Как уже упоминалось, эта глава служит для двух основных целей: рассказать об атаке Митника и подготовить читателей к информации заключительного раздела. Поэтому давайте познакомимся со средствами, которые необходимы для обнаружения и реакции на подобные атаки. Атака Митника могла быть выявлена как с помощью сетевых систем обнаружения взлома, так и с помощью тех же систем для защиты конкретного хоста. Обнаружение возможно на различных этапах проведения атаки, начиная со сбора хакером разведывательной информации и заканчивая изменением файла / . rhosts, когда система уже полностью скомпрометирована. Средство обнаружения взлома представляет собой не отдельную программу, а совокупность, набор методов и инструментов. Многие производи тели, включая NAI и ISS, разрабатывают гибридные системы обнаружения взлома, которые могут выполнять анализ как системных журналов хоста, так и поступающих пакетов. В этой книге есть несколько примеров выявления атак с помощью брандмауэров, а также двух типов систем обнаружения взлома.

Перехват TCP-сеансов становится для хакеров все более сложной задачей, так как во многих операционных системах теперь применяется случайное назначение порядковых номеров. Тем не менее системы, созданные Microsoft, являются исключением и по-прежнему уязвимы. Потому для опытного хакера такая атака не потеряла своей привлекательности. SYN-наводнения все еще могут блокировать работу многих реализаций стека TCP/IP, хотя современные операционные системы стали намного устойчивей к этим атакам. И, конечно, даже если SYN-наводнение не позволит заблокировать одну из сторон соединения с использованием доверительных отношений, то это можно проделать с помощью другой атаки отказа в обслуживании. Несмотря на существование более безопасных служб, например, службы SSH, многие системные администраторы продолжают использовать r-утилиты. Если нет возможности обнаружить атаку Митника, то что же мы можем обнаружить? Еще раз напомним, что выявление атаки Митника является прекрасным тестом возможностей любой системы обнаружения взлома. Почему ей уделяется столько внимания? Оказывается, что почти десятилетие после появления атаки Митника перехват TCP-сеансов по-прежнему почти невозможно выявить с помощью одного средства. Хорошо лишь то, что большую часть действий атаки Митника можно выявить без особого труда. Посмо трим, как это делается.

Сетевые системы обнаружения вторжений

Сетевые системы обнаружения взлома обычно легко выявляют разведывательное зондирование, представленное в следующей трассировке. Аналитик сетевого трафика, возможно, не станет обращать внимание на отдельную попытку использования команды finger, но набор таких команд абсолютно точно указывает на атаку, что уж никак нельзя игнорировать. Рассмотрим некоторые способы выявления этого зондирования сетевыми системами обнаружения вторжений.

14:09:32 toad.com# finger -1 @target 14:10:21 toad.com# finger -1 @server 14:10:50 toad.com# finger -1 root@server 14:11:07 toad.com# finger -1 @x-terminal 14:11:38 toad.com# showmount -e x-terminal 14:11:49 toad.com# rpcinfo -p x-terminal 14:12:05 toad.com# finger -1 rootex-terminal

Доверительные отношения

Целью зондирования Митника является обнаружение и последующее незаконное использование доверительных отношений между двумя компьютерами. Чтобы определить цели атаки, сначала необходимо провести сбор разведывательной информации. Если Митник смог получить нужные сведения со своего компьютера, то в пределах локальной сети можно сделать то же самое и даже лучше. Опытным специалистам, хорошо знающим свои сети, часто достаточно одного взгляда на трассировку, чтобы понять ее предназначение и цель исследо вания. Современные системы обнаружения вторжений еще не обладают подобными способностями.

Сканирование портов

Системы обнаружения вторжений обычно настраивают на выявление отдельных нарушителей, которые пытаются подключиться к нескольким портам одного хоста. Средства сканирования портов позволяют хакерам собрать много ценной информации. Как мы видели, Митник (toad, com) отправил три запроса на хост x-terminal. Однако два из них (showmount и rpcinfo), скорее всего, поступят на один и тот же TCP/UDP-порт 111. Безусловно, можно определить выдачу предупреждений о попытках соединения с двумя различными портами одного хоста в течение одной минуты. Однако на практике это приведет к большому числу сообщений о ложных тревогах. Не потребуется долго ждать, пока аналитик сетевого трафика установит более высокий предел для выдачи уведомлений об атаке. Таким образом, система обнаружения вторжений, вероятнее всего, не уведомит об этом зондировании, как о попытке сканирования портов.

Зондирование сети

Зондированием сети считается попытка доступа одного удаленного хоста к различным хостам одной сети за короткий промежуток времени. В нашем примере хост toad. com подключался к трем различным системам с промежутком в несколько минут. Мощные средства обнаружения сканирования хостов заставляют хакеров осуществлять свои попытки зондирования с различных адресов, чтобы избежать обнаружения. За время работы нам приходилось сталкиваться с различными системными администраторами. Некоторые применяют абсолютно глупые алгоритмы выявления атак (например, требуют уведомлять обо всех подключениях, выполненных с одного адреса к пяти различным хостам сети за один час), другие используют грамотные методы, позволяющие максимально снизить число ложных тревог. Если уменьшить контролируемый промежуток времени с часа до, например, пяти минут и задать выдачу уведомления об атаке при подключении к трем или более хостам, то частота ложных тревог останется низкой для большинства узлов. Если в системе обнаружения взлома можно изменить правило уведомления о зондировании сети и устранить хосты или условия, которые часто вызывают ложные тревоги (например, не учитывать обращения к популярным Web-серверам, радио в реальном времени или другим широковещательным службам), то пороговое значение для предупреждения об опасности можно задать даже меньшим, чем подключение извне к пяти хостам за час или к трем хостам за пять минут. Специальная программа системы обнаружения вторжений, предназначенная для выявления зондирования сети, должна обнаружить приведенное выше зондирование Митника.

Подключение к важным портам

В разведывательном зондировании осуществлялось подключение к портам, используемым хорошо известными и потенциально уязвимыми службами. Поэтому подобное зондирование практически наверняка должно быть обнаружено.

Сетевые системы обнаружения вторжений с высокой надежностью выявляют попытки подключения к службам удаленного вызова процедур. В целом, хакер имеет определенное преимущество в выборе методов, позволяющих ему избежать обнаружения. Он может действовать медленно и постепенно, использовать отвлекающие маневры и только Затем переходить к достижению истинной цели. Однако для запуска программы атаки хакеру приходится подключаться к порту популярной службы, и здесь преимущество уже на стороне системы обнаружения вторжений. Службы удаленного доступа являются одними из самых распространенных целей атак, поэтому любая система обнаружения вторжений обязана выявлять попытки доступа к этим службам.

Системы обнаружения вторжений для хостов

Поскольку атака Митника проводилась против UNIX-системы, в этом обзоре мы рассмотрим два типа широко используемых UNIX-программ для защиты от взлома: TCP Wrapper (упаковщик TCP) и Tripwire. Программа TCP Wrappers регистрирует попытки установить соединение с защищаемыми службами и разрешает или запрещает доступ на основе заданного списка контроля. Утилита Tripwire позволяет отслеживать состояние отдельных файлов и уведомляет при их изменении. Для хостовых систем обнаружения взлома эти возможности являются минимально необходимыми. Программы PortSentry и LogSentry (доступны по адресу www.psionic.com) обеспечивают даже более высокий уровень обнаружения взлома и защиты с помощью контроля за системными журналами и анализа входящих пакетов.

TCP Wrappers

С помощью программы TCP Wrappers или демона xinetd можно защититься от попыток зондирования или атак на уровне хоста. Для использования TCP Wrappers нужно отредактировать файл /etc/inetd.conf и перечислить в нем защищаемые службы, например finger. Кроме того, в TCP Wrapper следует добавлять списки контроля доступа. Если в системе запущена какая-то служба, например finger, то можно определить, каким компьютерам будет разрешен доступ к демону finger. При этом будут регистрироваться как успешные, так и неудачные попытки доступа. Приведенная ниже вымышленная запись в системном журнале (syslog) показывает, как будут выглядеть три попытки подключения к службе finger, зарегистрированные с помощью TCP Wrappers.

Dec 24 14:10:29 target in.finger [11244] : refused connect from toad.com Dec 24 14:10:35 server in.fingerd[2124 5]: refused connect from toad.com Dec 24 14:11:08 x-terminal in.fingerd[11066]: refused connect from toad.com

При обнаружении попыток взлома на хостах очень важно правильно определить, какая часть информации должна сохраняться и анализироваться на локальном хосте, а какая - отправляться на центральный сервер. В нашем примере показано, что три различных компьютера (target, server и x-terminal) отправляют уведомления на центральный сервер регистрации. Отдельная попытка установить соединение с портом службы finger может быть проигнорирована. Но три такие попытки подключения к трем хостам, зарегистрированные на центральном сервере, скорее всего, не останутся незамеченными.

Для специалиста в области безопасности попытки установить соединение со службой portmapper должны быть важнее, чем аналогичные попытки по отношению к finger. Во время проведения атаки Митника защищенные службы преобразования портов еще не получили широкого распространения. Сейчас ситуация изменилась, поэтому отсутствие возможностей регистрации и контроля доступа для службы преобразования портов (portmapper) явно свидетельствует об устаревшей или неправильно сконфигурированной системе UNIX. Система обнаружения вторжений, предназначенные для защиты отдельного хоста, обязана выявлять попытки доступа к службе portmapper.

Программа Tripwire

Программу Tripwire не стоит использовать для выявления попыток разведывательного зондирования. Дело в том, что ее основным предназначением является создание и хранение контрольных сумм для критически важных файлов с целью обнаружения любых изменений в этих файлах. С помощью Tripwire можно обнаружить взлом системы только в тот момент, когда будет перезаписан файл /.rhosts. К сожалению, даже если сигнал тревоги поступит немедленно, все равно будет уже слишком поздно. Система уже скомпрометирована, и подготовленная атака может нанести огромный ущерб практически мгновенно. Поэтому, чем раньше обнаруживается вторжение, тем лучше. Шансы на блокирование настоящей атаки значительно увеличиваются, если нарушитель и цель его атаки будут установлены еще на этапе сбора разведывательной информации.

Как читать трассировки tcpdump | Обнаружение нарушений безопасности в сетях | Предотвращение атаки митника


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Октябрь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс