Реферат: Системы обнаружения атак. (Анализаторы сетевых протоколов и сетевые мониторы)

<span Courier New"">Министерство образования инауки РФ

<span Courier New"">Федеральное агентство пообразованию

<span Courier New"">ГОУ ВПО УГТУ-УПИ им. С.М.Кирова

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">РЕФЕРАТ

<span Courier New"">«Системы обнаружения атак.

<span Courier New"">(Анализаторы сетевыхпротоколов; сетевые мониторы)»

<span Courier New"">КУРС: Методы исредства защиты информации

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">Студент:

<span Courier New";mso-ansi-language:EN-US">IntegratoRR

<span Courier New"">Преподаватель: доцент

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">

<span Courier New"">Екатеринбург

<span Courier New"">2005

<span Courier New"">

<span Courier New"">ВВЕДЕНИЕ

<span Courier New"">    

<span Courier New";mso-bidi-font-style: italic">Сети Ethernet завоевали огромную популярность благодаря хорошейпропускной способности, простоте установки и приемлемой стоимости установки сетевогооборудования.
Однако технология Ethernet не лишена существенных недостатков. Основной из нихсостоит в незащищенности передаваемой информации. Компьютеры, подключенные ксети Ethernet, в состоянии перехватывать информацию, адресованную своимсоседям. Причиной тому является принятый в сетях Ethernet так называемыйшироковещательный механизм обмена сообщениями.

<span Courier New"">Объединение компьютеров в сети ломает старыеаксиомы защиты информации. Например, о статичности безопасности. В прошломуязвимость системы могла быть обнаружена и устранена администратором системыпутем установки соответствующего обновления, который мог только через нескольконедель или месяцев проверить функционирование установленной«заплаты». Однако эта «заплата» могла быть удаленапользователем случайно или в процесс работы, или другим администратором приинсталляции новых компонент. Все меняется, и сейчас информационные технологиименяются настолько быстро, что статичные механизмы безопасности уже необеспечивают полной защищенности системы.

<span Courier New"">До недавнего времени основным механизмомзащиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевыеэкраны, предназначенные для защиты информационных ресурсов организации, частосами оказываются уязвимыми. Это происходит потому, что системные администраторысоздают так много упрощений в системе доступа, что в итоге каменная стенасистемы защиты становится дырявой, как решето. Защита с помощью межсетевыхэкранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей снапряженным трафиком, поскольку использование многих МСЭ существенно влияет напроизводительность сети. В некоторых случаях лучше «оставить двери широкораспахнутыми», а основной упор сделать на методы обнаружения вторжения всеть и реагирования на них.

<span Courier New"">Для постоянного (24 часа в сутки 7 дней внеделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаруженияатак предназначены системы «активной» защиты — системы обнаруженияатак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют наних заданным администратором безопасности образом. Например, прерываютсоединение с атакующим узлом, сообщают администратору или заносят информацию онападении в регистрационные журналы.

<span Courier New";mso-ansi-language: EN-US">IP

<span Courier New"">-<span Courier New";mso-ansi-language:EN-US">ALERT<span Courier New""> 1 или первый сетевой монитор.

<span Courier New"">   

<span Courier New"">Дляначала следует сказать пару слов о локальном широковещании. В сети типаEthernet подключенные к ней компьютеры, как правило, совместно используют одини тот же кабель, который служит средой для пересылки сообщений между ними.

<span Courier New"">Желающий передать какое-либо сообщение пообщему каналу должен вначале удостовериться, что этот канал в данный моментвремени свободен. Начав передачу, компьютер прослушивает несущую частотусигнала, определяя, не произошло ли искажения сигнала в результатевозникновения коллизий с другими компьютерами, которые ведут передачу своихданных одновременно с ним. При наличии коллизии передача прерывается икомпьютер «замолкает» на некоторый интервал времени, чтобы попытатьсяповторить передачу несколько позднее. Если компьютер, подключенный к сетиEthernet, ничего не передает сам, он тем не менее продолжает«слушать» все сообщения, передаваемые по сети соседними компьютерами.Заметив в заголовке поступившей порции данных свой сетевой адрес, компьютеркопирует эту порцию в свою локальную память.

<span Courier New"">Существуют два основных способа объединениякомпьютеров в сеть Ethernet. В первом случае компьютеры соединяются при помощикоаксиального кабеля. Этот кабель прокладывается от компьютера к компьютеру,соединяясь с сетевыми адаптерами Т-образным разъемом и замыкаясь по концам

<span Courier New";mso-ansi-language:EN-US">BNC<span Courier New"">-терминаторами. Такая топология на языкепрофессионалов называется сетью Ethernet 10Base2. Однако ее еще можно назватьсетью, в которой «все слышат всех». Любой компьютер, подключенный ксети, способен перехватывать данные, посылаемые по этой сети другимкомпьютером. Во втором случае каждый компьютер соединен кабелем типа«витая пара» с отдельным портом центрального коммутирующегоустройства — концентратором или с коммутатором. В таких сетях, которыеназываются сетями Ethernet lOBaseT, компьютеры поделены на группы, именуемыедоменами коллизий. Домены коллизий определяются портами концентратора иликоммутатора, замкнутыми на общую шину. В результате коллизии возникают не междувсеми компьютерами сети. а по отдельности — между теми из них, которые входят водин и тот же домен коллизий, что повышает пропускную способность сети в целом.

<span Courier New"">В последнее время в крупных сетях сталипоявляться коммутаторы нового типа, которые не используют широковещание и незамыкают группы портов между собой. Вместо этого все передаваемые по сетиданные буферизуются в памяти и отправляются по мере возможности. Однакоподобных сетей пока довольно мало — не более 5% от общего числа сетей типаEthernet.

<span Courier New"">Таким образом, принятый в подавляющембольшинстве Ethernet-сетей алгоритм передачи данных требует от каждогокомпьютера, подключенного к сети, непрерывного «прослушивания» всегобез исключения сетевого трафика. Предложенные некоторыми людьми алгоритмыдоступа, при использовании которых компьютеры отключались бы от сети на времяпередачи «чужих» сообщений, так и остались нереализованными из-за своейчрезмерной сложности, дороговизны внедрения и малой эффективности.

<span Courier New"">     Что такое

<span Courier New";mso-ansi-language:EN-US">IP<span Courier New""> <span Courier New";mso-ansi-language:EN-US">Alert<span Courier New"">-1 и откуда он взялся? Когда-то практическиеи теоретические изыскания авторов по направлению, связанному с исследованиембезопасности сетей, навели на следующую мысль: в сети Internet, как и в другихсетях (например, Novell NetWare, Windows NT), ощущалась серьезная нехваткапрограммного средства защиты, осуществляющего комплексныйконтроль (мониторинг) на канальном уровне за всем потоком передаваемой по сетиинформации с целью обнаружения всех типов удаленных воздействий, описанных в литературе.Исследование рынка программного обеспечения сетевых средств защиты для Internetвыявило тот факт, что подобных комплексных средств обнаружения удаленныхвоздействий не существовало, а те, что имелись, были предназначены дляобнаружения воздействий одного конкретного типа (например, ICMP Redirect илиARP). Поэтому и была начата разработка средства контроля сегмента IP-сети,предназначенного для использования в сети Internet и получившее следующееназвание: сетевой монитор безопасности IPAlert-1.

<span Courier New"">Основная задача этого средства, программноанализирующего сетевой трафик в канале передачи, состоит не в отраженииосуществляемых по каналу связи удаленных атак, а в их обнаружении,протоколировании (ведении файла аудита с протоколированием в удобной дляпоследующего визуального анализа форме всех событий, связанных с удаленнымиатаками на данный сегмент сети) и незамедлительным сигнализированииадминистратору безопасности в случае обнаружения удаленной атаки. Основной задачей сетевого мониторабезопасности IP Alert-1 являетсяосуществление контроля за безопасностьюсоответствующего сегмента сети Internet.

<span Courier New"">Сетевой монитор безопасности IP Alert-1 обладает следующимифункциональными возможностями и позволяет путем сетевого анализа обнаружитьследующие удаленные атаки на контролируемый им сегмент сети:

<span Courier New"; mso-bidi-font-weight:bold;mso-bidi-font-style:italic">1.

<span Courier New";mso-bidi-font-style:italic"> Контроль засоответствием IP- и Ethernet-адресов в пакетах, передаваемых хостами,находящимися внутри контролируемого сегмента сети. <span Courier New"">

<span Courier New"">Нахосте IP Alert-1 администратор безопасности создает статическую ARP-таблицу,куда заносит сведения о соответствующих IP- и Ethernet- адресах хостов,находящихся внутри контролируемого сегмента сети.

<span Courier New"">Даннаяфункция позволяет обнаружить несанкционированное изменение IP-адреса или егоподмену (так называемый IP Spoofing, спуфинг, ип-спуфинг (жарг.)).

<span Courier New"; mso-bidi-font-weight:bold;mso-bidi-font-style:italic">2.

<span Courier New";mso-bidi-font-style:italic"> Контроль закорректным использованием механизма удаленного ARP-поиска.<span Courier New""> Эта функция позволяет, используя статическуюARP-таблицу, определить удаленную атаку «Ложный ARP-сервер».

<span Courier New"; mso-bidi-font-weight:bold;mso-bidi-font-style:italic">3.

<span Courier New";mso-bidi-font-style:italic"> Контроль закорректным использованием механизма удаленного DNS-поиска.<span Courier New""> Эта функция позволяет определить всевозможные виды удаленных атак на службу DNS

<span Courier New"; mso-bidi-font-weight:bold;mso-bidi-font-style:italic">4.

<span Courier New";mso-bidi-font-style:italic"> Контроль закорректностью попыток удаленного подключения путем анализа передаваемыхзапросов.<span Courier New""> Эта функция позволяетобнаружить, во-первых, попытку исследования закона изменения начальногозначения идентификатора TCP-соединения — ISN, во-вторых, удаленную атаку«отказ в обслуживании», осуществляемую путем переполнения очередизапросов на подключение, и, в-третьих, направленный «шторм» ложныхзапросов на подключение (как TCP, так и UDP), приводящий также к отказу вобслуживании.

<span Courier New"">Такимобразом, сетевой монитор безопасности IPAlert-1 позволяет обнаружить, оповестить и запротоколировать большинствовидов удаленных атак. При этом данная программа никоим образом не являетсяконкурентом системам Firewall. IPAlert-1, используя особенности удаленных атак на сеть Internet, служитнеобходимым дополнением — кстати, несравнимо более дешевым, — к системамFirewall. Без монитора безопасности большинство попыток осуществления удаленныхатак на ваш сегмент сети останется скрыто от ваших глаз. Ни один из известных

<span Courier New";mso-ansi-language:EN-US">Firewall<span Courier New"">-ов не занимается подобным интеллектуальныманализом проходящих по сети сообщений на предмет выявления различного родаудаленных атак, ограничиваясь, в лучшем случае, ведением журнала, в которыйзаносятся сведения о попытках подбора паролей, о сканировании портов и осканировании сети с использованием известных программ удаленного поиска.Поэтому, если администратор IP-сети не желает оставаться безучастным идовольствоваться ролью простого статиста при удаленных атаках на его сеть, тоему желательно использовать сетевой монитор безопасности IP Alert-1.

<span Courier New"">     Итак, пример

<span Courier New";mso-ansi-language:EN-US">IP<span Courier New""> <span Courier New";mso-ansi-language:EN-US">Alert<span Courier New"">-1 показывает, какое важное место занимаютсетевые мониторы в обеспечении безопасности сети.

<span Courier New"">     Разумеется, современные сетевые мониторыподдерживают куда больше возможностей, их и самих стало достаточно много. Естьсистемы попроще, стоимостью в пределах 500 долларов, однако есть и мощнейшиесистемы, снабженные экспертными системами, способные проводить мощныйэвристический анализ, их стоимость многократно выше – от 75 тысяч долларов.

<span Courier New"">ВОЗМОЖНОСТИСОВРЕМЕННЫХ СЕТЕВЫХ МОНИТОРОВ

<span Courier New"">Современные мониторы поддерживают множестводругих функций помимо своих основных по определению (которые рассматривалисьмной для

<span Courier New";mso-ansi-language: EN-US">IP Alert-1)<span Courier New"">. Например,сканирование кабеля.

<span Courier New"">Сетевая статистика (коэффициент использованиясегмента, уровень коллизий, уровень ошибок и уровень широковещательного трафика,определение скорости распространения сигнала); роль всех этих показателейсостоит в том, что при превышении определенных пороговых значений можноговорить о проблемах на сегменте. Сюда же в литературе относят проверкулегитимности сетевых адаптеров, если вдруг появляется «подозрительный»(проверка по МАС-адресу и т.п.).

<span Courier New"">Статистика ошибочных кадров. Укороченныекадры (

<span Courier New";mso-ansi-language: EN-US">short<span Courier New""> <span Courier New";mso-ansi-language:EN-US">frames<span Courier New"">) – это кадры, имеющие длину меньшедопустимой, то есть меньше 64 байт. Этот тип кадров делится на два подкласса –короткие кадры с корректной контрольной суммой и коротышки (<span Courier New";mso-ansi-language:EN-US">runts<span Courier New"">), не имеющие корректной контрольной суммы. Наиболеевероятной причиной появления таких вот «мутантов» является неисправностьсетевых адаптеров. Удлиненные кадры, которые являются следствием затяжнойпередачи и говорят о проблемах в адаптерах. Кадры-призраки, которые являютсяследствием наводок на кабель. Нормальный процент ошибочных кадров в сети недолжен быть выше 0,01%. Если он выше, то либо в сети есть технические неисправности,либо произведено несанкционированное вторжение.

<span Courier New"">Статистика по коллизиям. Указывает наколичество и виды коллизий на сегменте сети и позволяет определить наличиепроблемы и ее местонахождение. Коллизии бывают локальные (в одном сегменте) иудаленные (в другом сегменте по отношению к монитору). Обычно все коллизии всетях типа

<span Courier New";mso-ansi-language: EN-US">Ethernet<span Courier New""> <span Courier New"">являются удаленными. Интенсивность коллизийне должна превышать 5%, а пики выше 20% говорят о серьезных проблемах.

<span Courier New"">Существует еще очень много возможных функций,все их перечислить просто нет возможности.

<span Courier New"">Хочу отметить, что мониторы бывают какпрограммные, так и аппаратные. Однако они, как правило, играют большестатистическую функцию. Например, сетевой монитор

<span Courier New";mso-ansi-language:EN-US">LANtern<span Courier New"">. Он представляет собой легко монтируемоеаппаратное устройство, помогающее супервизорам  и  обслуживающим организациям       централизованнообслуживать и поддерживать сети, состоящие из аппаратуры различных  производителей.  Оно собирает статистические данные и выявляет тенденции,  что позволяет оптимизировать производительностьсети  и ее расширение.  Информация о сети выводится на центральнойуправляющей консоли сети. Таким образом, аппаратные мониторы не обеспечиваютдостойной защиты информации.

<span Courier New"">В ОС

<span Courier New";mso-ansi-language:EN-US">Microsoft<span Courier New""> <span Courier New";mso-ansi-language:EN-US">Windows<span Courier New""> <span Courier New"">содержится сетевой монитор (<span Courier New";mso-ansi-language:EN-US">Network<span Courier New""> <span Courier New";mso-ansi-language:EN-US">Monitor<span Courier New"">), однако он содержит серьезные уязвимости, окоторых я расскажу ниже.

<span Verdana",«sans-serif»; color:black"><img src="/cache/referats/20670/image001.gif" v:shapes="_x0000_i1025">

<span Courier New"">

<span Courier New"">Рис. 1. Сетевой монитор ОС

<span Courier New";mso-ansi-language:EN-US">WINDOWS<span Courier New""> <span Courier New"">класса <span Courier New"; mso-ansi-language:EN-US">NT<span Courier New"">. <span Courier New";mso-ansi-language:EN-US">

<span Courier New";mso-ansi-language:EN-US">

<span Courier New"">Интерфейс программы сложноватдля освоения «на лету».

<span Courier New"">

<span Verdana",«sans-serif»;color:black"><img src="/cache/referats/20670/image002.gif" v:shapes="_x0000_i1026">

<span Courier New";mso-ansi-language:EN-US">

<span Courier New"">Рис. 2. Просмотр кадров в сетевом мониторе

<span Courier New";mso-ansi-language:EN-US">WINDOWS<span Courier New"">.<span Courier New";mso-ansi-language:EN-US">

<span Courier New";mso-ansi-language:EN-US">

<span Courier New"">Большинствопроизводителей в настоящее время стремятся сделать в своих мониторах простой иудобный интерфейс. Еще один пример – монитор

<span Courier New";mso-ansi-language:EN-US">NetPeeker<span Courier New""> (не так богат доп. Возможностями, но всёже):  <span Courier New";mso-ansi-language:EN-US">

<span Courier New";mso-ansi-language:EN-US">

<img src="/cache/referats/20670/image003.gif" v:shapes="_x0000_i1027"><span Courier New"">

<span Courier New"">Рис. 3. Дружественный интерфейс монитора

<span Courier New";mso-ansi-language:EN-US">NetPeeker.<span Courier New"">

<span Courier New"">     Приведу пример интерфейса сложной и дорогойпрограммы

<span Courier New";mso-ansi-language: EN-US">NetForensics<span Courier New""> (95000$):

<span Arial",«sans-serif»"><img src="/cache/referats/20670/image005.jpg" v:shapes="_x0000_i1028">

<span Courier New";mso-ansi-language:EN-US">

<span Courier New"">Рис.4. Интерфейс

<span Courier New";mso-ansi-language:EN-US">NetForensics<span Courier New"">. <span Courier New";mso-ansi-language:EN-US">

<span Courier New"">

<span Courier New"">Существует некий обязательныйнабор «умений», которым мониторы обязательно должны обладать, согласнотенденциям сегодняшнего дня:

<span Courier New"">

<span Courier New";mso-fareast-font-family:«Courier New»">1.<span Times New Roman""> 

<span Courier New"">Как минимум:<span Courier New"">задание шаблонов фильтрации трафика; <span Courier New"">централизованное управление модулями слежения; <span Courier New"">фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP; <span Courier New"">фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя; <span Courier New"">аварийное завершение соединения с атакующим узлом; <span Courier New"">управление межсетевыми экранами и маршрутизаторами; <span Courier New"">задание сценариев по обработке атак; <span Courier New"">запись атаки для дальнейшего воспроизведения и анализа; <span Courier New"">поддержка<span Courier New";mso-ansi-language:EN-US"> <span Courier New"">сетевых<span Courier New";mso-ansi-language:EN-US"> <span Courier New"">интерфейсов<span Courier New"; mso-ansi-language:EN-US"> Ethernet, Fast Ethernet <span Courier New"">и<span Courier New";mso-ansi-language:EN-US"> Token Ring; <span Courier New"">отсутствие требования использования специального аппаратного обеспечения; <span Courier New"">установление защищенного соединения между компонентами системы, а также другими устройствами; <span Courier New"">наличие всеобъемлющей базы данных по всем обнаруживаемым атакам; <span Courier New"">минимальное снижение производительности сети; <span Courier New"">работа с одним модулем слежения с нескольких консолей управления; <span Courier New"">мощная система генерация отчетов; <span Courier New"">простота использования и интуитивно понятный графический интерфейс; <span Courier New"">невысокие системные требования к программному и аппаратному обеспечению.

<span Courier New";mso-fareast-font-family:«Courier New»">2.<span Times New Roman""> 

<span Courier New"">Уметь создавать отчеты:<span Courier New"">Распределение трафика по пользователям; <span Courier New"">Распределение трафика по IP адресам; <span Courier New"">Распределение трафика по сервисам; <span Courier New"">Распределение трафика по протоколам; <span Courier New"">Распределение трафика по типу данных (картинки, видео, тексты, музыка); <span Courier New"">Распределение трафика по программам, используемыми пользователями; <span Courier New"">Распределение трафика по времени суток; <span Courier New"">Распределение трафика по дням недели; <span Courier New"">Распределение трафика по датам и месяцам; <span Courier New"">Распределение трафика по сайтам, по которым ходил пользователь; <span Courier New"">Ошибки авторизации в системе; <span Courier New"">Входы и выходы из системы.  

<span Courier New"">Примеры конкретных атак, которые могут распознавать сетевыемониторы:

<span Courier New"">«Отказ в обслуживании» (Denial of service)

<span Courier New"">. Любое действие или последовательностьдействий, которая приводит любую часть атакуемой системы к выходу из строя, прикотором та перестают выполнять свои функции. Причиной может бытьнесанкционированный доступ, задержка в обслуживании и т.д. Примером могутслужить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

<span Courier New";mso-ansi-language:EN-US">"

<span Courier New"">Неавторизованный<span Courier New";mso-ansi-language:EN-US"> <span Courier New"">доступ<span Courier New";mso-ansi-language:EN-US">" (Unauthorizedaccess attempt). <span Courier New"">Любоедействие или последовательность действий, которая приводит к попытке чтенияфайлов или выполнения команд в обход установленной политики безопасности. Такжевключает попытки злоумышленника получить привилегии, большие, чем установленыадминистратором системы. Примером могут служить атаки FTP Root, E-mail WIZ ит.п.

<span Courier New"">«Предварительные действия перед атакой» (Pre-attackprobe)

<span Courier New"">
Любое действие или последовательность действий по получению информации ИЗ или Осети (например, имена и пароли пользователей), используемые в дальнейшем дляосуществления неавторизованного доступа. Примером может служить сканированиепортов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

<span Courier New"">«Подозрительная активность» (Suspicious activity)

<span Courier New"">
Сетевой трафик, выходящий за рамки определения «стандартного»трафика. Может указывать на подозрительные действия, осуществляемые в сети.Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

<span Courier New"">«Анализ протокола» (Protocol decode.

<span Courier New"">Сетевая активность, которая может бытьиспользована для осуществления одной из атак вышеназванных типов. Можетуказывать на подозрительные действия, осуществляемые в сети. Примером могутслужить события FTP User decode, Portmapper Proxy decode и т.п.

<span Courier New"">

<span Courier New"">ОПАСНОСТИ ПРИМЕНЕНИЯ СЕТЕВЫХ МОНИТОРОВ

<span Courier New"">   

<span Courier New"">Применениесетевых мониторов также таит в себе потенциальную опасность. Хотя бы потому,что через них проходит огромное количество информации, в том числе иконфиденциальной. Рассмотрим пример уязвимости на примере вышеупомянутого <span Courier New";mso-ansi-language:EN-US">Network<span Courier New""> <span Courier New";mso-ansi-language:EN-US">Monitor<span Courier New"">, входящего в поставку <span Courier New";mso-ansi-language:EN-US">Windows<span Courier New""> <span Courier New"">семейства <span Courier New"; mso-ansi-language:EN-US">NT<span Courier New"">. Вэтом мониторе существует так называемая <span Courier New";mso-ansi-language:EN-US">HEX<span Courier New"">-панель (см. рис. 2), которая позволяетувидеть данные кадра в виде текста <span Courier New";mso-ansi-language:EN-US">ASCII<span Courier New"">. Здесь, например, можно увидеть гуляющие по сетинезашифрованные пароли. Можно попробовать, например, прочесть пакеты почтовогоприложения <span Courier New";mso-ansi-language: EN-US">Eudora<span Courier New"">. Потратив немноговремени, можно спокойно увидеть их в открытом виде. Впрочем, начеку надо бытьвсегда, так как и шифрование не спасает. Здесь возможны два случая. Влитературе есть жаргонный термин «похабник» — это сосед определенной машины втом же сегменте, на том же хабе, или, как это называется сейчас, свитче. Таквот, если «продвинутый» «похабник» решил просканировать трафик сети иповыуживать пароли, то администратор с легкостью вычислит такогозлоумышленника, поскольку монитор поддерживает идентификацию пользователей, егоиспользующих. Достаточно нажать кнопку – и перед администратором открываетсясписок «хакеров-похабников». Гораздо более сложной является ситуация, когдасовершается атака извне, например, из сети Интернет. Сведения, предоставляемыемонитором, чрезвычайно информативны. Показывается список всех захваченныхкадров, порядковые номера кадров, времена их захвата, даже МАС-адреса сетевыхадаптеров, что позволяет идентифицировать компьютер вполне конкретно. Панельдетальной информации содержит «внутренности» кадра – описание его заголовков ит.д. Даже любопытному новичку многое здесь покажется знакомым.

<span Courier New"">Внешние атаки куда более опасны, так как, как правило, вычислитьзлоумышленника очень и очень сложно. Для защиты в этом случае необходимоиспользовать на мониторе парольную защиту. Если драйвер сетевого монитораустановлен, а пароль не задан, то любой, кто использует на другом компьютересетевой монитор из той же поставки (та же программа), может присоединиться кпервому компьютеру и использовать его для перехвата данных в сети. Кроме того,сетевой монитор должен обеспечивать возможность обнаружения других инсталляцийв локальном сегменте сети. Однако здесь тоже есть своя сложность. В некоторыхслучаях архитектура сети может подавить обнаружение одной установленной копиисетевого монитора другой. Например, если установленная копия сетевого монитораотделяется от второй копии маршрутизатором, который не пропускает многоадресныепосылки, то вторая копия сетевого монитора не сможет обнаружить первую.

<span Courier New"">Хакеры и прочие злоумышленники не теряют времени даром. Онипостоянно ищут все новые и новые способы вывода из строя сетевых мониторов.Оказывается, способов много, начиная от вывода монитора из строя переполнениемего буфера, заканчивая тем, что можно заставить монитор выполнить любуюкоманду, посланную злоумышленником.

<span Courier New"">Существуют специальные лаборатории, анализирующие безопасностьПО. Их отчеты внушают тревогу, так как серьезные бреши находятся довольночасто. Примеры реальных брешей в реальных продуктах:

<span Courier New"">1. RealSecure — коммерческая Система Обнаружения Вторжения (IDS) от ISS.

<span Courier New"; color:black">RealSecure ведет себя нестабильно при обработке некоторых DHCPсигнатур (DHCP_ACK — 7131, DHCP_Discover — 7132, и DHCP_REQUEST — 7133),поставляемых с системой. Посылая злонамеренный DHCP трафик, уязвимостьпозволяет удаленному нападающему нарушить работу программы.

<span Courier New"">Уязвимость<span Courier New";mso-ansi-language:EN-US"> <span Courier New"">обнаружена<span Courier New";mso-ansi-language:EN-US"> <span Courier New"">в<span Courier New";mso-ansi-language:EN-US"> Internet Security Systems RealSecureNetwork Sensor 5.0 XPU 3.4-6.5

<span Courier New"; color:black">2. <span Courier New";font-weight: normal;mso-bidi-font-weight:bold">Программа:

<span Courier New";color:black;mso-ansi-language:EN-US">RealSecure<span Courier New";color:black"> 4.9 <span Courier New";color:black;mso-ansi-language:EN-US">network<span Courier New";color:black">-<span Courier New";color:black;mso-ansi-language:EN-US">monitor<span Courier New";color:black">

<span Courier New";color:black;font-weight:normal;mso-bidi-font-weight:bold">Опасность:

<span Courier New";color:black">Высокая; <span Courier New";font-weight:normal;mso-bidi-font-weight:bold">наличиеэксплоита: Нет.

<span Courier New";color:black;font-weight:normal;mso-bidi-font-weight:bold">Описание:

<span Courier New";color:black">Несколькоуязвимостей обнаружено в <span Courier New"; color:black;mso-ansi-language:EN-US">RS<span Courier New"; color:black">. Удаленный пользователь может определить местоположениеустройства. Удаленный пользователь может также определить и изменитьконфигурацию устройства.

<span Courier New";color:black;font-weight:normal;mso-bidi-font-weight:bold">Решение:

<span Courier New";color:black">Установитеобновленную версию программы. Обратитесь к производителю.

<span Courier New";mso-ansi-language:EN-US">

<span Courier New"">АНАЛИЗАТОРЫ ПРОТОКОЛОВ, ИХ ДОСТОИНСТВА,ОПАСНОСТИ И МЕТОДЫ ЗАЩИТЫ ОТ ОПАСНОСТЕЙ

<span Courier New"">   

<span Courier New"">Анализаторыпротоколов являются отдельным классом программного обеспечения, хотя они, посути, есть часть сетевых мониторов. В каждый монитор встроено как минимумнесколько анализаторов протоколов. Зачем же тогда их применять, если можнореализовать более достойную систему на сетевых мониторах? Во-первых,устанавливать мощный монитор не всегда целесообразно, а во-вторых, далеко некаждая организация может позволить себе приобрести его за тысячи долларов.Иногда встает вопрос о том, не будет ли монитор сам по себе дороже тойинформации, защиту которой он призван обеспечить? Вот в таких (или подобных)случаях и применяются анализаторы протоколов в чистом виде. Роль их схожа сролью мониторов.

<span Courier New"">Сетевой адаптер каждого компьютера в сетиEthernet, как правило, «слышит» все, о чем «толкуют» междусобой его соседи по сегменту этой сети. Но обрабатывает и помещает в своюлокальную память он только те порции (так называемые кадры) данных, которыесодержат уникальный адрес, присвоенный ему в сети. В дополнение к этомуподавляющее большинство современных Ethernet-адаптеров допускаютфункционирование в особом режиме, называемом беспорядочным (promiscuous), прииспользовании которого адаптер копирует в локальную память компьютера все безисключения передаваемые по сети кадры данных. Специализированные программы,переводящие сетевой адаптер в беспорядочный режим и собирающие весь трафик сетидля последующего анализа, называются анализаторами протоколов.

<span Courier New"">Последние широко применяются администраторамисетей для осуществления контроля за работой этих сетей. К сожалению,анализаторы протоколов используются и злоумышленниками, которые с их помощьюмогут наладить перехват чужих паролей и другой конфиденциальной информации.

<span Courier New"">Надоотметить, что анализаторы протоколов представляют серьезную опасность.Установить анализатор протоколов мог посторонний человек, который проник в сетьизвне (например, если сеть имеет выход в Internet). Но это могло быть и деломрук «доморощенного» злоумышленника, имеющего легальный доступ к сети.В любом случае, к сложившейся ситуации следует отнестись со всей серьезностью.Специалисты в области компьютерной безопасности относят атаки на компьютеры припомощи анализаторов протоколов к так называемым атакам второго уровня. Этоозначает, что компьютерный взломщик уже сумел проникнуть сквозь защитныебарьеры сети и теперь стремится развить свой успех. При помощи анализаторапротоколов он может попытаться перехватить регистрационные имена и паролипользователей, их секретные финансовые данные (например, номера кредитныхкарточек) и конфиденциальные сообщения (к примеру, электронную почту). Имея всвоем распоряжении достаточные ресурсы, компьютерный взломщик в принципе можетперехватывать всю информацию, передаваемую по сети.

<span Courier New"">Анализаторы протоколов существуют для любойплатформы. Но даже если окажется, что для какой-то платформы анализаторпротоколов пока еще не написан, с угрозой, которую представляет атака накомпьютерную систему при помощи анализатора протоколов, по-прежнему приходитсясчитаться. Дело в том, что анализаторы протоколов подвергают анализу неконкретный компьютер, а протоколы. Поэтому анализатор протоколов может бытьинсталлирован в любой сегмент сети и оттуда осуществлять перехват сетевоготрафика, который в результате широковещательных передач попадает в каждыйкомпьютер, подключенный к сети.

<span Courier New"">Наиболее частыми целями атак компьютерныхвзломщиков, которые те осуществляют посредством использования анализаторовпротоколов, являются университеты. Хотя бы из-за огромного количества различныхрегистрационных имен и паролей, которые могут быть украдены в ходе такой атаки.Использование анализатора протоколов на практике не является такой уж легкойзадачей, как это может показаться. Чтобы добиться пользы от анализаторапротоколов, компьютерный взломщик должен обладать достаточными знаниями вобласти сетевых технологий. Просто установить и запустить анализатор протоколовна исполнение нельзя, поскольку даже в небольшой локальной сети из пятикомпьютеров за час трафик составляет тысячи и тысячи пакетов. И следовательно,за короткое время выходные данные анализатора протоколов заполнят доступнуюпамять «под завязку». Поэтому компьютерный взломщик обычнонастраивает анализатор протоколов так, чтобы он перехватывал только первые200-300 байт каждого пакета, передаваемого по сети. Обычно именно в заголовкепакета размещается информация о регистрационном имени и пароле пользователя,которые, как правило, больше всего интересуют взломщика. Тем не менее, если враспоряжении взломщика достаточно пространства на жестком диске, то увеличениеобъема перехватываемого им трафика пойдет ему только на пользу и позволитдополнительно узнать много интересного.

<span Courier New"">В руках сетевого администратора анализаторпротоколов является весьма полезным инструментом, который помогает ему находитьи устранять неисправности, избавляться от узких мест, снижающих пропускнуюспособность сети, и своевременно обнаруживать проникновение в нее компьютерныхвзломщиков. А как уберечься от злоумышленников? Посоветовать можно следующее. Вообще,эти советы относятся не только к анализаторам, но и к мониторам. Во-первых,попытаться обзавестись сетевым адаптером, который принципиально не можетфункционировать в беспорядочном режиме. Такие адаптеры в природе существуют.Некоторые из них не поддерживают беспорядочный режим на аппаратном уровне(таких меньшинство), а остальные просто снабжаются спецдрайвером, который недопускает работу в беспорядочном режиме, хотя этот режим и реализованаппаратно. Чтобы отыскать адаптер, не имеющий беспорядочного режима, достаточносвязаться со службой технической поддержки любой компании, торгующейанализаторами протоколов, и выяснить, с какими адаптерами их программные пакетыне работают. Во-вторых, учитывая, что спецификация РС99, подготовленная внедрах корпораций Microsoft и Intel, требует безусловного наличия в сетевойкарте беспорядочного режима, приобрести современный сетевой интеллектуальныйкоммутатор, который буферизует передаваемое по сети сообщение в памяти иотправляет его по мере возможности точно по адресу. Тем самым надобность в«прослушивании» адаптером всего трафика для того, чтобы выуживать изнего сообщения, адресатом которых является данный компьютер, отпадает.В-третьих, не допускать несанкционированного внедрения анализаторов протоколовна компьютеры сети. Здесь следует применять средства из арсенала, которыйиспользуется для борьбы с программными закладками и в частности — с троянскимипрограммами (установка брандмауэров) В-четвертых, шифровать весь трафик сети.Имеется широкий спектр программных пакетов, которые позволяют делать этодостаточно эффективно и надежно. Например, возможность шифрования почтовыхпаролей предоставляется надстройкой над почтовым протоколом POP (Post OfficeProtocol) — протоколом APOP (Authentication POP). При работе с APOP по сети каждыйраз передается новая шифрованная комбинация, которая не позволяетзлоумышленнику извлечь какую-либо практическую пользу из информации,перехваченной с помощью анализатора протоколов. Проблема только в том, чтосегодня не все почтовые серверы и клиенты поддерживают APOP.

<span Courier New"">Другой продукт под названием Secure Shell,или сокращенно — SSL, был изначально разработан легендарной финской компаниейSSH Communications Security (http://www.ssh.fi) и в настоящее время имеетмножество реализаций, доступных бесплатно через Internet. SSL представляетсобой защищенный протокол для осуществления безопасной передачи сообщений покомпьютерной сети с помощью шифрования.

<span Courier New"">Особую известность приобрели программныепакеты, предназначенные для защиты передаваемых по сети данных путем шифрованияи объединенные присутствием в их названии аббревиа

еще рефераты
Еще работы по компьютерным сетям