущем систем обнаружения атак,
А.Лукацкий, руководитель отдела Internet-решений НИП "Информзащита"

Система анализа защищенности Internet Scanner

Информация предоставлена НИП "Информзащита"

Система обнаружения атак RealSecure

Информация предоставлена НИП "Информзащита"

Система анализа защищенности System Security Scanner

Информация предоставлена НИП "Информзащита"

Руководство администратора межсетевого экрана Aker 3.01

Информация предоставлена "Р-Альфа"

RFC1244

Перевод Владимира Казеннова

Специальная публикация NIST 800-10. Джон Вэк и Лиза Карнахан "Содержание сети вашей организации в безопасности при работе с Интернетом"

Перевод Владимира Казеннова

Барбара Гутман, Роберт Бэгвилл "Политика безопасности при работе в Интернете - техническое руководство"

Перевод Владимира Казеннова

Информационная безопасность 1996

M.E. Kabay, перевод компании Jet Infosystems

"Опыт работы с межсетевым экраном FireWall-1 компании Check Point"

Е.В.Балакшин, С. В. Хлупнов, Корпорация ЮНИ

Брандмауэры

Информация предоставлена "Р-Альфа"

Cisco IOS Firewall Feature Set

Cisco PIX Firewall

ПАНДОРА

BlackHole

Gauntlet

Aker

Введение в безопасность в Internet.

В. Галатенко, И. Трифоленков, АО "Инфосистемы Джет"

Безопасность в Internеt. С.Рябко, АО ЭЛВИС+

Правовые основы деятельности по защите информации от несанкционированного доступа

В. Бутенко, В. Громов, Гостехкомиссия России

Межсетевые экраны Gauntlet и Black Hole

М. Ганев, "Р-Альфа"

Межсетевой экран FireWall-1

Корпорация ЮНИ

Инструментальные средства изучения защищенности информационных систем

И. Трифаленков, Jet Infosystems

document.write(' Безопасность в Internet

Блокирование доступа до веб-сайтов по категориям, объему трафика и времени!
Более 280.000.000 известных URL, включая .RU/.SU/.РФ. Подробная отчетность.
Настройка правил для отдельных компьютеров, сотрудников и групп пользователей.
Защита от вирусов, шпионского ПО и веб-сайтов с низким уровнем доверия.
ДВА программных продукта БЕСПЛАТНО');

Новости мира IT:

02.08 - Компания HP открыла базовые приложения мобильной платформы webOS

02.08 - Релиз KDE SC 4.9

02.08 - Fujitsu, NTT DoCoMo и NEC создали предприятие по разработке мобильных чипов

02.08 - Seagate выпустит гибридные накопители корпоративного класса

02.08 - ПК-рынок вырос почти на 12 процентов

01.08 - Google представила релиз web-браузера Chrome 21

01.08 - Представлена энергоэффективная WORM-память, производимая по рулонной технологии

01.08 - Google откладывает начало поставок медиаплеера Nexus Q

01.08 - Microsoft запустила новый почтовый сервис Outlook.com

01.08 - Путин: РФ в будущем может перейти на электронную идентификацию граждан

01.08 - Apple представит iPhone нового поколения 12 сентября

01.08 - Смартфоны позаботятся о безопасности водителей

01.08 - Квартальная прибыль Seagate выросла в девять раз

01.08 - «Карта Интернета» расскажет о связях между сайтами

01.08 - Яндекс объявляет финансовые результаты за II квартал 2012 года

31.07 - Новую Mac OS X загрузили три миллиона раз за четыре дня

31.07 - Мобильная Opera набрала 200 миллионов пользователей

31.07 - Nokia свернула производство телефонов в Финляндии

31.07 - В Twitter насчитали полмиллиарда пользователей

31.07 - Debian 8.0 присвоено имя "Jessie". Релизу Debian 7.0 мешает большое число блокирующих ошибок

Архив новостей

Безопасность в Internet

Последние комментарии:

К 2017 году Android займёт половину мирового рынка смартфонов (66)

2 Август, 17:53

Глава Valve назвал Windows 8 "катастрофой" (19)

2 Август, 17:51

Nokia сдаёт позиции на рынке смартфонов (34)

2 Август, 15:40

Неудачные инвестиции обойдутся Microsoft в 6,2 миллиарда долларов (42)

2 Август, 15:35

Релиз KDE SC 4.9 (1)

2 Август, 14:54

Apple представит iPhone нового поколения 12 сентября (3)

2 Август, 14:34

Новую Mac OS X загрузили три миллиона раз за четыре дня (3)

2 Август, 14:15

Google представила релиз web-браузера Chrome 21 (2)

2 Август, 13:34

Samsung работает над смартфонами Odyssey и Marco п/у Windows Phone 8 (7)

2 Август, 13:04

Представлена энергоэффективная WORM-память, производимая по рулонной технологии (3)

2 Август, 12:28

BrainBoard.ru

Море работы для программистов, сисадминов, вебмастеров.

Иди и выбирай!

Loading

google.load('search', '1', {language : 'ru'}); google.setOnLoadCallback(function() { var customSearchControl = new google.search.CustomSearchControl('018117224161927867877:xbac02ystjy'); customSearchControl.setResultSetSize(google.search.Search.FILTERED_CSE_RESULTSET); customSearchControl.draw('cse'); }, true);

IT-консалтинг

Software Engineering

Программирование

СУБД

Безопасность

Internet

Сети

Операционные системы

Hardware

Информация для рекламодателей

PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597

Пресс-релизы — pr@citforum.ru

Послать комментарий

Информация для авторов

This Web server launched on February 24, 1997

Copyright © 1997-2000 CIT, © 2001-2009 CIT Forum

Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...

Студия СТИЛЬ-купе: шкафы-купе c гарантией.

перевозки и грузоперевозки

Межсетевой экран BlackHole является фильтром

Межсетевой экран BlackHole является фильтром на уровне приложений и служит для защиты от

несанкционированного доступа машин в приватной сети. Поддерживаются все

стандартные сетевые протоколы семейства TCP/IP (например TELNET,FTP,HTTP,

TCP sessions, UDP virtual sessions). В случае типичной установки межсетевой экран

располагается между приватной сетью и глобальной сетью Internet.

Межсетевой экран базируется на принципе - "что не разрешено, то запрещено".

Межсетевой экран защищает приватную сеть на уровне конкретных протоколов и "сырого"

соединения. Пересылка пакетов стандартным путем (IP forwarding) полностью

блокирована. Все запросы, идущие через межсетевой экран полностью аутентифицированы.

BlackHole разрабатывался таким образом, чтобы создать наиболее комфортабельные

условия для пользователей защищенной сети, поэтому имеет прозрачный режим

работы. В последнем случае пользователь аутентифицируется при первоначальном

использовании межсетевого экрана, после чего от него не требуется дополнительная аутентификация в

течение времени, определяемого администратором.

Аутентификация пользователей производиться по следующим правилам:

Где находиться с использованием исходного и конечного адресов

запроса

Что хочет с использование типам запрошенного сервиса

Когда хочет с использованием времени суток и даты запроса

Что он знает с использованием имени пользователя и пароля

Что у него есть с использованием смарт-карты

Межсетевой экран записывает в журнал информацию о все сетевых сессиях, проходящих через него.

Дата и время суток

Тип соединения или протокол

Исходный адрес инициатора

Удаленный адрес запроса

Номер порта для "сырого" соединения

Имя аутентифицированного пользователя

Информацию о трафике

Боязнь открытых текстов

Некоторые компании опасаются приобретать свободно распространяемое программное обеспечение, поскольку оно разработано не в одной определенной компании и не поддерживается программными средствами, которые они привыкли приобретать. В силу этого, как прогнозирует Девид Московиц, директор по технологиям консалтинговой компании Productivity Solutions, многие свободно распространяемые средства начинают использоваться лишь после того, как его по собственной инициативе опробуют ИТ-специалисты и постепенно внедрят его на предприятии.

Большое число обнаруживаемых уязвимостей

Текущая версия системы Internet Scanner (версия 5.4) обнаруживает более 400 уязвимостей, что почти в 1.5 раза превышает число обнаруживаемых уязвимостей у ближайших конкурентов. Система Internet Scanner проводит 20 различных категорий проверок, к которым можно отнести:

Получение информации о сканируемой системе

Проверки FTP

Проверки сетевых устройств

Проверки электронной почты

Проверки RPC

Проверки NFS

Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service")

Проверки паролей

Проверки Web-серверов

Проверки Web-броузеров

Проверки возможности осуществления атак типа "подмена" ("Spoofing")

Проверки межсетевых экранов

Проверки удаленных сервисов

Проверки DNS

Проверки файловой системы ОС Windows NT

Проверки учетных записей ОС Windows NT

Проверки сервисов ОС Windows NT

Проверки системного реестра ОС Windows NT

Проверки установленных patch'ей системы безопасности ОС Windows NT

Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.

Большое число проводимых проверок

Текущая версия системы System Security Scanner обнаруживает около 200 уязвимостей ОС UNIX (версия 1.6 для ОС Unix) и более 300 уязвимостей ОС Windows NT, Windows 9x (версия System Scanner 1.0 для Windows). Система System Security Scanner проводит различные категории проверок, к которым можно отнести:

Получение информации о сканируемой системе

Проверки настроек FTP

Проверки настроек электронной почты

Проверки настроек RPC

Проверки настроек NFS

Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service")

Проверки паролей

Проверки настроек Web-серверов

Проверки настроек Web-броузеров

Проверки настроек удаленных сервисов (в т.ч. RAS для ОС Windows NT).

Проверки настроек DNS

Проверки файловой системы ОС Windows NT

Проверки учетных записей ОС Windows NT

Проверки настроек сервисов ОС Windows NT

Проверки системного реестра ОС Windows NT

Проверки установленных patch'ей системы безопасности ОС Windows NT

Проверки антивирусных программ

Проверки прикладного ПО (в т.ч. Microsoft Office)

Проверки настроек модемов.

Большое число распознаваемых атак

Система RealSecure? позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Ниже описаны основные типы контролируемых событий:
"Отказ в обслуживании" (Denial of service)

Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.
"Неавторизованный доступ" (Unauthorized access attempt)

Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.
"Предварительные действия перед атакой" (Pre-attack probe)

Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.
"Подозрительная активность" (Suspicious activity)

Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.
"Анализ протокола" (Protocol decode)

Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.
Периодическое обновление базы данных атак позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.

Задание шаблонов фильтрации трафика

Для более точной настройки системы RealSecure? на работу в сетевом окружении, администратор безопасности может использовать либо один из восьми (для версии 2.5) изначально устанавливаемых шаблонов, либо создавать на их основе свои собственные шаблоны, учитывающие специфику Вашей корпоративной сети. Все вновь созданные шаблоны могут быть сохранены для последующего использования.

"Максимум возможностей" (Maximum Coverage)

Данный шаблон позволяет использовать абсолютно все возможности модуля слежения системы RealSecure?, включая обнаружение атак, анализ протоколов, запись сессий и т.п.

"Детектор атак" (Attack Detector)

Данный шаблон позволяет только обнаруживать атаки. Этот шаблон может быть использован для обнаружения и отражения атак на ресурсы особо критичных участков или узлов сети.

"Анализатор протоколов" (Protocol Analyzer)

Данный шаблон является противоположным "детектору атак", т.е. все возможности по обнаружению атак отключены и доступны только функции контроля сетевых протоколов. Указанный шаблон может использоваться администраторами для понимания всех процессов, происходящих в корпоративной сети.

"Web-сторож" (Web Watcher)

Данный шаблон позволяет контролировать только HTTP-траффик сети. Указанный шаблон может использоваться администраторами для определения HTTP-траффика Вашей корпоративной сети или для контроля этого трафика в сегментах, в которых установлены только Web-сервера.
При использовании данного шаблона обнаруживаются только атаки, основанные на использовании протокола HTTP.

"Windows-сети" (For Windows Networks)

Данный шаблон позволяет контролировать трафик, специфичный для Windows сетей. Указанный шаблон можно использовать, например, в тех сетях, которые построены на базе операционной системы Windows NT. При использовании данного шаблона обнаруживаются только атаки, специфичные для сетей, построенных на основе семейства операционных систем Windows.

"Запись сессий" (Session Recorder)

Данный шаблон позволяет записывать сессии по протоколам Telnet, FTP, SMTP (электронная почта) и NNTP (сетевые новости).

"Модуль слежения в DMZ" (DMZ Engine)

Данный шаблон ориентирован на функционирование модуля слежения в демилитаризованной зоне (DMZ).

"Модуль слежения до межсетевого экрана" (Engine Inside Firewall)

Данный шаблон ориентирован на функционирование модуля слежения за межсетевым экраном.

Борьба с червями

Sygate Personal Firewall Pro5.5 и Zone Lab ZoneAlarm Pro 4.5 никогда не были замечены ни в атаке на "своих, чтоб чужие боялись", ни в чрезмерном попустительстве по отношению к другим приложениям. Благодаря этому они предоставляют широкие возможности контроля за системой. Однако если нетерпеливый администратор будет сначала жать на кнопку OK, а потом думать, о чем же это его предупреждают, то он подвергнет систему большому риску.
Возьмем, к примеру, червь Bagle, который маскируется под Windows Explorer. Когда он пытается передать данные в интернет, межсетевые экраны McAfee, Norton, Sygate и ZoneAlarm фиксируют это и дают администратору соответствующий запрос. Если тот проявит достаточно бдительности, то заинтересуется, зачем это Проводнику вдруг понадобилось выйти в Сеть. Но если администратор "проспит" тревожный сигнал и просто нажмет OK, то будет сам отвечать за последствия.
Во избежание подобных проблем можно воспользоваться межсетевым экраном с фильтрацией портов (экран такого типа встроен в Windows XP) или с фильтрацией портов и пакетов, как в Trend Micro PC-cillin Internet Security 2004. При фильтрации пакетов межсетевой экран контролирует данные, передаваемые в обоих направлениях между сетью и компьютером, на предмет известных уязвимых мест или подозрительного поведения. Например, таким образом блокируются попытки "нелегального" доступа к портам, открываемым почтовыми вирусами-червями, для получения инструкций от удаленного хакера.
Вообще-то в обязанности межсетевого экрана не входит "отлов" червей и нелегальных программ — это дело антивируса. Однако антивирусные сканеры лучше всего работают тогда, когда могут сравнить потенциальный вирус с базой данных уже известных вирусов. Если же вирус "свежий", то он часто остается нераспознанным до тех пор, пока не будет внесен в базу данных и пока она не будет обновлена на зараженном компьютере. На это может уйти от нескольких часов до нескольких дней, а с учетом лени администратора — и недель.
Проведенные тесты показали следующие возможности распространенных межсетевых экранов. При попытке программы организовать массовую почтовую рассылку, содержащую ее копии, McAfee и ZoneAlarm блокируют эту операцию независимо от того, рассылаются ли письма все сразу или по очереди; при этом пользователь получает предупреждение. Panda останавливает "червя" иначе: блокирует все исходящие письма, содержащие во вложениях исполняемые файлы.
Если же червь, такой как Bagle, пытается нелегально открыть порт системы и получит инструкции от удаленного хакера, Panda ничего не может сделать. Маршрутизаторы же блокируют это действие, а программные межсетевые экраны, работающиепо принципу предоставления полномочий, — McAfee, Norton, Sygate и ZoneAlarm — предупреждают о нем пользователя. Впрочем, при этом они принимают червя за Windows Explorer, не сообщая, что на самом деле это червь, маскирующийся под Проводник. Межсетевые экраны с фильтрацией портов PC-cillin и экран Windows XP защищают компьютер тихо и надежно — они сами блокируют попытки червя получить доступ к порту, не заставляя пользователя гадать над значением предупреждений.
Злонамеренные программы не только по-тихому открывают порты — они могут начисто "оголить" компьютер, отключив систему защиты. Panda, Sygate и ZoneAlarm сопротивляются таким атакам, но межсетевой экран Windows XP, McAfee, Norton и Trend Micro выключаются под воздействием кода вторжения — более того, такой код способен удалить файлы последних трех пакетов.

Брандмауэр

Информация предоставлена "Р-Альфа"
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или
более частей и реализовать набор правил, определяющих условия прохождения пакетов из
одной части в другую (см рис.1).
Как правило, эта граница проводится между локальной сетью
предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия.
Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего
пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы
брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том,
как эти правила описываются и какие параметры используются при их описании речь пойдет
ниже.

Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это
BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных
платформ встречаются INTEL, Sun SPARC, RS6000, Alpha , HP PA-RISC,
семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры
поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства.
Требования к оперативной памяти и объему жесткого диска зависят от количества машин в
защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб
на жестком диске.
Как правило, в операционную систему, под управлением которой работает
брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти
изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом
брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр),
только счет администратора. Некоторые брандмауэры работают только в однопользовательском
режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При
этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются
при старте программы во избежание подмены программного обеспечения.
Все брандмауэры можно разделить на три типа:

пакетные фильтры (packet filter)

сервера прикладного уровня (application gateways)

сервера уровня соединения (circuit gateways)

Все типы могут одновременно встретиться в одном брандмауэре.

Централизованное управление

Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места, а также отсутствие специальных программ-агентов на сканируемых узлах, делает систему Internet Scanner&153; незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.

Возможность установки модулей слежения на наиболее критичные участки Вашей сети и возможность централизованного управления ими из единого рабочего места делает систему RealSecure? незаменимым помощником специалистов отделов технической защиты информации любой организации. Также возможен доступ к одному модулю слежения одновременно с нескольких консолей управления. Это дает возможность управлять модулем слежения нескольким администраторам, возможно находящимся в разных подразделениях (например, в отделе защиты информации и управлении автоматизации).

Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места делает систему System Security Scanner? незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.
Система System Security Scanner? обладает уникальной возможностью централизованной инсталляции своих компонентов на удаленных хостах корпоративной сети. Это позволяет администраторам безопасности не сходя со своего рабочего места установить систему S3 на все критичные участки Вашей корпоративной сети и своевременно проводить анализ защищенности узлов.

Что делать с новыми "микробами"?

В своей работе антивирусные сканеры опираются в основном на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они "ловят" и новые вирусы, которых а базе нет, используя эвристические алгоритмы. Строго говоря, слово "эвристический" здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков — например, кода, использующего известную "дыру" в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные "нечеткие" схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков — например, зная признаки вируса Netsky.gen, можно "отловить" его новые варианты вроде Netsky.R.
По данным тестов, из рассмотренных программ самыми удачными эвристическими алгоритмами обладают McAfee и AVG, идентифицирующие 70,1% и 65,6% файлов, зараженных неизвестными вирусами; худший результат оказался у NOD32 — 41,4%. И в любом случае, это гораздо меньше и медленнее, чем при распознавании известных вирусов, так что основным средством своевременного лечения по-прежнему остается регулярное обновление антивирусных баз.
Все программы тестировались в режиме максимально тщательного сканирования. Особый случай представлял собой NOD32: в этой программе предусмотрен повышенный по сравнению с жестким диском уровень эвристического сканирования Advanced Heuristics для электронной почты и веб-трафика, этих основных источников инфекций. Для сканирования жесткого диска этот режим тоже можно использовать, но не средствами графического интерфейса, а с помощью недокументированной команды nod32.exe /AH. В режиме Advanced Heuristics качество сканирования NOD32 возрастает до 53,5%.
К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции только в том случае, если последние принадлежат к уже известным вирусным "семействам", но оказываются бессильны при встрече с совершенно новым вирусом. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных.
Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл.

Что реально можно ожидать от систем обнаружения атак?

Маркус Ранум: Системы обнаружения атак достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем (однако в этих областях уже достигнуты немалые успехи; особенно с развитием теорий нейронных сетей и нечеткой логики - примечание переводчика). Также не следует ожидать, что системы обнаружения атак способны реагировать на атаки путем нападения. Это очень опасная возможность, так как она означает, что ложная тревога или ложное срабатывание может вызвать реакцию, запрещающую ту или иную услугу или блокирующую доступ в сеть. Проблема с системами обнаружения атак состоит в том, что, многие люди, прочтя Neuromancer Уильяма Гибсона, думают, что системы обнаружения атак действуют подобно интеллектуальному "ICE" (что-то вроде искусственного разума, обеспечивающего защиту информационной системы - примечание переводчика) и могут защитить сети намного эффективнее, чем это может быть на самом деле. Я вижу, что, скорее всего, системы обнаружения атак похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях.
Ли Саттерфилд: Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность операционной системы, обнаруживать несанкционированные действия, и автоматически реагировать на них практически в реальном масштабе времени,. Кроме того, системы обнаружения атак могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки,, разнесенные во времени, и, тем самым, прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый "стандартными" средствами, путем управления несанкционированными действиями в реальном масштабе времени. Технология обнаружения атак не решает проблем идентификации/аутентификации, конфиденциальности и т.п., хотя в ближайшем будущем эти механизмы будут интегрированы с системами обнаружения атак.
Кристофер Клаус: Развитие систем обнаружения атак требует дальнейших исследований. Нереально ожидать от систем обнаружения атак, что они будут способны подобно межсетевым экранам защитить всех пользователей от всех угроз (спорный пример - прим. переводчика). Развертыванию системы обнаружения атак должно предшествовать несколько шагов, позволяющих собрать дополнительную информацию, внести изменения в настройки сети. Хорошая система автоматизирует многие этапы этого процесса. Многие заказчики думают, что средства защиты, подобные системам обнаружения атак, защитят их от 100% "плохих вещей". Это не так. В современном мире нет абсолютных средств защиты. Системы обнаружения атак значительно уменьшат вероятность реализации угроз, но и они не совершенны.
Девид Карри: При помощи систем обнаружения атак Вы сможете узнать больше относительно того, что происходит в вашей сети. Вы будете способны собирать данные о том, что поступает в вашу сеть из удаленных источников, и использовать эти данные для эффективного применения средств защиты информации. Однако ошибочно думать, что установка систем обнаружения атак решит все ваши проблемы. Вы по-прежнему должны будете иметь комплексную систему информационной безопасности, объединяющую политику безопасности, обучение, тестирование и применение технических средств. Обнаружения атак - только один элемент этой системы.
Юджин Спаффорд: Реально ожидать от систем обнаружения атак идентификации в практически реальном режиме времени любых попыток использования известных уязвимостей или несанкционированного исследования вашей внутренней сети. Они также должны следить за попытками перегрузки критичных ресурсов. Наряду с этим, они должны выдавать звуковые предупреждения об атаке, выполнять определенные действия и создавать журнал регистрации событий для последующего анализа.
Неразумно ожидать, что системы обнаружения атак будут эффективно идентифицировать неизвестные типы нападений или идентифицировать атаки, разнесенные во времени.
Любая существующая или создаваемая система требует периодического контроля и сопровождения технически грамотным специалистом, постоянно дополняющим ее информацией о новых атаках и уязвимостях. Любая система в некоторых случаях будет ложно генерировать тревоги и сообщать о нападениях. Поэтому требуется некто с достаточным пониманием среды функционирования системы обнаружения атак, который может принимать решения, - ложная ли это тревога или произошла реальная атака.

Что такое IDS

IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности. Мы рассмотрим, для каких целей предназначены IDS, как выбрать и сконфигурировать IDS для конкретных систем и сетевых окружений, как обрабатывать результаты работы IDS и как интегрировать IDS с остальной инфраструктурой безопасности предприятия.
Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDS являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.
IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.

Что такое Internet Scanner?

Система анализа защищенности Internet Scanner&153; разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner&153; вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.
Система Internet Scanner&153; может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.
Постоянная уверенность в том, что в Вашей сети отсутствуют известные уязвимости, достигается путем периодического сканирования функционирующих сетевых устройств и используемого программного обеспечения. Эти профилактические меры помогут Вам своевременно обнаружить потенциальные уязвимости и устранить их до того момента, как ими воспользуются злоумышленники.
Достоинства системы Internet Scanner&153; были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner&153; имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, система Internet Scanner&153; содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.

Что такое межсетевой экран?

Теперь немного терминологии. В данной статье мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные. Уточним основные понятия (по материалам руководящего документа Государственной технической комиссии России).
Под сетями ЭВМ, распределенными автоматизированными системами (АС), в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.
МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Упрощенно, firewall — это устройство, устанавливаемое между сетями и предназначенное для контроля трафика ними.
Как видно из определения, основное назначение систем firewall — регламентировать использование ресурсов одних сетей пользователями других. Появление таких устройств обусловлено существенным усложнением архитектуры сетей и ростом числа различных сетевых сервисов. Основная идея, положенная в основу этого решения, — сосредоточить в одной критической точке все необходимые контрольные функции вместо того, чтобы контролировать доступ и используемые сервисы на всех компонентах сети. Наиболее широкое распространение эта технология защиты получила при использовании открытых сетей.

Что такое RealSecure?

Система обнаружения атак RealSecure? разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure? - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure? построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host-based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut.
Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов Вашей корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.
Достоинства системы RealSecure? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система RealSecure? имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, периодическое обновление базы данных атак системы RealSecure? выгодно отличает ее от других конкурирующих продуктов.

Что такое система анализа защищенности?

При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.
Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.

При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.
Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.

Что такое система обнаружения атак?

Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.
До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.
Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.

Что такое System Security Scanner?

Система анализа защищенности System Security Scanner? (S3) разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. В отличие от системы Internet Scanner, анализирующей уязвимости на уровне сетевых сервисов, система S3 анализирует уязвимости на уровне операционной системы. Кроме того, система S3 проводит анализ защищенности изнутри сканируемого компьютера, в то время как система Internet Scanner? снаружи. На основе проведенных тестов система System Security Scanner? вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.
Система System Security Scanner? может быть использована для анализа защищенности операционных систем Unix (различные версии), Windows NT, Windows 95 и 98.
Большинство нарушений безопасности связано с сотрудниками организации (до 80% всех нарушений). Поэтому система System Security Scanner?, обеспечивающая не только поиск уязвимостей, но и их автоматическое устранение, является важной составляющей комплексной системы безопасности Вашей организации.
Достоинства системы System Security Scanner? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система System Security Scanner? содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.

Cisco IOS Firewall Feature Set

Информация предоставлена "Р-Альфа"
Продукция компании Cisco Systems используется примерно на 80% хостов в Интернет. Операционная система Cisco - IOS содержит в своем составе различные механизмы защиты, включая средства разграничения доступа, расширенные списки межсетевого доступа, средства организации виртуальных корпоративных сетей и т.д.
Firewall Feature Set (FFS) представляет из себя набор дополнительных сервисов, которые позволяют существенно приблизить возможности операционной системы IOS к возможностям межсетевого экрана без приобретения дорогостоящего дополнительного оборудования или программного обеспечения.

Cisco PIX Firewall

Информация предоставлена "Р-Альфа"
Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернет во внутреннюю сеть, так и наоборот.
Для настройки PIX можно использовать графическую оболочку, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров, PIX позволяет осуществлять аутентификацию пользователей. Для аутентификации используются протоколы TACACS+ и RADIUS, которые позволяют использовать для аутентификации как обычные UNIX пароли, так и систему одноразовых паролей S/Key.
PIX позволяет поддерживать до 16 000 одновременных TCP/IP соединений и обеспечивать пропускную способность до 90 Мбит/с. PIX построен на базе сетевой операционной системы CISCO IOS, что обеспечивает полную совместимость по протоколам и средствам мониторинга и управления с оборудованием CISCO, масштабируемость сетей, построенных на базе CISCO, привычный для администраторов CISCO маршрутизаторов интерфейс.

Декабрь

Видный гражданский ученый,
работавший на Канадское министерство национальной обороны, был
арестован по обвинению в торговле детской порнографией после того,
как полиция обнаружила в его каталогах на правительственных компьютерах
большое количество противозаконных материалов. Какие еще примеры
нужны, чтобы убедить руководителей в том, что каждая организация
нуждается в тщательно проработанной, ясной политике, регламентирующей
использование корпоративных Интернет-ресурсов? ("Globe and
Mail", 10 декабря).
Министр здравоохранения
канадской провинции Онтарио Jim Wilson 9 декабря подал в отставку
после того, как правительство решило расследовать действия его
прежнего помощника по коммуникациям, передавшего в газету "Globe
and Mail" конфиденциальную информацию. ("Globe and Mail",
10 декабря).
Телефонного оператора
из Австралии обвинили во вторжении в телефонную линию радиостанции
во время соревнования за приз размером в 40 тысяч американских
долларов. Таким путем оператор обеспечил себе "счастливый"
10-й номер среди позвонивших. В процессе расследования, проведенного
полицией, вскрылись еще две аналогичные махинации, осуществленные
им ранее. (UPI, 10 декабря).
Двое молодых людей признали
себя виновными в шалости на почве корпоративного шпионажа. Шутники
послали в адрес компании Owens Corning безграмотное, с многочисленными
ошибками письмо, запрашивая 1000 долларов в обмен на секретную
информацию, украденную у конкурента - PPG Industries. Patrick
Worthing, 27 лет, контролировал в PPG работу уборщиков и операторов
опытных образцов машин. Он имел доступ во все кабинеты исследовательского
центра PPG и, как предполагают, выкрал списки клиентов, проекты,
секретные формулы, спецификации продуктов и видеозаписи работы
нового оборудования. Благодаря помощи со стороны предполагаемого
покупателя, ФБР смогло арестовать преступников. По иронии судьбы,
два года назад такое же благородство пришлось продемонстрировать

теперешней жертве. Тогда руководители PPG Industries получили

письмо с предложением приобрести секреты, украденные у Owens Corning;

те шпионы также были пойманы ФБР. Обе компании настаивают, что

приобретать информацию, украденную у конкурентов, - глупо и незаконно.

(AP, 11 декабря).

Согласно распространенному

во Флориде докладу, предполагаемые затраты на поиск и исправление

ошибок "двухтысячного года" в производственных системах

(написанных по большей части на Коболе) составляют от 88 до 120

миллионов долларов. Разумеется, ошибки должны быть исправлены

до конца 1999 года. (UPI, 12 декабря).

Зубной врач из Сан-Диего

получил более 16 тысяч экземпляров новой налоговой формы штата

Калифорнии. Виновницей является программа управления почтовой

рассылкой. (RISKS 18.68).

В субботнее утро 14 декабря,

в 00:20, началась атака против доступности сервера WebCom (Санта-Круз).

Атакующий устроил "SYN-наводнение", посылая по 200 пакетов

в секунду. В результате, во время пикового периода продаж, Web-страницы

сотен фирм оказались блокированными на 40 часов. Источник атаки

проследили до некоего места в Британской Колумбии; ФБР и канадская

полиция продолжают поиск преступников. Перед нами еще один случай,

ставший следствием безответственной публикации в журналах "2600"

и "Phrack" подробных инструкций по организации "SYN-наводнения".

(AP, 17 декабря; RISKS 18.69).

Переброской называется

мошенническое, непрошенное переключение междугородных звонков

на другую компанию-оператора дальней связи. Результат переброски

- испуг жертв, получивших большие счета за телефонные переговоры

по сравнению с ожидаемыми от привычного оператора. В середине

декабря Управление по контролю над общественной занятостью (DPUC)

штата Коннектикут было переброшено фирмой Wiltel, без всяких на

то прав переключившей на себя 6 из 14 линий. (RISKS 18.69).

Matthew D. Healy сообщил о серьезной "дыре" в серверном программном

обеспечении httpd, разработанном в Национальном центре суперкомпьютерных

приложений ( National Center for Supercomputing Applications, NCSA)

в университете Иллинойса. Любой сервер, выполняющий CGI-процедуру

phf, можно обманом заставить переслать файл /etc/passwd любому

пользователю. Мистер Хили утверждал, что несколько компьютеров

в Йельской школе медицины были успешно атакованы именно таким

способом, и убеждал читателей проверить регистрационные журналы

своих серверов, чтобы узнать, не "скачивал" ли кто-нибудь

файл паролей. (RISKS 18.69). В ответ на множество невежливых,

оскорбительных писем, пришедших после публикации предостережения,

Хили заметил, что, действительно, "дыра" была известна

с марта 1996 года, но он не является профессионалом в области

информационной безопасности, он просто пытается администрировать

учебный компьютер. (RISKS 18.70).

18 декабря Dan Farmer,

автор программной системы SATAN (Security Administrator's Tool

for Analyzing Networks - инструмент администратора безопасности

для анализа сети), опубликовал результаты предварительной проверки

примерно 2200 компьютерных систем, подключенных к Интернет. Само

сканирование Фармер проводил в ноябре-декабре 1996 года. Для проверки

он выбрал популярные и коммерчески-ориентированные Web-серверы;

в качестве "контрольной группы" использовались случайно

выбранные серверы. Применяя простые, ненавязчивые методы, Фармер

установил, что примерно две трети из числа так называемых "интересных"

систем имели серьезные потенциальные бреши в защите. Для сравнения:

среди случайно выбранных систем бреши встречались примерно в два

раза реже! (См. www.trouble.org/survey).

В небольшом городке недалеко

от Копенгагена, шесть датских криминальных хакеров, атаковавших

военные и коммерческие компьютеры (в том числе компьютеры Пентагона),

были приговорены к минимальным срокам тюремного заключения, а

также к штрафам и исправительным работам. Один хакер получил 90

дней тюрьмы, его "коллега" - 40 дней. Согласно утверждениям

адвокатов, "преступники сделали своим жертвам одолжение,

продемонстрировав уязвимость их компьютерных систем". (AP,

19 декабря).

29 декабря Web-страница

ВВС США была "взломана" и разрушена, что побудило Пентагон

отключить от Интернет почти все свои Web-страницы. (Reuters, 30

декабря; AP, 31 декабря).

Информационный сервис

Edupage суммирует первоначальную реакцию на "новое"

законодательство администрации Клинтона в области экспорта криптосредств,

обнародованное в последние дни 1996 года:

Правила экспорта криптосредств вступают в силу, оставаясь

спорными

Министерство торговли

ввело в действие новые правила, призванные ослабить ограничения

на экспорт криптографического программного обеспечения. Тем не

менее, в компьютерной индустрии считают, что эти правила по-прежнему

являются слишком обременительными. Они будут препятствовать эффективной

конкуренции с зарубежными производителями мощных криптосредств.

Юрист из бесприбыльного Информационного центра электронной конфиденциальности

характеризует правительственную стратегию как "игру в фантики".

Он считает, что между старыми и новыми правилами очень мало функциональных

различий, и напоминает, что старые правила были частично отвергнуты

районным судьей из Сан-Франциско. "Они просто завернули конфету

в другой фантик, по существу оставив правила без изменений."

("Washington Post", 31 декабря 1996 года).

В конце года в Интернет

начали циркулировать следующие сатирические вариации на тему вирусного

предупреждения "Good Times":

Новые сногсшибательные новости о вирусе "GOODTIMES"

Оказывается, что этот

так называемый выдуманный вирус на самом деле очень опасен. "Goodtimes"

затрет Ваш жесткий диск. Впрочем, не только его. Он сделает гоголь-моголь

из всех дисков, просто лежащих поблизости от компьютера. Он изменит

режим работы Вашего холодильника, так что все Ваше мороженое растает.

Он размагнитит полоски на всех Ваших кредитных картах, разрегулирует

Ваш телевизор и использует подпространственные гармоники, чтобы

поцарапать компакт-диски, которые Вы попытаетесь проиграть.

Он передаст Вашей прежней

подружке Ваш новый телефонный номер. Он подольет кисель в аквариум.

Он выпьет все Ваше пиво и выложит грязные носки на кофейный столик

как раз к приходу гостей. Он засунет дохлого котенка в задний

карман Ваших лучших брюк и спрячет ключи от машины, когда Вы будете

опаздывать на работу.

"Goodtimes"

заставит Вас влюбиться в пингвина. Он навеет ночные кошмары про

цирковых лилипутов. Он вольет сироп в бензобак Вашего автомобиля

и сбреет Ваши брови, одновременно назначив за Вашей спиной свидание

Вашей подружке и расплатившись за обед и гостиничный номер Вашей

кредитной картой.

Он соблазнит Вашу бабушку.

И не важно, что она уже умерла. Сила "Goodtimes" такова,

что достанет кого угодно и в могиле, лишь бы запятнать все самое

дорогое для Вас.

Он много раз случайным

образом передвинет Вашу машину на стоянке, так что Вы не сможете

найти ее. Он даст пинка Вашей собаке. Он оставит в голосовой почте

Вашего шефа сладострастные послания, произнесенные Вашим голосом.

Он хитер и коварен. Он неуловим. Он опасен и ужасен на вид. Он

бесплотный дух розовато-лиловых тонов.

"Goodtimes"

заразит Вас столбняком. Он запрет туалет изнутри. Он замесит в

Вашей ванне бетон. Он оставит бекон поджариваться на плите, а

Вас в это время заставит бегать за школярами с двустволкой."

Дополнительная информация

Дополнительная информация о компьютерных атаках может быть найдена в статье "Понимание глобального набора программ для организации атак с помощью набора зависимых классификаторов".

Дополнительные возможности

В качестве возможных расширений межсетевой экран позволяет использовать VPN (по специальной
лицензии). Используемые в составе VPN алгоритмы работы являются уникальными и
не позволяют организовать приватный канал с межсетевого экрана других производителей. При
общении между двумя и более BlackHole имеющаяся система поддержки VPN позволяет
решать задачи взаимной аутентификации и смены ключей весьма эффективно.
Новое название Black Hole - SecurIT FIREWALL.

Единый формат базы уязвимостей

В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST в университете Purdue разработала проект такой базы данных. Одна из проблем, с которой пришлось столкнуться исследователям, - это описание уязвимостей и их проверок (атак).

Февраль

14 февраля агентство новостей
"Новый Китай" сообщило, что все китайские пользователи
Интернет должны будут впредь регистрироваться в компетентных органах.
Это сообщение обозначило начало процесса официального закрытия
доступа в Интернет для граждан Китайской Народной Республики.
В сентябре в Китае запретили доступ более чем к ста Web-серверам,
включая "Wall Street Journal", "Washington Post"
и CNN. К концу 1996 года китайские пользователи были официально
ограничены сетью, которая по сути представляет собой Интранет
с фильтрацией международного трафика через национальные межсетевые
экраны.
В средствах массовой информации,
не имеющих технической специализации, появилась куча историй о
предполагаемой опасности заражения вирусом, получившим название
Boza/Bizatch и специфичным для Windows 95. Заблаговременные комментарии
специалистов о чрезвычайно низкой вероятности поражения этим вирусом
были буквально сметены нахлынувшей волной слухов, что привело
к панике среди неквалифицированных пользователей персональных
компьютеров и к всеобщему, хотя и необоснованному, недоверию к
антивирусным продуктам.
Федеральный судья в Филадельфии
вынес частичное временное ограничивающее решение, запрещающее
проведение в жизнь положения закона "О благопристойности
коммуникаций", касающееся непристойностей. Это решение стало
первой победой в юридической борьбе против закона "О благопристойности
...", принятого в конце 1995 года и встреченного всеобщим
негодованием, поскольку по мнению многих он противоречит Первой
поправке к конституции США, гарантирующей свободу слова. Детали
данного судебного дела и последующего успеха в запрещении проведения
в жизнь закона "О благопристойности ..." можно найти
на Web-сервере www.epic.org и по адресу www.aclu.org/issues/cyber/trial/trial.html. В декабре дело передано в Верховный суд, слушания
назначены на март 1997 года.
Представители компании
Intuit Inc. подтвердили, что в их программах расчета налогов (TurboTax

и MacInTax) были ошибки. Компания поместила исправления на свой

Web-сервер, предложила консультационную поддержку и пообещала

уплатить штрафы, наложенные на пользователей из-за ошибок, допущенных

ее программистами. Этот пример полезен для всех теоретиков и практиков

контроля качества, когда нужно проиллюстрировать затраты и выгоды,

связанные с инвестированием более половины средств, выделяемых

на разработку программного обеспечения, в контроль качества.

Профессор Ed Felten и

его дипломники из Принстонского университета продолжали анализировать

слабости в безопасности Java-систем (подробности см. по адресу

www.cs.princeton.edu/sip/). В ноябре David Martin

из Бостонского университета и его коллеги Sivaramakrishnan Rajagopalan

и Avi Rubin

(оба из компании Bellcore) указали (см. RISKS 18.61), что Java-аплеты

могут атаковать межсетевые экраны изнутри. Их статью можно найти

по адресу lite.ncstrl.org:3803/Dienst/UI/2.0/Describe/ncstrl.bu_cs%2f96-026.

Peter Neumann, ведущий

телеконференции RISKS, рассказал еще об одном случае кибервандализма

(см. также RISKS 17.83). Информационная система небольшой компании

BerkshireNet - поставщика услуг Интернет в городке Питсфилд (пригород

Бостона, штат Массачусетс), 27 февраля 1996 года стала жертвой

атаки, в процессе которой некто, действовавший под видом системного

администратора, уничтожил данные на двух компьютерах, после чего

остановил работу системы. Внеплановый простой продлился около

12 часов. Старые удаленные файлы удалось восстановить, однако

файлы, созданные в течение нескольких последних дней, оказались

утерянными. Перед нами еще один случай, иллюстрирующий важность:

защиты Web-серверов

от несанкционированных изменений;

проводимого достаточно

часто резервного копирования.

29 февраля, как сообщил

в RISKS 17.81 один из корреспондентов, он обнаружил в своем электронном

почтовом ящике присланные из разных мест письма со следующими

датами: 29 Feb 96, 28 Feb 96, 1 May 131, 10 Jan 1936, 1 Jan 70

и 29 Dec 95. Как поют Pink Floyd, еще один кирпич в стене 2000

года...

В Англии криминальные

хакеры изменили тексты, передаваемые говорящими автобусными остановками

(см. RISKS 17.81). Видимо, в качестве демонстрации своих крайне

хвастливых заявлений о том, что криминальное хакерство является

полезной формой социального протеста (такого рода лапшу вешают

в каждом номере ежеквартального хакерского издания 2600), кибервандалы

заменили информацию, необходимую незрячим людям, на ругательства

и непристойности.

В феврале в группу IS/Recon

поступило пространное письмо, автором которого считается Nathaniel

Bornstein. В письме утверждается, что компания First Virtual Holdings

разработала и продемонстрировала программу, полностью подрывающую

безопасность всех известных механизмов шифрования в кредитных

картах для Интернет-коммерции. По мнению автора письма, проблема

не может быть решена с помощью заплат, поскольку она вызвана принципиальным

дефектом, присущим всем схемам шифрования в кредитных картах.

Автор, используя сильные выражения, утверждает, что все методы

передачи информации о кредитных картах внутренне небезопасны (поскольку

все нажатия на клавиатуре персонального компьютера могут быть

зафиксированы троянской программой). Он формулирует следующий

тезис: "На персональном компьютере информация оказывается

незащищенной уже в момент прикосновения к клавише".

FireWall-1 сертифицирован Гостехкомиссией

8 октября 1997 года межсетевой экран FireWall-1 компании Check Point Software Technologies Ltd., пройдя сертификационные испытания, получил сертификат Государственной технической комиссии при Президенте Российской Федерации № 111.

Firewall - не панацея

А. В. Лукацкий

Научно-инженерное предприятие "Информзащита"
Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.
Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.
Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).
На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана - это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.
В данной статье я не буду говорить о достоинствах названных типов межсетевых экранов (этому посвящено немало публикаций), а основное внимание уделю недостаткам, присущим всей технологии в целом.

Форматы отчетов

Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:

текстовом;

DIF (Data Interchange Format);

HTML;

Microsoft Word.

В зависимости от версии системы Internet Scanner&153; дополнительно возможен экспорт отчетов в форматах:

Lotus 1-2-3;

RTF;

CSV;

Microsoft Excel;

и многие другие.

Возможно создание графической карты сети (Network Map), содержащей данные об узлах сети и имеющихся на них уязвимостях.

Подсистема генерации отчетов позволяет создавать документы в более чем 30 различных форматах:

Character-separated values;

Comma-separated values (CSV);

Crystal Report;

DIF (Data Interchange Format);

Excel 2.1;

Excel 3.0;

Excel 4.0;

Excel 5.0;

Excel 5.0 (расширенный);

HTML 3.0;

HTML 3.2 (стандартный);

HTML 3.2 (расширенный);

Lotus 1-2-3 (WK1);

Lotus 1-2-3 (WK3);

Lotus 1-2-3 (WKS);

различные форматы баз данных через драйвер ODBC;

Rich Text Format (RTF);

текстовый;

Microsoft Word;

и многие другие.

Кроме того, система RealSecure? дополнительно позволяет:

сохранять отчеты на жестком диске;

сохранять отчеты в базе данных Lotus Notes;

сохранять отчеты в папке Microsoft Exchange;

пересылать отчеты при помощи механизма Microsoft Mail (MAPI).

Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:

текстовом;

HTML;

CSV;

и многие другие.

Функционирование под управлением многих операционных систем

Система Internet Scanner&153; позволяет проводить анализ защищенности любых сетевых устройств и операционных систем, поддерживающих стек протоколов TCP/IP. Это связано с тем, что при тестировании имитируются атаки, использующие уязвимости протоколов TCP/IP, независимо от платформы, на которой они реализованы. Однако за счет поиска уязвимостей, присущих конкретным системам, максимальной эффективности можно достигнуть при сканировании следующих операционных систем:

Windows NT;

Windows 95;

SunOS;

Solaris;

HP UX;

AIX;

Linux.

Система System Security Scanner? позволяет проводить анализ защищенности следующих операционных систем:

Windows NT;

Windows 95;

Windows 98;

SunOS;

Solaris;

HP UX;

AIX;

IRIX;

Linux.

Функционирование системы Internet Scanner

Система Internet Scanner&153; выполняет серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атаки на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы и т.п., и заканчивая попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля".
Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.

Функционирование системы RealSecure

Система RealSecure? может использоваться как для обнаружения атак, осуществляемых снаружи корпоративной сети, так и для выявления внутренних нарушений требований установленной политики безопасности. Применение системы RealSecure? не исключает использования других средств обеспечения информационной безопасности, таких как, например, межсетевые экраны, серверы аутентификации и т.п.
Некоторые организации назначают отдельные подразделения или людей, которые контролируют в реальном масштабе времени сетевой трафик и соответствующим образом реагируют на атаки в случае их обнаружения. Другие организации воздерживаются от контроля в реальном масштабе времени и полностью полагаются на последующий анализ регистрационных журналов. Указанные решения зависят от структуры организации и от того насколько полно укомплектован отдел защиты информации или управление автоматизации. Система RealSecure? одинаково хорошо поддерживает оба этих варианта.
Система RealSecure? не только позволяет эффективно обнаруживать и отражать атаки на узлы Вашей сети. Данные, сохраняемые в регистрационных журналах, позволяют проводить периодический анализ уровня защищенности сети. Например, если в процессе анализа журналов выясняется, что определенные узлы сети подвергаются большому числу атак, можно исследовать, почему это происходит и выработать эффективные меры по дальнейшему предотвращению такого рода атак.
Модули слежения системы RealSecure? необходимо установить на каждый сегмент сети, в котором циркулирует критичная информация. Это позволит дополнить существующие механизмы разграничения доступа (например, систему Secret Net), предотвращая и регистрируя все попытки обойти их.

Функционирование системы System Security Scanner

Система System Security Scanner? выполняет анализ защищенности узла с двух позиций. Во-первых, анализируются настройки операционной системы, которые могут быть использованы злоумышленниками для осуществления атаки. А во-вторых, сканируемая система проверяется на наличие "следов", уже оставленных злоумышленниками.
Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.

Где должна быть размещена система

Ранум: Я бы поместил систему обнаружения атак внутри. Почему я должен заботиться, нападает ли кто-то вне моего межсетевого экрана? В случае если они проникнут внутрь, система обнаружения атак должна определить это. Размещение системы снаружи быстро убаюкает бдительность администратора. Как-то я использовал высокоэффективный межсетевой экран, который предупреждал меня, когда происходила атака. Двумя неделями позже я удалял предупреждающие сообщения еще до их прочтения. Другой важный фактор, говорящий за помещение системы обнаружения атак внутрь, что далеко не все атаки происходят снаружи. Такое размещение позволит обнаружить новое сетевое соединение или атакующих, проникших через "черный ход", например, через модем.
Карри: Система обнаружения атак должны быть размещена там, где она сможет контролировать наиболее интересующий вас трафик. Например, если Вы опасаетесь вторжения из Internet, то имеет смысл поместить систему обнаружения атак снаружи межсетевого экрана. Это позволит "свободно" контролировать весь входящий трафик. Если вы помещаете систему внутрь, то вы не видите всего трафика, приходящего из Internet, в том числе и от "плохих парней".
Саттерфилд: Система обнаружения атак играет важную роль и внутри и снаружи межсетевого экрана. Снаружи межсетевого экрана система обнаружения атак контролирует трафик, приходящий на почтовые и Web сервера (размещенные в DMZ - примечание переводчика). Что более важно, такое размещение позволяет видеть трафик, который обычно блокируется межсетевым экраном и остается необнаруженным внутренними системами. Внешнее расположение также дает выгоду в случае постоянного контроля сетевых услуг, "законных" для межсетевого экрана (например, контроль почтовых бомб в SMTP-трафике - примечание переводчика). Внутреннее размещение позволяет контролировать трафик во внутренней, защищаемой сети. Это важно, особенно для защиты от авторизованных пользователей. Главный же недостаток такого размещения - невозможность контроля трафика, приходящего из внешних, недоверенных сетей. При таком размещении система обнаружения атак не в состоянии вовремя предупредить об очевидных сигналах о надвигающейся атаке (например, при сканировании портов - примечание переводчика).
Клаус: Снаружи межсетевого экрана - это почти всегда хорошая идея. Защита устройств, находящихся в демилитаризованной зоне и дополнительный уровень защищенности внутренней сети. После межсетевого экрана - тоже неплохо. Обнаружение попыток несанкционированного использования туннелей через межсетевой экран и превосходный источник данных о его функционировании. Однако быть может самым лучшим местом развертывания системы обнаружения атак будет ваша intranet. Каждый согласится, что атака не единственное событие, приносящее вред. Существуют еще мошенничество, шпионаж, воровство и неправильное использование сетевых ресурсов. Системы обнаружения атак также эффективны внутри сети, как и снаружи, особенно, если они просты в эксплуатации и не влияют на производительность сети.
Спаффорд: Система обнаружения атак всегда должна находиться после межсетевого экрана, чтобы обнаружить злоупотребления, совершаемые авторизованными пользователями, и некоторые типы атак, "проходящие" через межсетевой экран. Размещение снаружи может быть полезным, если вы хотите контролировать атаки на межсетевой экран и осуществлять контроль трафика, блокированного межсетевым экраном. Однако развертывание системы обнаружения атак будет бесполезным, если вы не до конца понимаете топологию и состав своей сети.

Глубина сканирования

Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может использовать либо один из четырех изначально устанавливаемых шаблонов, определяющих степень детализации сканирования (Heavy, Medium, Light, OS Identification), либо создавать на их основе свои собственные шаблоны, учитывающие специфику используемого сетевого окружения. Все вновь созданные шаблоны могут быть сохранены для последующего использования.

Безопасность и Internet - статьи

Guardian в межсетевом экране является заменой стандартного UNIX inetd демона. В данной
реализации межсетевого экрана guardian является единственным процессом, находящегося в ожидании соединения по сети. При получении соединения этот процесс сверяется со
специальной базой данный, и в случае, если соединение разрешено, запускает соответствующий
proxy.

Guardian управляется специальной программой контроля, допускающей
использование команд: THROTTLE (остановить), RELEASE (продолжить работу),
RECONFIGURE (перечитать файл конфигурации).

Guardian стартует при первоначальном запуске системы и должен управляться
только через вышеописанный интерфейс.

Июль

Два жителя Бруклина были
арестованы за кражу 80 тысяч номеров сотовых телефонов у проезжих
автомобилистов. По словам сотрудников секретных служб, это крупнейшая
кража такого рода в истории США. Если бы эти номера удалось реализовать
на черном рынке, ущерб от незаконно использованных телефонных
услуг составил около 80 миллионов долларов (AP, 2 июля).
В июльском выпуске бюллетеня
"Health Letter" сообщается, что аналоговые сотовые телефоны
вызывают "минимальную интерференцию" в течение 3% времени
своей работы, тогда как все цифровые телефоны демонстрируют заметный
уровень интерференции с устройствами, задающими частоту сокращения
сердечной мышцы. (RISKS 18.47).
Потерпев впечатляющую
неудачу в контроле качества продуктов для других стран, корпорация
Microsoft вынуждена была принести извинения за испаноязычный электронный
словарь, распространявшийся в Мексике. Словарь предоставлял непристойные
синонимы многих слов и вызвал политический скандал. (6 июля).
35-летний компьютерный
оператор нанес своему работодателю, компании Thorn UK, ущерб в
размере более полумиллиона фунтов. Оператор, в знак недовольства
начальником, скрытно отсоединил несколько кабелей от миникомпьютера
AS/400. Адвокат пытался доказать, что его подзащитный сошел с
ума от напряжения, вызванного постоянным чередованием работы с
дневную и ночную смены. После отключения кабелей компьютерная
система стала периодически зависать, пока дорогостоящий специалист,
прилетевший из США, не обнаружил проявления саботажа. Оператора
приговорили к году тюремного заключения. (PA News, 9 июля).
Полиция предупредила путешественников
о необходимости защищать свои лэптопы от краж в аэропортах. Обычный
сценарий кражи таков. Два вора дожидаются, когда их жертва поставит
лэптоп на ленту транспортера устройства просвечивания. Компьютер
начинает движение через сканер, а в это время воры влезают в очередь
перед хозяином лэптопа. Один быстро проходит контрольный пункт,
а другой, намеренно набравший в карманы всяких железяк, задерживает

всех на несколько секунд. Пользуясь этим, первый вор хватает выехавший

из устройства просвечивания переносной компьютер и исчезает. ("Wall

Street Journal", 9 июля).

В августовском номере

Windows Magazine сообщается, что многие Web-серверы не защищены

от вторжений, совершаемых с помощью обычных программ-навигаторов.

Используя стандартные средства поиска в WWW, исследователи обнаружили,

что многие серверы предоставляют неограниченный доступ к своим

файлам на чтение и даже на запись. (Более подробную информацию

можно найти по адресу http://techweb.cmp.com/corporate).

Национальная ассоциация

кабельного телевидения США объявила о своем намерении предоставить

кабельное хозяйство для высокоскоростного доступа в Интернет для

95 тысяч частных и общественных школ. (AP, 9 июля). Не было никаких

свидетельств, что программа включает в себя какие-либо элементы

обучения детей и учителей, которые получат доступ к Интернет.

Будем надеяться, что школьникам хотя бы разъяснят основные этические

нормы, ведь результатом всеобщего неведения может стать новое

поколение криминальных хакеров.

Сингапур пополнил список

правительств, пытающихся препятствовать свободному информационному

обмену с остальным миром. Новые правила лицензирования ставят

поставщиков Интернет-услуг под строгий контроль, обязывая их по

возможности блокировать антиправительственные и порнографические

материалы. Компетентные органы, однако, настойчиво отрицают наличие

какой бы то ни было цензуры; по их словам, они просто просят лицензиатов

об ответственном поведении. (AP, 11 июля). В течение недели одна

из компаний-поставщиков закрыла доступ к телеконференции Usenet,

в которой житель Сингапура покритиковал авторитетную сингапурскую

юридическую фирму. (AP, 19 июля). Агентский сервер китайского

правительства начал функционировать в конце августа; в сентябре

его ввели в промышленную эксплуатацию. В конце сентября в Бирме

запретили использование модемов и факс-машин.

Старшеклассники из Сан-Франциско

проникли в офисную АТС местной производственной компании и атаковали

ее систему голосовой почты. Они удалили информацию, изменили пароли,

завели новые счета для собственного использования и в конце концов

развалили систему, перегрузив ее. Компания потратила 40 тысяч

долларов на техническую поддержку, осуществляемую внешним специалистом.

("San Francisco Chronicle", 10 июля 1996 года, с. A13;

RISKS 18.26).

В середине июля корпорация

General Motors отозвала 292860 автомобилей марки Pontiac, Oldsmobile

и Buick моделей 1996 и 1997 годов, поскольку ошибка в программном

обеспечении двигателя могла привести к пожару. (RISKS 18.25).

Одна студентка потеряла

драгоценную стипендию в 18 тысяч долларов в Мичиганском университете

из-за того, что ее соседка по комнате воспользовалась их общим

входным именем и отправила от имени своей жертвы электронное письмо

с отказом от стипендии. (UPI, 12 июля). Месяцем позже соседка

созналась в своем поступке, заплатила крупный штраф, а университет

восстановил пострадавшую студентку в правах.

Компания Dataquest опубликовала

прогноз, согласно которому объем мирового рынка информационной

безопасности за период с 1996 по 2000 год более чем удвоится и

составит в денежном выражении 13.1 миллиарда долларов (в 1996

году - 5.9 миллиарда).

По сообщению специалистов

компании McAfee, в июле был открыт первый в мире макровирус для

Excel, названный "Laroux". Компания тут же выпустила

антивирусную программу. По-видимому, этот вирус не содержит разрушительной

"начинки".

22 июля фондовая биржа

в Иоханнесбурге прервала работу во второй раз за последние две

недели (10 июля было установлено новое программное обеспечение).

Причина - плохой контроль качества программ. (RISKS 18.28). В

середине октября Каирская фондовая биржа столкнулась с проблемами

в недавно установленном программном обеспечении. После аварии

системы биржевые цены и объем торгов значительно упали (Reuters,

16 октября). В декабре фондовая биржа в Гонконге испытала падение

акций на 1% при объеме торгов в 1 миллиард долларов, когда система

автоматического сопоставления и исполнения заявок выдала ложное

сообщение о снижении на 4% индекса Hang Seng (это основной показатель

на данной бирже). Ошибочные данные вызвали панические продажи,

продолжавшиеся около 20 минут. (RISKS 18.67).

24 июля в Комитет по торговле

Сената США поступил законопроект 1726 - "Поддержка онлайновой

коммерции в цифровой век" (Promotion of Commerce Online in

the Digital Era Act, известный также под названием "pro-code").

Этот законопроект должен отменить большинство экспортных ограничений

и запретить обязательное восстановление ключей. В сентябре слушания

по законопроекту не состоялись.

В подпольном мире состоялся

крупный съезд криминальных хакеров (Defcon IV). В Лас-Вегас приехали

также некриминальные элементы, заинтересованные в информационной

безопасности. Среди докладчиков была Netta Gilboa, издатель журнала

"Gray Areas Magazine". В свое время у нее нашел убежище

юный беглец Christopher Schanot. Ее выступление постоянно перебивали

и в конце концов вырвали презентационные материалы у нее из рук.

Этот инцидент вызвал бурное негодование в списке рассылки DEFCON.

Июнь

Правительство Вьетнама
опубликовала новые законы о контроле доступа к Интернет, закрыв
все сервисы, представляющие угрозу национальным интересам. (AP,
4 июня).
В газете "London
Times" от 3 июня сообщается, что хакерам было выплачено 400
миллионов фунтов стерлингов в качестве отступного за обещание
не поднимать шума. Хакеры осуществили электронное проникновение
в ряд банков, брокерских контор и инвестиционных компаний Лондона
и Нью-Йорка, установив там логические бомбы. Банки предпочли удовлетворить
требования вымогателей, поскольку огласка случаев электронного
взлома могла бы поколебать уверенность клиентов в безопасности
банковских систем.
Средства массовой информации
советуют администрации Клинтона сформировать группу обеспечения
кибербезопасности для определения национальных интересов при защите
от информационного оружия. ("USA Today", 5 июня).
В Питсбурге трехлетний
малыш получил извещение о необходимости уплатить 219495 долларов
подоходного налога. Родители мальчика пережили немало тяжелых
минут, доказывая, что произошла ошибка. ("Но мой компьютер
говорит...".)
На слушаниях в постоянном
сенатском подкомитете по исследованиям адвокат Dan Gelber привел
данные неназванной исследовательской фирмы. Согласно этим данным,
общемировые потери в секторе коммерческих и финансовых услуг составили
за год около 800 миллионов долларов. Более половины потерь приходится
на долю американских компаний. ("Wall Street Journal",
6 июня).
Содержите компьютеры в
чистоте! Как свидетельствует доклад, опубликованный в Швеции,
сочетание пыли и статического электричества приводит к росту числа
кожных раздражений у пользователей компьютерных терминалов. (RISKS 18.21).
Британская компания Davy
International возбудила иск о промышленном шпионаже против австралийской
фирмы VA Technologie AG. По постановлению суда истец получил документы
общим объемом 2000 страниц и компьютерные диски, содержащие информацию,
принадлежащую Davy International; все это было изъято у ответчика.

VA Technologie решительно отвергла обвинения в свой адрес (Dow

Jones, 6 июня). Несколько недель спустя норвежская кораблестроительная

фирма Kvaerner ASA (родительская компания Davy) присоединилась

к процессу против VA. Недолго думая, VA Technologie возбудила

встречный иск против своих обвинителей. (Dow Jones, 21 июня).

Телезрители чикагского

региона были поражены, когда вместо знакомой (весьма, кстати сказать,

слащавой) телеигры Jeopardy, в которой три участника дают ответы

в форме вопросов, они увидели прыгающих обнаженных женщин. Оказалось,

что из-за технической неисправности компания Continental Cablevision

10 минут транслировала Playboy Channel на частотах, выделенных

для телеигры. (RISKS 18.22).

Компания Lexis-Nexis,

предоставляющая информационные услуги, отреагировала на шквал

критики, в особенности от пользователей Интернет. В набор персональных

сведений, выдаваемых сервисом P-Trak Person Locator Service, перестал

включаться номер социального страхования. Однако, после тысяч

телефонных звонков по поводу ложной информации, циркулирующей

в Интернет, попавшая буквально в осаду компания предложила средства

для удаления неправильных записей из базы данных. (AP, 13 июня;

UPI, 20 сентября).

Министр юстиции США Janet

Reno поддержала идею составных ключей для криптостойких средств,

но предложила, чтобы в качестве хранителей ключей выступали частные

организации, а не правительственные агентства.

Секретные службы США объявили

об аресте 259 подозреваемых, которых обвиняют в нанесении ущерба

на сумму более 7 миллионов долларов в результате махинаций с сотовой

связью (Reuters, 18 июня). Практически одновременно AT&T Wireless

Services начала трехмесячную просветительскую компанию с размещением

информации в вагонах Нью-Йоркской подземки, на почтовых открытках

и рекламных щитах. Потенциальных воров предупреждали, что компании-операторы

сотовой связи имеют возможность отслеживать украденные телефоны.

Еще об одном подозрении

в промышленном шпионаже. Американское отделение немецкой фармацевтической

фирмы Boehringer Mannheim Corp. обвинило Lifescan Inc., подразделение

компании Johnson & Johnson, производящее продукты для диабетиков,

в поощрении промышленного шпионажа. Основанием для обвинения послужило

присуждение премий "Inspector Clouseau" и "Columbo"

сотрудникам, добывшим наибольшее количество сведений о конкурентах.

(AP, 19 июня).

В середине июня крупная

компания-поставщик Интернет-услуг Netcom допустила 13-часовой

перерыв в работе, результатом которого стало массовое негодование

клиентов и резкое падение курса акций - с $33.25 до $28.75 (Reuters,

21 июня; RISKS 18.23). Днем позже система электронной почты в

сети America Online была на час выведена из строя из-за ошибки

в новом программном обеспечении. Остроумные комментаторы тут же

переименовали сервис в "America Offline". В августе

сеть America Online не работала 19 часов.

В Британии Mathew Bevan

и Richard Pryce были обвинены в заговоре с целью получения несанкционированного

доступа к компьютерам и внесения несанкционированных модификаций

в компьютеры. Им приписывают вторжения в компьютерные системы

армии США и ракетно-космического концерна Lockheed. (PA News,

23 июня).

Подданный Аргентины Guillermo

Gaede был приговорен судом Сан-Франциско к 33 месяцам заключения

в федеральной тюрьме. Гильермо сознался в том, что он отправил

видеокассеты с описанием технологии производства Intel-микросхем

в адрес компании AMD, одного из главных конкурентов Intel. Представители

AMD немедленно уведомили полицию о присланном "подарке",

и это позволило задержать промышленного шпиона. (Reuters, 24 июня).

Директор ЦРУ John Deutch

предостерег Конгресс о том, что США сталкиваются с растущей угрозой

атак против компьютерных сетей. Эти киберпространственные атаки

могут быть инициированы другими странами и террористами.

В городе Леония (штат

Нью-Джерси) был арестован 14-летний мальчик. Его обвинили в использовании

фальсифицированных номеров кредитных карт для кражи компьютерного

оборудования на сумму 5 тысяч долларов. Мальчик использовал генератор

номеров кредитных карт, взятый им в Интернет, и случайно создал

номер кредитной карты. числившейся в списке украденных. (Reuters,

29 июня).

В июньском выпуске бюллетеня

"Health Letter", издаваемого Public Citizen Health Research

Group, рассказывается о влиянии радиочастотных помех на медицинские

устройства. Такие помехи не давали пневмо-монитору извещать персонал

больницы о прекращении дыхания у пациента. Имплантированный дефибриллятор

направлял импульс здоровому сердцу. Электрические устройства интерферировали

с двигателями инвалидных кресел. Особенно чувствительными к радиопомехам

оказались имплантированные устройства, задающие частоту сокращения

сердечной мышцы. (RISKS 18.47).

Один пункт в июньском

докладе группы NCSA IS/Recon представляет особый интерес. Приведем

его полностью.

Компьютерные системы библиотек

- излюбленные цели начинающих хакеров

Источник: IS/Recon

Дата: июнь 1996

Достоверность: высокая

Группа IS/Recon обратила

внимание на то, что компьютерные системы публичных библиотек стали

излюбленным объектом атак со стороны начинающих хакеров. Использование

этих систем "квалифицированными" хакерами также вероятно,

хотя они сообщают об этом реже, чем их младшие коллеги. Несколько

подпольных источников IS/Recon недавно опубликовали процедуры

атак на DYNIX - вариант ОС Unix, используемый во многих американских

школах и библиотеках.

После того, как члены

группы IS/Recon недавно ликвидировали последствия атаки шайки

хакеров на компьютерную систему небольшой компании-поставщика

Интернет-услуг, они выяснили, что эта шайка систематически вторгалась

в сети публичных библиотек штата. Примерно в это же время члены

группы IS/Recon проводили обследование компании, расположенной

в том же штате, на предмет ее информационной безопасности. Оказалось,

что в учебном центре компании имеется терминал, связанный с библиотечной

сетью.

Группа IS/Recon рекомендует,

чтобы компании, располагающие подключениями к сетям публичных

библиотек, изолировали их "воздушной прокладкой" от

остальной части своей корпоративной сети.

Имеется ли технология обнаружения атак, которая предпочтительней других?

Клаус: Сегодня имеется два основных подхода к построению систем обнаружения атак: анализ пакетов, передаваемых по сети и анализ журналов регистрации операционной системы или приложений. В то время как эти подходы имеют свои сильные и слабые стороны, мы чувствуем, что сетевой подход к обнаружению атак (network-based) более эффективен по двум причинам: реагирование в реальном масштабе времени и более низкая стоимость операций. Системы обнаружения атак, основанные на анализе сетевых пакетов, позволяют среагировать на нападение до того, как атакующий завершит его, тем самым, обеспечивая защиту в реальном масштабе времени. Развертывание системы обнаружения атак на сетевых сегментах более эффективно за счет быстрой инсталляции, а также за счет того, что пользователь не сможет отключить систему и тем самым нарушить защиту периметра.
Ранум: Имеется два основных типа систем обнаружения атак: экспертные и сигнализирующие системы. Экспертные системы пытаются анализировать сетевой трафик, "обучаться" на нем и обнаруживать аномалии. Это требует интенсивной работы и трудно реализуемо. Самая большая проблема экспертных систем - генерация большого числа ложных тревог. Такого рода системы для уменьшения числа ложных тревог требует предварительной настройки. Сигнализирующие системы обнаружения атак намного проще и более надежны. Они почти не выдают ложных тревог и не требуют серьезной настройки. Это, своего рода, решение "в лоб", которое заключается в поиске соответствий некоторому словарю известных нападений. Когда обнаруживается соответствие шаблону, система сигнализирует о нападении. Ни один из этих вариантов не лучше другого. Идеальным вариантом служила бы система, объединяющая в себе оба этих типа. Я предсказываю, что каждый производитель будет пытаться продавать свои системы как экспертные, поскольку сейчас это модно и позволяет получить больше денег.
Карри: Сегодня существует два основных подхода, применяемых в коммерческих системах - обнаружение атак на уровне сети (network-based) и на уровне хоста (host-based). Первые системы анализируют сетевой трафик, в то время как вторые - регистрационные журналы. В любом случае, система обнаружения атак ищет известные шаблоны, которые указывают на нападение. Принципиальное преимущество сетевых систем обнаружения атак в том, что они идентифицируют нападения прежде, чем оно достигнет атакуемой системы. Эти системы проще для развертывания на крупных сетях, потому что они не требуют установки на десятки различных платформ. И в заключение, эти системы практически не снижают производительности сети. Системы обнаружения атак на уровне хоста были разработаны для работы под управлением конкретной операционной системы. Используя знание того, как должна себя "вести" операционная система, средства, построенные с учетом этого подхода, иногда могут обнаружить вторжения, пропускаемые сетевыми средствами обнаружения атак. Однако, зачастую, это достигается дорогой ценой, потому что постоянная регистрация, необходимая для выполнения такого рода обнаружения, может снизить производительность защищаемого хоста. Оба эти подхода могут быть применены для защиты вашей организации. Если вы хотите защитить один или несколько узлов, то системы обнаружения атак на уровне хоста могут быть неплохим выбором. Но, если вы хотите защитить все узлы организации, то системы обнаружения атак на уровне сети, вероятно, будут лучшим выбором.
Саттерфилд: Имеется ли более предпочтительная технология обнаружения атак? На заре исследований в этой области постоянно проходили большие дебаты о том, какая модель обнаружения атак лучше - "обнаружение аномалий" (anomaly detection) или "обнаружение злоупотреблений" (misuse detection). "Аномальный" подход сосредотачивается на формировании статистической модели нормального поведения пользователей. Отклонение от модели является признаком нападения. Это красиво в теории, но практически нереализуемо. Этот подход страдает тем, что порождает слишком большое число ложных тревог. Второй подход (misuse detection) намного более простой. Ищите известные сигнатуры и бейте тревогу, когда найдете их. Это гораздо более надежно и выполнимо. Именно на этом подходе основаны практически все предлагаемые сегодня на рынке системы обнаружения атак. Сейчас намечаются сдвиги в развитии первого подхода. Я полагаю, что именно комбинация этих двух подходов станет первым шагом в развитии следующего поколения систем обнаружения атак. Я бы предложил термин "сигнатуро-основанное обнаружение аномалий". Это звучит несколько странно, но возможно именно этот термин будет главенствовать в следующие годы.
Спаффорд: Это зависит от того, какова угроза, политика безопасности, уровень защиты, доступность других мер (например, применение межсетевых экранов), вид реагирования и т.п. Например, система, осуществляющая статистический анализ журналов регистрации в поисках аномального поведения, хорошо подходит для обнаружения атак "постфактум". Такие системы сильно загружают процессор и требуют большого дискового пространства для хранения журналов регистрации и, в принципе, не применимы для высоко критичных систем, работающих в режиме реального времени. Системы, обнаруживающие атаки на основе анализа трафика, прекрасно применимы в системах, в которых наибольшее волнение вызывают внешние нарушители, которые пытаются применять "стандартные" средства поиска уязвимостей. Ни одна из названных систем не решает всех поставленных задач, и имеются свои плюсы и минусы.

"Имитация атак" (exploit check)

Перевода термина "exploit" в российских публикациях я нигде не встречал и эквивалента в русском языке также не нашел. Поэтому воспользуюсь переводом "имитация атак". Данные проверки относятся к механизму "зондирования" и основаны на эксплуатации различных дефектов в программном обеспечении.
Некоторые уязвимости не обнаруживают себя, пока вы не "подтолкнете" их. Для этого против подозрительного сервиса или узла запускаются реальные атаки. Проверки заголовков осуществляют первичный осмотр сети, а метод "exploit check", отвергая информацию в заголовках, позволяет имитировать реальные атаки, тем самым с большей эффективностью (но меньшей скоростью) обнаруживая уязвимости на сканируемых узлах. Имитация атак является более надежным способом анализа защищенности, чем проверки заголовков, и обычно более надежны, чем активные зондирующие проверки.
Однако существуют случаи, когда имитация атак не всегда может быть реализована. Такие случаи можно разделить на две категории: ситуации, в которых тест приводит к "отказу в обслуживании" анализируемого узла или сети, и ситуации, при которых уязвимость в принципе не годна для реализации атаки на сеть.
Как мы все знаем, многие проблемы защиты не могут быть выявлены без блокирования или нарушения функционирования сервиса или компьютера в процессе сканирования. В некоторых случаях нежелательно использовать имитацию атак (например, для анализа защищенности важных серверов), т.к. это может привести к большим затратам (материальным и временным) на восстановление работоспособности выведенных из строя элементов корпоративной сети. В этих случаях желательно применить другие проверки, например, активное зондирование или, в крайнем случае, проверки заголовков.
Однако, есть некоторые уязвимости (например, проверка подверженности атакам типа "Packet Storm"), которые просто не могут быть протестированы без возможного выведения из строя сервиса или компьютера. В этом случае разработчики поступают следующим образом, - по умолчанию такие проверки выключены и пользователь может сам включить их, если желает. Таким образом, например, реализованы системы CyberCop Scanner и Internet Scanner. В последней системе такого рода проверки выделены в отдельную категорию "Denial of service" ("Отказ в обслуживании"). При включении любой из проверок этой группы система Internet Scanner выдает сообщение "WARNING: These checks may crash or reboot scanned hosts" ("Внимание: эти проверки могут вывести из строя иди перезагрузить сканируемые узлы").

Информация о некоторых первоисточниках

Новостийные статьи обычно
разыскивались через сервис Executive News Service (ENS) сети CompuServe.
Информация о сервисе Edupage

Дайджесты Edupage пишут
John Gehl и Suzanne Douglas .
Телефон: (001) 404-371-1853, факс: (001) 404-371-8057. Техническая
поддержка осуществляется службой информационных технологий университета
штата Северная Каролина. Чтобы подписаться на Edupage, направьте
электронное сообщение по адресу:
listproc@educom.unc.edu
В теле сообщения напишите:
subscribe edupage Benjamin Disraeli
(если Вас зовут Бенджамин
Дизраэли; в противном случае укажите Ваше собственное имя). Чтобы
отказаться от подписки, направьте по вышеуказанному адресу текст
unsubscribe edupage
Если у Вас возникли проблемы
с подпиской, пишите по адресу:
manager@educom.unc.edu
Архивы и переводы. Дайджесты
Edupage переводятся на китайский, французский, немецкий, греческий,
иврит, венгерский, итальянский, корейский, литовский, португальский,
румынский, словацкий и испанский. Переводы и архивы можно найти
на Web-сервере www.educom.edu/
Чтобы получить информацию
о подписке на переводную версию Edupage, направьте письмо по адресу:
translations@educom.unc.edu
Educom - преобразуем образование
посредством информационных технологий.
Информация о телеконференции
RISKS

Дата: 15 августа 1996
года (дата последних изменений)
От: RISKS-request@csl.sri.com
Тема: Краткая информация
о телеконференции RISKS (comp.risks)
RISKS Forum - это модерируемый
дайджест. Его эквивалент в Usenet - comp.risks.
О подписке. Если это возможно
и удобно для Вас, читайте RISKS средствами телеконференций из
comp.risks или эквивалентного источника.
Можно использовать сервис
Bitnet LISTSERV.
Можно направить почтовый
запрос по адресу:
risks-request@csl.sri.com
с однострочным текстом:
SUBSCRIBE (или UNSUBSCRIBE)
[сетевой адрес, если он отличается от указанного в заголовке FROM:]
чтобы подписаться или
прекратить подписку на почтовую версию, или

INFO

чтобы получить краткую

информацию о телеконференции RISKS.

Информационный файл (аннотация,

подразумеваемые оговорки, архивные серверы, рекомендации для подписчиков

из областей управления .mil, .gov и .uk, политика в области авторских

прав, информация о дайджесте PRIVACY и т.п.) доступен по адресам:

http://www.CSL.sri.com/risksinfo.html

ftp://www.CSL.sri.com/pub/risks.info

Подробный информационный

файл появится отныне и на веки веков в одном из следующих выпусков.

Предполагается, что все

авторы, пишущие в RISKS, ознакомились с информационным файлом.

Материалы в телеконференцию

RISKS следует направлять по адресу:

risks@CSL.sri.com

снабдив их осмысленным

заголовком SUBJECT:.

Архивы доступны по адресам:

ftp://ftp.sri.com/risks

ftp ftp.sri.comlogin

anonymous [Ваш Интернет-адрес]cd risks

http://catless.ncl.ac.uk/Risks/<том>.

<выпуск>.html

В каталоге risks сервера

ftp.sri.com содержится также самая свежая PostScript-версия исчерпывающей

хронологической подборки однострочных "выжимок", которую

поддерживает Peter G. Neumann

написание слов, которые могут послужить

Материалы предоставлены компанией Jet Infosystems

В тексте оставлено англоязычное

написание слов, которые могут послужить аргументом поиска в Интернет

- прим. перев.

© 1997 National Computer

Security Association. All rights reservedURL: www.ncsa.com

М.Е. Кабай, доктор

наук, Национальная ассоциация информационной безопасности США

Автор, M.E. Kabay,

сын русского эмигранта Ильи Кабашникова, покинувшего город Вильно

в 1917 году, шлет теплые поздравления своим неизвестным родственникам,

проживающим в России.

Январь Февраль Март Апрель Май Июнь	Июль Август Сентябрь Октябрь Ноябрь Декабрь
Информация о некоторых первоисточниках

Людям нравится перспектива

- и пространственная, и временная. Может быть, по этой причине

каждый год многие из нас оглядываются назад, на прошедшие 12 месяцев,

и вспоминают, что изменилось за это время в области их профессиональных

интересов. В "NCSA News" публикуется обзор года "The

InfoSec Year in Review", чтобы осмыслить события, произошедшие

в области информационной безопасности. Наша группа исследований,

обучения и консультирования, естественно, имеет удовольствие писать

этот обзор. Предлагаемая вниманию читателей статья представляет

собой существенно расширенную версию доклада, опубликованного

в январском выпуске "NCSA News" за 1997 год. Каждый

месяц мы готовим свежую сводку событий для наших учебных курсов

"InfoSec Update"; в статье сохранено разбиение по месяцам.

Кроме фактов, ниже излагаются некоторые соображения по поводу

наиболее примечательных событий.

Intrusion Detection Systems (IDS) Лекция из курса "Межсетевое экранирование"

Лапонина Ольга Робертовна
Интернет-Университет Информационных Технологий, INTUIT.ru

Инженеры человеческих душ

А. В. Лукацкий

Научно-инженерное предприятие "Информзащита"
- Алло!

- Справочная Киевского вокзала слушает.

- У вас заложена бомба.

- !?…
В последние годы телефонные террористы стали нормой нашей жизни и приведенные выше звонки уже мало кого удивляют. Зная, что такое может произойти, люди зачастую даже не задумываются о том, имеется ли какая-нибудь подоплека под таким звонком. Телефонные "шутники" пользуются тем, что абсолютное большинство людей опасаются терактов и поэтому такие "шутники" неистребимы. Но причем тут информационная безопасность? А притом, что аналогичными методами пользуются и хакеры, пытающиеся проникнуть в различные корпоративные сети и украсть какие-либо секреты. Эти методы, получившие название social engineering (на русский язык переводится это плохо, хотя некоторые авторы используют дословный перевод "социальный инжиниринг") и являются темой данной статьи.

Использование протокола ODBC

Вся информация о процессе сканирования сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о проведенных сеансах сканирования в Ваших собственных системах.

Изначальная конфигурация.

Изначально МЭ не содержит никаких сетевых
пользователей, все сетевые сервисы закрыты. В первую очередь
необходимо в соответствии с политикой безопасности сети определить
защищаемый интерфейс, правила приема/передачи электронной почты.
По умолчанию системный журнал сконфигурирован таким образом, что
в него записываются:

сообщения ядра

сообщения о состоянии файловой системе

все попытки доступа ко всем сетевым сервисам

все факты использования МЭ

все факты, связанный с аутентификацией пользователей

Кроме этого, во всех записях, связанный с сетевой работой содержится информация о:

адрес инициатора соединения

адрес удаленной стороны

время события

начала сессии

конец сессии

количество переданных байт

количество принятых байт

использование тех или иных специальных параметров протокола

результаты аутентификации пользователя

попытки смены пароля и иного общения с системой авторизации

Для защиты самого МЭ используются следующие механизмы:

ограничение доступа по узлам файловой системы (UNIX chroot)

отсутствие пользователей на МЭ

система контроля целостности программ и ключевых файлов

Управление пользователями МЭ позволяет:

определить способ аутентификации для каждого пользователя отдельно

создавать группы пользователей

определять для каждого пользователя/группы время работы

определять для пользователя/группы использование тех или иных протоколов
в зависимости от времени суток, адреса источника и destination.

определять по правилам предыдущих пунктов возможность использования
конкретных параметров и управляющих директив протоколов.

устанавливать для пользователей право изменения пароля

МЭ поддерживает два основных режима работы - прозрачный и обычный.
при использовании обычного режима порядок действий пользователя для
соединения с машиной по другую сторону МЭ выглядит следующим образом:

соединяется с МЭ

проходит авторизацию (в зависимости от политики безопасности)

дает команду proxy на соединение с удаленной машиной

Второй пункт обычно используется в случае доступа со стороны открытой
сети, доступ изнутри наружу может быть разрешен без дополнительной
авторизации. Работа в прозрачном режиме выглядит так:

дается команда на соединение с внешней машиной

авторизация

Т.е. при доступе из сети, не требующей авторизации, пользователь просто
соединяется куда пожелает, и наличие МЭ ему не видно.
При работе в любом режиме действуют все правила, определенные администратором
МЭ

Известные свободно распространяемые проекты

Рассмотрим некоторые важные свободно распространяемые инструментальные средства защиты.

Январь

Первая проблема возникла
в самую первую секунду года. Добавление лишней секунды создало
трудности для программного обеспечения, управляющего распространением
единого всемирного времени из Национального института стандартов
и технологий (NIST) США. Лишняя секунда заставила добавить к дате
целый лишний день (см. RISKS DIGEST 17.59). Подождите до 2000
года, если хотите увидеть настоящие проблемы, связанные с календарями
и часами.
С начала января и до конца
февраля во всем мире продолжали критиковать запрет на доступ через
CompuServe к двумстам телеконференциям Usenet, наложенный в конце
1995 года в качестве дикой, явно неадекватной реакции на запрос
баварского прокурора по поводу информации о телеконференциях,
незаконных с точки зрения действующего в южных землях Германии
законодательства. CompuServe, неспособный закрыть доступ к этим
телеконференциям для части своих пользователей, "поставил
шлагбаум" для всех 4 миллионов подписчиков во всем мире.
К концу февраля было реализовано выборочное блокирование, позволившее
отключить от крамольных телеконференций только заданные географические
области. Пикантность ситуации со всеми этими запретами состоит,
однако, в том, что существуют общеизвестные методы доступа к телеконференциям
Usenet по электронной почте. В более широком плане можно вывести
следующую мораль: наблюдается растущая тенденция налагать местные
(провинциальные или национальные) ограничения на доступ к тем
или иным частям Интернет. (Более детальную информацию можно найти
в RISKS 17.59).
В начале года в "Wall
Street Journal" было опубликовано сообщение о том, что первое
санкционированное судебными властями прослушивание коммерческого
поставщика Интернет-услуг привело к аресту трех лиц по обвинению
в мошенническом использовании услуг сотовой связи. Эти лица рекламировали
свою деятельность через CompuServe (см. "Wall Street Journal",
2 января 1996 года, с. 16).
22 января по немецкому
телевидению выступил член компьютерного клуба "Хаос"

(Chaos Computer Club, CCC), продемонстрировавший опасности, связанные

с передачей в открытом виде по системе T-Online персональной банковской

информации. Хакер (между прочим, не криминальный хакер) подключился

к домашней телефонной линии, воспользовавшись незапертой коммутационной

панелью в подвале жилого дома. Он перехватил идентификатор и персональный

идентификационный код пользователя, после чего разорвал соединение

и немедленно перевел сумму в 5 тысяч немецких марок на другой

счет. Прежде чем провести публичную демонстрацию, члены клуба

"Хаос" предупреждали банкиров и их клиентов, что во

всей коммуникационной сети финансовых учреждений, начиная с настольных

систем, данные должны передаваться в зашифрованном виде (см. RISKS 17.66). Должен отметить, что я встречался с одним из ведущих членов

компьютерного клуба "Хаос", Andy Mumller-Maguhn, и на

меня произвела глубокое впечатление его несомненная приверженность

некриминальному хакерству. Я надеюсь, что все большее число криминальных

хакеров будут следовать примеру членов клуба "Хаос",

выбирая для себя ответственный, цивилизованный стиль поведения.

Matt Blaze, Whitfield

Diffie, Ronald L. Rivest, Bruce Schneier, Tsutomu Shimomura, Eric

Thompson и Michael Wiener опубликовали доклад "Минимальная

длина ключа при симметричном шифровании, обеспечивающая адекватную

безопасность коммерческих систем". Авторы утверждают, что

симметричное шифрование с длиной ключа 40 бит более не способно

противостоять атакам методом грубой силы, и даже 56-битные ключи

на самом деле не могут считаться надежными. Для современных систем

настоятельно рекомендуется минимальная длина ключа в 75 бит. С

учетом роста вычислительной мощности в ближайшие 20 лет, нужны

как минимум 90-битные ключи. Полный текст этого доклада доступен

по адресам ftp.research.att.com/dist/mab/keylength.ps (формат

PostScript) и ftp.research.att.com/dist/mab/keylength.txt

(ASCII-формат).

Еще несколько сообщений

от группы NCSA IS/Recon:

В Нидерландах разразился

политический скандал, связанный с обвинениями в прослушивании

в центральном банке. Вся деятельность персонала контролировалась

без уведомления или получения разрешения.

Гражданин России Алексей

Лачманов признал себя виновным в участии в "электронном ограблении"

Сити-банка (Citibank) на сумму в 2.8 миллиона долларов, организованном

математиком и криминальным хакером из Санкт-Петербурга Владимиром

Левиным.

Dan Farmer, автор

программы SATAN, проверяющей безопасность систем, подключенных

к Интернет, выпустил новую утилиту, позволяющую сравнивать текущую

и стандартную версии операционной системы (что может быть полезным

для идентификации заплат и выявления внедренного вредоносного

программного обеспечения). Характерно, что новую программу он

назвал "FUCK". Вероятно, ни один из пользователей сети

America Online (AOL) не сможет обратиться к этой программе по

имени в силу действующей там автоматической фильтрации непристойностей...

Ассоциация британских

страховых компаний выпустила доклад, в котором утверждается, что

компьютерная преступность наносит индустрии ежегодный ущерб в

сумме около 1 миллиарда фунтов.

Barry Jaspan нашел

ошибку в защищенном командном интерпретаторе ssh. Эта ошибка дает

возможность пользователям извлекать из памяти секретные RSA-ключи,

что компрометирует всю систему безопасности компьютера. Для выявления

"дыры" потребовалось 20 минут, и это наводит на мысль

о большом числе оставшихся ошибок, которые Барри мог бы найти,

будь у него еще немного времени.

Представители Lotus

объявили, что в продукте Lotus Notes теперь будут использоваться

составные ключи, позволяющие правительству расшифровывать информацию,

циркулирующую в рабочих группах. Защитники права на персональную

тайну предупреждают, что данное действие является отходом от оппозиции

к инициативе администрации Клинтона по внедрению составных ключей.

Напомним, что инициатива президентской администрации получила

негативную оценку в промышленных кругах.

Компания MCI объявила,

что с этого времени она будет закрывать счета пользователей, засоряющих

Интернет (то есть посылающих невостребованные письма большого

размера или заполняющих телеконференции неподходящими сообщениями).

Наблюдатели гадают по поводу того, кто будет решать, какие сообщения

подпадают под действие этих расплывчатых правил.

Языки описания уязвимостей и проверок

Попытки добавить механизмы описания уязвимостей и проверок в системы анализа защищенности велись давно. Они предпринимались практически всеми компаниями-разработчиками. Первая такая попытка была предпринята Витсом Венема и Деном Фармером - разработчиками системы SATAN. Описание новых уязвимостей, точнее их проверок, осуществлялось при помощи языка Perl. Это достаточно нетривиальная задача требовала обширных знаний как языка Perl, так и архитектуры стека протоколов TCP/IP и сканируемой операционной системы. По этому же пути (использование Perl) пошли разработчики системы WebTrends Security Analyzer. В приложении 1 приведен пример проверки, позволяющей определить тип операционной системы сканируемого узла. Язык Perl, наряду с языком C, используется и в системе Internet Scanner. Причем помимо возможностей, встроенных в саму систему Internet Scanner, компания ISS поставляет отдельную систему описания атак APX (Advanced Packets eXchange).
Другим языком, используемым при описании осуществляемых проверок, стал Tcl. Модификации этого языка используются в системах APX (бесплатное приложение к системе Internet Scanner), Security Manager и CyberCop Scanner. Компания Network Associates последовала примеру компании ISS и выделила механизм описания уязвимостей в отдельную систему CyberCop CASL (Custom Audit Scripting Language). Также как и APX, система CyberCop CASL может функционировать под управлением ОС Windows NT и Unix (Linux для CASL и Solaris для APX).
В системах APX и CASL описываются параметры сетевых пакетов, при помощи которых моделируются различные атаки. К таким параметрам можно отнести флаги в заголовке IP-пакета, номера портов в заголовке TCP-пакета, поля данных в пакетах различных протоколов и т.д. В качестве примера (Приложение 2) можно привести проверку возможности осуществления подмены пакетов (Spoofing).
Однако наиболее удобным с точки зрения конечного пользователя (не программиста) является язык VDL (Vulnerability Descriptive Language) и VEL (Vulnerability Exploit Language), разработанный компанией Cisco. Проверки, описываемые этими языками, основаны на простых логических утверждениях, и пользователь может добавлять правила, если он видит, что они необходимы. Примером такого правила может быть:

# Секция описания сервисов: На анализируемом узле найден netstat

port 15 using protocol tcp => Service:Info-Status:netstat

Данная проверка описывает правило, которое определяет наличие сервиса netstat на 15-ом TCP-порту анализируемого узла. Более сложное следующее правило определяет наличие запущенного приложения SuperApp устаревшей версии по заголовку, возвращаемому на запрос, обращенный к портам 1234 или 1235.

# Пользовательская проверка: Приложение SuperApp 1.0 запущено на сканируемом хосте.

(scanfor "SuperApp 1.0" on port 1234) || (scanfor "SuperApp 1.0 Ready" on port 1235) => VULp:Old-Software:Super-App-Ancient:10003

Данная потенциальная уязвимость (VULp) относится к типу "устаревшее (потенциально уязвимое) программное обеспечение" (Old-Software) и носит название Supper-App-Ancient, задаваемое пользователем. Число 10003 определяет уникальный номер записи в базе данных уязвимостей системы NetSonar (NSDB).

Механизм описания своих проверок и уязвимостей является очень полезной возможностью для администраторов, отслеживающих уязвимости, описанные в Bugtraq и иных списках рассылки.Эта возможность позволяет быстро записать новое правило и использовать его в своей сети. Однако можно заметить, что язык, используемый в системе NetSonar и описывающий эти правила, достаточно элементарен и может помочь только в самых простых случаях. В сложных ситуациях, когда проверку нельзя записать одним правилом, необходимо использовать более сложные сценарии, которые достигаются применением языков Perl, Tcl и C.

Необходимо заметить, что хотя данная возможность и является полезной, ее эффективность достаточно эфемерна. В своей практической деятельности мне не приходилось встречаться с организациями, которые могли бы себе позволить содержать целый штат или одного сотрудника, занимающихся исследованиями в области новых проверок и уязвимостей (я не беру в расчет силовые ведомства и иные организации, работающие в области защиты информации). Как правило, человек, отвечающий за обеспечение безопасности, не обладает глубокими познаниями в программировании. Кроме того, помимо анализа защищенности на нем "висит" еще много других задач (контроль пользователей, установка прав доступа и т.д.), и он просто не имеет времени для такой творческой работы, как описание новых проверок.

Эксперты дискутируют о настоящем и будущем систем обнаружения атак

Computer Security Journal vol. XIV, #1

Ричард Пауэр (Richard Power)

перевод Алексея Лукацкого, НИП "Информзащита"
Предисловие переводчика. Это первая публикация на русском языке, посвященная системам обнаружения атак без рекламы каких-либо конкретных продуктов. Рассуждения признанных экспертов в области сетевой безопасности и, в частности, в области обнаружения атак помогают ответить на многие вопросы, задаваемые пользователями. Данный перевод сделан с учетом российской терминологии в области информационной безопасности. Это не дословный перевод, и поэтому данная публикация в некоторых местах может не совпадать с оригиналом. Однако при переводе была сохранена общая идея первоначальной статьи, которая заключалась в том, чтобы рассказать о системах обнаружения атак, о достоинствах и недостатках существующих систем, о направлениях их развития, о том, чего в действительности можно ожидать от этой технологии.
Единственное, что можно добавить, в данной публикации ничего не сказано о таких новых направлениях в области обнаружения атак, как применение нечеткой логики и нейросетей.

Эшелонированная оборона

Многоуровневая система, задерживающая атаки и обеспечивающая своевременное резервное копирование данных, состоит из следующих уровней.

Этапы сканирования

Практически любой сканер проводит анализ защищенности в несколько этапов:

Сбор информации о сети. На данном этапе идентифицируются все активные устройства в сети и определяются запущенные на них сервисы и демоны. В случае использования систем анализа защищенности на уровне операционной системы данный этап пропускается, поскольку на каждом анализируемом узле установлены соответствующие агенты системного сканера.

Обнаружение потенциальных уязвимостей. Сканер использует описанную выше базу данных для сравнения собранных данных с известными уязвимостями при помощи проверки заголовков или активных зондирующих проверок. В некоторых системах все уязвимости ранжируются по степени риска. Например, в системе NetSonar уязвимости делятся на два класса: сетевые и локальные уязвимости. Сетевые уязвимости (например, воздействующие на маршрутизаторы) считаются более серьезными по сравнению с уязвимостями, характерными только для рабочих станций. Аналогичным образом "поступает" и Internet Scanner. Все уязвимости в нем делятся на три степени риска: высокая (High), средняя (Medium) и низкая (Low).

Подтверждение выбранных уязвимостей. Сканер использует специальные методы и моделирует (имитирует) определенные атаки для подтверждения факта наличия уязвимостей на выбранных узлах сети.

Генерация отчетов. На основе собранной информации система анализа защищенности создает отчеты, описывающие обнаруженные уязвимости. В некоторых системах (например, Internet Scanner и NetSonar) отчеты создаются для различных категорий пользователей, начиная от администраторов сети и заканчивая руководством компании. Если первых в первую очередь интересуют технические детали, то для руководства компании необходимо представить красиво оформленные с применением графиков и диаграмм отчеты с минимумом подробностей. Немаловажным аспектом является наличие рекомендаций по устранению обнаруженных проблем. И здесь по праву лидером является система Internet Scanner, которая для каждой уязвимости содержит пошаговые инструкции для устранения уязвимостей, специфичные для каждой операционной системы. Во многих случаях отчеты также содержат ссылки на FTP- или Web-сервера, содержащие patch'и и hotfix'ы, устраняющие обнаруженные уязвимости.

Автоматическое устранение уязвимостей. Этот этап очень редко реализуется в сетевых сканерах, но широко применяется в системных сканерах (например, System Scanner). При этом данная возможность может реализовываться по-разному. Например, в System Scanner создается специальный сценарий (fix script), который администратор может запустить для устранения уязвимости. Одновременно с созданием этого сценария, создается и второй сценарий, отменяющий произведенные изменения. Это необходимо в том случае, если после устранения проблемы, нормальное функционирование узла было нарушено. В других системах возможности "отката" не существует.

В любом случае у администратора, осуществляющего поиск уязвимостей, есть несколько вариантов использования системы анализа защищенности:
Запуск сканирования только с проверками на потенциальные уязвимости (этапы 1,2 и 4). Это дает предварительное ознакомление с системами в сети. Этот метод является гораздо менее разрушительным по сравнению с другими и также является самым быстрым.

Запуск сканирования с проверками на потенциальные и подтвержденные уязвимости. Этот метод может вызвать нарушение работы узлов сети во время реализации проверок типа "exploit check".

Запуск сканирования с вашими пользовательскими правилами для нахождения конкретной проблемы.

Все из вышеназванного.

Как это бывает?

Случай первый. В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:
- С вами говорит администратор сети, Иван. Как вас зовут?

- Оля!..

- Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль?

- А мне говорили, что чужим нельзя называть свой пароль.

- Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя наверняка есть дела вечером. К тому же твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?

- Да, согласна.

- Тогда назови свой пароль и все будет ОК.

- Мой пароль olja.

- ОК. Спасибо за помощь.
Случай второй. Пользователи получают письмо от имени службы технической поддержки своего Internet-провайдера со следующим текстом:
"Уважаемый пользователь бесплатной службы электронной почты "ОПАТЕЛЕКОМ"! Вас беспокоит служба технической поддержки сервера mail.domain.ru. В связи с участившимися в последнее время случаями краж паролей у наших пользователей мы просим срочно изменить Ваш существующий пароль на новый - o7gNaFu8. Данный пароль очень трудно подобрать хакерам и ваш почтовый ящик будет в полной безопасности.

Надеемся на Ваше понимание и содействие.

С уважением, служба технической поддержки сервера mail.domain.ru"

Как правильно выбрать средство контроля за электронной почтой.

Рынок IT стремительно развивается. Новинки появляются день ото дня, и уследить за ними чрезвычайно сложно. Да и в уже существующие продукты постоянно добавляются новые функции и возможности, порой весьма экзотические. Разбираться в них просто не хватает времени. Но зачастую это и ни к чему. Приобретая комплект офисных программ, мы заранее представляем, для чего он нам нужен - для составления и редактирования документов и т. д. Некоторые особенности данного продукта, к примеру возможность разместить в документе видеоклип или включить звуковое сопровождение, могут нас лишь неожиданно порадовать.
К сожалению, при выборе средств безопасности нередко даже специалисты подчиняются описанному стереотипу. Многие только в самых общих чертах представляют, для чего им необходим тот или иной продукт. В качестве примера мы будем рассматривать такую важную задачу, как построение системы контроля корпоративной электронной почты. Ее основные задачи - защита от спама, выявление неблагонадежных сотрудников, предотвращение утечки конфиденциальной информации, контроль за целевым использованием электронной почты, обнаружение вирусов и "троянских коней", блокировка передачи файлов запрещенного типа - перечислит каждый. Но когда дело доходит до внедрения, администраторы только разводят руками: как настроить систему, кто будет определять полномочия пользователей, от чего отталкиваться и чем руководствоваться при назначении полномочий и т. д.
А ведь спектр средств защиты информации довольно обширен. Поэтому, прежде чем приобретать любую систему защиты, стоит задуматься о том, какие цели планируется достичь в результате ее внедрения. Данный процесс должен привести к составлению правил использования тех или иных ресурсов. В сумме все эти правила составляют общекорпоративную политику безопасности. Без ее наличия любая система защиты, даже самая изощренная, окажется бесполезной тратой денег. К тому же, имея четкие представления о том, что вам нужно, проще определиться и с необходимой функциональностью продукта.
Но как же подойти к подобной задаче? Ответственность за построение политики безопасности следует возложить на комиссию из представителей отделов безопасности и отделов автоматизации. Работу целесообразно начать с рассмотрения объекта, над которым производится действие. В нашем примере это будут электронные письма. Самые главные атрибуты писем - адреса отправителя и получателя. Все письма делятся на две категории (по направлению их движения): входящие и исходящие. Очевидно, что и к тем, и другим предъявляются различные требования. С внешними, по отношению к вашей организации, адресами все более или менее понятно: весь мир делится на ваших партнеров и клиентов, с которыми вас связывают некоторые доверительные отношения, и всех остальных. К последней категории писем следует относиться особенно осторожно, так как помимо родственников и друзей сотрудников в это множество входят и ваши конкуренты. Взаимоотношения с партнерами и клиентами тоже могут иметь разную степень доверия.
Внутренние почтовые адреса организации - второй критерий отбора при построении политики. В каждой организации параллельно существуют две структуры упорядочивания сотрудников: организационно-штатная и ролевая. Поясню сказанное. Компания состоит из руководства и (по нисходящей) департаментов, управлений, отделов, отделениий, рабочих групп и т. д. (с точностью до названий и порядка их следования в конкретной структуре). На каждом уровне иерархии есть начальник, его помощники и рядовые сотрудники. Это и есть организационно-штатная структура. Идея ролевой структуры заключается в том, что у каждого из сотрудников могут быть особые, отличные от других, обязанности и сферы деятельности даже в рамках одной рабочей группы.
После того как мы определились с двумя основными критериями отбора, нам осталось выполнить еще два шага.
Прежде всего придется составить модель взаимодействия между внешними и внутренними адресатами. К примеру, это можно реализвать по следующей схеме. Вся почта организации разделяется на входящую и исходящую.

Исходящая почта может идти:

от подразделения 1 к партнеру 1, к партнеру 2 и к прочим адресам;

от подразделения 2 только к партнеру 3 и т. д.

Входящая почта может идти:

от партнера 1, партнера 2 и с прочих адресов в подразделение 1;

от партнера 3 и с прочих адресов в подразделение 2 и т. д.

Затем необходимо опуститься на следующий уровень иерархии: подразделение 1 состоит из таких-то структурных единиц, а те в свою очередь... и т. д., вплоть до каждого конкретного сотрудника.

Насколько глубоко придется спускаться при построении модели взаимодействия, подскажут руководители структурных подразделений. Ведь именно они знают, какие роли отведены их подчиненным. Иллюстрацией к сказанному может служить отдел продаж гипотетической компании, каждый менеджер которого общается со своей и только со своей группой клиентов.

Как видим, уже на этом этапе накладываются весьма существенные ограничения на свободу электронной переписки сотрудников.

Второй шаг, и это заключительный этап в построении рассматриваемой политики безопасности, состоит в наложении ограничений на разрешенные почтовые взаимодействия. В отличие от скучного описания схемы взаимодействия на предыдущем шаге - это процесс творческий. Конкретные ограничения необходимо разместить на каждой ветви построенного дерева.

Для выработки таких правил, вероятно, придется пообщаться с различными категориями людей. Но прежде всего по поводу ограничений на исходящую информацию стоит посоветоваться с руководителями соответствующих структурных подразделений и представителями отдела безопасности, чтобы они составили перечни слов и выражений, характерных для конфиденциальной или другой информации, выход которой за пределы компании нежелателен. Решения "под копирку" здесь не подойдут. К примеру, появление в письмах слов "вакансия", "резюме" и т. п. типично для переписки отдела кадров, но в переписке других отделов это может означать, что один из сотрудников занялся поиском работы на стороне, и к нему, возможно, отныне стоит относиться с недоверием. Необходимо помнить и о разумности накладываемых ограничений. Установление излишних запретов приведет к тому, что впоследствии администраторы безопасности не смогут выделить настоящие нарушения в ворохе блокированных по пустым подозрениям писем.

После уточнения этих параметров, необходимо проконсультироваться у системных администраторов относительно прочих нежелательных характеристик почтовых сообщений: например, их размера, наличия вложений определенного типа и т. д. Таким образом можно ограничить поступление в корпоративную сеть спама и прочего непродуктивного трафика (видеоклипов, картинок, аудиофайлов, рассылок от различных развлекательных сайтов).

Даже если вы ознакомите с принятой политикой безопасности всех своих сотрудников, то это не значит, что все будут беспрекословно ее соблюдать. Всегда найдутся те, кто попытается обойти новую систему. А может быть, вы хотите внедрить данное средство незаметно для пользователей? В любом из этих случаев важно не только обнаружить факт нарушения, но и предусмотреть ответную реакцию на такое событие. Реагирование может предусматривать полное или временное блокирование письма-нарушителя, занесение записи о событии в журнал регистрации, оповещение о нем администратора или другого уполномоченного лица либо уведомление самого пользователя - выбор зависит от возможностей конкретного средства.

В результате можно составить следующее мнемоническое правило политики безопасности для электронной почты: "Кому, откуда/куда запрещено получать/отправлять письма, удовлетворяющие условию, и как реагировать на такие события".

После того как четко определены все требования, вы сможете оценить необходимую функциональность средства для контроля содержимого электронной почты либо удостовериться в достаточности встроенных функций уже используемого межсетевого экрана или вскоре приобретаемой системы обнаружения атак для реализации вашей политики безопасности.

Естественно, что конкретные ограничения будут постоянно подвергаться корректировке, но наличие грамотно построенной политики безопасности поможет легко адаптировать ваше средство к любым жизненным испытаниям.

Быть может, кто-то спросит, зачем средства контроля содержимого необходимы именно мне? Сомневающимся в их практической полезности имеет смысл рассмотреть следующие соображения.

Вспомните, сколько времени ваша система бездействовала после последнего сбоя в результате активизации полученного по почте вредоносного кода и оцените свои прямые и потенциальные потери от этого. А все ли ваши сотрудники довольны работой и зарплатой? Не переманивают ли кого-нибудь конкуренты, и не пересылает ли он будущим работодателям, в знак своей преданности, конфиденциальные материалы, среди которых фрагменты исходных кодов программ, которые вы создали с огромным трудом (текстов договоров, сведений о планируемых сделках и т. п.)? А вдруг сотрудник использует в переписке с партнерами ненормативную лексику, да еще по отношению к вашим конкурентам или политическим деятелям, и кто-то потом выдает это за официальное мнение компании? А что, если деньги компании уходят на оплату рабочего времени сотрудников, когда они просматривают видео или прослушивают аудиофайлы, которыми обмениваются со своими знакомыми и между собой.

Если вы уже решились на внедрение тех или иных средств защиты, то, надеюсь, что эта статья поможет использовать их на полную мощность.

Михаил Савельев - ведущий специалист НИП "Информзащита". С ним можно связаться по адресу: saveliev@infosec.ru.

Как работает сканер безопасности?

А. В. Лукацкий, руководитель отдела Internet-решений

Научно-инженерное предприятие "Информзащита"

Как система обнаружения атак может

Карри: Это важные вопросы, которые должны тщательно рассматриваться при выборе системы обнаружения атак. Системы, основанные на профилях нападений хороши настолько, насколько хороши их базы данных сигнатур. Администратор должен иметь возможность создавать свои сигнатуры для известных атак. Реальный тест - может ли продавец не отставать от новых нападений и не только своевременно создавать новые сигнатуры, но и позволять корректировать старые, как временную меру. Механизмы распределения также важны. Когда Вы имеете дело с десятками, сотнями или тысячами модулей слежения системы обнаружения атак в одной компании, идея о ходьбе к каждому компьютеру с дискетой или CD-ROM неосуществима. Идеально, если система может быть дополнена новыми сигнатурами дистанционно. Чтобы принять меры против внесения поддельных сигнатур атак (например, как это произошло с распространением через сеть FIDO поддельных обновлений антивирусной базы для программы Dr.Web - примечание переводчика), необходимо использовать механизмы аутентификации и шифрования. Модификация сигнатур должна осуществляться без прерывания процесса обнаружения.
Саттерфилд: Идеально, если система обнаружения атак модифицируется, как минимум, ежеквартально. Сигнатуры атак строятся на основе бюллетеней безопасности, появляющихся в результате создания новых приложений, несущих в себе новые уязвимости. Самая лучшая модель модификации сигнатур в системах обнаружения атак представлена в антивирусных программах. В конечном счете, заказчики должны иметь возможность регулярной загрузки новых сигнатур, чтобы гарантированно иметь самую последнюю информацию об уязвимостях. Механизм распределения сигнатур должен быть построен в первую очередь по технологии "pull", а не "push" (т.е. вы должны получать обновления у производителя по своей инициативе, а не по его - примечание переводчика). Большинство заказчиков не хочет иметь автоматически модифицируемые системы из-за сложностей в управлении и повышенного риска безопасности. Желательно, если система "предупредит", что база данных сигнатур устарела и требует модификации. Затем система соединяется через Internet с Web-сервером производителя и загружает новую версию базы данных сигнатур.
Клаус: Имеется два источника получения новых сигнатур атак: компании (подобно ISS) и непосредственно пользователи. Хорошая система обнаружения атак должна не только получать регулярные обновления от экспертов компании-производителя, но и иметь механизм, позволяющий пользователям добавлять свои, специфичные сигнатуры. Поддержка системы обнаружения атак в актуальном состоянии требует постоянных усилий для проведения соответствующих исследований.
Ранум: В идеале, система обнаружения атак должна модифицировать сама себя. Как минимум, система обнаружения атак требует модификации словаря атак. Новые атаки будут появляться постоянно. Это закономерно. Но кто их разрабатывает? Прямо сейчас я вижу беспокоящую меня тенденцию, согласно которой, в компаниях, которые проектируют программные средства защиты, нанимают хакеров для разработки новых атак. Это мало чем отличается от использования труда вирусописателей компаниями, разрабатывающими антивирусные программы. Уже известен случай, когда инженер одного из производителей средств обнаружения атак опубликовал в журнале Phrack исходный текст инструментария для создания атаки SYN Flood типа "отказ в обслуживании" ("denial of service"). Спустя несколько недель этот производитель объявил, что они могут обнаруживать и блокировать атаку SYN Flood. Такое неэтичное поведение выставляет всех нас в плохом свете.
Спаффорд: Это зависит от используемой технологии. Если система обнаружения атак функционирует по принципу сравнения с сигнатурой, то необходимо загружать новые сигнатуры. Аналогично антивирусным сканерам. Если система обнаруживает аномальное поведение, то просто необходима периодическая подстройка. Например, система Tripwire не нуждается в модификации для получения новых атак. Необходимо только добавлять новые ресурсы, необходимые для контроля. Для систем, нуждающихся в новых профилях атак, их получение зависит от продавца или любой другой обслуживающей компании, обеспечивающей новые сигнатуры. Администратор может и сам создавать такие шаблоны, но это утомительно, требует большого количества исследований и подвержено ошибкам больше, чем в случае с профессиональными компаниями.

Как системы обнаружения атак "приноравливаются"

Ранум: Это не совсем правильная аналогия. Фильтрация, proxy, межсетевые экраны подобны броне вокруг Вашей сети. Системы обнаружения атак подобны хирургу, который сообщает Вам, что пуля прошла мимо вашей спины (т.е. не задела что-то важное - примечание переводчика). Первоначальная идея систем обнаружения атак состояла в том, что они были пассивными, т.е. "Системами Обнаружения Атак" ("Intrusion Detection System"), а не "Экспертами по Отражению Атак" ("Intrusion Countermeasure Expert" - ICE из Neuromancer). Межсетевые экраны и т.д. разработаны для активной или пассивной защиты, а системы обнаружения атак - для активного или пассивного обнаружения.
Карри: Это другой инструмент из защитного арсенала и он не должен рассматриваться как замена для любого из перечисленных механизмов. Конечно имеются некоторые перекрытия. Особенно с межсетевыми экранами. Последние уже выполняют некоторые ограниченные функции обнаружения атак, поднимая тревогу, когда "срабатывает" соответствующее правило. Системы обнаружения атак уникальны в том, что в отличие от межсетевых экранов, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение атак в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из межсетевых экранов, кроме, пожалуй, самого дорогого и сложного.
Саттерфилд: Системы обнаружения атак в значительной степени дополняют названные технологии. В некоторых случаях они могут заменять фильтрацию, proxy и т.п. В других случаях это будет другой уровень защиты. Дистанционно управляемая система обнаружения атак позволяет контролировать потоки данных в реальном масштабе времени. Я полагаю, что это будет иметь огромное воздействие на то, как мы будем управлять сетями в будущем. Текущее управление сетью сосредоточено на идентификации и управлении структурой и конфигурацией сети. Управление, основанное только на этой информации, подобно управлению строительством скоростного шоссе без знания структуры движения на нем. Технология обнаружения атак позволяет контролировать поток данных аналогично наблюдению за структурой движения на скоростном шоссе.
Клаус: И обнаружение атак, и анализ защищенности - критичные компоненты эффективной стратегии защиты. Вы имеете межсетевой экран, так? Отлично. Вы знаете, работает он или нет? Вы имеете туннели через межсетевой экран, правильно? Они используются? Ваши внутренние системы были атакованы когда-нибудь? Откуда Вы это знаете? Что Вы должны делать после этого? Мир изменяется каждый день. Секрет эффективной защиты информации в разработке политики безопасности, введении ее в эксплуатацию, аудите и регулярном их пересмотре. Вы не сможете этого сделать без использования технологий обнаружения атак и анализа защищенности.
Спаффорд: Межсетевые экраны и фильтрация предназначены для того, чтобы предотвратить вторжение "плохих парней" из сети. Однако иногда эти механизмы терпят неудачу из-за ошибок разработки, аппаратных отказов, ошибок пользователей или просто невежества. Например, кто-то не понимает необходимости защиты сети и включает свой модем для доступа к рабочему компьютеру из дома. Межсетевой экран и proxy не могут не только защитить в этом случае, но и обнаружить этот случай. Системы обнаружения атак могут помочь в этом. Независимо от того, какова надежность фильтрации, пользователи зачастую находят способы обойти все Ваши преграды. Например, объекты ActiveX могут представлять новые направления для реализации угроз через межсетевые экраны. И, наконец, в большинстве систем наибольшую угрозу представляют люди, пользователи, действия которых должны также контролироваться.

Как защититься от большинства компьютерных атак

Защита сети от компьтерных атак - это постоянная и нетривиальная задача; но ряд простых средств защиты смогут остановить большинство попыток проникновения в сеть. Например, хорошо сконфигурированный межсетевой экран и антивирусные программы, установленные на всех рабочих станциях, смогут сделать невозможными большинство компьютерных атак. Ниже мы кратко опишем 14 различных средств защиты, реализация которых поможет защитить вашу сеть.

Оперативная установка исправлений для программ (Patching) Компании часто выпускают исправления программ, чтобы ликвидировать неблагоприятные последствия ошибок в них. Если не внести исправления в программы, впоследствии атакующий может воспользоваться этими ошибками и проникнуть в ваш компьютер. Системные администраторы должны защищать самые важные свои системы, оперативно устанавливая исправления для программ на них. Тем не менее, установить исправления для программ на всех хостах в сети трудно, так как исправления могут появляться достаточно часто. В этом случае надо обязательно вносить исправления в программы на самых важных хостах, а кроме этого установить на них другие средства защиты, описанные ниже. Обычно исправления должны получаться ТОЛЬКО от производителей программ.

Обнаружение вирусов и троянских коней Хорошие антивирусные программы - незаменимое средство для повышения безопасности в любой сети. Они наблюдают за работой компьютеров и выявляют на них вредоносные программы. Единственной проблемой, возникающей из-за них, является то, что для максимальной эффективности они должны быть установлены на всех компьютерах в сети. На установку антивирусных программ на всех компьютерах и регулярное обновление антивирусных баз в них может уходить достаточно много времени - но иначе это средство не будет эффективным. Пользователей следует учить, как им самим делать эти обновления, но при этом нельзя полностью полагаться на них. Помимо обычной антивирусной программе на каждом компьютере мы рекомендуем, чтобы организации сканировали приложения к электронным письмам на почтовом сервере. Таким образом можно обнаружить большинство вирусов до того, как они достигнут машин пользователей.

Межсетевые экраны Межсетевые экраны (firewalls) - это самое важное средство защиты сети организации. Они контролируют сетевой трафик, входящий в сеть и выходящий из нее. Межсетевой экран может блокировать передачу в сеть какого-либо вида трафика или выполнять те или иные проверки другого вида трафика. Хорошо сконфигуированный межсетевой экран в состоянии остановить большинство известных компьютерных атак.

Вскрыватели паролей (Password Crackers) Хакеры часто используют малоизвестные уязвимые места в компьютерах для того, чтобы украсть файлы с зашифрованными паролями. Затем они используют специальные программы для вскрытия паролей, которые могут обнаружить слабые пароли в этих зашифрованных файлах. Как только слабый пароль обнаружен, атакующий может войти в компьютер, как обычный пользователь и использовать разнообразные приемы для получения полного доступа к вашему компьютеру и вашей сети. Хотя это средство используются злоумышленниками, оно будет также полезно и системным администраторам. Они должны периодически запускать эти программы на свои зашифрованные файлы паролей, чтобы своевременно обнаружить слабые пароли.

Шифрование Атакующие часто проникают в сети с помощью прослушивания сетевого трафика в наиболее важных местах и выделения из него имен пользователей и их паролей. Поэтому соединения с удаленными машинами, защищаемые с помощью пароля, должны быть зашифрованы. Это особенно важно в тех случаях, если соединение осуществляется по Интернет или с важным сервером. Имеется ряд коммерческих и бесплатных программ для шифрования трафика TCP/IP (наиболее известен SSH).

Сканеры уязвимых мест Это программы, которые сканируют сеть в поисках компьютеров, уязвимых к определенным видам атак. Сканеры имеют большую базу данных уязвимых мест, которую они используют при проверке того или иного компьютера на наличие у него уязвимых мест. Имеются как коммерческие, так и бесплатные сканеры.

Грамотное конфигурирование компьютеров в отношении безопасности Компьютеры с заново установленными операционными системами часто уязвимы к атакам. Причина этого заключается в том, что при начальной установке операционной системы обычно разрешаются все сетевые средства и часто разрешаются небезопасным образом. Это позволяет атакующему использовать много способов для организации атаки на машину. Все ненужные сетевые средства должны быть отключены.

Боевые диалеры(war dialer) Пользователи часто обходят средства защиты сети организации, разрешая своим компьютерам принимать входящие телефонные звонки. Пользователь перед уходом с работы включает модем и соответствующим образом настраивает программы на компьютере, после чего он может позвонить по модему из дома и использовать корпоративную сеть. Атакующие могут использовать программы-боевые диалеры для обзвонки большого числа телефонных номеров в поисках компьютеров, обрабатывающих входящие звонки. Так как пользователи обычно конфигурируют свои компьютеры сами, они часто оказываются плохо защищенными и дают атакующему еще одну возможность для организации атаки на сеть. Системные администраторы должны регулярно использовать боевые диалеры для проверки телефонных номеров своих пользователей и обнаружения сконфигурированных подобным образом компьютеров. Имеются как коммерческие, так и свободно распространяемые боевые диалеры.

Рекомендации по безопасности (security advisories) Рекомендации по безопасности - это предупреждения, публикуемые группами по борьбе с компьютерными преступлениями и производителями программ о недавно обнаруженных уязвимых местах. Рекомендации обычно описывают самые серьезные угрозы, возникающие из-за этих уязвимых мест и поэтому являются занимающими мало времени на чтение, но очень полезными. Они описывают в-целом угрозу и дают довольно конкретные советы о том, что нужно сделать для устранения данного узявимого места. Найти их можно в ряде мест, но двумя самыми полезными являются те рекомендации, которые публикует группа по борьбе с компьютерными преступлениями CIAC и CERT

Средства обнаружения атак (Intrusion Detection) Системы обнаружения атак оперативно обнаруживают компьютерные атаки. Они могут быть установлены за межсетевым экраном, чтобы обнаруживать атаки, организуемые изнутри сети. Или они могут быть установлены перед межсетевым экраном, чтобы обнаруживать атаки на межсетевой экран. Средства этого типа могут иметь разнообразные возможности. Имеется статья об их использовании и видах систем обнаружения атак

Средства выявления топологии сети и сканеры портов Эти программы позволяют составить полную картину того, как устроена ваша сеть и какие компьютеры в ней работают, а также выявить все сервисы, которые работают на каждой машине. Атакующие используют эти средства для выявления уязвимых компьютеров и программ на них. Системные администраторы должны использовать эти средства для наблюдения за тем, какие программы и на каких компьютерах работают в их сети. С их помощью можно обнаружить неправильно сконфигурированные программы на компьютерах и установить исправления на них.

Группа по расследованию происшествий с безопасностью В каждой сети, независимо от того, насколько она безопасна, происходят какие-либо события, связанные с безопасностью (может быть даже ложные тревоги). Сотрудники организации должны заранее знать, что нужно делать в том или ином случае. Важно заранее определить следующие моменты - когда вызывать правоохранительные органы, когда вызывать сотрудников группы по борьбе с компьютерными преступлениями, когда следует отключить сеть от Интернет, и что делать в случае компрометации важного сервера. CERT предоставляет общие консультации в рамках США. FedCIRC отвечает за консультирование гражданских государственных учреждений в США.

Политики безопасностиСистема сетевой безопасности насколько сильна, насколько сильно защищено самое слабое ее место. Если в рамках одной организации имеется несколько сетей с различными политиками безопасности, то одна сеть может быть скомпрометирована из-за плохой безопасности другой сети. Организации должны написать политику безопасности, в которой определялся бы ожидаемый уровень защиты, который должен быть везде единообразно реализован. Самым важным аспектом политики является выработка единых требований к тому, какой трафик должен пропускаться через межсетевые экраны сети. Также политика должна определять как и какие средства защиты (например, средства обнаружения атак или сканеры уязвимых мест) должны использоваться в сети. Для достижения единого уровня безопасности политика должна определять стандартные безопасные конфигурации для различных типов компьютеров.

Тестирование межсетевых экранов и WWW-серверов на устойчивость к попыткам их блокирования Атаки на блокирование компьютера распространены в Интернет. Атакующие постоянно выводят из строя WWW-сайты, перегружают компьютеры или переполняют сети бессмысленными пакетами. Атаки этого типа могут быть очень серьезными, особенно если атакующий настолько умен, что организовал продолжительную атаку, у которой не выявить источник. Сети, заботящиеся о безопасности, могут организовать атаки против себя сами, чтобы определить, какой ущерб может быть нанесен им. Мы рекомендуем проводить этот вид анализа на уязвимость только опытным системным администраторам или специальным консультантам.

Как защититься?

Никакими техническими мерами защититься от социального инжиниринга практически невозможно. А все потому, что злоумышленники используют слабости не технических средств, а как уже говорилось выше, слабость человеческой души. Поэтому единственный способ противодействовать злоумышленникам - постоянная и правильная работа с человеческим фактором.
Если вы - сотрудник организации, то необходимо провести обучение корпоративных пользователей, включая и тех, кто обращается к данным, системам и сетям извне (т.е. партнеров и клиентов). Такое обучение может проводиться как силами самой организации, так и при помощи приглашенных специалистов, а также в специализированных учебных центрах, которые стали в последнее время появляться в России, как грибы после дождя. Форма обучения может быть разная - начиная от теоретических занятий и обычных прктикумов и заканчивая online-семинарами, проводимыми через Internet, и ролевыми играми. Во время обучения обычные пользователи (не занимающиеся вопросами информационной безопасности в рамках своей основной работы) должны изучить следующие темы (помимо других тем, связанных с правильным выбором паролей, общими положениями политики безопасности организации и т.д.):

Как идентифицировать подозрительные действия и куда сообщать о них?

Что может ожидать пользователей в процессе реализации атак со стороны внешних и внутренних злоумышленников? Ни в коем случае нельзя забывать о внутренних угрозах - ведь по статистике основное число инцидентов безопасности происходит именно изнутри организации.

Какое поведение пользователя может уменьшить потенциальный ущерб, наносимый данным, системам и сетям?

Эти же темы должны изучаться и теми пользователями, которые используют компьютеры и сеть Internet из дома, в своих личных целях. Однако, если для корпоративного пользователя возможны описанные выше варианты обучения, то домашний пользователь может о них забыть. Не каждый человек готов выложить из своего кармана от 100 до 500 долларов за курс, выгода от которого достаточно эфемерна. Ведь атаку вас может ждать в будущем, а деньги надо выкладывать уже сейчас. Поэтому рядовому пользователю остается только самообразование по книгам, журналам и Internet, которые подчас ничем не уступают дорогостоящему обучению (в части информативности).
Прежде чем начинать реализовывать процесс корпоративного обучения, зачастую очень дорогостоящий, необходимо оценить уровень знаний персонала компании, который будет эксплуатировать имеющуюся или создаваемую инфраструктуру защиты информации. Если персонал не обладает необходимыми знаниями, то спросите кандидатов на обучение, каких знаний им не хватает. Несмотря на кажущуюся абсурдность этого совета, зачастую это самый простой путь, чтобы с минимальными затратами достичь максимальных результатов. Особенно тогда, когда вы не в состоянии правильно оценить уровень знаний своих сотрудников. Проанализируйте собранную информацию и разработайте (возможно с привлечением сторонних организаций) программу обучения сотрудников по вопросам обеспечения информационной безопасности. Такая программа должна быть разделена как минимум на две части. Первая часть должна быть ориентирована на рядовых сотрудников, а вторая - на персонал, отвечающий за информационную безопасность. Помимо всего прочего обучение должно быть обязательным для всех новых сотрудников, принимаемых на работу, и должно рассматривать все аспекты функциональных обязанностей служащего. По мере разработки этой программы примените ее в организации.
Необходимо периодически проверять эффективность обучения и готовности служащих к выполнению действий, связанных с обеспечением информационной безопасности. Регулярно проводите для своего персонала занятия по повышению квалификации, рассказывающие о новых изменениях в стратегии и процедурах безопасности, а также устраивайте "разбор полетов" после зафиксированных серьезных инцидентов. Для этого необходимо проводить регулярные тренинги, повышающие квалификацию персонала и отрабатывающие ситуации, которые могут появляться в реальности. Если такие ролевые игры проводятся у военных или в авиакомпаниях, то почему бы вам не использовать этот проверенный временем способ? Это позволит удостовериться, что персонал организации знает свои обязанности "на 5" и сможет адекватно реагировать на регулярно возникающие в последнее время критические ситуации, связанные с информационной безопасностью.

Какие наиболее серьезные слабости в существующих коммерчески распространяемых системах?

Саттерфилд: Многие продукты управляются локально. Локальное управление системами обнаружения атак, аналогично управлению другими средствами защиты, имеет значительные недостатки, которые, зачастую, проявляются только через некоторое время после развертывания системы. Масштабируемость жизненно важна для эффективного применения системы, особенно в крупных сетях. Вторая проблема - производительность. Большинство коммерческих систем обнаружения атак не может эффективно функционировать даже в сетях Ethernet (10 Мбит/с), не говоря уже о сетях ATM и других более скоростных магистралях.
Клаус: Мы столкнулись с двумя основными проблемами. Во-первых, вы должны быть уверены, что ваша система обнаружения атак соответствует вашей сети. А, во-вторых, вы должны ответить на вопрос: "Что делать потом?". Необходимо настроить приобретенную систему таким образом, чтобы она обнаруживала атаки и распределяла их по приоритетам с учетом специфики вашей сетевой инфраструктуры. Вы не имеете старых версий операционной системы SunOS? Следовательно, вы неуязвимы к атакам типа "UDP Bomb". Это знание уменьшает вероятность ложных обнаружений. Однако для такой настройки требуется знание топологии сети и сведений об используемом программном и аппаратном обеспечении. Ни одна из современных систем обнаружения атак не проводит такого рода предварительной настройки. Ответ на вопрос "Что делать потом?" также немаловажен. Предположим, что система обнаружения атак сообщает о событии DNS Hostname Overflow. Что это означает? Почему это плохо? Как я должен реагировать в ближайшей и далекой перспективе? Многие современные системы не обеспечивает такой уровень подробности. Кроме этого иногда очень трудно отделить важную информацию от второстепенной. Необходимо иметь немалый опыт в области обнаружения атак, чтобы формализовать его и заложить в систему.
Ранум: Самая большая слабость - наличие огромного числа приложений, которые имеют неизвестные уязвимости. Для типичной системы обнаружения атак основной способ определения нападения - проверка на соответствие сигнатуре. Однако, это ограниченное с технической точки зрения решение.
Карри: Обнаружение атак в коммерческих системах - все еще новая, неисследованная область. Производители разрабатывают системы в очень быстром темпе. Хотя существуют некоторые очевидные слабости масштабируемости, удаленной модификации и т.п., большинство производителей уже решило эти проблемы в альфа-версиях или в версиях, находящихся в процессе опытной эксплуатации. Имеется только одна, действительно серьезная, на данный момент нерешенная, проблема - база данных сигнатур. Написание модуля слежения для системы обнаружения атак - достаточно простая задача. Для этого необходим хороший алгоритм сопоставления с образцом, организация буферизации данных и эффективные алгоритмы кодирования. Но самый лучший в мире модуль слежения бесполезен без полной, всесторонней базы данных сигнатур атак, которая должна быть очень быстро обновляемой, так как новые атаки и уязвимости обнаруживаются постоянно. Создание такой базы данных требует наличия хорошо осведомленных экспертов, имеющих доступ к большому числу источников информации об атаках. Способность создания и обновления такой базы данных будет главным параметром, по которому будут оцениваться производители систем обнаружения атак в следующие 12-24 месяцев.
Спаффорд: Современные производители сосредотачивают свое внимание на обнаружении внешних атак, а не на выработке обобщенного подхода к обнаружению нарушений стратегии защиты. Выработка этого подхода - это область активных исследований в ближайшее время.

Какие проблемы создают объемы

Клаус: Переполнение данных - одна из главных проблем с системами обнаружения атак. Имеется два основных пути - управление отчетами программы и наличие "здравых" средств управления данными. Хорошая система обнаружения атак должна иметь возможность точной настройки - некоторые атаки могут обнаруживаться, а могут и нет; определенные атаки могут изменять некоторые свои параметры (например, число портов, открытых в определенный промежуток времени, - примечание переводчика), варианты реагирования также могут быть настроены. Эта настройка позволяет вам управлять тем, что и как сообщает вам система обнаружения атак. Хорошая идея - интегрировать средство обнаружения атак с системой анализа защищенности. Это позволит вам сконцентрироваться на самых важных данных, сохранив менее критичные данные для последующего анализа. Хорошая система обнаружения атак способна генерировать сообщения об атаке, выдавать их на экран, и иметь контекстно-зависимую справочную систему. Она также должна иметь эффективные механизмы управления данными, чтобы персонал мог анализировать собранные данные удобным для себя образом. Персонал, работающий с системой обнаружения атак, должен не только быть обучен правилам работы с ней, но и знать, как интегрировать ее в инфраструктуру своей организации.
Что касается аутсорсинга, то компании могут иметь разные точки зрения на него. Некоторые не используют аутсорсинг, так как созданных системой обнаружения атак данных достаточно для принятия соответствующих решений. Другие, напротив, желают воспользоваться аутсорсингом, поскольку они не так хорошо разбираются в защитных механизмах и технологиях и им необходима сторонняя помощь. Все это зависит от критичности данных и здравого смысла конечного пользователя системы обнаружения атак.
Ранум: Если вы записываете весь трафик на загруженной сети, то недорогой жесткий диск будет делать это медленнее, чем система обнаружения атак "пишет" на него (например, в сетях Fast Ethernet пропускная способность равна 100 Мбит/сек, а скорость доступа к современным "стандартным" жестким дискам равна 24-80 Мбит/сек - примечание переводчика). Вы должны знать, что сохранять, а что нет. Например, если вы контролируете доступ к Web-серверу, то, вероятно, нет необходимости сохранять все графические GIF-файлы. Полезнее хранить URL к ним. Если вы - секретная спецслужба, ищущая секретные данные в изображениях (стеганография - наука о методах скрытия самого факта передачи сообщения, в т.ч. и скрытие данных в графическом изображении - примечание переводчика), то вы предъявляете совершенно другие требования. Приспосабливаемость к различным требованиям по управлению данными является большой проблемой современных систем обнаружения атак, - сколько данных записывать; как долго их хранить; как представить их конечному пользователю? Я чувствую, что большинство пользователей не захочет иметь дела с этими проблемами. Им проще будет приобрести систему обнаружения атак, как часть комплексного решения по обеспечению информационной безопасности сети, предлагаемого внешней организацией и поддерживаемого 24 часа в сутки, 7 дней в неделю (аналогичные услуги в последнее время получили широкое распространение за рубежом - примечание переводчика).
Карри: Проблема не в количестве данных. Это всего лишь побочный эффект. Реальная проблема в том, что вы будете делать, когда система обнаружения атак уведомит вас о нападении? Когда вы получаете такое уведомление, вы должны реагировать быстро и правильно - любая ошибка может стоить вам дорого. Кроме того, вы не можете уменьшить число ложных срабатываний без риска пропустить реальную атаку. Таким образом, вы должны уметь отделять зерна от плевел. Как только вы решили, что тревога реальна, что это значит? Как вы реагируете? Автоматический ответ хорош, но это последнее, что вы должны предлагать своим заказчикам. То есть вы нуждаетесь в постоянном человеческом присутствии и возможности обработки оператором почти всех тревог. Это требует выделенного, опытного персонала, который постоянно контролирует эти атаки, знает, как они реализуются и, что более важно, знает, что с ними делать. Обучение и укомплектование персонала для решения этой задачи сложно - большинство компаний не имеет такой возможности, не может себе позволить создавать такие подразделения, не имеет на это времени и, даже если они смогли бы сформировать их, то у них нет на это соответствующих материальных ресурсов.
Саттерфилд: Действительно, управление данными - самая большая проблема перед всем семейством средств защиты информации. Это особенно важно для технологии обнаружения атак. На скоростях 100 Мбит/сек и выше система обнаружения атак должна собирать и анализировать большое количество данных. Ранние прототипы систем обнаружения атак фиксировали нажатия клавиш, которые сохранялись на локальном жестком диске и затем, ночью, передавались на центральную консоль для обработки на следующий день. Это работало, но было не оперативно и не соответствовало требованиям работы в реальном режиме времени.
Современные технологии оперируют интеллектуальными датчиками, которые собирают только те пакеты, которые могут содержать возможные нарушения защиты. Пакеты анализируются датчиком, а затем, в виде кодированного сигнала передаются дальше. Фактические данные, вызвавшие тревогу, доступны, но уже не имеют большого значения. Дело в том, что датчик должен быть интеллектуальным и должен уметь выбирать только важную информацию. Остальное игнорируется. Это единственный способ создать крупномасштабную систему обнаружения атак, функционирующую в реальном режиме времени с заданной эффективностью. Эта технология очень мощная. Она обеспечивает сбор и отображение заинтересованным лицам всей информации об уровне защищенности организации. Хорошая система обнаружения атак будет разрабатываться таким образом, чтобы она могла эксплуатироваться обычным техником. Однако, пока все еще необходима экспертиза для анализа данных и выработки варианта реагирования. "Пробел в умении защищать" не дает многим организациям понять, как себя защищать на достаточно серьезном техническом уровне. Следовательно, я думаю, что большое количество организаций обратится к аутсорсингу в области сетевой безопасности. Мы часто слышим от клиентов, что их компании "не нуждаются в аутсорсинге". Однако, после того, как мы им демонстрируем требования к обучению и затраты на 24-часовое поддержание соответствующего уровня безопасности они пересматривают свои позиции. Часто задается один вопрос. Кому вы скорее доверите свою защиту? Служащим, которые могут на следующей неделе работать на ваших конкурентов, или поставщику услуг, связанному контрактом? Этот вопрос обычно ведет к очень интересному обсуждению. Сотрудники службы аутсорсинга - это текущий контроль местных тревог. Фактически, потребители поняли, что системы оповещения, расположенные на предприятии, имеют мало значения, если они не имеют удаленного контроля. Сколько раз вы останавливались на улице, чтобы узнать, почему раздается сигнал тревоги из дома соседа? Ответ - вы обычно ждете шестичасовых новостей, чтобы узнать об этом.
Спаффорд: Системы обнаружения не должны генерировать много данных. Что касается заданных вопросов, то позвольте мне обратить ваше внимание, что мы проводим исследования в этих областях (за исключением обучения и укомплектования персоналом) и пока не нашли лучшего решения.

Kerberos

Технология аутентификации и шифрования Kerberos (http://www.mit.edu/kerberos/www) была разработана в Массачусетском технологическом институте и «выпущена в свет» в 1987 году. С того момента эта технология превратилась в стандарт, которым занимается рабочая группа Common Authentication Technology Working Group, сформированная при Internet Engineering Task Force.
Свободно распространяемые версии Kerberos предлагаются для платформ Macintosh, Unix и Windows. Коммерческие реализации созданы Microsoft, Oracle, Qualcomm и рядом других компаний. Microsoft вызвала критику специалистов, работающих на этом рынке, интегрировав в Windows 2000 версию Kerberos, не в полной мере соответствующую стандарту.

Классификация компьютерных атак

Когда мы говорим "компьютерная атака", мы имеем в виду запуск людьми программ для получения неавторизованного доступа к компьютеру. Формы организации атак весьма разнообразны, но в целом все они принадлежат к одной из следующих категорий:

Удаленное проникновение в компьютер: программы, которые получают неавторизованный доступ к другому компьютеру через Интернет (или локальную сеть)

Локальное проникновение в компьютер: программы, которые получают неавторизованный доступ к компьютеру, на котором они работают.

Удаленное блокирование компьютера: программы, которые через Интернет (или сеть) блокируют работу всего удаленного компьютера или отдельной программы на нем (для восстановления работоспособности чаще всего компьютер надо перезагрузить)

Локальное блокирование компьютера: программы, которые блокируют работу компьютера, на котором они работают

Сетевые сканеры: программы, которые осуществляют сбор информации о сети, чтобы определить, какие из компьютеров и программ, работающих на них, потенциально уязвимы к атакам.

Сканеры уязвимых мест программ: программы, проверяют большие группы компьютеров в Интернете в поисках компьютеров, уязвимых к тому или иному конкретному виду атаки.

Вскрыватели паролей: программы, которые обнаруживают легко угадываемые пароли в зашифрованных файлах паролей. Сейчас компьютеры могут угадывать пароли так быстро, что казалось бы сложные пароли могут быть угаданы.

Сетевые анализаторы (снифферы): программы, которые слушают сетевой трафик. Часто в них имеются возможности автоматического выделения имен пользователей, паролей и номеров кредитных карт из трафика.

Компьютер под защитой программного межсетевого экрана

Маршрутизатор защищает от атак извне. Однако некоторые типы злонамеренного программного обеспечения, такие как интернет-черви, троянские программы и программы-шпионы, работают изнутри. Для того чтобы прекратить их деятельность, необходим программный защитный экран, установленный непосредственно на компьютере.
Межсетевой экран, настроенный исключительно по принципу полномочий доступа, предупреждает о любой попытке приложения передать данные по сети и позволяет блокировать эту операцию, таким образом обращая внимание администратора на приложения, которые могут оказаться злонамеренными.
Таблица - программные и аппаратные межсетевые экраны
Из соображений удобства межсетевые экраны, встроенные в пакеты Panda Platinum Internet Security и Symantec Norton Internet Security 2004 автоматически предоставляют полномочия многим приложениям Windows. Однако такой шаг может привести к нарушению защиты. Например, первоначально продукт Panda, предоставляя доступ службам Windows, оставлял открытым порт 135 — именно через этот порт в компьютер проникает печально известный червь Blaster. Правда, когда это было замечено, ошибка была исправлена.
Встречается и обратный "перегиб": казалось бы, пакет обеспечения безопасности не может блокировать все подряд — он должен оставлять возможность работы хотя бы для собственных компонентов. Однако, оказалось, что в McAfee Internet Security Suite 6 это не так. Например, при попытке отправить письмо по электронной почте программа выдает сообщение о том, что MCSHIELD.EXE и MGHTML.EXE (два компонента пакета McAfee) пытаются получить доступ к защищенному файлу — то есть к dat-файлу почтового клиента.

Компоненты системы Internet Scanner

Система Internet Scanner&153; состоит из трех основных подсистем, предназначенных для тестирования сетевых устройств и систем (Intranet Scanner), межсетевых экранов (Firewall Scanner) и Web-серверов (Web Security Scanner).

Компоненты системы RealSecure

Система RealSecure использует распределённую архитектуру и содержит два основных компонента RealSecure Detector и RealSecure Manager. Первый компонент отвечает за обнаружение и реагирование на атаки, и состоит из двух модулей - сетевого и системного агентов. Сетевой агент устанавливается на критичный сегмент сети и обнаруживает атаки путем "прослушивания" трафика. Системный агент устанавливается на контролируемый узел и обнаруживает несанкционированную деятельность, осуществляемую на данном узле.
Компонент RealSecure Manager отвечает за настройку и сбор информации от RealSecure Detector. Управление компонентами системы RealSecure 3.0 возможно осуществлять как с централизованной консоли, так и при помощи дополнительного модуля, подключаемого к системе сетевого управления HP OpenView (HP OpenView Plug-In Module).

Краткий обзор по протоколам

Терминальный сервис
Поддерживается протоколы telnet,rlogin,tn3270. Работа по этим протоколам
невозможна в обход МЭ. МЭ может быть сконфигурирован в прозрачном
режиме при использовании этих видов сервиса. При стандартном режиме работы
пользователь общается только с соответствующей программой, он не осуществляет
удаленный вход в систему МЭ. rlogin сервис не использует rlogind сервер
на МЭ. telnet и rlogin сервисы обслуживаются разными программами МЭ,
соответственно каждый сервис требует отдельной конфигурации.

Протокол передачи файлов
Протокол FTP аналогично telnet может быть сконфигурирован в прозрачном
и обычном режимах. При использовании прозрачного режима графические реализации
клиента FTP (например CuteFTP for Windows95) не требуют изменения.
При стандартном режиме и в случае дополнительной авторизации графические
версии использовать не рекомендуется (можно пользоваться терминальной
версией ftp в windows95). МЭ осуществляет полный контроль за
использованием команд протокола RETR,STOR и т.д.

Электронная почта.
МЭ предоставляет поддержку электронной почты с использованием протокола
SMTP. Поскольку известно большое количество проблем, связанных со стандартной
программы передачи почты sendmail, МЭ не запускает ее в привилегированном
режиме. Вместо этого с протоколом SMTP работает специальная программа
(2000 строк против 40 000 строк в sendmail), которая обрабатывает все
соединения по порту 25, проводит полный анализ всех управляющих команд
и заголовков письма, после чего вызывает sendmail для реальной передачи
сообщения. Все это происходит не в режиме суперпользователя и
на изолированном участке файловой системы.
Среди дополнительных возможностей имеется возможность скрыть реальную
внутреннюю структуру сети от анализа по почтовым адресам.
Для чтения почты пользователями используется специальная серверная программа,
использующая авторизацию через одноразовые пароли. МЭ поддерживает работу
по протоколу POP3 с использованием APOP стандарта( см. RFC1725).

WWW.

МЭ поддерживает все виды и вариации HTTP протокола. Программа МЭ,

отвечающая за этот протокол имеет размер исходных текстов примерно в 20 раз меньше

публично доступных аналогичных программ и может быть легко проанализирована.

Важнейшим отличием ее от других является возможность блокирования передачи

в составе гипертекстовых документов программ на языке JAVA. О полезности

этого свойства говорит наличии в архиве CERT 2-3 сообщений о проникновении

за системы защиты с помощью программ на этом языке, полученными пользователями приватной сети в составе документа. Кроме того, МЭ позволяет фильтровать такие

вещи, как JavaScript и Frames. МЭ позволяет осуществлять контроль

за используемыми HTTP методами (GET,PUT,HEAD).

X11.

X Window System хорошо известная проблемами с безопасностью среда.

X11 клиент, соединившийся с сервером, имеет возможность получить контроль

над клавиатурой, прочитать содержимое других окон. Система доступа к X11

в МЭ используется совместно с терминальными программами telnet и rlogin.

Она определяет псевдо-сервер, с которым и организуется соединений по

протоколу X11. При каждом таком соединении пользователю предлагается

сделать выбор мышкой - разрешить или запретить работу вызванного приложения.

Удаленная печать.

В некоторых случаях есть необходимость пересылки по сети печатной информации.

МЭ включает средства поддержки удаленной печати. При использовании

соответствующей программы проверяется откуда приходит запрос и на какой принтер.

также осуществляется контроль за удаленным управлением очередями печати

Удаленное выполнение задач.

Эта возможность реализована несколько ограниченно по причинам безопасности,

поскольку протокол rsh является одним из наиболее опасных. Пользователи

из приватной сети могут по правилам определенным администратором МЭ

выполнять задачи удаленно в открытой сети.

Передача звука - RealAudio.

Для пользователей приватной сети имеется возможность использовать

аудио по запросу протокол.

Доступ к базам данных.

В настоящий момент реализована возможность доступа к базам данных

Sybase с контролем на МЭ.

Нестандартные протоколы.

Для работы с нестандартными протоколами, использующих TCP в составе МЭ

имеется средство plug-ge, позволяющее использовать прозрачное прямое

соединение. Поскольку это средство не поддерживает авторизации, его

использование должно происходить под строгим контролем и только

если администратор понимает, что он делает. В общем случае рекомендуется

использовать circuit-level приложение из состава МЭ, поддерживающее

авторизацию. Управление этим средством со стороны пользователя

легко осуществляется с помощью стандартной программы telnet. Авторизовавшись,

пользователь может осуществить несколько соединений. Каждое такое соединение

происходит только при подтверждении со стороны пользователя, что это

делает именно его программа.

Май

Женщина-законодатель из
Калифорнии решила выяснить, почему она постоянно получает письма,
предназначенные одиноким родителям. Оказалось, что алгоритмы,
реализованные в демографических программах штата, содержат предположение
о том, что если в свидетельстве о рождении у родителей ребенка
разные фамилии, эти родители не состоят в браке. Таким образом,
правомерность статистического заключения "30% матерей в Калифорнии
воспитывают детей в одиночку", оказалась серьезно поколебленной.
В декабре столь же бурную реакцию вызвала публикация в "USA
Today", в которой утверждалось, что показатели компьютерного
индекса цен, базирующиеся на понятиях сельскохозяйственного и
индустриального прошлого, абсолютно не годятся для измерения производительности
труда и затрат в постиндустриальной экономике, основанной на информации
и предоставлении услуг. (Как говорится, что посеешь, то и пожнешь,
или, выражаясь более современно, мусор введешь, мусор и получишь.)
Информационный сервис
Edupage сообщил, что компания DVD Software предлагает утилиту
"UnGame", отыскивающую и уничтожающую компьютерные игры
в соответствии с ежемесячно обновляемым списком. По данным на
июнь, более 20 колледжей и университетов приобрели и используют
эту утилиту, чтобы уменьшить время, растрачиваемое студентами,
занимающими дефицитные терминалы и рабочие станции под игры, тогда
как другие студенты нетерпеливо ожидают возможности поработать
за компьютером. ("Chronicle of Higher Education", 7
июня 1996 года, с. A24).
Новая версия программы
управления дорожным движением, установленная в Вашингтоне, без
всяких видимых причин перевела работу светофоров с режима часов
пик (50 секунд зеленого света), на режим выходных дней (15 секунд
зеленого света). Возникший хаос привел к удвоению времени поездок
многих людей.("Washington Post", 9 мая).
Во Франции два поставщика
Интернет-услуг, WorldNet и FranceNet, решили отключить доступ
ко всем телеконференциям Usenet, поскольку французская прокуратура

пригрозила арестом директоров, несущих персональную ответственность

за нарушение национальных законов Франции о детской порнографии.

Последовала буря протестов, а Французская ассоциация профессионалов

Интернет обратилась за международной поддержкой в борьбе с полицейской

акцией, предложив блокировать всю сеть Usenet (см. RISKS 18.11).

Откликаясь на эти события,

Simson L. Garfinkel указал (см. RISKS 18.13), что блокировать отдельные телеконференции Usenet, поставляющие

педофилам детскую порнографию, довольно легко. Более того, хранение

или передача детской порнографии является федеральным преступлением.

Всякая организация, поддерживающая соответствующие телеконференции

на территории Соединенных Штатов (в том числе America Online),

нарушает федеральное законодательство.

Согласно сообщению агентства

AP от 18 мая, First National Bank of Chicago допустил самую большую

счетную ошибку в финансовой истории. В результате компьютерной

ошибки (читай - плохого контроля качества) около 900 миллионов

долларов были переведены на каждый из примерно 800 счетов. Суммарная

ошибка, таким образом, составила 763.9 миллиарда долларов. Интересно,

какую премию по итогам года получили программисты?

Также 18 мая австралийское

агентство Associated Press сообщило о краже микросхем памяти и

жестких дисков из 55 компьютеров, установленных в здании правительства

провинции Квинсленд.

Еврейское издательское

общество выпустило компакт-диск с иудейской информацией. Покупатели

этого диска были неприятно поражены, увидев, что в программе предохранения

экрана использована христианская символика. Вероятно, диск готовила

компания, ориентированная преимущественно на христиан, и предохранение

экрана было в данном случае добавлено без учета контекста. К счастью

для межрелигиозных отношений, обе стороны признали свою ответственность

за случившиеся и поделили расходы на переиздание и повторное распространение

исправленной версии диска. Автор сообщения об этом случае в RISKS 18.14, Matthew P Wiener ,

пошутил, что, по всей видимости, издатели не смогли организовать

должного бета-тестирования.

По сообщению "Wall

Street Journal" от 22 мая, две японские компании потеряли

около 588 миллионов иен после того, как мошенники научились не

только подделывать денежные карты, но и увеличивать закодированную

на них сумму. Электронные деньги переводились на обычные банковские

счета.

23 мая Rachel Polanskis

сообщила о том, что поисковый

сервер AltaVista включил в свой индекс файлы из корневого каталога

незащищенного Web-сервера. Когда она посредством навигатора отправилась

по найденной ссылке, то обнаружила, что получила суперпользовательский

доступ к системе, о которой ранее никогда не слышала. Рэчел весьма

любезно проинформировала о создавшейся ситуации администраторов

Web-сервера, которые тут же отключили его от сети и занялись восстановлением

защиты. Мораль состоит в том, что плохая система безопасности

на Web-сервере почти наверняка ведет к его полной компрометации

и получению доступа ко всей информации. (RISKS 18.15).

David Kennedy изложил

(в RISKS 18.15) сообщение агентства Associated Press о сенатских

слушаниях, посвященных информационной безопасности. Правительственное

статистическое управление провело исследование числа незаконных

проникновений в компьютерные системы. Это исследование опиралось

на данные американского Министерства обороны, согласно которым

военные системы с несекретной информацией в 1995 году подвергались

атакам 160 тысяч раз. Агентство информационных систем Министерства

обороны собрало собственные данные, организовав около 38 тысяч

тестовых атак на несекретные системы. Примерно 65% атак оказались

успешными, причем лишь малая часть из них была обнаружена, а еще

меньшая - должным образом доведена до сведения командования. Обобщив

все эти данные, статистическое управление пришло к выводу, что

в 1995 году на правительственные компьютеры США было совершено

около 250 тысяч атак. На слушаниях говорилось также, что примерно

в 120 странах разрабатывают средства ведения информационной войны.

Peter Neumann указал, что отчет статистического управления можно

запросить в правительстве по наименованию "GAO/AIMD-96-84,

Information Security: Computer Attacks at Department of Defense

Pose Increasing Risks".

В конце мая с новой силой

разгорелась торговая война между Китаем и Соединенными Штатами.

США объявили о введении набора тарифов на общую сумму в 2 миллиарда

долларов в качестве компенсации за "массовое, терпимое и

даже поддерживаемое государством программное, музыкальное и видеопиратство,

поставленное в южном Китае на промышленную основу". (Reuters,

22 мая). Китайские чиновники заявили в ответ, что американское

давление на пиратов служит лишь прикрытием для "культурного

просачивания".

В Израиле полиция закрыла

три пиратские радиостанции, несанкционированно вещавшие на волнах,

зарезервированных для управления воздушным движением. (AP, 23

мая). Закрытию предшествовала забастовка авиадиспетчеров, парализовавшая

работу основного аэропорта Тель-Авива. Естественно, возникает

вопрос: "Если гражданские радиостанции могут непреднамеренно

нарушить функционирование важного аэропорта, то что в состоянии

сделать высокоэнергетические радиочастотные устройства (так называемые

HERF-пушки)?".

Продолжая борьбу за защиту

персональных данных, конгрессмен-республиканец Bob Franks и сенатор-демократ

Dianne Feinstein внесли на рассмотрение своих палат законопроект,

запрещающий предоставление информации о детях без согласия родителей

(AP, 23 мая). Подобная информация, которую собирают клубы дней

рождений в супермаркетах, магазинах игрушек, киосках быстрого

питания и т.п., поставляется компаниям, занимающимся рыночными

исследованиями и прямой рассылкой товаров по почте. Сторонники

законопроекта утверждают, что почтовые списки, доступные за плату

кому угодно, являются на самом деле списками потенциальных жертв.

28 мая Robert Alan Thomas,

40-летний житель калифорнийского города Милпитас, был приговорен

судом штата Юта к 26 месяцам заключения в федеральной тюрьме и

штрафу в размере 50 тысяч долларов за распространение детской

порнографии. Параллельно действует другой приговор, вынесенный

в Тенесси, согласно которому развратник и его жена должны отбыть

32 месяца в тюрьме штата за распространение непристойных изображений.

Данное дело имеет весьма серьезные последствия для операторов

электронных досок объявлений. Суд постановил, что любая передача

или прием подобного изображения может послужить основанием для

выдвижения обвинения.

Национальный исследовательский

совет опубликовал в конце месяца доклад, посвященный контролю

над криптосредствами. Коллектив известных ученых настоятельно

рекомендовал исключить криптосредства из законодательства о международной

торговле оружием. В докладе утверждается, что большинство целей,

ради которых ограничивается экспорт криптосредств, может быть

достигнуто путем разработки криптографического программного обеспечения,

предусматривающего возможность восстановления ключей или наличие

мастер-ключей для расшифровки сообщений по постановлению судебных

властей.

Один из сотрудников нашей

Ассоциации, занимающийся исследованием компьютерного подполья,

сообщил об аресте в собственном доме 16-летнего английского хакера

со звучным псевдонимом "Datastream Cowboy". Ему вменяются

в вину вторжения в компьютеры базы ВВС США в Rome Laboratories

(Нью-Йорк) и в некоторые другие международные сети. Еще одно сообщение

гласит, что вашингтонская группа криминальных хакеров "9x"

начала выпуск серии хакерских текстовых файлов.

Март

В начале марта система
электронной почты Белого Дома оказалась "затоплена"
из-за поддельной, непрошенной подписки на Интернетовские списки
рассылки, оформленной каким-то "доброжелателем" на правительственных
пользователей. "Автоответчик" в Белом Доме (whitehouse.gov)
реагировал на автоматически генерируемые входящие электронные
сообщения, направляя ответы в соответствующие списки, что вызвало
дополнительную перегрузку в Интернет. Эта атака на доступность
представляет собой еще одно проявление большой и постоянно растущей
проблемы киберпространства. В данном случае атаке способствовала
та простота, с которой можно подделать заголовки электронных писем,
в сочетании с неспособностью большей части программного обеспечения,
обслуживающего списки рассылки, выявлять поддельные запросы на
подписку.
В марте продолжалась атака
через телеконференции троянской программы с именем PKZ300B.ZIP
или PKZ300.EXE. Не принимайте, не передавайте и не выполняйте
файлы, выдающие себя за PKZip версии 3.0: это вредители, способные
уничтожить содержимое жестких дисков. Последняя версия программы
PKZip имеет номер 2.04g; соответствующее имя файла, скорее всего,
суть PKZ204g.zip.
В палату представителей
и сенат Конгресса США внесен законопроект, предусматривающий разрешение
экспорта аппаратуры и программ шифрования данных, если аналогичные
изделия доступны от зарубежных поставщиков. Законопроект утверждает
за каждым гражданином США право использовать внутри страны шифровальное
оборудование любого типа и запрещает обязательное использование
специальных ключей, позволяющих правоохранительным органам осуществлять
доступ к шифруемым данным. Кроме того, в законопроекте объявляется
преступлением применение криптосредств в преступных целях ("New
York Times", 4 марта 1996 года, с. C6).
Согласно сообщению "New
York Times" от 7 марта 1996 года, письмо, предназначавшееся
89 пользователям кредитных карт и извещавшее о приостановке их

счетов, в результате программной ошибки было отправлено в адрес

11 тысяч (из общего числа 13 тысяч) пользователей защищенных кредитных

карт банка Chase Manhattan. По иронии судьбы, это письмо получило

большинство самых благонадежных (и богатых) клиентов банка, что,

естественно, вызвало их раздражение. Как тут снова не вспомнить

о борьбе за повышение качества программного обеспечения?

Австралийская газета "The

Sunday Mail" (провниция Квинсленд) 10 марта сообщила об интересном

случае с двумя Белиндами - женщинами, носящими одно и то же имя,

Belinda Lee Perry, и родившимися в один день, 7 января 1969 года.

Из-за непродуманной реализации механизма уникальных идентификаторов

людей, совпадение имен и дат рождения гарантировало женщинам пожизненную

путаницу. Время от времени одна Белинда обнаруживала, что ее данные

затерты сведениями о тезке, что приводило к бесконечным неприятностям.

Единственный положительный момент во всей этой истории состоит

в установившихся дружеских отношениях двух страдалиц. Не пора

ли программистам понять, что пара (имя, дата рождения) не подходит

на роль уникального идентификатора?

Федеральная комиссия по

торговле (США) начала массированную атаку против мошенничества

в Интернет и WWW. Как сообщила 15 марта газета "Investor's

Business Daily", комиссия выдвинула против девяти физических

и юридических лиц обвинения в обманном использовании чужих имен.

В "Wall Street Journal"

от 15 марта сообщается о претензиях одного из производителей дисковых

приводов, компании IOMEGA. Утверждается, что ложная информация,

появившаяся в разделе "Motley Fool" (пестрые глупости)

сети America Online, вызвала сбои в торговле товарами этой компании.

IOMEGA направила жалобу в Комиссию по ценным бумагам и бирже (США).

Аналитики отмечают, что хоть в какой-то степени доверять такого

рода информации, публикуемой в сетях анонимно или под псевдонимом,

крайне глупо. (Конечно глупо, но, с другой стороны, кто слушает

советы аналитиков?)

Консультативный орган

по компьютерным инцидентам (Computer Incident Advisory Capability,

CIAC) Министерства энергетики США выпустил 18 марта бюллетень

"CIAC Notes" номер 96-01. В основной статье бюллетеня

приводится сводная информация об ошибках и исправлениях в области

безопасности Java и JavaScript. (Архив бюллетеней можно найти

по адресу ciac.llnl.gov).

Член Национальной ассоциации

информационной безопасности США David Kennedy сообщил (см. RISKS 17.95), что в конце марта компетентными органами Аргентины был

арестован Julio Cesar Ardita, 21 года, житель Буэнос-Айреса, системный

оператор электронной доски объявлений "Крик", больше

известный в компьютерном подполье под псевдонимом "El Griton".

Ему вменялись в вину систематические серьезные вторжения в компьютерные

системы ВМС США, NASA, многих крупнейших американских университетов,

а также в компьютерные системы Бразилии, Чили, Кореи, Мексики

и Тайваня. Одним из интересных аспектов данного дела является

использование гарвардской командой программ с искусственным интеллектом,

чтобы проанализировать тысячи возможных идентификаторов пользователей

и сузить круг подозреваемых до одного идентификатора, основываясь

на компьютерных привычках злоумышленника. Представители правительства

Аргентины конфисковали компьютер и модем хакера еще в январе.

Однако, несмотря на тесное сотрудничество компетентных органов

Аргентины и США, Ardita был отпущен без официального предъявления

обвинений, поскольку по аргентинскому законодательству вторжение

в компьютерные системы не считается преступлением. Кроме того,

в силу принципа "двойной криминальности", действующего

в международных правовых отношениях, Аргентина не может выдать

хакера американским властям. (Принцип "двойной криминальности"

утверждает, что необходимым условием выдачи гражданина другой

стране является уголовная наказуемость совершенного деяния в обеих

странах. Дело Ardita показывает, каким может быть будущее международных

компьютерных вторжений при отсутствии всеобщих или хотя бы двусторонних

соглашений о борьбе с компьютерной преступностью.)

Также в марте, "U4ea",

самопровозглашенный криминальный хакер, поднял волну Интернет-террора

в Бостоне. После атаки на компьютерную систему компании BerkshireNet

(см. выше информацию за февраль) и последовавших публикаций в

прессе, он, вероятно обидевшись, атаковал компьютеры газеты "Boston

Globe" и уничтожил хранившуюся на Web-сервере информацию.

Та же участь постигла Web-страницы газеты, хранившиеся на сервере

www.boston.net.

Механизмы работы

Существует два основных механизма, при помощи которых сканер проверяет наличие уязвимости - сканирование (scan) и зондирование (probe).
Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Этот метод является наиболее быстрым и простым для реализации. В терминах компании ISS данный метод получил название "логический вывод" (inference). Согласно компании Cisco этот процесс идентифицирует открытые порты, найденные на каждом сетевом устройстве, и собирает связанные с портами заголовки (banner), найденные при сканировании каждого порта. Каждый полученный заголовок сравнивается с таблицей правил определения сетевых устройств, операционных систем и потенциальных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии уязвимости.
Зондирование - механизм активного анализа, который позволяет убедиться, присутствует или нет на анализируемом узле уязвимость.Зондирование выполняется путем имитации атаки, использующей проверяемую уязвимость. Этот метод более медленный, чем "сканирование", но почти всегда гораздо более точный, чем он. В терминах компании ISS данный метод получил название "подтверждение" (verification). Согласно компании Cisco этот процесс использует информацию, полученную в процессе сканирования ("логического вывода"), для детального анализа каждого сетевого устройства. Этот процесс также использует известные методы реализации атак для того, чтобы полностью подтвердить предполагаемые уязвимости и обнаружить другие уязвимости, которые не могут быть обнаружены пассивными методами, например подверженность атакам типа "отказ в обслуживании" ("denial of service").
На практике указанные механизмы реализуются следующими несколькими методами.

Межсетевой экран для защиты локальной сети

Информация предоставлена "Р-Альфа"
При подключении локальной сети к сети общего пользования перед Вами сразу возникает проблема: как обеспечить безопасность информации в Вашей локальной сети?
Межсетевой экран "ПАНДОРА" на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера О2 фирмы Silicon Graphics под управлением IRIX 6.3 не только надежно решит проблему безопасности Вашей сети, но и позволит Вам:

скрыть от пользователей глобальной сети структуру Вашей сети (IP-адреса, доменные имена и т.д.)

определить, каким пользователям, с каких хостов, в направлении каких хостов, в какое время, какими сервисами можно пользоваться

описать для каждого пользователя, каким образом он должен аутентифицироваться при доступе к сервису

получить полную статистику по использованию сервисов, попыткам несанкционированного доступа, трафику через "Пандору" и т.д.

"Пандора" устанавливается на компьютер с двумя Ethernet интерфейсами на выходе между локальной сетью и сетью общего пользования.
"Пандора" построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы:

TELNET, Rlogin (терминалы)

FTP (передача данных)

SMTP,POP3 ( почта)

HTTP ( WWW )

Gopher

X11 (X Window System)

LP ( сетевая печать )

Rsh (удаленное выполнение задач)

Finger

NNTP (новости Usenet)

Whois

RealAudio

Кроме того, в состав "Пандоры" входит сервер общего назначения TCP уровня, который позволяет безопасно транслировать через "Пандору" запросы от базирующихся на TCP протоколов, для которых нет proxy серверов, а также сервер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.
Для аутентификации пользователей "Пандора" позволяет использовать следующие схемы аутентификации:

обычный UNIX пароль;

S/Key, MDauth ( одноразовые пароли).

POP3-proxy позволяет использовать APOP авторизацию и тем самым избежать передачи по сети открытого пароля.

FTP-proxy позволяет ограничить использование пользователями отдельных команд ( например RETR, STOR и т.д.)

HTTP-proxy позволяет контролировать передачу через "Пандору"

фреймов

описаний на языке Java

описаний на языке JavaScript

html конструкций, не попадающих под стандарт HTML версии 2 и т.д.

Гибкая и удобная система сбора статистики и генерации отчетов позволяет собрать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя ( если есть), а также аномалии в самой системе.

"Пандора" не требует ни внесения изменений в клиентское программное обеспечение, ни использования специального программного обеспечения

Прозрачный режим работы proxy серверов позволяет внутренним пользователям соединяться с нужным хостом за один шаг ( т.е. без промежуточного соединения с "Пандорой".

Система контроля целостности позволяет контролировать безопасность модулей самой системы.

Графический интерфейс управления служит для настройки, администрирования и просмотра статистики "Пандоры".

"Пандора" поставляется вместе с исходными текстами основных программ, с тем чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.

"Пандора" сертифицирована Государственной Технической Комиссией при президенте России СЕРТИФИКАТ N 73. Выдан 16 января 1997г. Действителен до 16 января 2000г.

Направления развития средств безопасности предприятия

Виктор Олифер, Корпорация Uni
Сегодня неотъемлемым элементом бизнеса многих предприятий становится осуществление электронных транзакций по Internet и другим публичным сетям. Прогнозируемое превращение в недалеком будущем Internet в новую публичную сеть (New Public Network), предоставляющую массовому пользователю все виды информационных услуг и переносящую все виды трафика в глобальном масштабе, должно превратить эту тенденцию в норму жизни. Электронная коммерция, продажа информации, оказание консультационных услуг в режиме on-line и многие другие услуги становятся для предприятий в новых условиях основными видами деятельности, поэтому разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести предприятию значительный материальный ущерб. В связи с этим информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно - цена каждой бреши в средствах защиты быстро растет и этот рост будет в ближайшем будущем продолжаться.
Поддержание массовых и разнообразных связей предприятия через Internet с одновременным обеспечением безопасности этих коммуникаций является сегодня основным фактором, влияющим на развитие средств защиты предприятия.
Трансформация Internet в глобальную публичную сеть означает для средств безопасности предприятия не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Для создания прочной основы массовой глобальной сети IP-технологии быстро приобретают такие новые свойства как поддержка дифференцированного по пользователям и приложениям качества обслуживания (QoS), управление сетью на основе централизованной политики, групповое вещание и т.д., и т.п. Постоянно появляются и новые информационные сервисы, например, сервис передачи голоса - VoIP, сервис поиска и доставки новостей PointCast и другие. Средства безопасности должны учитывать эти изменения, так как каждая новая технология и новый сервис могут потребовать своих адекватных средств защиты, а также оказать влияние на уже применяемые. Например, дифференцированное обслуживание трафика на основе признаков, находящихся в заголовке и поле данных IP-пакета, может быть затруднено работой средств инкапсуляции и шифрации IP-пакетов, применяемых в защищенных каналах VPN и закрывающих доступ к нужным признакам. На средства защиты может оказать значительное влияние и появление новых отдельных продуктов, особенно в том случае, когда ожидается массовое применение такого продукта (свежий пример этого рода - выход в свет Windows 2000).
Перспективные средства защиты данных предприятия должны учитывать появление новых технологий и сервисов, а также удовлетворять общим требованиям, предъявляемым сегодня к любым элементам корпоративной сети:

Основываться на открытых стандартах. Средства защиты особенно тяготеют к фирменным решениям, т.к. отсутствие информации о способе защиты безусловно повышает эффективность защиты. Однако без следования открытым стандартам невозможно построить систему защиты коммуникаций с предприятиями-партенерами и массовыми клиентами, которых поставляет сегодня Intrenet. Принятие таких стандартов как IPSec и IKE представляет значительный шаг в направлении открытости стандартов и эта тенденция должна поддерживаться.

Обеспечивать интегрированные решения. Интеграция требуется в разных аспектах:

интеграция различных технологий безопасности между собой для обеспечения комплексной защиты информационных ресурсов предприятия - например, интеграция межсетвого экрана с VPN-шлюзом и транслятором IP-адресов.

интеграция средств защиты с остальными элементами сети - операционными системами, маршрутизаторами, службами каталогов, серверами QoS-политики и т.п.

Допускать масштабирование в широких пределах, то есть обеспечивать эффективную работу при наличии у предприятия многочисленных филиалов, десятков предприятий-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.

Для того, чтобы обеспечить надежную защиту ресурсов корпоративной сети сегодня и в ближайшем будущем, разработчики системы безопасности предприятия должны учитывать следующие основные тенденции:

Nessus

Nessus (http://www.nessus.org) — сканер уязвимых мест в защите, позволяющий выполнять проверку защиты Web-сайта удаленным образом. Разработчики Nessus выпустили этот инструментарий в апреле 1998 года. Nessus поддерживает серверы, которые удовлетворяют требованиям POSIX и работают с клиентами Java, Win32 и X11.

Netfilter и iptables

Группа разработчиков свободно распространяемого программного обеспечения подготовила Netfilter и iptables для интеграции в ядро Linux 2.4. Netfilter (www.netwilter.org) дает пользователям возможность отслеживать обратные связи, ассоциированные с вторжением в сеть, тем самым позволяет выявлять тот факт, что система подвергается атаке. С помощью iptables (www.iptables.org) пользователи могут определять действия, которые должна предпринять система в случае обнаружения атаки.

Низкая удельная стоимость

Удельная стоимость PIX оказывается гораздо ниже, чем для большинства систем защиты. Во-первых, PIX благодаря наличию менеджера межсетевого экрана прост в установке и конфигурации, при этом сеть необходимо отключать только на непродолжительное время. Кроме того, PIX разрешает прозрачный доступ для мультимедийных приложений, что позволяет избежать модификации параметров рабочих станций - довольно неприятной процедуры.
Во-вторых, расширенные возможности по сбору статистики помогают понять и контролировать использование ресурсов. При помощи менеджера межсетевого экрана легко генерировать отчеты с описанием даты и времени соединения, полного времени соединения, статистики по пользователям (байты и пакеты), порты и другую важную информацию. Эти отчеты можно использовать в системе учета для различных подразделений.
В-третьих, сопровождение PIX достаточно дешево. Поскольку системы с proxy-серверами в основном базируются на UNIX платформах, компании должны содержать высокооплачиваемых специалистов. Кроме того, поскольку большинство предупреждений CERT (Computer Emergency Response Team ) имеют отношение к UNIX системам, компании должны затрачивать усилия для изучения этих предупреждений и инсталляции патчей. PIX базируется на небольшой, защищенной системе реального времени, не требующей серьезных ресурсов для сопровождения. Поскольку все программное обеспечение PIX загружается из FLASH памяти, не требуется жестких дисков, что обеспечивает более высокий срок службы и период времени между ошибками.
В-четвертых, межсетевые экраны PIX обеспечивают высокий уровень масштабируемости, поддерживая от 64 (минимум) до более чем 16000 одновременных соединений. Это позволяет защищать инвестиции пользователей, поскольку при росте компании можно заменить версию на более высокую.
В пятых, наличие сквозных proxy позволяет снизить затраты, время и деньги за счет использования базы данных сервера доступа компании, использующего TACACS+ или RADIUS.

Ноябрь

Юристы с нетерпением ждут
судебных дел по поводу проблем с датой в двухтысячном году, считая
это золотой жилой, классическими гражданскими делами для юридической
школы. Корреспондент телеконференции RISKS
добавил: "Возможно, руководители отделов информатизации станут
обращать больше внимания на проблему двухтысячного года, когда
юристы начнут возбуждать против них дела".
Семь человек признаны
Королевским судом Лондона виновными в криминальном заговоре с
целью обмана британских банков путем прослушивания коммуникационных
линий между банкоматами и банковскими компьютерами. Перехваченные
данные должны были использоваться для изготовления большого числа
фальшивых банковских карт. (Reuters, 4 ноября).
Канадской полиции удалось
раскрыть самую крупную в истории страны банду, занимавшуюся детской
порнографией. Все началось с ареста 22-летнего жителя далекого
городка на севере провинции Онтарио. Затем полиция совместно с
ФБР прошлась по связям молодого человека, арестовав 16 членов
Интернет-клуба "Orchid Club", проживавших в Соединенных
Штатах, Австралии и Финляндии. Правоохранительными органами было
конфисковано 20 тысяч компьютерных файлов, содержащих фотографии
и видеоклипы противозаконных сексуальных действий с вовлечением
детей или их изображений. (AP, 4 ноября).
Руководители телефонной
индустрии пожаловались, что растущее использование Интернет приводит
к превышению расчетных показателей загрузки голосовых линий, что
в свою очередь вызывает увеличение числа сбоев в работе телефонной
системы США. Местные телефонные станции все чаще не справляются
с вызовами (меньшее число звонков проходит с первой попытки),
ответом на все большее количество вызовов оказываются сигналы
"занято" или полная тишина. (Reuters, 4 ноября).
Расследование, проведенное
сотрудниками ФБР, закончилось предъявлением обвинений бывшему
служащему американской корпорации Standard Duplicating Machines.
Похоже, что после трехлетней работы в корпорации, завершившейся

в 1992 году, этот служащий использовал свои знания об отсутствии

защиты корпоративной системы голосовой почты. Он извлекал директивы

по продажам и другие ценные данные в интересах прямого конкурента

- корпорации Duplo U.S.A. Успеху проникновений способствовало

использование подразумеваемых "паролей" голосовых почтовых

ящиков. Эти пароли в соответствии с общепринятой практикой состояли

из добавочного номера и символа "#" в конце. Предполагаемому

промышленному шпиону, если он будет признан виновным, грозит до

пяти лет тюрьмы и штраф в размере до 250 тысяч долларов. (PR News,

5 ноября). В конце месяца преступник признал себя виновным в телефонном

мошенничестве.

В начале ноября криминальные

хакеры атаковали антивоенный сервер www.insigniausa.com

и уничтожили сотни копий документов Министерства обороны США,

связанных с использованием химического и бактериологического оружия

во время войны в Персидском заливе. Поговаривали, что атаку финансировало

правительство. (Newsbytes, 5 ноября).

Компания Internet Security

Systems (ISS) объявила о выпуске первой известной коммерческой

системы мониторинга в реальном времени, способной справляться

с "SYN-наводнениями" и другими атаками против доступности.

(Эта информация не означает поддержку системы со стороны NCSA.)

(См. www.iss.net/RealSecure/).

Радио-телевизионная и

коммуникационная комиссия Канады (CRTC) по запросу телефонных

компаний наделила их правом запрещать продолжающуюся всю ночь

факсовую рассылку всякой ерунды. Запрет может действовать в пределах

Канады с 21:30 до 9:00 по рабочим дням и с 18:00 до 10:00 по выходным.

(Reuter, 7 ноября).

Отдел по информатике и

телекоммуникациям (CSTB) Национального исследовательского совета

США (NRC) объявил о выходе в свет окончательной версии труда по

криптографической политике "Роль криптографии в защите информационного

общества" (Cryptography's Role in Securing the Information

Society). Предварительный вариант работы был опубликован в мае.

( Более подробную информацию можно найти по адресу www.nap.edu/bookstore/).

Trevor Warwick

сообщил об экспериментах с сотовыми телефонами. В его организации

обычно устойчиво работавшие серверы NetWare в течение трех дней

зависали несколько раз без всяких видимых причин. Наконец, обслуживающий

персонал обратил внимание, что каждый раз, когда сервер "умирал",

рядом находился специалист из компании AT&T (он налаживал

офисную АТС), разговаривавший по сотовому телефону. Эксперименты

подтвердили, что можно наверняка "завесить" сервер,

если использовать сотовый телефон на расстоянии порядка фута от

компьютера. Опыты на резервном сервере показали, что сотовый телефон

вызывает необратимое повреждение системного диска. Так что держите

сотовые телефоны подальше от своих компьютеров. (RISKS 18.60).

7-8 ноября дочерняя компания

AT&T - поставщик Интернет-услуг WorldNet - стала жертвой частичного

отключения электроэнергии, продолжавшегося 18 часов. Все это время

около 200 тысяч пользователей были лишены полного доступа к своим

системам электронной почты. (AP, 8 ноября).

Также 8 ноября Web-сервер

газеты "New York Times" был поражен "SYN-наводнением",

сделавшим один из самых популярных во "Всемирной паутине"

серверов недоступным. (См. www.news.com/News/Item/0,4,5215,00.html.

На некоторых коммерческих

Web-серверах неправильно установленные программы SoftCart делали

возможным неавторизованный доступ к информации о кредитных картах

клиентов, после того как те совершали покупки у онлайновых торговцев.

("Wall Street Journal" в изложении Edupage; RISKS 18.61).

Два года назад в Ливерморской

лаборатории наблюдался изрядный переполох (если не сказать паника).

В компьютерах Министерства энергетики было обнаружено 90 тысяч

изображений откровенно сексуального характера. Вероятно, прогресс

в области информационной безопасности, имевший место с тех пор,

так и не смог проникнуть за некоторые медные лбы. Физик-лазерщик

Kenneth Manes предоставил своему 16-летнему сыну суперпользовательский

доступ к правительственному компьютеру, использовавшемуся главным

образом для вычислений в интересах создания суперлазера, запланированного

как часть исследовательской программы Лаборатории в области ядерного

оружия. В каталогах суперпользователя также нашлось место для

90 откровенно сексуальных изображений, применявшихся для "бомбардировки"

компьютера в Швеции. Другой сын физика, 23 лет от роду, согласно

документам, представленным в муниципальный суд, обвинен в использовании

незаконно полученного пользовательского счета для торговли краденым

программным обеспечением. Сам Manes и еще один ученый обвиняются

в судебно наказуемых проступках.

Региональное управление

федеральных программ по охране окружающей среды (EPA), обслуживающее

атлантическое побережье США, 6 ноября было вынуждено выключить

свои компьютерные сети после того, как вирусная инфекция поразила

15% рабочих станций и серверов. (AP, 10 ноября).

Примерно в это же время

кто-то заполнил порнографией и насмешками официальный Web-сервер

встречи на высшем уровне глав 21 латиноамериканской страны. Сервер

был спешно выключен побагровевшими представителями властей. (Reuters,

11 ноября).

Американский фонд "Загадай

желание" помимо собственной воли стал наглядным примером

того, какой вред могут нанести недатированные, неподписанные,

недостоверные, но неубиенные письма, циркулирующие в Интернет.

Фонду пришлось организовать горячую линию и Web-страницу, моля

об окончании одного из многих вариантов современного городского

мифа. Герой этого мифа - Craig Shergold, мальчик, страдавший от

опухоли мозга. К счастью, операция по удалению опухоли прошла

успешно, и сейчас мальчик здоров. Тем не менее, в Интернет, среди

добрых, но наивных людей, каждый день продолжают циркулировать

тысячи писем. Эти люди думают, что бедный паренек все еще хочет,

чтобы ему присылали почтовые и визитные карточки. Однако, ни он,

ни почтовые служащие того района, где он живет, этого не желают.

Фонд приплел к этому делу какой-то глупец, захотевший всего лишь

приукрасить свой рассказ, и с тех пор "Загадай желание"

нежданно-негаданно стал получать тысячи кусочков бумаги для человека,

к которому он не имеет никакого отношения. Вывод: НЕ пересылайте

письма, пока не убедитесь в их достоверности. (Дополнительную

информацию можно получить по адресу www.wish.org/wish/craig.html

или по телефону (001) 800-215-1333, добавочный 184).

Все больше глупцов разносят

все больше страшных "вирусных" сказок. Одна из последних

вспышек глупости возникла на почве "вируса" "Deeyenda",

который вроде бы делает ужасные вещи по электронной почте. (Подробности

можно найти по адресу www.kumite.com/myths/myth027.htm).

Другие идиотские слухи относятся к "вирусу" "PENPAL

GREETINGS", делающему столь же ужасные (и столь же невозможные)

вещи. (RISKS 18.72; www.symantec.com/avcenter/vinfodb.html).

Общая настоятельная рекомендация: не пересылайте "предупреждения"

о "вирусах", пока не попросите компетентного человека

проверить достоверность подобного предупреждения. (RISKS 18.73).

Чтобы нам не показалось

мало со страхом ожидаемых катастрофических крахов древних компьютерных

систем, все еще неспособных представить дату, большую, чем 31

декабря 1999 года, нас решили напугать реальными крахами, которые

могут случиться примерно в это же время. Оказывается, пик 11-летнего

цикла солнечных пятен приходится на 2000 год, о чем предупреждает

центр с длинным названием National Oceanic and Atmospheric Administration's

Space Environment Center. Некоторые из возможных последствий:

волны в линиях электропитания; сбои в работе спутниковой системы

глобального позиционирования; помехи в спутниковых системах сотовой

телефонной связи; повреждение компьютеров и других электронных

систем на спутниках; расширение земной атмосферы и вызванные этим

пертурбации орбит спутников и космического мусора; наведенные

токи в трубопроводах и других больших металлических объектах;

изменения магнитного поля Земли; интерференция с сигналами, управляющими

работой глубинных нефтяных буровых установок. Думаю, в самом конце

1999 года я изыму из банковской системы все свои деньги и постараюсь

перевести их в золото. (AP, 19 ноября; RISKS 18.62).

Газета "USA Today"

сообщает об обзоре 236 крупных корпораций, подготовленном для

одного из комитетов Конгресса. Оказалось, что более половины крупных

американских корпораций стали жертвами компьютерных вторжений.

Около 58% компаний-респондентов заявили, что в прошлом году они

подвергались вторжениям. Почти 18% потеряли из-за этого более

миллиона долларов. Две трети жертв сообщили о потерях, превышающих

50 тысяч долларов. Согласно утверждениям респондентов, более 20%

вторжений представляли собой случаи промышленного шпионажа и вредительства

со стороны конкурентов. Респонденты дружно выразили озабоченность

отрицательным воздействием огласки компьютерных инцидентов на

доверие общественности к компаниям-жертвам. (AP, 21 ноября).

Служащий правительства

города Нью-Йорк использовал искажение данных, чтобы удалить налоговые

записи на общую сумму 13 миллионов долларов. Это крупнейшее однократное

налоговое мошенничество в истории Нью-Йорка. Представители полиции

дали понять, что по данному делу может быть арестовано более 200

человек. Виновным в мошенничестве и взяточничестве грозит до 10

лет тюрьмы. (22 ноября; RISKS 18.63).

Peter Garnett и его жена

Linda, 54 и 52 лет, депонировали поддельный чек на сумму, эквивалентную

16.6 миллиона долларов, якобы выданный Британским центральным

банком. Одновременно они предъявили благотворительный чек на сумму

в 595 долларов. Похоже, криминальные наклонности не всегда подкрепляются

достаточным интеллектом. Дополнительной уликой, показывающей,

что дело тут не чисто, стал расточительный образ жизни парочки

без всякой видимой поддержки расходов на круизы, изысканные обеды

и Роллс-Ройсы. Глупцов приговорили к трем с половиной годам заключения

в британских тюрьмах. (AP, 22 ноября).

В последнюю неделю ноября

был ликвидирован WWW-сервер, сообщавший новости об оппозиции жесткой

линии президента Белоруссии. (AP, 26 ноября).

29 ноября американская

государственная железнодорожная компания Amtrak лишилась доступа

к своей национальной программной системе резервирования и продажи

билетов - как раз перед началом самого напряженного в году периода

путешествий. Как правило, у агентов не было твердых копий расписаний

и цен на билеты, что приводило к большим задержкам в обслуживании

клиентов. (RISKS 18.64).

Издающаяся на Шетландских

островах (Великобритания) газета "Shetland Times" обратилась

в суд, чтобы заставить конкурирующую электронную "газету"

"Shetland News" отказаться от практики помещать ссылки

на Web-страницы Times, оформленные в виде оригинальных заголовков

последней. (RISKS 18.64). (Комментарий автора. Этот случай напоминает

о прежних дебатах в Web, когда с сервера "Babes on the Web"

начали рассылать гипертекстовые ссылки на каждую персональную

Web-страницу, подготовленную женщиной. Некоторые женщины возражали,

что такое использование ссылок является неприличным. В связи с

"Шетландским делом" возникает два вопроса. Во-первых,

является ли заголовок объектом авторского права? Во-вторых, является

ли гипертекстовая ссылка потенциальным нарушением авторского права?

Если кто-то, разместивший информацию на Web-странице, сможет законодательно

запретить другим ссылаться на нее, последствия для Web будут весьма

серьезными.)

29 ноября обиженный компьютерный

специалист из агентства Reuters в Гонконге взорвал логические

бомбы в пяти инвестиционных банках - пользователях сервиса Reuters.

В результате сеть, поставляющая рыночную информацию, критически

важную для торговли, не работала 36 часов. Банки немедленно переключились

на альтернативные сервисы, так что бомбы не оказали заметного

влияния на их работу. А вот в Reuters пришли в полное замешательство.

(RISKS 18.65).

30 ноября в Онтарио система

дебетовых карт крупного канадского банка (CIBC) отказала из-за

ошибки в новой версии программного обеспечения. Примерно половина

всех транзакций в восточной Канаде была приостановлена на несколько

часов. (RISKS 18.65).

Вышел 49-й номер журнала

"Phrack", содержащий коды "стирателя" и другие

средства использования брешей в защите. Склонная к проказам группа

телефонных хакеров "Phone Losers of America" организовала

штаб-квартиру для межрегиональной координации.

Объединенными силами

Маршрутизаторы, такие как модели Linksys и Microsoft, отражают внешние атаки, в то время как программные межсетевые экраны защищают компьютерные системы от вирусов-червей, распространяющихся через диски общего доступа, электронную почту и приложения для обмена файлами, такие как Kazaa и Gnutella. Программные межсетевые экраны — необходимый защитный компонент для ноутбуков, подключаемых не только к защищенной офисной или домашней сети, но также к сетям общего доступа, особенно беспроводным.
Объединенными силами

Из рассмотренных межсетевых экранов нам больше всего понравились Sygate и ZoneAlarm. Sygate впачатляет быстродействием и модульной конфигурацией, благодаря которой его можно настраивать практически как угодно. Правда, некоторые его сообщения способны поставить в тупик, несмотря на подробность. Как, например, реагировать на такое предупреждение: "Internet Explorer (IEXPLORE.EXE) is trying to connect to (207.46.134.221) using remote port 80 (HTTP – World Wide Web)"? Даже в переводе на русский — "Internet Explorer (IEXPLORE.EXE) пытается соединиться с www.microsoft.com (207.46.134.221) через удаленный порт 80 (HTTP – World Wide Web)" не совсем понятно… А вот сообщение ZoneAlarm в той же ситуации вполне ясно: "Do you want to allow Internet Explorer to access the Internet?" — "Разрешаете ли вы доступ Internet Explorer к интернету?".
Быстродействие ZoneAlarm не хуже, чем у Sygate, а интерфейс значительно понятнее. Тем же, кому недостает терпения настраивать межсетевой экран, работающий по принципу предоставления полномочий, можно порекомендовать экран с фильтрацией портов, такой как PC-cillin.

Общая информация о компьютерной безопасности

NIST Computer Security Resource Clearinghouse

Federal Computer Incident Response Capability

Center for Education and Research in Information Assurance and Security

Carnegie Mellon Emergency Response Team

Обзор средств атакующих

Сейчас в Интернет доступно огромное число ресурсов, позволяющих злоумышленникам проникать в компьютерные сети. Детальная информация об уязвимых местах программ публично обсуждается в группах новостей и списках рассылки. Имеются легкодоступные руководства по организации атак, в которых описывается, как написать программы для проникновения в компьютерные сети, используя информацию об уязвимых местах в программах. И тысячи таких программных средств, позволяющих любому организовать компьютерную атаку, уже написаны. Описания компьютерных атак теперь не находятся на известных лишь узкому кругу лиц пиратских BBS, а размещаются на широко известных коммерческих веб-сайтах.
Эти программы для организации компьютерных атак доступны для получения любым пользователем Интернет. Но мало того, что доступны программы для организации атак, теперь эти программы стало легче использовать. Несколько лет назад нужно было иметь Unix, чтобы организовать атаку и нужно было уметь компилировать исходный текст программы атаки. Сегодня эти программы имеют дружественный графический интерфейс и могут работать в ряде случаев под управлением Windows 9'X или Windows NT. Имеются специальные скрипты для организации автоматизированных атак, которые позволяют легко организовать очень опасные атаки. Поэтому системным администраторам важно понимать опасность этих атак и уметь защищать свои сети от них.

Ограничение функциональности сетевых сервисов

Некоторые корпоративные сети используют топологию, которая трудно "уживается" с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.
Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.

Октябрь

Администрация Клинтона
объявила, что она обжалует июньское решение против Закона о благопристойности
коммуникаций в Верховном суде (1 октября).
Администрация объявила
также о смягчении ограничений на экспорт криптосредств. Согласно
планам президентской команды, компании смогут экспортировать программы
с 56-битными ключами, если в течение двух лет будет реализовано
восстановление ключей (которое может осуществляться не только
правительственными ведомствами).
Альянс коммерческого ПО
(Business Software Alliance, BSA) пригрозил судебными карами египетским
фирмам, в которых, согласно экспертным оценкам, доля краденого
программного обеспечения составляет 80%.
В одной из программ новостей
BBC прошло сообщение о том, что услуги сотового пейджинга легко
доступны для перехвата и манипулирования посредством радиосканера
и соответствующего программного обеспечения для персональных компьютеров.
Центральное агентство
новостей Тайваня сообщило о появлении нового "политического"
вируса, созданного в знак протеста против претензий Японии на
острова, которые тайванцы называют Diaoyus. Вирус выдает следующие
сообщения: "Diaoyus - это территория Китайской Республики",
"Даже не надейтесь заполучить эти острова, японские чудовища",
"Вирус написан юным патриотом из школы Feng Hsi". После
этого вирус пытается уничтожить данные, хранящиеся на диске.
Газета "San Francisco
Chronicle" сообщила о новой серии мошеннических электронных
писем. В этих письмах жертвам сообщается, что у них есть только
24 часа на очищение от "страшного греха". Для очищения
нужно позвонить по номеру с региональным кодом 809. Междугородный
звонок стоит не менее 3 долларов, а на самом деле значительно
больше, если выслушивать бесконечные записанные сообщения. Peter
Neumann (ведущий телеконференции RISKS) указал также, что электронный
адрес отправителя писем "Global Communications"@demon.net
является вымышленным (RISKS 18.50).

В августе 1994 года Andrew

Stone, 32 лет, осужденный за махинации с кредитными картами, но

проводящий в тюрьме только ночи, был нанят редакторами журнала

"Which?", чтобы продемонстрировать уязвимость британских

банкоматов. После тестирования механизмов безопасности, проведенного

с благословения журнала, Эндрю вместе с сообщником организовали

автоматизированное "подглядывание через плечо". Они

разместили видеокамеры в нескольких точках, что позволило фиксировать

как детали банковских карт, так и движения пальцев пользователей

во время ввода персональных идентификационных кодов. Вооруженные

сведениями, добытыми за две недели подглядывания, сообщники изготовили

фальшивые банковские карты, "приняв за основу" дисконтные

карты для бензозаправочных станций. Банк-жертва был выбран в силу

особой насыщенности цветов на его картах, так что данные о счете

были ясно видны даже на расстоянии. Стоун и его сообщник похитили

сумму, эквивалентную 216 тысячам долларов США. В конце концов

полиция начала подозревать Стоуна, за ним стали следить и сопоставили

огромное число жалоб на неавторизованные изъятие средств с присутствием

Эндрю в пунктах выдачи наличных денег. В начале октября 1996 года

Стоун был приговорен к тюремному заключению на срок в пять с половиной

лет; его сообщник получил четыре с половиной года. (PA News, 4

октября).

Верховный суд США отклонил

апелляцию, которую подали Robert и Carleen Thomas из города Милпитас

(штат Калифорния). В 1994 году их осудили в результате процесса,

ставшего вехой в судебной практике, поскольку он затронул определение

границ сообщества в киберпространственный век. Стандарты сообщества

определяют, не переходит ли порнографический материал пределов

дозволенного. В данном случае почтовый инспектор из Мемфиса (штат

Тенесси) загрузил материал с электронной доски объявлений, расположенной

в Калифорнии, и возбудил уголовное преследование двух обвиняемых.

Их судили в Мемфисе и приговорили, соответственно, к 37 и 30 месяцам

тюремного заключения за пересылку незаконных файлов откровенно

сексуального характера через границу штата. (Reuters, 7 октября).

Португальское правительство

обязало компании-операторы сотовой телефонной связи установить

технические средства, позволяющие немедленно организовать прослушивание

любого звонка по сотовой связи. (Reuters, 9 октября).

В Колорадо-Спрингс программная

ошибка привела к невозможности зарегистрировать многократные идентичные

платежи, проводимые через банкоматы в течение одного дня клиентами

Федерального кредитного союза. Создавалось впечатление, что только

первый платеж относился на счет клиента. Кредитный союз известили

об этой ошибке сами пользователи несколько месяцев назад, но от

них просто отмахнулись. В октябре союз объявил о снятии 1.2 миллиона

долларов со счетов 12 тысяч "многократных плательщиков",

что вызвало всеобщее недовольство. (RISKS 18.53).

Профессор Гамбургского

университета Klaus Brunnstein обнаружил в середине октября, что

корпорация Microsoft выпустила еще один компакт-диск, зараженный

макровирусом Word "WAZZU.A". Естественно, персонал на

торговой выставке, где распространялся этот диск, проигнорировал

обращение профессора, утверждая, что вирус безвреден. Зараженные

документы пять дней находились на Web-сервере корпорации Microsoft,

прежде чем вирус был обнаружен. Профессор пояснил, что "WAZZU"

случайным образом переставляет пару слов в зараженном документе

и иногда вставляет цепочку символов "WAZZU". Если это

считается безвредным, то страшно даже подумать о том, что такое

подлинный вред. (RISKS 18.53).

Компания Concentric Network,

поставщик Интернет-услуг в северной Калифорнии, добилась еще одного

успеха в борьбе против злостных изготовителей электронного почтового

хлама - Sanford Wallace и ее дочерней фирмы Cyber Promotions.

Суд запретил этим фирмам использовать в их вздорных письмах адреса

Concentric Network в качестве адреса отправителя или адреса для

ответа. По утверждениям представителей компании Concentric Network

в суде, мошенническое использование ее области управления "вызывало

возврат десятков тысяч недоставляемых сообщений в почтовую систему

Concentric Network, где их приходилось обрабатывать и хранить,

что вело к перегрузкам оборудования и отказам в обслуживании для

подписчиков" (см. www.concentric.net).

В середине октября компания

Digital Technologies Group (Хартфорд) лишилась всех своих компьютерных

файлов и резервных копий. По-видимому, компания стала жертвой

классического вредительства со стороны обиженного бывшего сотрудника.

Прямой ущерб от вредительства составил 17 тысяч долларов. К этому

необходимо добавить потерю многомесячных трудов и недельный перерыв

в работе, серьезно повредивший репутацию компании как поставщика

Интернет-услуг. Вероятного преступника арестовали в конце декабря.

Ему грозит заключение на срок до 20 лет, если обвинение во вредительстве

будет доказано. (AP, 18 декабря).

Испанская полиция после

ареста в Барселоне двух юных каталонцев раскрыла шайку, занимавшуюся

распространением через Интернет детской порнографии. Сообщается,

что в процессе прослеживания преступников (а в их непристойности

были вовлечены даже дети трехлетнего возраста) успешно взаимодействовали

полицейские из многих стран. (Reuters, 10 октября).

Середина октября принесла

новые подтверждения правоты излюбленной мысли главы NCSA Боба

Бейлса (Bob Bales) о том, что Интернет может способствовать злоупотреблениям,

ведущим к отказам в обслуживании... для работодателей. Компания

Nielsen Media Research опубликовала обзор, показывающий, что служащие

компаний IBM, Apple и AT&T только за один месяц совместно

потратили 13048 человеко-часов на посещение WWW-сервера Penthouse.

Если принять стоимость одного человеко-часа равной, скажем, 20

долларам, то растраченное время обошлось работодателям в четверть

миллиона долларов. Из компании Compaq (Хьюстон) была уволена дюжина

сотрудников, каждый из которых в рабочее время нанес более 1000

зарегистрированных визитов на секс-серверы. (UPI, 14 октября).

Серия несчастий с голландскими

детьми вызвала гнев многих обозревателей Интернет. В течение одной

недели октября двенадцать детей были травмированы ручными гранатами,

изготовленными по детальным инструкциям, помещенным в Интернет.

Несмышленыши в возрасте от 8 до 13 лет собирали боеприпасы домашнего

изготовления из шариков, камешков и монет, прикрепленных к петардам.

Одна девочка лишилась глаза; у другой навсегда ухудшился слух;

другие дети получили ожоги. (AP, 18 октября).

Тревожное предупреждение

по поводу "смертельного пинга" опубликовал Mike Bremford

из Великобритании. Размер датаграмм (TCP/IP-пакетов) не должен

превышать 65535 байт. Любой процесс, генерирующий датаграммы большего

размера, может вызвать переполнение стека в операционной системе

принимающей машины. Это серьезная проблема, делающая практически

все операционные системы уязвимыми по отношению к атакам на доступность.

В качестве меры противодействия десятки производителей операционных

систем распространяют соответствующие заплаты. (Более подробную

информацию можно найти по адресу www.sophist.demon.co.uk/ping/).

22 октября состоялся массовый

выброс в Интернет почтового хлама. Тысячи поддельных рекламных

объявлений о нелегальной детской порнографии попали в почтовые

ящики пользователей разных стран. В качестве автора рекламы злоумышленниками

был указан житель Нью-Джерси Stephen Barnard. ФБР быстро разобралось

в ситуации, сняв со Стефана, жертвы отвратительного розыгрыша,

все подозрения. Письма были дополнительно замаскированы поддельными

заголовками, указывавшими на двух пользователей сети America Online,

но расследование оправдало и их. (PA News, Reuters, 22 октября).

В ежегодном отчете Французской

правительственной группы по борьбе с подделками (CNAC) указывается,

что Интернет активно используется изготовителями поддельных промышленных

изделий. "Подражатели" рассылают по своим подпольным

фабрикам, расположенным в разных странах, выкройки новых моделей

одежды прямо в день появления этих моделей.

На бизнес-семинаре, проводившемся

в гостинице Strathmore (Лутон, Бердфордшир), во время 20-минутного

обеденного перерыва воры проникли в запертую семинарскую аудиторию

и украли 11 ПК-блокнотов общей стоимостью примерно 75 тысяч долларов,

если не считать программного обеспечения и данных. (PA News, 25

октября).

В конце октября домашняя

Web-страница Верховного суда Флориды была "подправлена"

неизвестными лицами, заменившими благородный фон "под дерево"

картинками обнаженных людей, совершающих различные сексуальные

действия. Хотя фон вернули в первоначальное состояние в течение

пары дней, любознательное население Интернет подняло посещаемость

сервера на недосягаемую высоту. (UP, Reuters, 25 октября).

Председатель Федерации

коммуникационных услуг Jonathan Clark заявил, что мошенничество

ежегодно наносит британской телефонной индустрии и потребителям

ущерб в размере около 332 миллионов долларов. (PA News, 29 октября).

В конце октября были опубликованы

результаты ежегодного обзора информационной безопасности, подготовленного

компанией Ernst&Young. Ущерб от заражения вирусами, атак внутренних

и внешних пользователей существенно возрос, а умение поддерживать

информационную безопасность осталось на крайне низком уровне.

(См. techweb.cmp.com/iw/602/02mtsec.htm).

С разрешения владельца

авторских прав приведем фрагмент из публикации "Стратегия

развития безопасных систем в странах центральной и восточной Европы

(CEESSS):

Инциденты в области информационной

безопасности. Хакеры атакуют чешские банки. Опубликование персональных

данных о чешских гражданах.

Steven Slatem

Copyright (c) 1996

IntelliTech

Хакеры похитили 50 миллионов

чешских крон (1.9 миллиона долларов) в результате атак на неназванные

чешские банки. Другое нарушение безопасности состоит в получении

и размещении на электронной доске объявлений файла с персональной

информацией о чешских гражданах. Эти сведения нам сообщил в интервью

на выставке INVEX (Брно, 22-26 октября) Jiri Mrnustik, глава расположенной

в Брно компании по разработке антивирусного и криптографического

программного обеспечения AEC s.r.o."

В четырехлетней битве

между подразделением Opel корпорации General Motors и концерном

Volkswagen германский региональный суд отклонил гражданский иск,

в котором Volkswagen обвинял Opel в клевете и требовал возмещения

убытков в сумме 10 миллионов немецких марок (6.6 миллионов долларов).

Volkswagen подал этот иск в суд Франкфурта, чтобы прекратить заявления

Opel о криминальном заговоре с целью осуществления промышленного

шпионажа против Opel и General Motors. Заявления начались после

того, как Jose Lopez, удачливый менеджер в General Motors и Opel,

переметнулся в Volkswagen - как утверждается, с тремя чемоданами

конфиденциальных документов General Motors. (Dow Jones, 30 октября).

В конце ноября Lopez ушел из правления Volkswagen. (Reuters, 29

ноября). В середине декабря полиция Германии предъявила ему официальные

обвинения; однако, никаких обвинений в промышленном шпионаже против

концерна Volkswagen не выдвигалось. (Reuters, 13 декабря).

Житель Арканзаса Marion

Walton был уличен в киберсексуальной связи с канадской женщиной.

В отместку за это его жена Pat "прибила" почтовую программу.

Муж не остался в долгу и дважды поколотил жену. Полиция посоветовала

ей обратиться в суд. (Reuters, 31 октября; RISKS 18.57).

Oracle - сервер аутентификации

Oracle принимает запросы на аутентификацию через локальное устройство,
сверяет полученный запрос с политикой безопасности, описанной администратором
межсетевого экрана, и в случае, если запрос соответствует правилам, разрешает его выполнение.

При необходимости аутентифицировать пользователя, Oracle может в качестве
ответа заносить дополнительную информацию, например пароль пользователя или
запрос для системы одноразовых паролей.

Oracle - единственный процесс межсетевого экрана, осуществляющий доступ к аутентификационной
базе данных.

Oracle каждый час создает резервную копию базы, и в случае сбоя в работе
автоматически производит восстановление рабочей версии базы.

Oracle стартует при начальной загрузке системы.

Основные свойства

Защита на основе технологии контроля состояния защита сетевых соединений, позволяет ограничить неавторизованных пользователей от доступа к сетевым ресурсам.

технология перехвата соединений на прикладном уровне позволяет обеспечить аутентификацию пользователей с использованием стандартных протоколов TACACS+ и RADIUS

Поддерживает более 16,000 одновременных соединений

Удобный и простой менеджер межсетевых экранов обеспечивает легкое администрирование нескольких межсетевых экранов PIX

Поддержка третьего сетевого интерфейса для поддержки открытых для пользователей Интернет сервисов типа WWW, электронной почты и др.

Поддержка протокола Point-to-Point Tunneling Protocol (PPTP) компании Микрософт для реализации виртуальных корпоративных сетей (VPN)

Поддержка протокола Oracle SQL*Net для защиты приложений клиент/сервер

Командный интерфейс, присущий CISCO IOS системе

Высокая надежность благодаря возможности дублирования и горячего резерва

Трансляция сетевых адресов (NAT) согласно RFC 1631

Трансляция портов (PAT) позволяет расширить пул адресов компании - через один IP адрес можно отображать 64000 адресов ( 16,384 одновременно)

Псевдонимы сетевых адресов позволяют отобразить перекрывающиеся IP адреса в одно адресное пространство

Для зарегистрированных IP адресов можно отменить режим трансляции адресов, что позволяет пользователям использовать их настоящие адреса

Прозрачная поддержка всех распространенных TCP/IP сервисов - WWW, FTP, Telnet и т.д.

Поддержка мультимедийных типов данных с использованием трансляции адресов и без нее, включая Progressive Networks' RealAudio, Xing Technologies' Streamworks, White Pines' CuSeeMe, Vocal Tec's Internet Phone, VDOnet's VDOLive, Microsoft's NetShow, VXtreme's Web Theater 2

Поддержка приложений для работы с видеоконференциями, совместимыми с H.323 спецификацией, включая Internet Video Phone (Intel) и NetMeeting (Микрософт)

Возможнсоть фильтрации потенциально опасных Java апплетов

Защищенная система реального времени

Поддержка нескольких уровней входа в систему

Поддержка прерываний (trap) SNMP протокола

Сбор аудита через syslog утилиту

Поддержка Management Information Base (MIB) для syslog

Аудит использования URL и обменов по FTP протоколу

Поддержка удаленного вызова процедур (RPC)

Программа контроля почтового траффика позволяет отказаться от размещения внешнего почтового сервера в демилитаризованной зоне (DMZ)

Защита от SYN атак защищает хост от атак типа "отказ в обслуживании"

Трансляция NetBIOS протокола обеспечивает поддержку взаимодействия клиентов и серверов Microsoft Networking через PIX

Две аппаратные платформы (PIX и PIX10000) позволяют обеспечить производительность от 45 Мбит/с до более чем 90 Мбит/с

Основными преимуществами такого решения являются:

Гибкость - одновременно решаются вопросы маршрутизации, обеспечения защищенного доступа в Интернет. В описаниии правил доступа используется информация о пользователях, адресах, типах приложений, как для входящих, так и выходящих соединений;

Защита инвестиций - дополнительные возможности по защите в маршрутизаторе позволяет сэкономить средства на обучении работе с иной аппаратной платформой;

Легкость управления - использование возможностей удаленного администрирования позволяет управлять системой со своего рабочего места через сеть;

Совместимость с другими продуктами и решениями компании Cisco Systems

Ниже приведено краткое описание основных функциональных возможностей FFS:

Основанный на контексте контроль доступа
Поддерживаемые приложенияОбнаружение и предотвращение атак типа "отказ в обслуживании"Блокировка Java апплетовОповещение об атаках в реальном времениСетевое управление

Контроль состояния соединения	Контроль состояния и контекста всех соединений через роутер
Протокольно-зависимая фильтрация	Учет в правилах фильтрации команд служебных протоколов прикладного уровня, обнаружение атак на уровне протоколов, динамическое открытие необходимых для работы приложений портов
TCP/UDP приложения	Telnet, FTP, HTTP, SNMP
FTP протокол	Активный и пассивный режим
Мультимедиа приложения	Контроль потоков служебной информации для правильного открытия необходимых портов для аудио/видео соединений (включает H.323 приложения, CU-SeeME, RealAudio, VDOLive, Streamworks и др.)
Контроль SMTP приложений	Обнаружение неверных SMTP команд, что позволяет избежать необходимости установки почтовых серверов в демилитаризованной зоне
Поддержка RCP сервисов	Контроль запросов portmapper на открытие соединений для работы RCP приложений
Поддержка R-команд	Проверка ответов сервера с запросами на установление дополнительных соединений
Поддержка приложений Oracle	Контроль сообщений о перенаправлении соединений от серверной части Oracle в приложениях клиент-сервер; открытие портов для работы клиентов с сервером
Приложения по поддержке видеоконференций на основе H.323	Проверка контрольных сообщений Q.931 и H.245, которые служат для открытия дополнительных UDP соединений для передачи видео и аудио данных
Защита от популярных видов атак	Защита от syn атак, сканирования портов, защита от атак с исчерпыванием ресурсов маршрутизатора.
Контроль порядковых номеров	Проверка порядковых номеров (sequence number) в TCP соединениях для гарантии того, что они находятся в ожидаемом диапазоне
Статистика соединений	Статистика соединений, включающая время, адреса источника/назначения, порты и полное число переданных байт
Рекомендуемые настройки по умолчанию	Настройки при загрузке, вкл/выкл source routing, разр/запр proxy arp, разрешение всех/только требуемых приложений, шифрование паролей на роутере с помощью MD5, списки доступа и пароли к виртуальным терминалам, разр/запр аутентификации роутеров в поддерживавемых протоколах маршрутизации
Расширенная статистика по TCP/UDP соединениям	Статистика доступа пользователей (порты и адреса источника/назначения)
Установка уровня защиты	Можно настроить правила фильтрации или полного запрета Java апплетов, не находящихся внутри архивов или сжатых файлов
Расширенные возможности	Сообщения в случае атак типа "отказ в обслуживании" или иных заранее описанных событий через syslog механизм на заданный хост
Совместимость с остальными возможностями Cisco IOS	Совместимость со списками доступа, трансляцией адресов, рефлексивными списками доступа, технологией шифрования, используемой в Cisco
Поддержка в ConfigMaker	Программа под Windows95/NT, облегчающая настройку сетевых параметров, адресации и параметров FFS

Особенности применения

Если сканер не находит уязвимостей на тестируемом узле, то это еще не значит, что их нет. Просто сканер не нашел их. И зависит это не только от самого сканера, но и от его окружения. Например, если Вы тестируете сервис Telnet или FTP на удаленной машине, и сканер сообщает Вам, что уязвимостей не обнаружено - это может значить не только, что уязвимостей нет, а еще и то, что на сканируемом компьютере установлен, например, TCP Wrapper. Да мало ли еще чего? Вы можете пытаться получить доступ к компьютеру через межсетевой экран или попытки доступа блокируются соответствующими фильтрами у провайдера и т.д. Для ОС Windows NT характерен другой случай. Сканер пытается дистанционно проанализировать системный реестр (registry). Однако в случае запрета на анализируемом узле удаленного доступа к реестру, сканер никаких уязвимостей не обнаружит. Существуют и более сложные случаи. И вообще различные реализации одного итого же сервиса по-разному реагируют на системы анализа защищенности. Очень часто на практике можно увидеть, что сканер показывает уязвимости, которых на анализируемом узле нет. Это относится к сетевым сканерам, которые проводят дистанционный анализ узлов сети. И удаленно определить, существует ли в действительности уязвимость или нет, практически невозможно. В этом случае можно порекомендовать использовать систему анализа защищенности на уровне операционной системы, агенты которой устанавливаются на каждый контролируемый узел и проводят все проверки локально.
Для решения этой проблемы некоторые компании-производители пошли по пути предоставления своим пользователям нескольких систем анализа защищенности, работающих на всех указанных выше уровнях, - сетевом, системном и уровне приложений. Совокупность этих систем позволяет с высокой степенью эффективности обнаружить практически все известные уязвимости. Например, компания Internet Security Systems предлагает семейство SAFEsuite, состоящее из четырех сканеров: Internet Scanner, System Scanner, Security Manager и Database Scanner. В настоящий момент это единственная компания, которая предлагает системы анализа защищенности, функционирующие на всех трех уровнях информационной инфраструктуры. Другие компании предлагают или два (Axent) или, как правило, один (Network Associates, NetSonar и др.) сканер.
Компания Cisco, предлагающая только систему анализа защищенности на уровне сети пошла другим путем для устранения проблемы ложного срабатывания. Она делит все уязвимости на два класса:

Потенциальные - вытекающие из проверок заголовков и т.н. активных "подталкиваний" (nudge) анализируемого сервиса или узла. Потенциальная уязвимость возможно существует в системе, но активные зондирующие проверки не подтверждают этого.

Подтвержденные - выявленные и существующие на анализируемом хосте.

Проверки на потенциальную уязвимость проводятся через коллекцию заголовков и использование "несильных подталкиваний". "Подталкивание" используется для сервисов, не возвращающих заголовки, но реагирующих на простые команды, например, посылка команды HEAD для получения версии HTTP-сервера. Как только эта информация получена, система NetSonar использует специальный механизм (rules engine), который реализует ряд правил, определяющих, существует ли потенциальная уязвимость.

Таким образом, администратор знает, какие из обнаруженных уязвимостей действительно присутствуют в системе, а какие требуют подтверждения.

Однако в данном случае остаются уязвимости, с трудом обнаруживаемые или совсем не обнаруживаемые через сеть. Например, проверка "слабости" паролей, используемых пользователями и другими учетными записями. В случае использования сетевого сканера вам потребуется затратить очень много времени на удаленную проверку каждой учетной записи. В то же время, аналогичная проверка, осуществляемая на локальном узле, проводится на несколько порядков быстрее. Другим примером может служить проверка файловой системы сканируемого узла. Во многих случаях ее нельзя осуществить дистанционно.

Достоинства сканирования на уровне ОС кроются в прямом доступе к низкоуровневым возможностям ОС хоста, конкретным сервисам и деталям конфигурации. Тогда как сканер сетевого уровня имитирует ситуацию, которую мог бы иметь внешний злоумышленник, сканер системного уровня может рассматривать систему со стороны пользователя, уже имеющего доступ к анализируемой системе и имеющего в ней учетную запись. Это является наиболее важным отличием, поскольку сетевой сканер по определению не может предоставить эффективного анализа возможных рисков деятельности пользователя.

Многие сканеры используют более чем один метод проверки одной и той же уязвимости или класса уязвимостей. Однако в случае большого числа проверок использование нескольких методов поиска одной уязвимости привносит свои проблемы. Связано это со скоростью проведения сканирования.

Например, различие между системами CyberCop Scanner и Internet Scanner в том, что разработчики из NAI никогда не добавят в свой продукт проверку, если не могут с уверенностью сказать, что проверка надежно обнаруживает уязвимость. В то время как разработчики ISS пополняют свою базу даже в том случае, если их проверка обнаруживает уязвимость с некоторой точностью. Затем, уже после выпуска системы, происходит возврат к разработанным проверкам, их улучшение, добавление новых механизмов осуществления проверок той же уязвимости для повышения достоверности, и т.д. Достаточно спорный вопрос, что лучше. С одной стороны лучше, когда вы с уверенностью можете сказать, что на анализируемом узле определенной уязвимости нет. С другой, даже если существует хоть небольшой шанс, что вы можете обнаружить уязвимость, то надо этим шансом воспользоваться. В любом случае наиболее предпочтительным является проверка типа "имитация атак", которая обеспечивает наибольший процент точного обнаружения уязвимостей.

Не все проверки, разработанные в лабораторных условиях, функционируют так, как должны. Даже, несмотря на то, что эти проверки тестируются, прежде чем будут внесены в окончательную версию сканера. На это могут влиять некоторые факторы:

Особенности конфигурации пользовательской системы.

Способ, которым был скомпилирован анализируемый демон или сервис.

Ошибки удаленной системы.

И т.д.

В таких случаях автоматическая проверка может пропустить уязвимость, которая легко обнаруживается вручную и которая может быть широко распространена во многих системах. Проверка заголовка в совокупности с активным зондированием в таком случае может помочь определить подозрительную ситуацию, сервис или узел. И хотя уязвимость не обнаружена, еще не значит, что ее не существует. Необходимо другими методами, в т.ч. и неавтоматизированными, исследовать каждый подозрительный случай.

Отсутствие контроля своей конфигурации

Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, - сотрудники хотят получить доступ к новым ресурсам Internet, работать с новым сервисами (RealAudio, VDOLive и т.п.) и т.п. Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: "разрешено все и всем".
В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа "отказ в обслуживании"), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа "подбор пароля", позволяющие обнаружить "слабые" пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS).

Отсутствие снижения производительности сети

При использовании системы RealSecure? снижения производительности сети незначительное (не более 3-5%). Проблемы могут возникнуть при функционировании модуля слежения на компьютере с минимально требуемыми системными требованиями и большой интенсивности сетевого трафика. В этом случае часть пакетов может быть пропущена без соответствующей обработки.

Отсутствие защиты новых сетевых сервисов

Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма "посредников" (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких "посредников" достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.
Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов). В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.

Отсутствие защиты от авторизованных пользователей

Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.
Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.

Пакетные фильтры

Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или
отбросить, просматривая IP-адреса, флаги или номера TCP портов в заголовке этого пакета.
IP-адрес и номер порта - это информация сетевого и транспортного уровней соответственно, но
пакетные фильтры используют и информацию прикладного уровня, т.к. все стандартные
сервисы в TCP/IP ассоциируются с определенным номером порта.
Для описания правил прохождения пакетов составляются таблицы типа:

Действие

тип пакета

адрес источн.

порт источн.

адрес назнач.

порт назнач.

флаги

Поле "действие" может принимать значения пропустить или отбросить.

Тип пакета - TCP, UDP или ICMP.

Флаги - флаги из заголовка IP-па-кета.

Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.

Параллельное сканирование

Система Internet Scanner&153; позволяет параллельно сканировать до 128 узлов сети, которые могут принадлежать разным диапазонам IP-адресов. Такая возможность дает администратору безопасности более гибко проводит анализ защищенности больших сетей, состоящих из нескольких сегментов с разными требованиями по защищенности.
Выбор сканируемых узлов может осуществляться тремя способами:

задание одного или нескольких диапазонов сканируемых узлов в текстовом файле;

задание одного или нескольких диапазонов сканируемого узлов в диалоговом режиме;

использование всего диапазона сканируемых узлов, заданного в ключе авторизации системы Internet Scanner&153;.

Перспективы развития

С 1992 года, когда появился первый сканер SATAN, существенно изменились требования к такого рода средствам. Сейчас уже недостаточно, чтобы система анализа защищенности обладала только обширной базой уязвимостей. Поэтому производители стали расширять функциональность своих продуктов за счет добавления следующих возможностей.

Перспективы

Широкому применению свободно распространяемых систем защиты мешает целый ряд сложностей и проблем.

По мере того, как в компьютерной

Хотя свободно распространяемые системы защиты существуют уже давно, они никогда не использовались столь широко, как операционная система Linux и Web-сервер Apache. Джон Пескаторе, директор компании Gartner по исследованиям, связанным с безопасностью в Internet, отметил, что среди применяемых систем защиты на долю свободно распространяемых средств сейчас приходится 3-5%, но к 2007 году этот показатель может возрасти до 10-15%.
Основной причиной такого потенциала является качество многочисленных свободно распространяемых пакетов защиты. «Поддержка некоторых общеупотребительных средств защиты осуществляется на достаточно высоком уровне, и многие разработчики предлагают для них новый инструментарий и шаблоны. В определенном смысле такие решения конкурируют с коммерческим инструментарием», — заметил Юджин Спаффорд, директор Центра обучения и исследований в области информационной безопасности университета Пурди.
К свободно распространяемым программным продуктам относятся бесплатные инструментальные средства, которые можно загрузить из Internet, пакеты, для которых производители предлагают коммерческие услуги поддержки, а также дополнительный инструментарий, поставляемый вместе с коммерческими продуктами.
К наиболее популярным инструментам относятся Netfilter и iptables; системы обнаружения вторжений, например, Snort, Snare и Tripwire; сканеры уязвимых мест в системах защиты, такие как Kerberos; межсетевые экраны, в частности, T.Rex.
Некоторые предприятия даже начали использовать свободно распространяемые системы защиты для обеспечения безопасности своей критически важной инфраструктуры.

Почему это возможно?

Каждый из нас имеет струны, за которые стоит только подергать и все, вы размякли, не готовы критически оценивать свои поступки и будете делать все, о чем вас попросит опытный психолог, манипулирующий вами, как кукловод. Не стоит думать, что влиять на ваши поступки может только квалифицированный психолог. Эта наука доступна любому, потратившему на ознакомление с ее азами всего-лишь 1-2 часа. Каждый человек имеет болевые точки, поразить которые и есть задача хакера, желающего использовать социальный инжиниринг в своей противоправной деятельности.
При этом, если всех так называемых психокомплексов существует несколько десятков, то тех, которые применяются хакерами, не так уж и много. Перечислю их:

Страх. Пожалуй, это самый часто используемый и самый опасный психокомплекс человека. Существуют десятки и сотни разновидностей страха, начиная от боязни потерять работу и боязни понижения в должности и заканчивая боязнью потери престижа и боязни сделать что-то не так.

Любопытство. Помните детскую игру? Вам давали свернутую "раскладушкой" полоску бумаги, на которой было написано "разверни". Вы послушно разворачивали "раскладушку" и в конце бумажки видели фразу "а теперь заверни обратно". Более взрослая, но безопасная шутка заключалась в посылке другу ссылки: http://sky.chph.ras.ru/~foxy/cl.html, нажав на которую вам приходилось в течение долгого времени нажимать на кнопку OK в появляющихся в броузере окнах. Закрыть броузер стандартными средствами становится невозможным. Приходится "убивать" процесс, что может сказаться на работоспособности других приложений. Более опасные примеры использования любопытства в хакерских целях заключались в создании обманных серверов с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли. А так как обычно пользователи используют один и тот же пароль для доступа и к своему компьютеру и к Internet и к почтовому ящику, то узнав один пароль, с высокой вероятностью вы получали доступ и к другим паролям. Кстати, можно проверить, любопытны ли вы. Допустим, что я вам категорически не рекомендую заходить на страницу http://chatcenter.virtualave.net/delwin, потому что это очень опасно. Особенно, если вы используете броузер Internet Explorer. Сможете ли вы удержаться от того, чтобы не посмотреть, что находится по этому адресу?

Жадность. Этот психокомплекс завершает лидирующую тройку, которая может быть использована хакерами в своей зловредной деятельности. Проиллюстрирую его на реальном примере, с которым мне пришлось столкнуться в своей деятельности. У нас был сотрудник, на которого пало подозрение, что он ведет нечестную игру. И действительно, найдя в Internet его резюме, нами было составлено письмо от имени потенциального работодателя, в котором этому человеку было предложено заманчивое предложение. Взамен, мы задали ему несколько завуалированных вопросов о нашей корпоративной сети, ее системе защиты и ряд других, не менее важных вопросов. Нечистоплотный сотрудник, прекрасно понимая всю конфиденциальность этих сведений, предоставил их нам. После получения доказательств нами были сделаны соответствующие оргвыводы.

Превосходство. Можете ли вы с уверенностью сказать, что вам не знакомо чувство превосходства? Если да, то вы счастливый человек. Немногие могут похвастаться этим. Хакеры нередко использую этот психокомплекс в своих целях. Представьте, что к вам подошел "крутой" специалист, "кидающий пальцы" по какому-либо техническому вопросу. Вы, желая показать свое превосходство, начинаете опровергать его, указывать ему его место и т.д. В результате, в угаре словесного боя, вы можете выболтать что-то важное. И хотя данный метод большинству читателей знаком по шпионским боевикам (например, "Судьба резидента"), он вполне может быть применен и в обычной жизни.

Великодушие и жалось. Эти два похожих психокомплекса ориентированы на то, что почти каждому человеку свойственны жалость и великодушие. К вам может обратиться красивая девушка (кстати, эротический психокомлекс является одним из самых опасных - на него "ведутся" даже профессионалы) и, протягивая дискету, попросить помочь ей распечатать какой-то файл. Вы, по простоте душевной, вставляете эту дискету в свой компьютер и… получаете целый набор троянских коней, которые, активизируясь, начинают красть у вас пароли, финансовые отчеты и другую конфиденциальную информацию.

Доверчивость. Людям свойственно надеяться на лучшее и верить, что именно ИХ никто не обманет. Именно этот психокомплекс использовался при организации пирамид "МММ", "Русский Дом Селенга" и т.д. И он же с успехом может применяться в IT-области. Например, 25 августа 2000 года служба распределения пресс-релизов Internet Wire получила сообщение от компании Emulex Corp., в котором говорилось, что исполнительный директор этой компании ушел в отставку. Служба Internet Wire, не проверив корректность данного сообщения, распространила его среди своих подписчиков. Некоторые другие службы также распространили данное сообщение, которое на самом деле являлось подделкой. В результате курс акций компании Emulex упал на 61% (со $113 до $43), чем не преминул воспользоваться злоумышленник, создавший ложный пресс-релиз. Грамотно составленное письмо внушает к нему доверие, особенно если адрес отправителя соответствует человеку, подпись которого стоит под письмом.

Почему ЮНИ выбрала Check Point?

Выбор Check Point FireWall-1 как основы для реализации проектов сетевой безопасности был не случаен. Впервые мы познакомились с этим продуктом более четырех лет назад. В то время он был представлен на Российском рынке ОЕМ-версией от SUN Microsystems. Первые версии продукта представляли в большей степени теоретический интерес: Check Point реализовал совершенно новый по тем временам подход к инспекции IP-пакетов, но вскоре этот метод (Statefull Inspection Technology) получил высокую оценку и был запатентован. Сейчас многие производители систем firewall используют принципиально похожие технологии. Продукт совершенствовался и через два года своего существования стал наиболее распространенной в мире системой сетевой защиты. В России Check Point FireWall-1 начал пользоваться заслуженной популярностью в 1995 году, когда появление крупных проектов потребовало соответствующей технической поддержки и активного взаимодействия с непосредственным производителем. А затем ЮНИ и Check Point заключили сначала реселлерское, а затем и дистрибьюторское соглашения. В 1997 году ЮНИ авторизовала в Check Point свой учебный центр NTC. Возможность подготовить специалистов по материалам, одобренным производителем, на наш взгляд, является одним из ключевых моментов в реализации комплекса мер по защите сетей.

Почему следует использовать IDS

Обнаружение проникновения позволяет организациям защищать свои системы от угроз, которые связаны с возрастанием сетевой активности и важностью информационных систем. При понимании уровня и природы современных угроз сетевой безопасности, вопрос не в том, следует ли использовать системы обнаружения проникновений, а в том, какие возможности и особенности систем обнаружения проникновений следует использовать.
Почему следует использовать IDS, особенно если уже имеются firewall’ы, антивирусные инструментальные средства и другие средства защиты?
Каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация иногда называет безопасностью в глубину), можно защититься от максимально большого спектра атак.
Firewall’ы являются механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики firewall’а. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. Они могут обнаружить атакующих, которые обошли firewall, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки.
IDS становятся необходимым дополнением инфраструктуры безопасности в каждой организации. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует, и не маленькая. Использование IDS помогает достичь нескольких целей:

Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность. Это определяется следующим образом: "Я могу прореагировать на атаку, которая произведена на мою систему, так как я знаю, кто это сделал или где его найти". Это трудно реализовать в сетях TCP/IP, где протоколы позволяют атакующим подделать идентификацию адресов источника или другие идентификаторы источника. Также очень трудно осуществить подотчетность в любой системе, которая имеет слабые механизмы идентификации и аутентификации.

Возможность блокирования означает возможность распознать некоторую активность или событие как атаку и затем выполнить действие по блокированию источника. Данная цель определяется следующим образом: "Я не забочусь о том, кто атакует мою систему, потому что я могу распознать, что атака имеет место, и блокировать ее". Заметим, что требования реакции на атаку полностью отличаются от возможности блокирования.

Атакующие, используя свободно доступные технологии, могут получить неавторизованный доступ к системам, если найденные в системах уязвимости не исправлены, а сами системы подсоединены к публичным сетям.

Объявления о появлении новых уязвимостей являются общедоступными, например, через публичные сервисы, такие как ICAT (http://icat.nist.gov) или CERT (http://www.cert.org), которые созданы для того, чтобы эти уязвимости нельзя было использовать для выполнения атак. Тем не менее существует много ситуаций, в которых использование этих уязвимостей все же возможно:

Во многих наследуемых системах не могут быть выполнены все необходимые обновления и модификации.

Даже в системах, в которых обновления могут быть выполнены, администраторы иногда не имеют достаточно времени или ресурсов для отслеживания и инсталлирования всех необходимых обновлений. Это является общей проблемой, особенно в окружениях, включающих большое количество хостов или широкий спектр аппаратуры и ПО.

Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости.

Как пользователи, так и администраторы делают ошибки при конфигурировании и использовании систем.

При конфигурировании системных механизмов управления доступом для реализации конкретной политики всегда могут существовать определенные несоответствия. Такие несоответствия позволяют законным пользователям выполнять действия, которые могут нанести вред или которые превышают их полномочия.

В идеальном случае производители ПО должны минимизировать уязвимости в своих продуктах, и администраторы должны быстро и правильно корректировать все найденные уязвимости. Однако в реальной жизни это происходит редко, к тому же новые ошибки и уязвимости обнаруживаются ежедневно.

Поэтому обнаружение проникновения может являться отличным выходом из существующего положения, при котором обеспечивается дополнительный уровень защиты системы. IDS может определить, когда атакующий осуществил проникновение в систему, используя нескорректированную или некорректируемую ошибку. Более того, IDS может служить важным звеном в защите системы, указывая администратору, что система была атакована, чтобы тот мог ликвидировать нанесенный ущерб. Это гораздо удобнее и действеннее простого игнорирования угроз сетевой безопасности, которое позволяет атакующему иметь продолжительный доступ к системе и хранящейся в ней информации.

Возможно определение преамбул атак, обычно имеющих вид сетевого зондирования или некоторого другого тестирования для обнаружения уязвимостей, и предотвращения их дальнейшего развития.

Когда нарушитель атакует систему, он обычно выполняет некоторые предварительные действия. Первой стадией атаки обычно является зондирование или проверка системы или сети на возможные точки входа. В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания. Имея такой неограниченный доступ, атакующий в конечном счете может найти уязвимость и использовать ее для получения необходимой информации.

Та же самая сеть с IDS, просматривающей выполняемые операции, представляет для атакующего более трудную проблему. Хотя атакующий и может сканировать сеть на уязвимости, IDS обнаружит сканирование, идентифицирует его как подозрительное, может выполнить блокирование доступа атакующего к целевой системе и оповестит персонал, который в свою очередь может выполнить соответствующие действия для блокирования доступа атакующего. Даже наличие простой реакции на зондирование сети будет означать повышенный уровень риска для атакующего и может препятствовать его дальнейшим попыткам проникновения в сеть.

Выполнение документирования существующих угроз для сети и систем.

При составлении отчета о бюджете на сетевую безопасность бывает полезно иметь документированную информацию об атаках. Более того, понимание частоты и характера атак позволяет принять адекватные меры безопасности.

Обеспечение контроля качества разработки и администрирования безопасности, особенно в больших и сложных сетях и системах.

Когда IDS функционирует в течении некоторого периода времени, становятся очевидными типичные способы использования системы. Это может выявить изъяны в том, как осуществляется управление безопасностью, и скорректировать это управление до того, как недостатки управления приведут к инцидентам.

Получение полезной информации о проникновениях, которые имели место, с предоставлением улучшенной диагностики для восстановления и корректирования вызвавших проникновение факторов.

Даже когда IDS не имеет возможности блокировать атаку, она может собрать детальную, достоверную информацию об атаке. Данная информация может лежать в основе соответствующих законодательных мер. В конечном счете, такая информация может определить проблемы, касающиеся конфигурации или политики безопасности.

IDS помогает определить расположение источника атак по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Оглавление Вперёд

Почтовый сервер и DNS.

МЭ включает средства построения этих видов сервиса, при этом позволяет
полностью скрыть структуру внутренней сети от внешнего мира, как в
почтовых адресах, так и в DNS.

Подсистема Firewall Scanner

Межсетевой экран - необходимое средство для защиты информационных ресурсов корпоративной сети. Но обеспечить необходимый уровень сетевой безопасности можно только при правильной настройке межсетевого экрана. Установка межсетевого экрана без проведения необходимого обследования и имеющиеся уязвимости в сетевых сервисах и протоколах - приглашение для любого осведомленного злоумышленника.
Подсистема Firewall Scanner&153; поможет максимизировать уровень защищенности Вашего межсетевого экрана путем его тестирования на наличие известных уязвимостей и неправильной конфигурации. Простота использования подсистемы Firewall Scanner&153; гарантирует достоверный анализ конфигурации межсетевых экранов, защищающих Вашу корпоративную сеть.
Подсистема Firewall Scanner&153; используется при испытаниях межсетевых экранов, проводимых практически всеми независимыми лабораториями и компьютерными изданиями. В т.ч. при помощи подсистемы Firewall Scanner&153; в 27 ЦНИИ МО РФ тестировался межсетевой экран "Застава-Джет".

Подсистема Intranet Scanner

Подсистема Intranet Scanner&153; - средство анализа сетевой безопасности, разработанное для автоматического обнаружения уязвимостей, использующее обширное число тестов на проникновение. Эта простая в использовании система, позволяет достоверно оценить эффективность и надежность конфигурации рабочих станций Вашей корпоративной сети.
К сетевым системам, тестируемым Intranet Scanner, относятся:

UNIX(r)-хосты;

Операционные системы Microsoft Windows NT&153;, Windows(r) 95 и другие, поддерживающие стек протоколов TCP/IP;

Интеллектуальные принтеры, имеющие IP-адрес;

X-терминалы;

И т.п.

Администраторы безопасности, как правило, защищают только те компьютеры, на которых обрабатывается критичная информация. Однако общий уровень безопасности сети равен уровню безопасности самого слабого ее звена. Поэтому недооценка в защите нечасто используемых служб типа сетевой печати или сетевого факса могут быть использованы злоумышленниками для проникновения в Вашу корпоративную сеть или компрометации ее информационных ресурсов. Подсистема Intranet Scanner&153; поможет быстро обнаружить такие слабые места и порекомендовать меры по их коррекции или устранению.

Подсистема Web Security Scanner

Незащищенный Web-сервер - удобная цель для злоумышленника. Подсистема Web Security Scanner&153; поможет Вам выявить все известные уязвимости и неправильную конфигурацию Web-сервера и предложит рекомендации по повышению уровня его защищенности.
Подсистема Web Security Scanner&153; проводит анализ операционной системы, под управлением которой работает Web-сервер, самого приложения, реализующего функции Web-сервера, и CGI-скриптов. В процессе тестирования оценивается безопасность файловой системы, поиски сценариев CGI с известными уязвимостями и анализ пользовательских CGI-скриптов. Уязвимости Web-сервера идентифицируются и описываются в отчете с рекомендациями по их устранению.

Посылка управляющих последовательностей SNMP

Система RealSecure? версии 2.0 имеет возможность генерации управляющих последовательностей по протоколу SNMPv1 или передачу определенных данных в качестве возможного ответного действия на обнаруженную атаку или какое-либо контролируемое системой несанкционированное действие. Посылаемая последовательность содержит данные о времени и типе обнаруженной атаки или несанкционированного действия.
Данная возможность может использоваться для дополнительной обработки обнаруженной атаки средствами управления сетью типа HP OpenView, IBM NetView, Tivoli TME10 или любых других, позволяющих обрабатывать входящие управляющие последовательности по протоколу SNMP.

Потенциальная опасность обхода межсетевого экрана

Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники какой-либо организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в Internet. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана.
Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.

Потенциально опасные возможности

Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от "мобильного" кода Java и ActiveX практически нет. Доступ такого кода в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java, сценариев JavaScript и т.п., на самом деле враждебный код может попасть в защищаемую зону даже в случае полного их блокирования в настройках межсетевого экрана.
Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного "мобильного" кода.

Правила пользования... электронной почтой?

Михаил Савельев

"Открытые Системы"

LAN, #04/2002

Пример проверки, осуществляемой системой WebTrends Security Analyzer

WebTrends Corporation

Copyright 1998, WebTrends Corporation, All Rights Reserved.

2.0

====================================================================

estabvc

inventory

====================================================================

Query OS Type via Netbios

This test attempts to determine the operating system type and version running on

the specified hosts.

====================================================================

# osdetectnt.pl

# attempt to detect OS using a netbios over tcp/ip call

require "crowbar.pl";

$theTargetNetbiosName = GetStringParam($crowbar::WTDB_NetbiosName);

crowbar::WTDebugOutput("OSDetect -- the target netbios name is $theTargetNetbiosName");

if($theTargetNetbiosName){

$a = crowbar::WTGetNTOSInfo($theTargetNetbiosName);

if($a){

$a =~ /^OSTYPE (.*):VERSION (.*)/;

$type = $1;

$version = $2;

crowbar::WTDebugOutput("Type is $type, version is $version\n");

if($version =~ m/OSVersion_Unknown/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Unknown") + 1, "Unknown", -1);

}

elsif($version =~ m/OSVersion_WindowsNT_3_5_0/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 3.5") + 1, "Version 3.5", -1);

}

elsif($version =~ m/OSVersion_WindowsNT_3_5_1/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 3.51") + 1, "Version 3.51", -1);

}

elsif($version =~ m/OSVersion_WindowsNT_4_0/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 4.0") + 1, "Version 4.0", -1);

}

elsif($version =~ m/OSVersion_WindowsNT_5_0/){

crowbar::WTAddRecord( $crowbar::WTDB_OSVersion, length("Version 5.0") + 1, "Version 5.0", -1);

}

if($type =~ m/OSType_Unknown/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Unknown") + 1, "Unknown", -1);

}

elsif($type =~ m/OSType_Unix/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Unix Server") + 1, "Unix Server", -1);

}

elsif($type =~ m/OSType_WindowsNTServer/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Server") + 1, "Windows NT Server", -1);

}

elsif($type =~ m/OSType_WindowsNTPDC/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length(" Windows NT Primary Domain Controller") + 1, "Windows NT Primary Domain Controller", -1);

}

elsif($type =~ m/OSType_WindowsNTBDC/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Backup Domain Controller") + 1, "Windows NT Backup Domain Controller", -1);

}

elsif($type =~ m/OSType_WindowsNTWorkstation/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT Workstation") + 1, "Windows NT Workstation", -1);

}

elsif($type =~ m/OSType_WindowsNT/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows NT") + 1, "Windows NT", -1);

}

elsif($type =~ m/OSType_Windows95/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows 95/98") + 1, "Windows 95/98", -1);

}

elsif($type =~ m/OSType_Windows98/){

crowbar::WTAddRecord( $crowbar::WTDB_OSType, length("Windows 98") + 1, "Windows 98", -1);

}

}

}

Пример проверки, осуществляемой системой CyberCop CASL

# spoof_check.cape

# this script is used by the built-in filter checks

# please do not modify it

ip

ip_version=4

ip_proto=IPPROTO_UDP

ip_flags=0

ip_id=42

ip_done

udp

udp_sport=6834

udp_dport=5574

udp_done

data=SAS-ipspoofing

end_of_packet

Принцип действия контекстного контроля доступа

Контекстный контроль доступа (ККД) - это механизм контроля доступа на уровне приложений для IP трафика. Он распостраняется на стандартные TCP/UDP приложения, мультимедиа (включая H.323 приложения, CU-SeeME, VDOLive, Streamworks и др.), протокол Oracle БД. ККД отслеживает состояние соединения, его статус.
Обычные и расширенные списки доступа, реализованные в IOS, тоже контролируют статус состояния. Однако при их использовании рассматривается только информация из заголовка пакета. ККД же использует всю информацию в пакете и использует ее для создания временых списков доступа для обратного трафика от этого приложения. После окончания соединения эти списки доступа уничтожаются. ККД является более строгим механизмом защиты, чем обычные списки доступа, поскольку он учитывает тип приложения и особенности его поведения
В настоящее время FFS существует только для маршрутизаторов 2500 и 1600 серий, наиболее распостраненных в Интернет.

Программный маршрутизатор:

предотвращает несанкционированную передачу данных с компьютера в интернет "троянцами" и другими приложениями, установленными без ведома пользователя;

защищает портативные ПК при работе в беспроводных и других малозащищенных сетях;

блокирует некоторые злонамеренные программы, но не в состоянии их удалить.

Производительность системы аутентификации.

Межсетевые экраны PIX обеспечивают производительность намного выше, чем конкурирующие продукты. Высокая скорость обеспечивается за счет сквозных (cut-through) proxy. В отличие от обычных proxy серверов, которые анализируют каждый пакет на уровне приложений согласно семиуровневой модели OSI ( что отнимает много времени и ресурсов процессора), PIX запрашивает у сервера TACACS+ или RADIUS информацию для аутентификации. Когда пользователь ввел свое имя и PIX проверил права доступа, образуется прямое соединение между сторонами и контролируется только состояние сессии. Таким образом, производительность PIX благодаря сквозным proxy много выше, чем у обычных proxy-серверов.
Еще одним фактором, который тормозит работу обычных proxy-серверов является то, что для каждой TCP сессии последний должен запустить отдельный процесс. Если работают 300 пользователей, должно быть запущено 300 процессов, а эта процедура занимает значительные ресурсы процессора. PIX может поддерживать более 16000 сессий одновременно. При полной загрузке PIX модели 10000 поддерживает пропускную способность 90 Мбит/с ( два T3 канала)

Простота использования

Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:

задание глубины сканирования;

выбор сканируемых узлов;

запуск процесса сканирования;

генерация и анализ отчета.

Интуитивно понятный графический интерфейс и простота использования системы поможет быстро и легко настроить ее с учетом требований, предъявляемых в Вашей организации. Принципы функционирования системы не требуют реконфигурации других систем, используемых Вами. Это выгодно отличает систему RealSecure?, например, от межсетевых экранов или средств контроля "активного" кода (Java, ActiveX и т.п.).

Процесс проведения анализа защищенности очень прост и заключается в выполнении всего 4-х операций:

задание глубины сканирования;

выбор сканируемых узлов;

запуск процесса сканирования;

генерация и анализ отчета.

"Проверка заголовков" (banner check)

Указанный механизм представляет собой ряд проверок типа "сканирование" и позволяет делать вывод об уязвимости, опираясь на информацию в заголовке ответа на запрос сканера. Типичный пример такой проверки - анализ заголовков программы Sendmail или FTP-сервера, позволяющий узнать их версию и на основе этой информации сделать вывод о наличии в них уязвимости.
Наиболее быстрый и простой для реализации метод проверки присутствия на сканируемом узле уязвимости. Однако за этой простотой скрывается немало проблем.
Эффективность проверок заголовков достаточно эфемерна. И вот почему. Во-первых, вы можете изменить текст заголовка, предусмотрительно удалив из него номер версии или иную информацию, на основании которой сканер строит свои заключения. И хотя такие случаи исключительно редки, пренебрегать ими не стоит. Особенно в том случае, если у вас работают специалисты в области безопасности, понимающие всю опасность заголовков "по умолчанию". Во-вторых, зачастую, версия, указываемая в заголовке ответа на запрос, не всегда говорит об уязвимости программного обеспечения. Особенно это касается программного обеспечения, распространяемого вместе с исходными текстами (например, в рамках проекта GNU). Вы можете самостоятельно устранить уязвимость путем модификации исходного текста, при этом забыв изменить номер версии в заголовке. И в-третьих, устранение уязвимости в одной версии еще не означает, что в следующих версиях эта уязвимость отсутствует.
Процесс, описанный выше, является первым и очень важным шагом при сканировании сети. Он не приводит к нарушению функционирования сервисов или узлов сети. Однако не стоит забывать, что администратор может изменить текст заголовков, возвращаемых на внешние запросы.

Прозрачность при использовании.

Главным положительным качеством пакетных фильтров является их прозрачность,
т.е. комфортабельность использования. Кроме того, при использовании пакетного
фильтра нет необходимости изменять клиентское матобеспечение.
Нынешний уровень развития фильтров на уровне приложений позволяют достичь
практически полной прозрачности. Рассматриваемый МЭ - пример наиболее
эффективной реализации этих возможностей. Для пользователей внутренней сети
МЭ может рассматриваться как стандартный роутер.

Расширенное ядро

Игнорирует пакеты со специальными признаками

Закрыта прямая передача через ядро пакетов

Добавлена система глобального мониторинга соединений

Включен анализатор направления передачи пакетов

Установлен режим перехвата всех пакетов для прозрачного режима

Полностью закрыты от внешнего доступа сервисы, использующиеся локально

Растущий интерес

ИТ-специалисты в той или иной степени используют свободно распространяемые средства защиты уже около 15 лет. Сейчас все больший интерес к таким инструментам проявляют крупные компании, консультанты по вопросам защиты и поставщики услуг, которые могут адаптировать подобное программное обеспечение к нуждам конкретных пользователей. Например, EDS начала использовать свободно распространяемый инструментарий защиты компании Astaro для обеспечения безопасности компонента переднего плана Web-сайтов нескольких кредитных союзов, предлагающих возможности обработки транзакций.
Интеграторы систем информационной безопасности признают, что пользователей привлекает невысокая цена свободно распространяемых средств. Например, Ричард Майр, управляющий директор R2R Informations und Kommunikations, отметил, что его компания уже долгие годы предлагает свой коммерческий межсетевой экран. Однако собранные данные показывают, что 75% клиентов компании отдают предпочтение свободно распространяемым аналогам. Компания Guardent предлагает подписку на услуги Internet-защиты стоимостью 1,5 тыс. долл. в месяц, основу которой составляет ее Security Defense Appliance. Это решение объединяет в себе коммерческие компоненты, такие как межсетевой экран PIX компании Cisco Systems, и свободно распространяемые компоненты, в том числе iptables, Nessus и Snort. Аналогичная услуга, опирающаяся исключительно на коммерческие продукты, может стоить около 10 тыс. долл.
В то же время, компания C2Net Software, которую недавно приобрела Red Hat, разработала свой коммерческий сервер Stronghold Secure Web Server на базе Apache и OpenSSL — свободно распространяемого инструментария, реализующего протоколы защиты на уровне сокетов и на транспортном уровне, а также содержащего криптографическую библиотеку общего назначения.
По словам консультанта по вопросам защиты Пола Робичаукса из компании Robichaux & Associates, организации, которые предъявляют особые требования к защите, определяемые законодательством, например, работающие в области здравоохранения и финансов, вряд ли станут использовать свободно распространяемый инструментарий. Вместо этого, они, скорее всего, будут по-прежнему зависеть от производителей, на которых они могут возложить ответственность за нарушение защиты. Робичаукс считает, что свободно распространяемые системы защиты чаще будут использоваться консалтинговыми и сервисными фирмами, которые уже знают эти инструментальные средства и доверяют им, а также компаниями, чьи отделы ИТ уже опробовали такие решения.
Марк Кокс, директор по разработке группы OpenSSL компании Red Hat добавил: «Организации, работающие на Unix-платформах, таких как Linux и Solaris, скорее всего, будут выбирать инструменты типа Nessus, Snare и Snort, поскольку их история разработки и использования аналогична Unix».

Различные варианты реагирования на атаки

Система RealSecure? имеет возможность по заданию различных вариантов реагирования на обнаруженные атаки:

запись факта атаки в регистрационном журнале;

уведомление об атаке администратора через консоль управления;

уведомление об атаке администратора по электронной почте;

аварийное завершение соединения с атакующим узлом;

запись атаки для дальнейшего воспроизведения и атаки;

реконфигурация межсетевых экранов или маршрутизаторов;

посылка управляющих SNMP-последовательностей;

задание собственных обработчиков атак.

Разница в реализации

Системы различных производителей могут использовать различные методы поиска одной и той же уязвимости, что может привести к ее нахождению в случае использования одного средства и ненахождения - в случае другого. Хорошую ассоциацию приводит ведущий разработчик системы Internet Scanner Девид ЛеБлан. "Если вы спросите меня - дома мой товарищ или нет, я просто позвоню ему. Если его телефон не отвечает, то я позвоню вам и сообщу, что его нет дома. Затем вы идете к нему домой, стучите в дверь и он отвечает. Не называйте меня лжецом только из-за того, что то, что я пытался сделать не сработало. Возможно, я был не прав или необходимо было использовать другие методы, но я пытался сделать то, что считал нужным". Так и со средствами поиска уязвимостей.
Кроме того, если в созданном отчете не сказано о той или иной уязвимости, то иногда стоит обратиться к журналам регистрации (log) системы анализа защищенности. В некоторых случаях, когда сканер не может со 100%-ой уверенностью определить наличие уязвимости, он не записывает эту информацию в отчет, однако сохраняет ее в логах. Например, анализ и разбор поля sysDescr в журнале регистрации системы Internet Scanner существенно помогает во многих спорных случаях.
Существуют различия и между тем, как влияет одна и та же проверка на различные версии сервисов в различных операционных системах. Например, использование учетной записи halt для демона Telnet на некоторых компьютерах под управлением Unix или Windows NT не приведет к плачевным последствиям, в то время как на старых версиях Unix это вызовет запуск команды /bin/halt при попытке доступа к удаленной системе с использованием этой учетной записи.

Реконфигурация маршрутизаторов

Аналогично реконфигурации межсетевого экрана CheckPoint Firewall-1, система RealSecure? позволяет управлять маршрутизаторами серии 7000 компании Cisco Systems.

Реконфигурация межсетевых экранов

В версии 2.0 системы RealSecure? появилась уникальная возможность управления межсетевым экраном компании CheckPoint - Firewall-1. Взаимодействие осуществляется по технологии OPSEC? (Open Platform for Secure Enterprise Connectivity) и, входящему в нее, протоколу SAMP (Suspicious Activity Monitoring Protocol). Сертификация системы RealSecure (в апреле 1998 г.) на совместимость с технологией OPSEC позволяет расширяет возможности системы по реагированию на обнаруженные атаки. Например, после обнаружения атаки на WWW-сервер, система RealSecure? может по протоколу SAMP послать сообщение межсетевому экрану Firewall-1(r) для запрета доступа с адреса, осуществляющего атаку.
В версии 2.5 системы RealSecure? к возможности управления межсетевым экраном CheckPoint Firewall-1 добавилась возможность посылки уведомления об атаке на межсетевой экран Lucent Managed Firewall.

Saint

Security Administrators Integrated Network Tool — сканер уязвимых мест защиты (см. рис. 1), который работает с большинством разновидностей Unix, включая Linux. Сканер создан на базе свободно распространяемого инструментария для анализа дефектов защиты Satan (Security Administrator’s Tool for Analyzing Networks). Компания Saint (www.saintcorporation.com) отказалась от более старых версий сканера, но продает новейший его вариант, а также SAINTwriter для генерации настраиваемых отчетов и SAINTexpress для автоматического обновления сигнатур дефектов защиты.
Saint

Рис. 1. Saint — сканер, который проверяет системы на наличие уязвимых мест. С учетом конкретной конфигурации механизм контроля определяет, может ли Saint (и до какой степени) сканировать набор сетевых узлов. Подсистема выбора целей создает список атак для тестов, запускаемых на сканируемых узлах. Подсистема сбора данных собирает факты о результатах работы зондов. С помощью базы правил механизм взаимодействий обрабатывает факты, при этом собирая данные и определяя новые адресуемые хосты, зонды и факты. Подсистема результатов отображает собранные данные как гиперпространство, с которым пользователи могут работать с помощью браузера

Самы популярные атаки в Интернет

В марте 1999 г. самыми популярными атаками (или наиболее уязвимыми приложениями), как было установлено NIST, являлись Sendmail, ICQ, Smurf, Teardrop, IMAP, Back Orifice, Netbus, WinNuke и Nmap.

Sendmail: Sendmail - это очень старая программа, в которой на протяжении всей ее истории имелись уязвимости. Sendmail - наглядное доказательство того, что у сложных программ редко бывают исправлены все ошибки, так как разработчики постоянно добавляют новые возможности, из-за которых появляются новые уязвимые места. Последние атаки против sendmail попадают в категорию удаленного проникновения, локального проникновения, а также удаленного блокирования компьютера.

ICQ: - это сложная программа онлайнового общения с большим числом разнообразных возможностей, название которой является сокращением для фразы "I-Seek-You." (я ищу вас). Сейчас она используется приблизительно 26 миллионами пользователей. В прошлом году было разработано несколько атак на ICQ, которые позволяли атакующему выдавать себя за другого и расшифровывать "зашифрованный" трафик. Затем атакующий начинал диалог в ICQ с тем человеком, чьим другом являлся тот, за кого он себя выдавал, и посылал ему через ICQ троянские кони (враждебные программы, встроенные в казалось бы нормальные программы).

Smurf: Smurf использует сеть, в которой машины обрабатывают широковещательные ping-пакеты для переполнения жертвы пакетами ответов на ping. Эту атаку можно представить как усилитель, позволяющий атакующему анонимно блокировать работу компьютера жертвы из-за прихода ему по сети огромного количества пакетов.

Teardrop: Teardrop полностью блокирует компьютеры с Windows 95 и Linux, используя ошибку в подпрограммах сетевых драйверов, обрабатывающих фрагментированные пакеты.

IMAP: IMAP позволяет пользователям получать их электронные письма с почтового сервера. В последний год было выпущено программное обеспечение сервера IMAP, в котором содержались ошибки, позволяющие удаленному атакующему получать полный контроль над машиной. Эта уязвимость очень опасна, так как большое количество почтовых сервероа используют уязвимое программное обеспечение IMAP.

Back Orifice: Back Orifice - это троянский конь, позволяющий пользователю удаленно управлять компьютером с Windows 95/98 с помощью удобного графического интерфейса.

Netbus: Netbus аналогичен Back Orifice, но может атаковать как Windows NT, так и Windows 95/98.

WinNuke: WinNuke полностью блокирует работу компьютера с Windows 95 путем посылки ему особого пакета "срочные данные" по протоколу TCP.

Nmap: Nmap - это сложное средство для сканирования сети. Помимо всего прочего, nmap может сканировать с помощью нескольких протоколов, работать в скрытом режиме и автоматически идентифицировать удаленные операционные системы.

Самый удобный сканер

Если бы главным в антивирусном сканере было удобство интерфейса, то лучшим пакетом наверняка был бы признан McAfee. Правда, в остальном у McAfee много недостатков — например, ошибки в сценарии обновления, в результате которых программа сообщает, что сканер уже был обновлен, в то время как на самом деле это не так.
McAfee, конечно, не единственный пакет с "глюками" — хотя их у него и много. Ни одна из рассмотренных программ не прошла гладко тест на удаление вируса CTX, "троянского коня" Optix и червя Mydoom.A. Лучше всех справился с очисткой компьютера PC-cillin — инфекция была полностью удалена, а система не повреждена. После попыток McAfee, NOD32 и Panda удалить CTX (безуспешно) система пришла в негодность.
Самый удобный сканер

Самым большим недостатком пакета Norton оказалась его медлительность. Когда в системе установлен этот пакет, она запускается и отключается вдвое медленнее, чем при использовании Panda или NOD32, влияние которых на быстродействие наименее заметно. Norton медленнее всех выполняет полное сканирование жесткого диска — проверка диска со скоростью вращения 5400 об/мин, данные на котором занимают 575 Мб, на компьютере с Windows XP, Pentium III 800 МГцб 256 Мб RAM, длится около 12 мин. Самая быстрая из программ обзора, NOD32, выполняет эту операцию всего за 52 с. (Правда, Norton лучше распознает вирусы.) Следующим по скорости после NOD32 был сканер Panda, справившийся с задачей немногим более чем за 2,5 мин.
Самый удобный сканер

Лучшим антивирусом обзора был признан пакет Trend Micro PC-cillin Internet Security 2004: эта программа отличается не только качественным сканированием и разумной ценой, но также логичным и понятным интерфейсом.

Сентябрь

Компания America Online
начала блокировать всю электронную почту от пяти фирм, "фарширующих"
Интернет низкопробной продукцией: cyberpromo.com, honeys.com,
answerme.com, netfree.com и servint.com. (AP, 4 сентября). Фирма
CyberPromo, один из самых злостных нарушителей этики Интернет,
запрещающей рассылать по электронной почте всякий хлам, возбудила
судебный иск, обвиняя AOL в нарушении прав на свободу слова. На
заседании, состоявшемся 4 ноября, суд Филадельфии отверг эти аргументы.
(EPIC Alert 3.19). Суд постановил, что вопреки утверждениям Cyber
Promotions, компания AOL на самом деле имеет право блокировать
поток, изливаемый плодовитым производителем непрошенных электронных
сообщений. Судья отклонил ссылки на Первую поправку к конституции,
заявив, что ни у кого нет права навязывать ненужную электронную
корреспонденцию подписчикам Интернет-услуг. (AP, 4 ноября). В
другом деле со сходной тематикой, компания Concentric Network
Corporation возбудила 2 октября судебный иск против Cyber Promotions
и ее владельца Sanford Wallace, требуя моральной и материальной
компенсации за ущерб, вызванный отправкой тысяч поддельных электронных
сообщений с низкопробным содержанием, якобы исходящих от Concentric
Network. Этот хлам вызвал перегрузку сети, так как десятки тысяч
писем с несуществующими адресами были возвращены бедным "отправителям",
в почтовую систему Concentric Network. По постановлению суда фирмы
Wallace и Cyber Promotions подписали клятвенные заверения больше
никогда так не делать (см. www.concentric.net).
В начале сентября неизвестный
криминальный хакер организовал против поставщика Интернет-услуг
PANIX (Нью-Йорк) атаку с использованием так называемого "SYN-наводнения".
Смысл данной атаки в том, что на сервер направляется поток поддельных
запросов на установление TCP-соединений с несуществующими IP-адресами.
Этот поток вызывает перегрузку сервера, что ведет к отказу в обслуживании
законных пользователей. (AP, 13 сентября; RISKS 18.45). В течение

недели специалисты по TCP/IP предоставили заплаты для противостояния

подобным атакам на доступность. Исчерпывающий анализ данной проблемы

можно найти по адресу info.cert.org/pub/cert_advisories/CA-96.21.tcp_syn_flooding.

Также в Нью-Йорке губернатор

Pataki подписал новый закон, объявляющий уголовным преступлением

компьютерную передачу непристойных материалов лицам, не достигшим

семнадцати лет. Закон определил новый класс E уголовных преступлений

- распространение непристойных материалов среди подростков среднего

возраста (Penal Law Section 235.21). Такие деяния наказываются

заключением в тюрьме штата на срок до четырех лет. (LACC-D, 12

сентября).

Как явствует из интервью

с Margot Kidder, опубликованного в "People Online",

компьютерный вирус стал последним звеном в цепи, приведшей ее

к широко обсуждавшемуся в прессе нервному расстройству. (Актрису

нашли на чьем-то заднем дворе, съежившуюся и что-то бормочущую.)

Неидентифицированный вирус необратимо разрушил единственный экземпляр

книги, над которой исполнительница главной роли в фильме "Супермен"

работала три года. Резервной копии сделано не было. (RISKS 18.46).

Заместитель начальника

управления по экономическим преступлениям Министерства внутренних

дел России сообщил, что российские хакеры с 1994 по 1996 год сделали

почти 500 попыток проникновения в компьютерную сеть Центрального

банка России. В 1995 году ими было похищено 250 миллиардов рублей.

(ИТАР-ТАСС, AP, 17 сентября).

Бурю протестов вызвало

известие о том, что газеты "Tampa Tribune" и "St.

Petersburg Times" получили компьютерные диски с именами 4

тысяч жертв СПИДа. Диски были присланы из окружного управления

здравоохранения вместе с анонимным письмом, в котором утверждалось,

что служащий управления показывал людям в баре список больных

и предостерегал своих друзей от контактов с ВИЧ-инфицированными.

(AP, 20 сентября). Служащий сознался в преступлении и в октябре

был уволен.

Компания Penguin Books

распространила по электронной почте сфабрикованный совет от имени

вымышленного профессора Edward Prideaux из несуществующего Колледжа

славянских наук. Текст розыгрыша был таким: "По Интернет

рассылается компьютерный вирус. Если Вы получите электронное сообщение

с заголовком "Irina", немедленно УДАЛИТЕ его, НЕ читая.

Некий злодей рассылает сведения о людях и файлы с заголовком "Irina".

Если Вы наткнетесь на такое письмо или файл, не загружайте его.

Содержащийся в нем вирус затрет Ваш жесткий диск, уничтожив все

данные. Пожалуйста, соблюдайте осторожность во время путешествий

по Интернет. Перешлите данное письмо Вашим близким и знакомым."

Письмо вызвало беспокойство у некоторых получателей, которые засыпали

своих антивирусных поставщиков запросами о помощи против этой

несуществующей напасти. (Graham Cluley, в "Proceedings of

the International Virus Prevention Conference '97").

Телефонные хакеры начали

прослушивать телефонные линии в квартирах и домах американцев,

подключаясь к каналам, проходящим через расположенные неподалеку

"бежевые ящики". Такие ящики стоят на тротуарах по всей

Америке. Специалисты компании Pacific Bell утверждают, что только

в Калифорнии каждую неделю выявляется 10 - 15 новых "включений".

Ежегодный ущерб, наносимый при этом компании, оценивается в несколько

миллионов долларов. (UPI, 22 сентября).

В Кентукки бывший сотрудник

управления по сбору налогов сознался в краже 4.2 миллионов долларов

из казначейства штата. Он использовал компьютеры штата для организации

компенсационных налоговых выплат на счет созданной им фиктивной

корпорации (AP, 23 сентября).

Paul Engel, брокер фондовой

биржи в Сан-Франциско, сообщил, что размолвка с сотрудником исследовательской

фирмы SRI International Inc. привела к "взрыву" 23 сентября

"почтовой бомбы". В этот день Пол получил от компьютеров

SRI 25 тысяч писем, состоящих из одного слова - "Идиот".

Поток писем сделал работу за компьютером невозможной, поэтому

в декабре мистер Энгель предъявил фирме SRI иск на 25 тысяч долларов.

(UPI, 27 декабря). Независимо от исхода судебного разбирательства,

данный случай еще раз доказывает, что корпоративная политика безопасности

должна явным образом задавать границы допустимого использования

корпоративных идентификаторов пользователей в Интернет.

На шокированную женщину

обрушились сотни телефонных звонков с запросами сексуальных услуг

после того, как ее имя и телефон, якобы принадлежащие проститутке,

были разосланы по Интернет. (PA News, 25 сентября).

В конце сентября злобный

робот-стиратель удалил 27 тысяч сообщений из различных телеконференций

в Usenet. Особенно пострадали телеконференции, организованные

иудеями, мусульманами, феминистками и гомосексуалистами. У некоторых

"стирателей" были расистские и человеконенавистнические

имена. В настоящее время не ясно, противоречит ли подобный вандализм

каким-либо законам, зато достаточно очевидно, что аналогичные

атаки будут продолжаться до тех пор, пока правом на удаление сообщений

из Сети не будут обладать только их однозначно идентифицируемые

авторы. ("San Jose Mercury News", 25 сентября).

Судом Лос-Анджелеса Kevin

Mitnick был обвинен по 25 пунктам, включая кражу программного

обеспечения, повреждение компьютеров в университете Южной Калифорнии,

неавторизованном использовании паролей, а также использовании

украденных кодов сотовых телефонов. Кевин не признал себя виновным.

(AP, Reuters, 27, 30 сентября).

Как забавное напоминание

о розыгрыше с вирусом "Good Times", начавшемся в 1994

году, некто продемонстрировал, как написать текст на HTML, разрывающий

Netscape-сеанс и даже иногда ломающий Windows 95. Секрет прост

- Web-страница должна всего лишь ссылаться на порты LPT1 или COM

как на источники данных. У пользователей почтового клиента Netscape

проблемы еще неприятнее, так как можно загрузить "отравленное"

электронное сообщение и автоматически проинтерпретировать HTML-код,

"завесив" навигатор и сделав отравленное письмо неудаляемым.

(www.pcmag.com/news/trends/t961002a.htm).

Криптоаналитики из компании

Bellcore Dan Boneh, Richard A. DeMillo и Richard J. Lipton показали,

что нарушение нормальной работы смарт-карт может дать достаточно

информации об алгоритмах шифрования и ключах для проведения успешного

криптоанализа. (Edupage, 1 октября; RISKS 18.50; www.bellcore.com/SMART/secwp.html). Опираясь на эту работу и свои прежние исследования,

израильские ученые Eli Biham и Adi Shamir опубликовали предварительный

вариант статьи "The Next Stage of Differential Fault Analysis:

How to break completely unknown cryptosystems" ("Очередной

этап анализа дифференциальных ошибок: как взламывать абсолютно

незнакомые криптосистемы"). В аннотации (см. RISKS 18.56)

авторы пишут: "Идею использования вычислительных ошибок для

взлома криптосистем впервые применили Boneh, Demillo и Lipton

к системам с открытыми ключами. Затем Biham и Shamir распространили

ее на большинство криптосистем с секретными ключами. (RISKS 18.54).

В нашем новом исследовании мы вводим модифицированную модель ошибок,

делающую возможным нахождение секретного ключа, хранящегося в

защищенном от вскрытия криптографическом устройстве, даже если

о структуре и функционировании этого устройства ничего не известно.

Прекрасным примером приложения новой модели является система Skipjack,

разработанная Агентством национальной безопасности США. Конструкция

этой системы неизвестна, она реализована в виде защищенной от

доступа микросхемы, устанавливаемой на имеющиеся в продаже ПК-модули

компании Fortezza. Мы не проводили тестовых атак на Skipjack,

но мы считаем, что они представляют реальную угрозу по отношению

к некоторым приложениям смарт-карт, спроектированным без учета

описываемых средств."

В ноябре британский криптограф

Ross Anderson опубликовал предварительный вариант статьи "A

serious weakness of DES" ("Серьезная слабость DES").

([RISKS 18.58, 18.62; www.cl.cam.ac.uk/users/rja14/tamper.html).

Аннотация гласит: "Eli Biham и Adi Shamir (RISKS 18.56) недавно

указали, что если атакующий может вызывать направленные ошибки

в ключевой памяти криптографических устройств, он сможет быстро

выделить ключи. Хотя их атака очень элегантна, ее нельзя назвать

практичной применительно ко многим реальным системам. Например,

внесение однобитного изменения в DES-ключ при правильной реализации

криптосистемы приведет к сообщению об ошибке четности."

Однако, если скомбинировать

идеи израильских ученых с недавней работой по восстановлению памяти

(автор - Peter Gutman), можно получить две весьма практичные атаки.

Одна из них позволяет выделить электронные ключи смарт-карт с

помощью гораздо более дешевого оборудования, чем то, которое в

настоящее используют пираты платного телевидения. Вторая представляет

реальную угрозу для неохраняемых банковских устройств. Эти атаки

показывают, что свойства DES, которые раньше казались безобидными,

на самом деле свидетельствуют о серьезной ошибке проектирования.

Новости из подполья. Журнал

"Phrack" номер 48 выпустили новые редакторы: "ReDragon",

"Voyager" и "Daemon9". В этом номере, как

и в ежеквартальном хакерском журнале "2600", опубликованы

исходные тексты программ, реализующих упоминавшуюся выше атаку

против доступности - "SYN-наводнение". Greg Perry, известный

в подполье как "Digital Hitler", арестован по обвинению

в мошенничестве на ниве сотовой телефонии.

В сентябрьском докладе

группы IS/Recon содержится следующее настоятельное предупреждение:

Воззвание группы IS/Recon

Вопреки нашим усилиям

по защите информационных систем от атак злоумышленников, последние

продолжают использовать сведения по безопасности, почерпнутые

из открытых источников, для выявления уязвимых систем и нападения

на них. Не боясь повториться или уподобиться волку, воющему на

луну, мы подчеркиваем обязательность быстрого наложения заплат

и поддержания постоянного контакта с производителями для внесения

в системы всех рекомендованных изменений. Самым свежим и тревожным

примером сбора информации о брешах в безопасности является новая

страница на одном из отслеживаемых нами типичных хакерских Web-серверов.

По адресу "http://..." располагается Web-страница, позволяющая

Вам ввести информацию о Вашей системе и опробовать Ваш экземпляр

программы httpd на предмет наличия в нем "дыры", описанной

в CERT Advisory 96.06. На хакерском сервере имеется регистрационный

журнал, в котором фиксируются все обращения к серверу и, в частности,

к упомянутой странице. ПОМНИТЕ! Когда Вы загружаете эту страницу,

в журнал попадает Ваш IP-адрес. Не делайте этого с Ваших корпоративных

компьютеров! Если Вы обнаружите свои знания о данном сервере,

Вы можете стать объектом атаки со стороны этих людей или невольно

способствовать тому, что мы "потеряем" сервер хакеров,

если они закроют его или поймут, что за ними следят. Чтобы взглянуть

на Web-страницу злоумышленников, воспользуйтесь каким-либо другим,

не корпоративным Интернет-адресом.

Сертификация системы Internet Scanner

2 сентября 1998 г. система Internet Scanner&153; получила сертификат Государственной технической комиссии при Президенте РФ № 195 и стала первой в России системой анализа защищенности признанной этой авторитетной в области защиты информации организацией. Сертификация проводилась по техническим условиям (ТУ № 19-98), поскольку Руководящий документ, в котором приводятся требования к средства анализа защищенности в настоящий момент не разработан. Применение сертифицированной системы Internet Scanner дает два преимущества по сравнению с другими аналогичными средствами. Во-первых, "информационные системы, органов государственной власти Российской Федерации и органов государственной власти субъектов Российской Федерации, других государственных органов, организаций, которые обрабатывают документированную информацию с ограниченным доступом, а также средства защиты этих систем подлежат обязательной сертификации" (Федеральный Закон РФ от 25.01.95 "Об информации, информатизации и защите информации", ст.19). Сертификация системы Internet Scanner позволяет применять ее в государственных организациях. Во-вторых, сертификат выдается по результатам сертификационных испытаний, проводимых независимой испытательной лабораторией, назначаемой Гостехкомиссией России. В процесс испытаний осуществляется большое число тестов, которые гарантируют отсутствие "недекларированных возможностей" (Сертификат соответствия Гостехкомиссии России № 195).

Сертификация

Сертификация продукта уполномоченными государственными организациями может дать серьезный импульс к его широкому применению. Правительство США требует, чтобы системы защиты и другие продукты, связанные с информационными технологиями, проходили проверку на соответствие Federal Information Processing Standard, осуществляемую Национальным институтом по стандартам и технологии (NIST), прежде чем американским госучреждениям можно будет их приобрести.
Стоимость тестирования на соответствие может варьироваться от десятков до сотен тысяч долларов. Все это может помешать организациям, создающим свободно распространяемое обеспечение (и имеющими, как правило, весьма скромный бюджет), сертифицировать свои технологии. Фактически, как отметила Аннабел Ли, директор программы NIST Cryptographic Module Validation Program, ей не известен ни один свободно распространяемый продукт, прошедший сертификацию.

Сервера прикладного уровня

Брандмауэры с серверами прикладного уровня используют сервера конкретных сервисов -
TELNET, FTP и т.д. (proxy server), запускаемые на брандмауэре и пропускающие через себя
весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером
образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.
Полный набор поддерживаемых серверов различается для каждого конкретного
брандмауэра, однако чаще всего встречаются сервера для следующих сервисов:

терминалы (Telnet, Rlogin)

передача файлов (Ftp)

электронная почта (SMTP, POP3)

WWW (HTTP)

Gopher

Wais

X Window System (X11)

Принтер

Rsh

Finger

новости (NNTP) и т.д.

Использование серверов прикладного уровня позволяет решить важную задачу - скрыть от
внешних пользователей структуру локальной сети, включая информацию в заголовках
почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством
является возможность аутентификации на пользовательском уровне (аутентификация - процесс
подтверждения идентичности чего-либо; в данном случае это процесс подтверждения,
действительно ли пользователь является тем, за кого он себя выдает). Немного подробнее об
аутентификации будет сказано ниже.
При описании правил доступа используются такие параметры как название сервиса, имя
пользователя, допустимый временной диапазон использования сервиса, компьютеры, с
которых можно пользоваться сервисом, схемы аутентификации. Сервера протоколов
прикладного уровня позволяют обеспечить наиболее высокий уровень защиты - взаимодействие
с внешним миров реализуется через небольшое число прикладных программ, полностью
контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения.
Пользователь образует соединение с определенным портом на брандмауэре, после чего
последний производит соединение с местом назначения по другую сторону от брандмауэра. Во
время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.
Как правило, пункт назначения задается заранее, в то время как источников может быть
много ( соединение типа один - много). Используя различные порты, можно создавать
различные конфигурации.
Такой тип сервера позволяет создавать транслятор для любого определенного пользователем
сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор
статистики по его использованию.

Схемы подключения

Для подключения брандмауэров используются различные схемы. Брандмауэр может
использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для
подключения к внешней сети (см рис. 1). Иногда используется схема, изображенная на рис 3, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.
Схемы подключения

Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed
брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор (см рис. 4).
Схемы подключения

При этом между внешним роутером и брандмауэром имеется только один путь, по которому
идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является
единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с
точки зрения безопасности и надежности защиты.
Другая схема представлена на рис. 5.
Схемы подключения

При этом брандмауэром защищается только одна
подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто
располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые
брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с
точки зрения загрузки машины и безопасности самого брандмауэра
Существуют решения (см рис. 6),которые позволяют организовать для серверов,
которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за
доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.
Схемы подключения

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не
могли случайно или умышленно открыть дыру в локальную сеть через эти сервера.
Для повышения уровня защищенности возможно использовать в одной сети несколько
брандмауэров, стоящих друг за другом.

Сильнее угроза — крепче защита

Елена Полонская
Издательский Дом "КОМИЗДАТ"
Мы протестировали 16 инструментов для защиты компьютеров и компьютерных сетей от интернет-червей, вирусов, шпионских программ и хакеров.
Целью нынешних интернетовских злоумышленников уже давно перестал быть ваш компьютер. Сегодня их цель — вы сами. Преступники, пользующиеся украденными номерами кредитных карточек и идентификационной информацией, широко используют вирусы и интернет-червей, чтобы заманить в ловушку свои жертвы. Вирусы — это только одна из возможных угроз. В некоторых спамовых сообщениях электронной почты используются так называемые "рыболовные" схемы, направленные на то, чтобы заставить получателя такого письма раскрыть конфиденциальную банковскую информацию или сообщить номер кредитной карточки. Поддельные рекламодатели создают ложные всплывающие окна, которые, используя слабые места операционной системы, устанавливают на компьютере жертвы шпионские программы.
Поскольку в сферу внимания информационной безопасности все чаще попадают более серьезные вещи, чем обычные вирусы, специалисты по компьютерной защите ввели термин malware — "злонамеренное программное обеспечение", которым обозначают любой код, наносящий вред компьютеру или его обладателю. Для сопротивления посягателям на частную информацию пользователя необходима глубокая и хорошо продуманная система обороны, состоящая из нескольких барьеров между злонамеренным ПО и системой. В этом обзоре мы рассмотрим:

межсетевые экраны,

вирусные сканеры,

инструментарий для удаления программ-шпионов

пакеты для обеспечения безопасности.

Надеемся, представленный материал поможет вам подобрать себе подходящий арсенал.

Система генерации отчетов

Система Internet Scanner&153; обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
К концу 1998 года планируется завершить русификацию системы Internet Scanner, и в частности системы генерации отчетов.
Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:

по сканируемым устройствам;

по типу и версии операционной системы;

по сетевым сервисам;

по номерам портов;

по именам пользователей;

по уязвимостям;

по IP-адресам;

по DNS-именам;

по степени риска.

Система RealSecure? обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию о обнаруженных атаках, отсортированную по различным признакам, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:

по приоритету (степени риска) атаки;

по IP-адресу отправителя;

по IP-адресу получателя;

по именам контролируемых событий.

Система System Security Scanner? обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.
Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.
К концу 1998 года планируется завершить русификацию системы System Security Scanner, и в частности системы генерации отчетов.

Система обработки статистики

МЭ содержит мощную систему сбора и анализа статистики. Учет ведется по
адресам клиента и сервера, имени пользователя, времени сеанса, времени
соединения, количеству переданных/принятых данных, действия администратора
по управлению пользователями, действий пользователей по авторизации
и изменения пароля. Система обработки производит анализ статистики
и предоставляет администратору подробный отчет. За счет использования
специальных протоколов МЭ позволяет организовать удаленное оповещение
об определенных событиях в режиме реального времени.

Система подсказки

Система Internet Scanner&153; обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или изменения и обновления, устраняющие найденные проблемы.
К концу 1998 года планируется завершить русификацию системы Internet Scanner (системы подсказки, документации, системы генерации отчетов и т.п.).

Система RealSecure? обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом осуществлять обнаружение атак на узлы Вашей корпоративной сети. Объемная база данных содержит подробную информацию обо всех обнаруживаемых системой атаках.

Система System Security Scanner? обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или patch'и и hotfix'ы, устраняющие найденные проблемы

Системные требования

Требования к аппаратному обеспечению:

Процессор - Pentium 133 МГц;

ОЗУ - 64 Мб + 8 Мб на каждые 1000 сканируемых узлов;

НЖМД - не менее 10 Мб + 2.5 Мб на каждые 100 сканируемых узлов;

Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring (в последнем случае нет возможности проводить скрытое сканирование, UDP-bomb и SYN-flood);

Монитор - 800х600, не менее 256 цветов.

Требования к программному обеспечению:

Операционная система

Windows NT 4.0 с SP3 и выше,

SunOS - 4.1.3 и выше;

Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше;

HP UX - 10.10 и выше;

AIX - 4.1.5 и выше;

Linux - ядро 2.0.24 и выше;

Файловая система - желательно NTFS(для ОС Windows NT);

Дополнительные сведения - для использования системы необходимы права администратора рабочей станции (желательно права администратора домена). Для повышения производительности установку лучше производить на Windows NT WorkStation (для ОС Windows NT).

Требования к аппаратному обеспечению:

Процессор - Pentium Pro 200 МГц (рекомендуется Pentium II 300 МГц);

ОЗУ - 64 Мб (рекомендуется 128 Мб);

НЖМД - не менее 100 Мб (для базы данных и регистрационного журнала) + 10 Мб для ПО модуля слежения;

Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring, FDDI.

Требования к программному обеспечению:

Операционная система

Windows NT 4.0 с SP3;

Solaris - 2.4/2.5 + Motif;

Linux - 1.3 + X Window R11;

Дополнительные сведения - для использования системы требуются права администратора рабочей станции.

Требования к аппаратному обеспечению:

Процессор - Pentium 75 МГц;

ОЗУ - 16 Мб (рекомендуется 32);

НЖМД - не менее 10 Мб (для ОС Unix) и не менее 20 Мб (для ОС Windows);

Монитор - 800х600, не менее 256 цветов. Требования к программному обеспечению:

Операционная система

Windows 95 и выше;

Windows NT 3.0 и выше;

SunOS - 4.1.3 и выше;

Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше;

HP UX - 9.05 и 10.x;

AIX - 2.3.5, 4.1 и 4.2;

Linux - 1.2.13 и выше;

IRIX - 6.2, 6.3 и 6.4.

Дополнительные сведения - для использования системы права администратора рабочей станции не требуются.

Системы сбора статистики и предупреждения об атаке

Еще одним важным компонентом брандмауэра является система сбора
статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих,
выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени
соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко
определять подлежащие протоколированию события, описать действия брандмауэра при атаках
или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое
послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на
экран консоли или администратора может помочь, если попытка оказалась успешной и
атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов,
служащие для обработки статистики. Они позволяют собрать статистику по использованию
ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с
которых проводились попытки несанкционированного доступа и т.д.

Snare

System Intrusion Analysis and Reporting Environment представляет собой размещаемую на хосте систему обнаружения вторжений, предназначенную для систем с Linux. Альянс InterSect Alliance (www.intersectalliance.com), который объединяет консультантов, специализирующихся на вопросах защиты, разработала и выпустила Snare в ноябре 2001 года.
Snare использует технологию динамически загружаемых модулей для взаимодействия с ядром Linux во время исполнения. За счет использования только тех модулей, которые необходимы для выполнения конкретной задачи, Snare снижает нагрузку на хостовую систему. А поскольку Snare загружается динамически, пользователям не нужно перезагружать систему или перекомпилировать ядро, как это бывает с некоторыми усовершенствованиями Linux.

Снижение производительности

Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.
В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.
Компромисс между типами межсетевых экранов - более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).

Snort

Snort (www.snort.org) считается одним из наиболее популярных свободно распространяемых инструментальных средств защиты. По оценкам Марти Реуша, ведущего разработчика Snort, данным приложением пользуется от 250-500 тыс. человек. Это программное обеспечение имеет группу активных сторонников и весьма детальную документацию.
Snort — упрощенная система обнаружения сетевых вторжений, способная выполнять в реальном времени анализ трафика и пакетов, зарегистрированных в IP-сетях. Выпущенная в 1998 году, Snort помогает выявить потенциальные нарушения защиты, выполняя протокольный анализ пакетов, а также поиск с сопоставлением по шаблону в информационном наполнении. Эта система способна выявлять работу зондов и обнаруживать различные нарушения защиты, такие как переполнение буфера, скрытое сканирование портов и атаки с использованием общего интерфейса шлюзов.
Snort работает на различных платформах, в том числе на FreeBSD, Linux, MacOS, Solaris и Windows.

Составляющие компоненты

Расширенное с точки зрения безопасности ядро ОС

Минимизированное окружение системы UNIX

Guardian - сетевой супер-сервер

Oracle - сервер аутентификации

Транслирующие сервера (proxy):

Telnet

FTP

Gopher

HTTP

Mail

TCP (сырой)

UDP Relay

Netacl

Системный журнал

Система оповещения в реальном времени

Система статистики

Система администрирования

Совершенствование системы безопасности

Виктор Олифер, Корпорация Uni
Положение компании CheckPoint как мирового лидера в области интегрированных продуктов безопасности позволяет комплексно решить задачу совершенствования системы безопасности на основе продуктов CheckPoint, а также продуктов третьих фирм, поддерживающих открытые стандарты платформы OPSEC.
Сегодня компания CheckPoint выпускает продукты нескольких линий, обеспечивающие защиту сети в различных аспектах, а также выполняющие функции управления сетью:

FireWall-1 - комплекс модулей, составляющих ядро любой системы безопасности на продуктах CheckPoint. Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Включает систему централизованного управления на основе правил политики, которая может управлять работой не только модулей FireWall-1, но и продуктов VPN-1, FloodGate-1.

VPN-1 - набор продуктов для организации виртуальных частных сетей как со стороны центральной сети, так и со стороны удаленных пользователей. Продукты VPN-1 тесно интегрированы с FireWall-1.

RealSecure - средства обнаружения вторжений в реальном времени. Экспертная база атак составляет более 160 образцов. Интегрированы с FireWall-1 - есть возможность автоматической реконфигурации правил экрана FireWall-1 при обнаружении вторжения.

FloodGate - средства управления качеством обслуживания. Обеспечивают гибкое распределение полосы пропускания для различных классов трафика, а также отдельных соединений. Поддерживают централизованное управление на основе правил, интегрированных с правилами FireWall-1/VPN-1.

MetaIP - система управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS и аутентификации, дополняя их собственным сервисом UAM отображения имен пользователей на IP-адреса. Сервис UAM может быть использован межсетевыми экранами FireWall-1, за счет чего обеспечивается контроль доступа на уровне пользователей в динамической среде DHCP.

Предложенная компанией CheckPoint в 1997 году платформа интеграции продуктов безопасности на основе открытых стандартов OPSEC (Open Platform for Secure Enterprise Connectivity) сегодня поддерживается более, чем 200 производителями, многие из которых являются членами OPSEC Alliance.
Популярность платформы OPSEC позволяет включать в систему безопасности предприятия лучшие в своей области продукты, которые дополняют возможности продуктов CheckPoint и обеспечивают высокую степень интеграции с FireWall-1/VPN-1 на основе стандартных протоколов и API.
Продукты компании CheckPoint и ее партнеров позволяют построить Защищенную Виртуальную Сеть (Secure Virtual Network), использующую все преимущества транспорта и сервисов Internet и защищающую в то же время все компоненты корпоративной сети.
Рассмотрим, каким образом система, построенная на продуктах CheckPoint и OPSEC-совместимых продуктах третьих фирм, удовлетворяет современным требованиям.

Создание сценариев для устранения найденных проблем

Система System Security Scanner? обладает уникальной возможностью по созданию скриптов (fix script), корректирующих или устраняющих обнаруженные в процессе анализа защищенности проблемы. Кроме того, в процессе создания fix-скрипта система S3 также создает скрипт, позволяющий отменить изменения, сделанные fix-скриптом. Это может потребоваться в том случае, если сделанные изменения нарушили нормальное функционирование отдельных хостов корпоративной сети.