Программы типа “троянский конь”, почтовые бомбы и уязвимые места в программном обеспечении предоставляют хакерам широкое поле деятельности. Практически невозможно полностью защитить современную операционную систему. Одной из причин этого является их сложность. Посмотрите на список запущенных программ На вашем компьютере (команда рэ -ах или.рэ -еі для ІЖІХ-компьютеров и <Сіх1+Ак+Ве1> для компьютеров под управлением Шіпсіошв). Как вы думаете, заметите ли вы что-нибудь при каких-либо изменениях в работе запущенных приложений? Это перечень приложений высокого уровня, а не вызовов функций или библиотек БІХ. Если хакер сможет запустить вредоносную программу на вашем компьютере, то вам, вероятно, не удастся выявить ее без специального антивирусного приложения. Как эти потайные ходы оказались в вашей системе?

В течение двух прошлых лет основными проблемами систем Windows были проблемы с Web-броузерами. Получили известность уязвимые места в программном коде Internet Explorer, которые позволяли хакерам запускать на атакуемом хосте произвольные программы при загрузке Web-броузером Web-странйц со специально подготовленными строками. Подобные атаки стали даже популярнее атак, основанных на использовании уязвимых мест Outlook, которые удерживали пальму первенства ранее. К несчастью, эти атаки направлены как на обычные персональные компьютеры, для которых используются коммутируемые соединения (здесь ущерб не так уж велик), так и на хосты правительственных учреждений, корпораций, учебных заведений, для которых используются линии соединения с высокой пропускной способностью. Запуск хакером любых программ на UNIX-системах позволяет осуществить многочисленные атаки на переполнение буфера. Кроме усовершенствования методов взлома, хакеры добились и серьезного прогресса в способах выявления подходящих целей атаки.

Улучшенный поиск цели атаки

В этой книге подробно рассмотрены различные методы проведения разведывательных действий. Составлением схем сетей в Internet занимаются целые организации. Среди усовершенствований выявления целей атаки можно выделить следующие.

■ Усовершенствованные методы получения результатов при широковещательных запросах. Если на узле не блокируются входящие широковещательные пакеты, то хакер получает хорошие результаты сканирования с помощью небольшого количества подготовленных пакетов. В последнее время обычное сканирование выполняется крайне медленно, поэтому сначала стараются использовать программу пшар или другое подобное средство для получения эхо-ответа. Возвращение этого ответа расценивается хакерами как достаточный повод для сканирования открытых портов компьютера и используемых протоколов.

■ Хакеры стали исключать из сканируемых целей опасные для себя диапазоны IP-адресов, определяемые ими на основе списков ловушек и узлов» которые активно выявляют атаки и уведомляют о них группу CIRT.

■ Обмен полученной разведывательной информацией между нарушителями. Когда две группы хакеров используют различные методы разведки и предоставляют друг другу полученные сведения, выявить подобные действия значительно сложнее.

Поскольку разведка чужих сетей выполняется уже давно, в настоящее время очевидны результаты долгой работы хакеров. Выявление нескольких пакетов сканирования может означать, что хакер просто проверяет имеющуюся схему сети. При обнаружении новых уязвимых мест он будет иметь под рукой готовые цели атаки.

Причины роста угроз

Тот факт, что системы являются уязвимыми, и хакеры улучшают методы поиска уязвимых систем, ни для кого не будет открытием. Что изменилось, так это масштаб атак. Проведенные в начале 2002 года успешные атаки с помощью Leaves, SubSeven, вируса Code Red против IIS-серверов, атаки по протоколам SNMP и ASN.1 и РНР-атаки против серверов Apache позволили хакерам завладеть (и даже управлять) целыми сетями с тысячами и тысячами скомпрометированных систем.

Такие события имели несколько последствий. Например, некоторые теперь опасаются атак со стороны любого компьютера в сети Internet. К февралю 2003 года, спустя три года с момента проведения масштабных распределенных атак отказа в обслуживании против Web-сайтов CNN и Yahoo, злоумышленники продолжают атаковать не менее успешно, чем защищаются провайдеры услуг Internet. Когда институт SANS в феврале 2002 года с помощью технологии WebCast проводил по Internet презентацию нового средства безопасности для настройки маршрутизаторов Cisco, компания Digital Island, один из провайдеров, транслирующих эту презентацию, сообщил об успешной атаке отказа в обслуживании, которая позволила хакерам блокировать работу WebCast-трансляций. Б марте 2002 года были проведены пробные атаки блокирования работы сайтов, при которых использовалась программа traceroute, с ее помощью определялся маршрутизатор, используемый сайтом для подключения к Internet, а затем блокировался этот маршрутизатор. Кроме того, хакеры начали экспериментировать с ТСР-портом 179 (служба BGP). Конечно, я не знаю будущего, но могу предположить следующие варианты развития событий.

■ Хакеры не прекратят своих попыток. Многие из них весьма корыстны и постараются получить деньги посредством вымогательства при блокировании работы Web-сайтов служб электронной коммерции, таких как eBay или Amazon. Другие хакеры действуют ради интереса и могут постараться нарушить работу двух самых популярных служб в Internet: маршрутизации и службы DNS, а если будет заблокирована маршрутизация, то DNS отключится сама собой. Наши лучшие аналитики считают, что хакерам не удастся заблокировать работу всей сети Internet, так как она состоит из многих независимых подсетей.

■ Правительство делает только то, что способно сделать: установлена серьезная криминальная ответственность за проведение подобных атак.

Нельзя сказать, что все так уж плохо. Угрозы могут возрасти еще больше, но есть и определенный предел этому росту.

Защита от угрозы

Существуют объективные факторы и меры противодействия, которые ограничивают рост угроз со стороны хакеров. Мы сначала рассмотрим сдерживающие факторы, а затем перейдем к навыкам и средствам, используемым специалистами по информационной безопасности. Кроме того, пользователи Internet быстро учатся и сами реализуют методы защиты. Мы также рассмотрим обнаружение взлома с общей точки зрения, чтобы продемонстрировать наиболее важные тенденции. Каковы же ограничения, сдерживающие хакеров?

■ Для современных средств, предназначенных для проведения распределенных атак отказа в обслуживании, наподобие Leaves или litmus команды передаются с помощью службы IRC. В этом их сила и слабость. С одной стороны, люди становятся разумней и все чаще блокируют такой трафик. Хакеры предпринимают ответные действия, но все равно присутствует сдерживающий фактор.

■ Большое количество попыток сканирования основано на использовании открытых IP-адресов. С переходом каждой новой организации на технологию NAT (Network Address Translation -трансляция сетевых адресов) и использование частных адресов задача хакеров становится все труднее.

■ Некоторые компьютеры были скомпрометированы в результате использования вирусных атак Leaves, Code Red и атак по протоколам SNMP и ASN.1. Многие из взломанных систем являлись системами Windows и тому есть веские доказательства. Я думаю, компанию Microsoft заинтересовало, что за несколько месяцев после появления вируса Code Red 180000 Web-серверов IIS были преобразованы (в большинстве случаев) в серверы Apache.

в Следите за тем, куда вкладываются деньги! В первую очередь, они направляются на защиту. Хакеры проявляют чудеса изобретательности, но наличие на рынке бесплатных, простых в настройке средств безопасности, а также проводимое обучение принципам защиты позволяет сделать компьютеры не такими доступными. Если средства защиты будут применяться повсеместно, то атаки перестанут быть увлекательным развлечением, и будет проще выявить узлы, которые не контролируют действия своих пользователей.

Вопрос финансирования имеет большое значение. Кажется логичным, что если вкладывать деньги в безопасность, то обязательно будет какой-то результат. Однако не все так просто. В отчете Министерства финансов США от 25 мая 2002 года (http : / /www. whitehouse . gov/omb/inforeg/fyOlsecurityactreport.pdf) были приведены вполне прогнозируемые недостатки в области защиты информации:

в недостаточное внимание к безопасности со стороны руководителей;

в неэффективное обучение принципам защиты информации;

в неправильное с точки зрения безопасности взаимодействие с поставщиками;

в недостаточное выявление уязвимых мест.

Но самым интересным моментом этого отчета является вывод о том, что не было обнаружено явной зависимости между количеством денег, вложенных в защиту информации, и конечным результатом. Более того, они даже не учитывали важность наличия хороших средств обнаружения вторжений. Я считаю, что в ближайшем будущем будут иметь преимущество те, кто сможет разумно потратить деньги на обучение персонала и покупку нужных средств обеспечения защиты.

Знания против программ

Интерес к теме обнаружения взлома продолжает расти. Институт SANS объявил набор на первые курсы по обучению методам обнаружения взлома в марте 2000 года, и они заинтересовали только технических специалистов, которые хотели получить дополнительные знания в области социальной инженерии. В настоящее время подобные курсы читаются по шесть дней в неделю по всему миру. Спрос рождает предложение. Люди стремятся научиться искусству выявления взлома. Будущие аналитики сетевого трафика изучают все темы, изложенные в данной книге: побитовая маскировка, основные навыки аналитика, правила создания фильтров и специальные навыки, необходимые конкретному аналитику.

В то же время компании работают над созданием все более эффективных средств. Надеемся, что к этому моменту нашим читателям стало очевидно, что невозможно создать систему обнаружения вторжений, которая бы работала без помощи квалифицированного специалиста.

Навыки аналитиков

В системах обнаружения вторжений присутствует та же проблема, что и в антивирусном программном обеспечении: новые атаки нельзя обнаружить из-за отсутствия сигнатур для их выявления. Проблема даже серьезней. Ведь для сетевых систем обнаружения вторжений создано только небольшое количество сигнатур, до 2000, что очень мало по сравнению с 30000 сигнатур для антивирусных программ. Есть естественные ограничения для сетевых систем обнаружения вторжений на основе сигнатур. Для эффективного использования этих систем я рекомендую дополнительно регистрировать весь проходящий трафик. Это позволит после поднятой тревоги исследовать причины, которые вызвали ее появление. Я также стараюсь сохранять данные в двоичном формате по крайней мере за несколько дней. Поэтому, если мне повезет и удастся обнаружить что-либо необычное, то я смогу просмотреть данные предшествующих пакетов. Современные аналитики обязаны уметь поставить фильтры для поиска интересующей информации в сохраненных данных. В будущем возможности подобного поиска будут интегрированы в системы обнаружения вторжений и даже в реляционные базы данных, так что аналитик сможет описать свой запрос на SQL.

В компаниях понимают необходимость использования квалифицированных работников. Даже в момент экономического спада 2001 года институт SANS выпускал класс за классом, и большинство из них были полностью укомплектованы. Нанимая сотрудников, компании все чаще выдвигают требования наличия сертификатов. Вначале это было похвально, но несколько тоскливо: “Требуется аналитик системы обнаружения взлома, который умеет писать правила, интерпретировать данные в шестнадцатеричном формате и имеет сертификат CISSP”. Не воспринимайте это как критику сертификата CISSP (Certified Information System Security Professions), но сам по себе сертификат не означает, что человек с таким сертификатом может работать с системой обнаружения вторжений или умеет настраивать брандмауэр, или способен решить другую техническую задачу. Компании быстро осознали этот факт и согласно последним исследованиям наибольшей популярностью у работодателей пользуются специалисты с сертификатом GIAC. Программные средства постоянно совершенствуются, но по крайней мере в следующие несколько лет (и, как я надеюсь, навсегда) ничто не заменит навыков квалифицированного аналитика.

Быстрый рост количества персональных брандмауэров уже привел к тому, что они стали основным средством защиты данных. Диапазон этих средств весьма велик (начиная от брандмауэра Internet Security компании Symantec, в котором объединяются антивирусные возможности с простейшими возможностями защиты и выявления взлома, и заканчивая брандмауэром Blacklce, который позволяет регистрировать проходящие пакеты). Создатели этих средств решили одну из важнейших проблем, организовав защиту на конкретном хосте! Сознательные сотрудники устанавливают их и на рабочих местах, и дома. Более того, эти сотрудники могут сообщать о выявленных атаках, что будет весьма полезно. Существуют даже автоматические средства наподобие Dshield, которые позволяют собирать данные от нескольких персональных брандмауэров и анализировать общие тенденции. Сетевые системы обнаружения вторжений по-прежнему находят широкое применение. Намного проще установить в сети пару машин, чем добавлять непроизводительный, ресурсоемкий программный уровень на каждом из хостов локальной сети. Если разобраться в эффективности всего процесса обнаружения взлома, то персональные брандмауэры на компьютерах сотрудников обеспечивают огромные преимущества и очень удачно дополняют сетевые средства защиты. Поэтому нет ничего удивительного в том, что наступает время консольных систем, взаимодействующих с базами данных, когда информация системы обнаружения вторжений дополняется данными брандмауэров, персональных брандмауэров, антивирусных программ, а также другими данными, например из системных журналов. Это позволяет лучше, чем когда-либо ранее, понять, что же происходит в конкретной сети.

Улучшенные средства

Создано много различных видов консолей аналитиков сетевого трафика. Некоторые из них обладают усовершенствованными возможностями просмотра записей журналов, например Big Brother (www. ЬЬ4. com) или Brother NetIQ (www.netiq.com). Другие позволяют анализировать содержимое проходящего трафика, например SilentRunner (www. silentrunner. com), или являются средствами, учитывающими сведения из различных источников информации, что можно сказать про netForensics (www.netforensics.com), ISS SiteProtector (www.iss.net) и Intellitactics NSM (www.intellitactics.com). И это только вершина айсберга. Я знаю много компаний, которые разрабатывают собственные продукты, как, например, консоль Sourcefire OpenSnort (www.sourcefire.com), в которой используется высокопроизводительное средство для работы с базами данных barnyard, созданное Эндрю Бэйкером (Andrew Baker). Когда все эти компании выпустят свои средства и пройдет время их обсуждения и проверки, мы получим еще несколько очень полезных программ.

Компании покупают средства защиты информации, но их качество не всегда соответствует стоимости. Мы уже рассказывали про коммерческие системы обнаружения вторжений, которые приходится заменять через год после приобретения. Возможно, следующие версии этих программ будут лучше, но специалисты должны рекомендовать приобретать только те средства, которые действительно работают.

Соревнование на рынке средств обнаружения взлома протекает весьма увлекательно. Не нужно быть опытным аналитиком, чтобы понять, что Рон Гула (Ron

Gula) с его средством Dragon, Роберт Грехэм; (Robert Graham) с его Blacklce (теперь RealSecure) и Марти Роч (Marty Roesch) со своим Snort не просто выдающиеся программисты, они вложили душу и сердце в свои продукты. Нельзя не упомянуть и о Кэвине Зейсе (Kevin Zeise) из команды сотрудников Cisco. Возможно, его деятельность не столь заметна, но он пробегает четыре мили с утра, съедает два куска лимонного торта на завтрак, разрабатывает новую линию товаров к обеду и перед сном успевает спасти планету от катастрофы в киберпространстве. Он использует все перечисленные системы обнаружения вторжений. Дискуссии в списках рассылки и виртуальных конференциях тоже служат общей цели определения лучшего средства. В мире лжи, где все поставлено на продажу, эти три человека потратили все свои усилия на создание оптимального средства защиты. Кто из них победит? Я думаю, победа будет не за отдельной личностью, а за командой. Поэтому в духе пророчества я могу сказать следующее.

■ У компании Enterasys в данное время есть небольшие финансовые затруднения, в частности проблемы с Комиссией по ценным бумагам (SEC). Мне нравится их система Dragon и некоторые средства для работы в сети, но я бы не стал приобретать больше ста акций этой компании (слишком вероятно, что их можно будет использовать как обои). Поэтому, я считаю, что система Dragon могла бы стать достойным конкурентом на рынке, если бы не финансовые недоразумения.

■ В начале 2002 года компания ISS и Роберт Грехэм были явными фаворитами на рынке средств защиты информации. Отличная руководящая группа, прекрасный маркетинг обеспечили репутацию этой компании. Мне очень многое нравилось в системе Blacklce, и многие из этих возможностей были встроены в новую версию под названием RealSecure. Я не сомневаюсь, что Роберт скоро создаст нужный датчик и завершит создание этого средства. Вопрос только в том, удастся ли его интегрировать с основной консолью аналитика. На момент написания этих строк я не успел оценить по достоинству программу SiteProtector, но, судя по заявлениям ISS, они рассчитывают с помощью этого средства прорваться на рынок управляемых служб. Я предполагаю, что здесь основным аргументом будут знания, а не сама программа. Если консоль позволит опытному специалисту проявить все свои лучшие качества, то ISS, пожалуй, обойдет любую компанию, кроме Cisco. Если же консоль будет создана на основе принципа: “Сидите и смотрите. Если появится красный треугольник, звоните на фирму”, то я думаю, что все шансы на рынке будут потеряны.

■ Компания Cisco еще много лет назад разработала стратегию, согласно которой обнаружение взлома должно осуществляться на уровне локальной сети. Объединение возможностей Catalyst 6000 и Policy Feature Card привело к созданию системы названием TopLayer, позволяющей выполнять анализ при обнаружении взлома. Она стоит недешево. Тем не менее на самых крупных узлах с самым дорогим оборудованием используют продукты компании Cisco, а это говорит само за себя.

■ Возглавляемая Марти Рочем компания Sourceflre получила два миллиона долларов на развитие своего бизнеса. Система Snort является популярней шим средством выявления взлома, а набор правил Snort используется чаще всего. Здесь все ясно. Но все это касается бесплатной программы Snort, а я наблюдал, как мой друг Джин Ким (Gene Kim) пытался превратить в источник дохода свою бесплатную программу Tripwire, и понял, что это не такая простая задача. Более того, Марти не единственный, кто хочет перевести систему Snort на коммерческие рейки. По моему мнению, он очень удачно выбрал время для предложения товара на рынке. В тот момент, когда все труднее и труднее найти действительно качественный товар, когда компании ISS и Enterasys находятся на спаде, есть прекрасная возможность для усиления позиций Sourcefire.

Как мне кажется, когда наши читатели будут держать в руках эту книгу, наиболее мощными компаниями в области обнаружения взлома будут Cisco и Sourcefire, ISS сохранит свои позиции, а в Enterasys, скорее всего, продолжится спад. Будет ли выпущена программа Tippingpoint - новое универсальное средство обеспечения информационной безопасности? Вероятно, нет. Скорее всего, пройдет еще год или два до того, как пользователи будут готовы использовать брандмауэр, интегрированный с системой обнаружения вторжений. Нельзя отрицать тот факт, что соревнование на рынке приводит к появлению большого количества новшеств, от чего пользователи только выигрывают. Одна из причин, по которым я так подробно рассказал о новом поколении консолей, заключается в том, что они являются базовыми средствами аналитика, предоставляющими сведения о ситуации и позволяющими организовать активную эшелонированную защиту.

Обнаружение взлома с помощью брандмауэров | Обнаружение нарушений безопасности в сетях | Эшелонированная защита


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Сентябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс