А. В. АЗАРКИН, Г. В. ФОМЕНКОВ

ИКСИ АКАДЕМИИ ФСБ РФ

ЗАЩИТА ИНФОРМАЦИОННЫХ РЕСУРСОВ СЕТИ INTERNET

ПУТЕМ ИНСПЕКЦИИ ПОТОКОВ ДАННЫХ

Предлагаем вашему вниманию первую часть доклада на Российской научно-технической конференции по Северо-Западному региону "Методы и технические средства обеспечения безопасности информации".

Введение

Современные сетевые технологии предоставляют пользователям сети Internet всевозможные сервисные услуги, обеспечивающие удобный и прозрачный доступ к информации, находящейся на различных компьютерах, независимо от их местонахождения и применяемого программно-аппаратного обеспечения. Поскольку наиболее широко распространенные протоколы информационного обмена не имеют встроенных средств защиты данных, предаваемая информация становится объектом интереса лиц, нацеленных на получение несанкционированного доступ а.

С начала 1995 рядом американских и европейских специализированных центров по компьютерной безопасности зафиксировано широкое применение средств перехвата информации.

С января по март 1995 года компьютерными злоумышленниками, использующими программные средства типа Sniffer, было скомпрометировано более 100 000 пользовательских паролей. Используя уязвимости, обнаруженные в программном обеспечении, злоумышленники встраивали средства перехвата данных в скомпрометированные системы. Встроенные средства собирали информацию, предаваемую по сети при подключении пользователей к удаленным системам и предавали ее на компьютеры злоумышленников [1].

Средства перехвата трафика, применяемые злоумышленниками, обнаружить достаточно трудно, так как они, как правило, ничего не передают в канал связи, и факт их функционирования в системе может определить только опытный администратор.

Одним из средств защиты от этой угрозы является шифрование, которое помимо таких недостатков, как непрозрачность для пользовательских приложений и снижение производительности системы, не позволяет в полной мере обеспечить защиту потоков данных. Злоумышленник, перехватив зашифрованный трафик, может получить сведения о направлениях и объеме передаваемой информации, а исходя из этого, сделать выводы о направлениях потоков распоряжений и определить расположение руководителей. Полученные таким образом сведения дают возможность злоумышленнику осуществлять целенаправленный перехват информации, относящейся к определенному лицу, делать заключения о его функциональных обязанностях и сфере интересов, а впоследствии и дешифровать выделенные данные.

В тоже время, используемые компьютерными злоумышленниками методы и средства получения несанкционированного доступа к ресурсам сети Internet используют базовые протоколы семейства TCP/IP и стандартные технологии информационного обмена, а значит, сами являются уязвимыми для соответствующих средств инспекции информационных потоков.

Инспекция информационных потоков локальной сети организации, подключенной к Internet, осуществляется с целью обеспечения безопасности информационных ресурсов организации, а также используется для выявления попыток несанкционированного доступа к внутренним данным и случаев утечки информации.

Средства инспекции применяются для отслеживания обмена данными с ведением и последующим анализом регистрационных журналов. В задачи средств инспекции не входит принятие в режиме реального времени решения о возможности передачи данных между сетью организации и Internet.

Данные задачи решают специализированные программно-аппаратные устройства - межсетевые экраны (firewall). Межсетевые экраны реализуют политику безопасности организации путем анализа потоков данных по совокупности критериев и принятия решения о возможности распространения информации в локальную сеть организации или за ее пределы. По отношению к межсетевым экранам средства инспекции выполняют вспомогательные функции по предварительному выявлению атак злоумышленников и некорректных действий внутренних пользователей.

Обзор средств инспекции потоков данных

Существующие средства инспекции потоков данных можно разделить на коммерческие и свободно распространяемые. Свободно распространяемое программное обеспечение доступно, как правило, в виде исходных текстов программ, что является его преимуществом над коммерческим ПО, так как имеется возможность исследования исходных текстов на предмет используемых алгоритмов (методов) и их реализации, а также гарантия отсутствия вредоносного кода.

Кроме того, исходные тексты ПО можно модифицировать под определенную задачу, добавить новые функции, адаптировать под другую платформу. При всех вышеперечисленных достоинствах у свободно распространяемого ПО имеется и отрицательная сторона: нет никаких гарантий корректности работы и полного соответствия внешним спецификациям.

Применение неисследованных, бесплатно распространяемых средств инспекции может привести к любым неблагоприятным последствиям, так как все эти средства, как правило, запускаются от имени системного администратора, который наделен неограниченными правами. Поскольку технология анализа трафика предполагает наличие доступа ко всему информационному потоку, циркулирующему по кабельной системе, применение неисследованных средств может повлечь несанкционированную утечку всей передаваемой информации. Программные средства, содержащие закладки или выполняющие недокументированные действия, могут транслировать весь информационный обмен за пределы участка сети. При этом несанкционированная утечка данных может маскироваться легальным трафиком.

Авторами были проанализированы следующие средства инспекции: свободно распространяемые - Sniffit, Netlog, Arpwatch, Clog, Netmon, Tcpdump; коммерческие - Net Access Manager, Xni, Sniffer Analyzer, HP NetMetrix, IP-Watcher, RealSecure. В результате исследования и сравнения вышеперечисленных средств можно выделить Netlog и Sniffit, которые являются наиболее приемлемыми с точки зрения соотношения цена-производительность и полноты решения поставленной задачи [2].

NETLOG - средство инспекции сетевого трафика

Программный комплекс NETLOG является средством инспекции информационных потоков сети Internet и предназначен для сбора данных о запросах на установление соединения по протоколам семейства TCP/IP.

Принцип работы программного комплекса NETLOG основан на фильтрации трафика сети при прохождении пакетов с особыми атрибутами, то есть приемная часть программы просматривает все пакеты, проходящие по сети, но фиксирует только определенные. Механизм фильтрации пакетов, применяемый в пакете NETLOG, использует системный модуль pfmod (Packet Filter Module). Pfmod является потоковым (Streams) модулем, который перенаправляет приходящие сообщения на очередь чтения пакетным фильтром и выдает только такие сообщения, которые пропустил фильтр пакетов. Последний состоит из списка фильтрующих команд, при помощи которых можно задать шаблон отслеживаемых пакетов. Таким образом, зная формат отслеживаемого пакета, можно создать соответствующий шаблон, внести изменения в и сходный текст программы (то есть подставить созданный шаблон в модуль фильтрации) и в итоге отслеживать любые необходимые сетевые пакеты. При этом сфера действия комплекса не ограничена протоколами семейства TCP/IP.

NETLOG позволяет :

•фиксировать действия, производимые определенным компьютером в участке сети; •собирать статистику обращений к участку сети в целом или к компьютеру из сети; •собирать статистику обращений компьютера или участка сети в глобальную сеть; •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый компьютер в отдельности.

NETLOG разработан на основе программных средств, используемых в системе безопасности сети университета Texas A&M University, для работы на платформах ОС SunOS 4.x, SunOS 5.x (Solaris), использующих сетевые интерфейсы NIT и DLPI.

Комплекс программ NETLOG состоит из трех частей:

•резидентная часть; •двоичные данные сетевых запросов; •средство просмотра и фильтрации данных.

Резидентная часть состоит из трех модулей: tcplog, udplog, icmplog, загружаемых в оперативную память во время старта программного комплекса.

Каждый из модулей регистрирует прохождение запроса по определенному протоколу. При обнаружении запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Информация о запросах на установление соединения записывается в сжатом виде в двоичный файл и хранится указанное администратором время. По истечении срока хранения информация автоматически удаляется или переносится в архив. Средство просмотра статистики и фильтрации сетевых запросов выводит запрашиваемую информацию из файла данных в требуемом виде.

Это средство позволяет :

•фильтровать запрашиваемую информацию по ряду параметров (дата, время, источник и получатель запроса, протокол и порт); •устанавливать степень детализации выводимой информации; •выдавать детальные отчеты следующих видов:

1.деятельность конкретного компьютера и участка сети за определенный период времени, 2.факт совершения атаки средством оценки степени защиты на компьютер или участок сети, 3.отчет о запросах из глобальной сети за определенный период времени по определенному протоколу, 4.отчет о запросах из участка сети за определенный период времени по определенному протоколу, 5.отчет о запросах из глобальной сети к данному компьютеру или участку сети за определенный период времени по определенному протоколу, 6.отчет о запросах данного компьютера или участка сети в глобальную сеть за определенный период времени по определенному протоколу.


Средством просмотра и фильтрации статистики сетевых запросов является программа SHOWLOG. На вход программе подаются условия фильтрации двоичных данных сетевых запросов, заданные в виде логической комбинации ряда параметров. SNIFFIT - средство инспекции информационного обмена по протоколам TCP/IP

Программное средство SNIFFIT осуществляет инспекцию информационного обмена участка сети, производя регистрацию запросов на установление и разрыв соединения с сетевыми службами, включая запросы внутри участка сети, выходящие за пределы участка сети, приходящие из глобальной сети и запись информации, передаваемой в процессе информационного обмена.

При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос. Кроме этого, существует возможность конкретизировать эту функцию, то есть регистрировать только определенные запросы. Запись передаваемой информации может осуществляться целенаправленно (фиксируется информация, передаваемая по определенному протоколу либо между определенными сетевыми рабочими станциями), например, записывается вся почта, приходящая на определенную машину.

Средство SNIFFIT работает в одном из двух основных режимов:

1) интерактивная инспекция информационных потоков позволяет фиксировать действия, производимые определенным компьютером сети в режиме реального времени;

2) пассивная инспекция информационных потоков позволяет: 

•фиксировать действия, производимые определенным компьютером сети, •записывать информацию, передаваемую в сети по определенному протоколу между определенными машинами, •записывать вся почтовую переписку, •записывать информацию, передаваемую в течении telnet-сессии, включая пароль, запрашиваемый при аутентификации пользователя в системе, •собирать статистику обращений к участку сети в целом или к компьютеру из глобальной сети, •собирать статистику обращений компьютера или участка сети в глобальную сеть, •регистрировать все атаки средств оценки степени защиты на участок сети в целом и на каждый конкретный компьютер.

Комплекс программ SNIFFIT разработан для работы на платформах SunOS 4.x, SunOS 5.x (Solaris), Linux, FreeBSD, Irix, использующих сетевые интерфейсы NIT, DLPI и BPF.

Средство SNIFFIT состоит из трех частей: резидентная часть, конфигурационный файл, файл данных.

Резидентная часть состоит из модуля sniffit, загружаемого в оперативную память. Во время старта программного комплекса модуль sniffit считывает свою конфигурацию из файла sniffit.conf. После окончания загрузки модуль начинает регистрировать проходящие информационные данные и запросы согласно своей конфигурации, описанной в файле sniffit.conf. При регистрации запроса фиксируется следующая информация: дата, время, источник и получатель запроса, протокол и порт, по которым произошел запрос.

Конфигурационный файл описывает действия, выполняемые загружаемым модулем sniffit при обработке трафика сети. Этот файл можно задать таким образом, что будут выполнятся следующие действия:

•фиксироваться вся почтовая переписка, выходящая за пределы сети, •записываться все передаваемые данные по протоколам telnet и ftp, •регистрироваться все запросы на установление или разрыв соединения, •регистрироваться все действия определенного сетевого компьютера, •регистрироваться все внешние запросы.

Файл сохраненных отслеживаемых запросов содержит информацию в формате ASCII. Все записи о зарегистрированных запросах включают в себя дату, время, источник и адресат запроса, протокол и порт, по которым произошел запрос. Данные о почтовой переписке можно прочитать при помощи любого текстового редактора. Информация соединения telnet содержит управляющие символы, поэтому для просмотра данной информации необходимо специальное средство.

Использование программы определяется опциями, задаваемыми при запуске.

 

Литература

1.Simson Garfinken, Gene Spafford. Practical UNIX & Internet Security. OљReilly & Associates, Inc. 1996.

2.Paul Buis, Chris Hare, Robert Kelley. Internet Security. New Riders Publishing, Indianopolis, IN. 1996.

 

 

 

А. В. АЗАРКИН, Г. В. ФОМЕНКОВ

ИКСИ АКАДЕМИИ ФСБ РФ

ЗАЩИТА ИНФОРМАЦИОННЫХ РЕСУРСОВ СЕТИ INTERNET ПУТЕМ ИНСПЕКЦИИ ПОТОКОВ ДАННЫХ

Предлагаем вашему вниманию вторую часть доклада на Российской научно-технической конференции по Северо-Западному региону "Методы и технические средства обеспечения безопасности информации". Первая часть опубликована в N 5 за 1997 г.

 

2. Методика применения средств инспекции

2.1. Функциональный состав средств инспекции

Средства инспекции потоков данных состоят из следующих основных частей:

1.аппаратная платформа, которая включает в себя сетевой адаптер, соответствующий требованиям ПО инспекции; 2.операционная система, поддерживающая программный интерфейс доступа к канальному уровню для анализа циркулирующих в сети пакетов; 3.основной загружаемый модуль (средство инспекции потоков данных), который декодирует протоколы и выполняет заданные действия согласно своей конфигурации, установленной специальным механизмом; 4.конфигурационный механизм, обеспечивающий широкий выбор критериев, по которым будет производиться фильтрация и регистрация отслеживаемых запросов; 5.регистрационный механизм, осуществляющий запись отслеживаемой информации в сжатом формате в архивный файл; 6.средства просмотра отслеживаемых запросов в режиме реального времени, а также сохраненных в архивном файле; 7.пользовательский графический интерфейс, обеспечивающий простое и удобное взаимодействие с системой оператора.

2.2. Требования, предъявляемые к средствам инспекции

Рассмотрим более подробно некоторые основные части этих систем. Основной загружаемый модуль должен соответствовать следующим требованиям:

•обладать достаточной производительностью для обработки всех циркулирующих в сети данных; •поддерживать широкий спектр протоколов: TCP/IP, Lan Manager, Netware, DEC, AppleTalk и т. д.; •переключать драйвер сетевого адаптера в "прозрачный" режим, позволяющий принимать все пакеты, проходящие по сегменту сети (promiscuous mode).

Механизм конфигурации должен обладать широким спектром настроек, позволяющих загружаемому модулю осуществлять эффективную инспекцию потоков данных.

Данные настройки должны фиксировать запросы:

•на установку соединения, •на разрыв соединения, •по определенному протоколу, •по определенному порту, •выдаваемые определенной рабочей станцией, •принимаемые определенной рабочей станцией, •уходящие из сети (подсети), •приходящие в сеть (подсеть).

Кроме запросов должны регистрироваться данные:

•по определенному протоколу, •по определенному порту, •принимаемые определенной рабочей станцией, •передаваемые определенной рабочей станцией, •приходящие в сеть (подсеть), •выходящие из сети (подсети).

Механизм просмотра отслеживаемых запросов должен позволять:

1.отслеживаемые информационные потоки в режиме реального времени; 2.отслеживаемые информационные потоки из архивного файла;
1 2