3.выдаваемые отчеты по следующим параметрам: время, протокол, порт, сеть, адрес источника, адрес приемника; 4.задавать шаблоны подозрительных действий абонентов; 5.при обнаружении совпадения шаблона сигнализировать о подозрительных действиях абонентов.
Для доступа к сетевому уровню, то есть для идентификации и фильтрации пакетов, проходящих по сети, возможно использование следующих сетевых интерфейсов: DLPI (Data Link Provider Interface), BPF (Berkeley Packet Filter), NIT (Network Interace Tap). Применение средствами инспекции того или иного сетевого интерфейса связано с использованием определенных алгоритмов перехвата сетевого информационного обмена. Поддержка интерфейсов типа NIT и DLPI говорит о работоспособности данного средства в системах типа UNIX System V Release 4 (куда относятся Solaris и SunOS), интерфейс BPF используется в клоне BSDI (которому принадлежат Linux, FreeBSD и др.). Использование различных интерфейсов существенно влияет на возможности средства анализа. Например, интерфейс BPF примерно в 20-30 раз эффективнее NIT с точки зрения производительности.
2.3. Рекомендации по применению средств инспекции
Рекомендации по применению средств инспекции потоков данных следующие:
1.средство инспекции можно установить как на специально выделенную рабочую станцию, так и на совмещающую несколько функций в сети, но при этом выбранная рабочая станция должна удовлетворять следующим требованиям:
•сетевой адаптер должен работать в "прозрачном" режиме, •рабочая станция должна быть достаточно производительна (необходимая производительность определяется средствами ОС путем выявления загруженности системы во время работы средств инспекции);
1.политика надежности и безопасности функционирования системы должна обеспечивать стойкость последней по отношению к внешним и внутренним несанкционированным воздействиям, а также устойчивость к сбоям в электросети; 2.принимая во внимание механизм трансляции пакетов в технологии Ethernet, необходимо учесть следующую особенность архитектуры сети: если сеть узла Internet разбита на подсети с использованием маршрутизаторов с двумя и более сетевыми интерфейсами, то рабочая станция с установленным средством инспекции должна находиться в подсети, маршрутизатор которой является основным для всех остальных подсетей; 3.вся фиксируемая информация должна периодически подвергаться архивированию на внешний носитель.
2.4. Особенности применения средств инспекции
При принятии решения о выборе места подключения средства инспекции необходимо учитывать следующее:
•средство инспекции, как правило, нельзя обнаружить с других рабочих станций; •средство инспекции обнаруживается опытным пользователем, имеющим бюджет на той рабочей станции, где функционирует данное средство; •активизация закладок в средстве инспекции может привести к созданию скрытого канала передачи в Internet всей перехватываемой информации.
Принимая во внимание характер анализируемой информации, необходимо предусмотреть создание надежной защиты, препятствующей возникновению таких каналов. В качестве защитных мер можно применять анализ программного кода средств инспекции или, в случае невозможности такого анализа, использовать межсетевые экраны, ограничивающие несанкционированный выход в сеть Internet информации с данного компьютера.
3. Примеры применения средств инспекции
3.1. Определение факта и источника атаки
При проведении еженедельных плановых работ по анализу информационных потоков программное средство инспекции организации ABC выдало отчет о несанкционированных обращениях к WWW-серверу ABC.
Детальное изучение выданного отчета выявило следующие особенности:
•запросы к WWW-серверу ABC происходили по большому количеству сервисных служб (портов), •запросы происходили за короткий промежуток времени.
Эти факты указывают на автоматизацию процесса несанкционированных обращений, из чего можно сделать предположение, что злоумышленник применил программное средство типа SATAN (Security administrator tool for analyzing networks), предназначенное для автоматизированного получения информации о функционирующем программном обеспечении и об имеющихся уязвимостях в идентифицируемом программном обеспечении на удаленном компьютере. Таким образом злоумышленник смог получить информацию об операционной системе и сервисных службах, функционирующих на WWW-сервере ABC. Некоторые действия злоумышленника были зафиксированы и на самом WWW-сервере ABC. Его детальное исследование на предмет успешного завершения произведенной атаки показало, что сервер не был скомпрометирован данными атаками. Для определения источника атаки были предприняты действия, с помощью которых удалось установить организацию-провайдера, предоставившего злоумышленнику доступ к сети Internet, и была произведена переписка с ее администратором, позволившая определить пользователя, который производил данную атаку. В результате удалось выяснить, что злоумышленные действия производились с целью проверки защищенности сервера.
3.2. Выявление источника несанкционированного трафика
Выявление исходных адресов несанкционированного трафика
Во время очередного анализа отчетов, выдаваемых средством инспекции, была зафиксирована сетевая активность, несвойственная для сети организации ABC.
Средство инспекции информационных потоков зарегистрировало прохождение пакетов, адрес источника и приемника которых не принадлежат сети ABC. При детальном изучении отчета о несанкционированном трафике были выявлены такие особенности:
1.время прохождения несанкционированных пакетов соответствует времени рабочего дня; 2.адреса источников пакетов принадлежат некоторой сети; 3.адреса назначения пакетов не связаны друг с другом; 4.трансляция пакетов осуществлялась только в одном направлении, со стороны некоторой сети; 5.источниками пакетов в некоторой сети были три ПК.
Данная ситуация могла быть вызвана одной из следующих причин:
1.возможная ошибка в системе маршрутизации пакетов; 2.несанкционированное подключение к локальной сети ABC; 3.использование локальной сети ABC в качестве "плацдарма" при безнаказанных атаках на другие компьютеры сети Internet; 4.успешно произведенная атака на сеть ABC из Internet.
Определение источника пакетов стандартными средствами
С использованием утилиты traceroute, определяющей путь прохождения пакетов к данному IP-адресу, осуществлена попытка выявления источника запросов с подозрительным исходным адресом. Выяснилось, что прохождение пакетов до конечного адреса заблокировано шлюзом сети одной зарубежной организации. Поскольку несанкционированный трафик носит регулярный характер и существует потенциальная возможность определения источника, сделано предположение о невозможности официального происхождения пакетов. Кроме этого, после блокирования с помощью маршрутизатора подозрительных пакетов уже на входе в локальную сеть внутри сети продолжала регистрироваться подозрительная информация.
Определение источника пакетов внутри сети
В целях проверки предположения о проникновении подозрительных пакетов через модемные входы использовано программное средство инспекции в режиме определения адреса канального уровня. Установлено, что источником несанкционированных пакетов является коммуникационный компьютер, предоставляющий доступ по телефонным каналам к информационным ресурсам ABC.
Сопоставление несанкционированного трафика с активностью пользователей
Поскольку подделка адреса канального уровня делает невозможной доставку пакетов по локальной сети, а для изменения ethernet-адреса сетевого адаптера требуется несанкционированная модификации ядра операционной системы, полученные результаты не исключали возможности проведения успешной атаки на сеть ABC.
Для точного определения источника подозрительных пакетов был проанализирован журнал регистрации работы внешних абонентов. В результате сопоставления активности пользователей со временем возникновения подозрительных пакетов выявлены закономерности между периодичностью их появления и временем деятельности пользователя, работающего через модемный вход.
В результате проделанной работы:
•определен источник несанкционированного трафика; •установлены причины появления несанкционированного трафика, заключающиеся в неправильной настройке IP-адреса пользователя; •сделано заключение о необходимости блокирования средствами маршрутизатора "подозрительных" пакетов в точке подключения локальной сети к Internet; •сделан вывод о неправильной настройке схемы маршрутизации коммуникационного оборудования локальной сети ABC, допускающей подключение через модемный вход компьютеров с некорректными IP-адресами.
Указанные сведения о причинах появления несанкционированного трафика, полученные с помощью средств инспекции информационных потоков, использованы для устранения обнаруженных недостатков в настройке маршрутизации локальной сети ABC и в системе мер по обеспечению безопасности организации в целом.
Заключение
По отношению к межсетевым экранам средства инспекции выполняют вспомогательные функции по предварительному выявлению атак и некорректных действий внутренних пользователей.
В настоящее время имеется достаточно широкий выбор свободно распространяемых и коммерческих средств инспекции сетевого трафика. При выборе какого-либо определенного продукта необходимо обратить внимание на наличие у него следующих возможностей: регистрация событий, происходящих в сети; фиксирование всех физических устройств, подключенных к сети; захват запросов на установление и разрыв соединения, перехват всей информации, передаваемой во время определенного сеанса связи; сигнализация при регистрации отслеживаемого события; архивирование регистрируемой информации; просмотр и анализ информации из архива. Необходимо обеспечить надежную защиту от возможности создания средствами инспекции скрытого канала передачи в Internet всей перехватываемой информации. В качестве защитных мер необходимо применять анализ программного кода средств инспекции и использовать межсетевые экраны.
Таким образом, инспекция потоков данных может быть использована в качестве одного из методов обеспечения безопасности информационных ресурсов организации.
1 2
Для доступа к сетевому уровню, то есть для идентификации и фильтрации пакетов, проходящих по сети, возможно использование следующих сетевых интерфейсов: DLPI (Data Link Provider Interface), BPF (Berkeley Packet Filter), NIT (Network Interace Tap). Применение средствами инспекции того или иного сетевого интерфейса связано с использованием определенных алгоритмов перехвата сетевого информационного обмена. Поддержка интерфейсов типа NIT и DLPI говорит о работоспособности данного средства в системах типа UNIX System V Release 4 (куда относятся Solaris и SunOS), интерфейс BPF используется в клоне BSDI (которому принадлежат Linux, FreeBSD и др.). Использование различных интерфейсов существенно влияет на возможности средства анализа. Например, интерфейс BPF примерно в 20-30 раз эффективнее NIT с точки зрения производительности.
2.3. Рекомендации по применению средств инспекции
Рекомендации по применению средств инспекции потоков данных следующие:
1.средство инспекции можно установить как на специально выделенную рабочую станцию, так и на совмещающую несколько функций в сети, но при этом выбранная рабочая станция должна удовлетворять следующим требованиям:
•сетевой адаптер должен работать в "прозрачном" режиме, •рабочая станция должна быть достаточно производительна (необходимая производительность определяется средствами ОС путем выявления загруженности системы во время работы средств инспекции);
1.политика надежности и безопасности функционирования системы должна обеспечивать стойкость последней по отношению к внешним и внутренним несанкционированным воздействиям, а также устойчивость к сбоям в электросети; 2.принимая во внимание механизм трансляции пакетов в технологии Ethernet, необходимо учесть следующую особенность архитектуры сети: если сеть узла Internet разбита на подсети с использованием маршрутизаторов с двумя и более сетевыми интерфейсами, то рабочая станция с установленным средством инспекции должна находиться в подсети, маршрутизатор которой является основным для всех остальных подсетей; 3.вся фиксируемая информация должна периодически подвергаться архивированию на внешний носитель.
2.4. Особенности применения средств инспекции
При принятии решения о выборе места подключения средства инспекции необходимо учитывать следующее:
•средство инспекции, как правило, нельзя обнаружить с других рабочих станций; •средство инспекции обнаруживается опытным пользователем, имеющим бюджет на той рабочей станции, где функционирует данное средство; •активизация закладок в средстве инспекции может привести к созданию скрытого канала передачи в Internet всей перехватываемой информации.
Принимая во внимание характер анализируемой информации, необходимо предусмотреть создание надежной защиты, препятствующей возникновению таких каналов. В качестве защитных мер можно применять анализ программного кода средств инспекции или, в случае невозможности такого анализа, использовать межсетевые экраны, ограничивающие несанкционированный выход в сеть Internet информации с данного компьютера.
3. Примеры применения средств инспекции
3.1. Определение факта и источника атаки
При проведении еженедельных плановых работ по анализу информационных потоков программное средство инспекции организации ABC выдало отчет о несанкционированных обращениях к WWW-серверу ABC.
Детальное изучение выданного отчета выявило следующие особенности:
•запросы к WWW-серверу ABC происходили по большому количеству сервисных служб (портов), •запросы происходили за короткий промежуток времени.
Эти факты указывают на автоматизацию процесса несанкционированных обращений, из чего можно сделать предположение, что злоумышленник применил программное средство типа SATAN (Security administrator tool for analyzing networks), предназначенное для автоматизированного получения информации о функционирующем программном обеспечении и об имеющихся уязвимостях в идентифицируемом программном обеспечении на удаленном компьютере. Таким образом злоумышленник смог получить информацию об операционной системе и сервисных службах, функционирующих на WWW-сервере ABC. Некоторые действия злоумышленника были зафиксированы и на самом WWW-сервере ABC. Его детальное исследование на предмет успешного завершения произведенной атаки показало, что сервер не был скомпрометирован данными атаками. Для определения источника атаки были предприняты действия, с помощью которых удалось установить организацию-провайдера, предоставившего злоумышленнику доступ к сети Internet, и была произведена переписка с ее администратором, позволившая определить пользователя, который производил данную атаку. В результате удалось выяснить, что злоумышленные действия производились с целью проверки защищенности сервера.
3.2. Выявление источника несанкционированного трафика
Выявление исходных адресов несанкционированного трафика
Во время очередного анализа отчетов, выдаваемых средством инспекции, была зафиксирована сетевая активность, несвойственная для сети организации ABC.
Средство инспекции информационных потоков зарегистрировало прохождение пакетов, адрес источника и приемника которых не принадлежат сети ABC. При детальном изучении отчета о несанкционированном трафике были выявлены такие особенности:
1.время прохождения несанкционированных пакетов соответствует времени рабочего дня; 2.адреса источников пакетов принадлежат некоторой сети; 3.адреса назначения пакетов не связаны друг с другом; 4.трансляция пакетов осуществлялась только в одном направлении, со стороны некоторой сети; 5.источниками пакетов в некоторой сети были три ПК.
Данная ситуация могла быть вызвана одной из следующих причин:
1.возможная ошибка в системе маршрутизации пакетов; 2.несанкционированное подключение к локальной сети ABC; 3.использование локальной сети ABC в качестве "плацдарма" при безнаказанных атаках на другие компьютеры сети Internet; 4.успешно произведенная атака на сеть ABC из Internet.
Определение источника пакетов стандартными средствами
С использованием утилиты traceroute, определяющей путь прохождения пакетов к данному IP-адресу, осуществлена попытка выявления источника запросов с подозрительным исходным адресом. Выяснилось, что прохождение пакетов до конечного адреса заблокировано шлюзом сети одной зарубежной организации. Поскольку несанкционированный трафик носит регулярный характер и существует потенциальная возможность определения источника, сделано предположение о невозможности официального происхождения пакетов. Кроме этого, после блокирования с помощью маршрутизатора подозрительных пакетов уже на входе в локальную сеть внутри сети продолжала регистрироваться подозрительная информация.
Определение источника пакетов внутри сети
В целях проверки предположения о проникновении подозрительных пакетов через модемные входы использовано программное средство инспекции в режиме определения адреса канального уровня. Установлено, что источником несанкционированных пакетов является коммуникационный компьютер, предоставляющий доступ по телефонным каналам к информационным ресурсам ABC.
Сопоставление несанкционированного трафика с активностью пользователей
Поскольку подделка адреса канального уровня делает невозможной доставку пакетов по локальной сети, а для изменения ethernet-адреса сетевого адаптера требуется несанкционированная модификации ядра операционной системы, полученные результаты не исключали возможности проведения успешной атаки на сеть ABC.
Для точного определения источника подозрительных пакетов был проанализирован журнал регистрации работы внешних абонентов. В результате сопоставления активности пользователей со временем возникновения подозрительных пакетов выявлены закономерности между периодичностью их появления и временем деятельности пользователя, работающего через модемный вход.
В результате проделанной работы:
•определен источник несанкционированного трафика; •установлены причины появления несанкционированного трафика, заключающиеся в неправильной настройке IP-адреса пользователя; •сделано заключение о необходимости блокирования средствами маршрутизатора "подозрительных" пакетов в точке подключения локальной сети к Internet; •сделан вывод о неправильной настройке схемы маршрутизации коммуникационного оборудования локальной сети ABC, допускающей подключение через модемный вход компьютеров с некорректными IP-адресами.
Указанные сведения о причинах появления несанкционированного трафика, полученные с помощью средств инспекции информационных потоков, использованы для устранения обнаруженных недостатков в настройке маршрутизации локальной сети ABC и в системе мер по обеспечению безопасности организации в целом.
Заключение
По отношению к межсетевым экранам средства инспекции выполняют вспомогательные функции по предварительному выявлению атак и некорректных действий внутренних пользователей.
В настоящее время имеется достаточно широкий выбор свободно распространяемых и коммерческих средств инспекции сетевого трафика. При выборе какого-либо определенного продукта необходимо обратить внимание на наличие у него следующих возможностей: регистрация событий, происходящих в сети; фиксирование всех физических устройств, подключенных к сети; захват запросов на установление и разрыв соединения, перехват всей информации, передаваемой во время определенного сеанса связи; сигнализация при регистрации отслеживаемого события; архивирование регистрируемой информации; просмотр и анализ информации из архива. Необходимо обеспечить надежную защиту от возможности создания средствами инспекции скрытого канала передачи в Internet всей перехватываемой информации. В качестве защитных мер необходимо применять анализ программного кода средств инспекции и использовать межсетевые экраны.
Таким образом, инспекция потоков данных может быть использована в качестве одного из методов обеспечения безопасности информационных ресурсов организации.
1 2