А бывает ли это на самом деле?
"Описанные выше два случая - это сказки для детей", - скажете вы. "На самом деле такого не бывает". Скажете и будете не правы. Чтобы лишний раз убедить вас в этом - приведу только два примера "из жизни".
По данным издания "Компьютерра", 12 июня 2000 г. неизвестный хакер сумел добраться до базы данных с адресами электронной почты клиентов канадского онлайнового магазина Future Shop. Правда, сам Future Shop здесь не причем - рассылка электронных писем осуществлялась при помощи третьей стороны. Хакер, взломав сервер этой компании, сумел отдать команду на массовую рассылку сообщений всем 10000 клиентам Future Shop. В письме говорилось о том, что номера их кредитных карточек были украдены, а посему они должны срочно их заменить. Заголовок письма выглядел так, как будто его послали владельцы Future Shop. Большого вреда хакер, к счастью, причинить не успел. Администраторы магазина оперативно связались со всеми крупными эмитентами кредитных карт и предупредили об этом неприятном инциденте. Свои карты успели поменять менее 50 человек.
Другой пример подробно описан на странице и я не хотел бы его лишний раз пересказывать. Хочу только отметить, что современные технологии Internet позволяют создавать сообщения электронной почты таким образом, что они будут выглядеть "как настоящие", со всеми атрибутами (адрес и имя отправителя, подпись и т.д.).
Администрирование
Легкость администрирования является одним из ключевых аспектов в создании
эффективной и надежной системы защиты. Ошибки при определении правил доступа могут
образовать дыру, через которую может быть взломана система. Поэтому в большинстве
брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора
правил. Наличие этих утилит позволяет также производить проверки на синтаксические или
логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют
просматривать информацию, сгруппированную по каким либо критериям - например, все что
относится к конкретному пользователю или сервису.
"Активные зондирующие проверки" (active probing check)
Также относятся к механизму "сканирования". Однако они основаны не на проверках версий программного обеспечения в заголовках, а на сравнении "цифрового слепка" (fingerprint) фрагмента программного обеспечения со слепком известной уязвимости. Аналогичным образом поступают антивирусные системы, сравнивая фрагменты сканируемого программного обеспечения с сигнатурами вирусов, хранящимися в специализированной базе данных. Разновидностью этого метода являются проверки контрольных сумм или даты сканируемого программного обеспечения, которые реализуются в сканерах, работающих на уровне операционной системы.
Специализированная база данных (в терминах компании Cisco - база данных по сетевой безопасности) содержит информацию об уязвимостях и способах их использовании (атаках). Эти данные дополняются сведениями о мерах их устранения, позволяющих снизить риск безопасности в случае их обнаружения. Зачастую эта база данных используется и системой анализа защищенности и системой обнаружения атак. По крайней мере, так поступают компании Cisco и ISS.
Этот метод также достаточно быстр, но реализуется труднее, чем "проверка заголовков".
Анализ изменения состояний
Этот метод был описан в STAT [] и реализован в USTAT []. Сигнатура вторжения представляется как последовательность переходов между состояниями защищаемой системы. Паттерны атаки (совокупность значений параметров оценки) соответствуют какому-то состоянию защищаемой системы и имеют связанную с ними логическую функцию. Если эта функция выполняется, то считается, что система перешла в это состояние. Последующие состояния соединены с текущим линиями, которые представляют собой необходимые события для дальнейших переходов. Типы возможных событий встроены в модель и соответствуют, хотя и не обязательно, значениям параметров оценки по принципу один к одному [, ].
Паттерны атаки могут только задать последовательность событий, поэтому более сложный способ определения событий не поддерживается. Более того, отсутствует общий механизм целей, который можно было бы использовать для обрезания частичного соответствия атак, вместо этого используется простая встроенная логическая функция.
Анализ методов обнаружения аномалий
Методы обнаружения аномалий направлены на выявление неизвестных атак и вторжений. Для защищаемой системы СОВ на основе совокупности параметров оценки формируется «образ» нормального функционирования. В современных СОВ выделяют несколько способов построения «образа»:
накопление наиболее характерной статистической информации для каждого параметра оценки; обучение нейронных сетей значениями параметров оценки; событийное представление.
Легко заметить, что в обнаружении очень значительную роль играет множество параметров оценки. Поэтому в обнаружении аномалий одной из главных задач является выбор оптимального множества параметров оценки.
Другой, не менее важной задачей является определение общего показателя аномальности. Сложность заключается в том, что эта величина должна характеризовать общее состояние «аномальности» в защищаемой системе.
Анализ методов обнаружения злоупотреблений
Использование только методов обнаружения аномалий не гарантирует выявление всех нарушений безопасности, поэтому в большинстве СОВ существует технологии распознавания злоупотреблений. Обнаружение вторжений-злоупотреблений основывается на прогностическом определении атак и последующим наблюдением за их появлением []. В отличие от обнаружения аномалии, где образ – это модель нормального поведения системы, при обнаружении злоупотребления он необходим для представления несанкционированных действий злоумышленника. Такой «образ» применительно к обнаружению злоупотреблений называется сигнатурой вторжения. Формируется сигнатура на основе тех же входных данных, что и при обнаружении аномалий, то есть на значениях параметров оценки. Сигнатуры вторжений определяют окружение, условия и родство между событиями, которые приводят к проникновению в систему или любым другим злоупотреблениям. Они полезны не только при обнаружении вторжений, но и при выявлении попыток совершения незаконных действий. Частичное совпадение сигнатур может означать, что в защищаемой системе имела место попытка вторжения.
Аннотация
Рассматривается структура современных систем обнаружения вторжений (СОВ). Характеризуются основные направления распознавания нарушений безопасности защищаемых систем в современных СОВ. Выполнен анализ используемых методов и моделей структуры СОВ в соответствии с выделенными основными группами. Приведены основные недостатки существующих СОВ и обоснованы направления их совершенствования.
Антишпионское программное обеспечение:
защищает от программ класса adware, шпионских программ и "угонщиков браузеров", cookies-сканеров и других интернет-паразитов.
Антиспамерское программное обеспечение:
блокирует вводящие в заблуждение, жульнические ("рыболовные") схемы; сокращает работу по фильтрованию писем, уменьшая вероятность того, что пользователь случайно второпях активирует вирус, полученный по электронной почте.
Антивирусное программное обеспечение:
защищает систему от известных вирусов, червей и "троянцев", но менее эффективно против новых инфекций; не защищает систему от программ распространения рекламы (adware), шпионских программ и "угонщиков браузеров".
Аппаратная расширяемость
Строгая защита, обеспечиваемая операционной системой реального времени, дополняется возможностью расширения аппаратных возможностей. В первую очередь это возможность встраивания третьего сетевого интерфейса. Это позволяет разместить за ним доступные извне WWW сервера, почту, сервера доменных имен. Другим применением третьего интерфейса может быть размещение за ним серверов, которые фильтруют содержимое пакетов. Размещения этих приложений, тербующих значительных вычислительных ресурсов, на отдельной платформе, обеспечивает как высокий уровень защиты, так и высокую производительность.
Аппаратный маршрутизатор:
с помощью NAT (Network address Translation, трансляция сетевых адресов, — стандарт Internet, позволяющий использовать в локальной сети различные наборы IP-адресов для внешнего и внутреннего трафика) маскирует IP-адреса, делая неэффективным сканирование портов. блокирует поступление данных из интернета, на которые нет разрешения пользователя; не защищает систему от большинства злонамеренных программ, таких как "троянские кони", вирусы, почтовые "черви" и шпионские программы.
Апрель
В начале апреля 19-летнему
Christopher Schanot, известному в компьютерном подполье Сент-Луиса
под псевдонимом "N00gz", в Филадельфии было предъявлено
обвинение в компьютерном мошенничестве. Старшекласснику-отличнику
инкриминировался несанкционированный доступ ко многим корпоративным
и правительственным компьютерам, Его жертвами стали такие компании,
как Southwestern Bell, Bellcore, Sprint и SRI. В ноябре он признал
себя виновным по двум пунктам обвинения в компьютерном мошенничестве
и одном пункте обвинения в незаконном прослушивании. Ему грозит
до 15 лет тюрьмы и штраф в размере 750 тысяч долларов. Как сообщило
агентство AP 15 ноября, приговор должен быть вынесен 31 января
1997 года.
В телеконференциях (см.
) появились разоблачения, касающиеся сотрудников Управления
социального страхования США. Эти сотрудники злоупотребили своими
правами на доступ к компьютерам Управления и продали детальную
персональную информацию о более чем 11 тысячах жертвах членам
шайки, занимающейся махинациями с кредитными картами. (Еще один
урок по поводу важности человеческого фактора в информационной
безопасности.)
Агентство Associated Press
19 апреля сообщило о проникновении хакеров в систему голосовой
почты полиции Нью-Йорка. Вандалы заменили обычное вежливое приветствие
на следующий текст: "Вы попали в полицейский департамент
Нью-Йорка. В случае реальной опасности позвоните по телефону 119.
Для всех остальных дел как раз сейчас мы немного заняты - пьем
кофе с пирожными". Далее следовало: "Вы можете не вешать
трубку - мы скоро ответим. Мы немного тормозим, если Вы понимаете,
что имеется в виду. Спасибо". Поддельные сообщения звучали
в течение 12 часов, прежде чем власти исправили ситуацию.
Peter Neumann подготовил
краткое изложение новостийной статьи о важном повороте в битве
против законодательства, касающегося международной торговли оружием.
"16 апреля 1996 года
районный судья Marilyn Hall Patel вынесла постановление, согласно
которому математик Daniel Bernstein может попробовать доказать,
что сфера действия принятых в США правил контроля за экспортом
криптографических технологий слишком широка и затрагивает его
права на общение с другими учеными и компьютерной общественностью
- права, защищаемые свободой печати. (Криптографические программы,
которые разработал Bernstein, называются Snuffle и Unsnuffle.
Государственный департамент США в 1993 году принял решение о том,
что на статью и программы, написанные математиком, необходимо
получить экспортную лицензию, поскольку согласно действующему
в США законодательству поставщик криптосредств приравнивается
к международному торговцу оружием. Позднее ограничения на экспорт
статьи были сняты. После этого Bernstein возбудил судебное дело,
требуя снять ограничения со своих программ.)"
В декабре судья Patel
нанесла решающий удар по запрету, назвав его "примером бессистемного
произвола", неспособного обеспечить право граждан на свободу
слова (UPI, 19 декабря; ).
Согласно сообщению в "San
Francisco Chronicle" от 20 апреля (Peter Neumann изложил
его в ), личный секретарь вице-президента корпорации
Oracle получила отказ в иске по поводу незаконности ее увольнения.
Женщина утверждала, что ее уволили после того, как она отказалась
вступить в связь с президентом компании. В качестве доказательства
она привела фрагмент электронного письма, якобы отправленного
ее боссом президенту. В письме босс подтверждал, что выполнил
просьбу президента и уволил секретаршу. Однако, как показало следствие,
в то время, когда было отправлено письмо, босс на самом деле находился
за рулем автомобиля (во всяком случае, об этом свидетельствуют
протоколы переговоров по сотовой связи). Истица знала пароли своего
начальника (он имел обыкновение просить ее о смене пароля). Местный
прокурор пришел к заключению, что электронное письмо было сфабриковано
секретаршей и обвинил ее в лжесвидетельстве.
Весьма интересны выводы,
к которым пришел Peter Neumann:
Не следует верить,
что заголовок FROM: электронного письма соответствует реальному
отправителю.
Не следует доверять
содержанию электронного сообщения вне зависимости от корректности
его заголовков.
Не следует разделять
свой пароль с кем бы то ни было или делать кого-либо другого ответственным
за Ваши пароли.
Не следует использовать
скрытно компрометируемые многоразовые фиксированные пароли; частота
их смены не имеет принципиального значения.
Вместо фиксированных
паролей используйте одноразовые средства аутентификации.
Даже если Вы используете
PEM, PGP или иные средства криптографической защиты электронной
почты, Вы не можете быть уверены в аутентичности сообщений из-за
потенциальной ненадежности операционных систем и пользователей.
Остерегайтесь использовать
сообщения электронной почты в качестве судебных доказательств.
Однако, не следует
думать, что протоколы сотовой связи являются безупречными судебными
доказательствами; они также могут быть сфабрикованы или изменены.
Если Вас втягивают в судебное разбирательство, найдите кого-нибудь,
кто в состоянии продемонстрировать, насколько легко изменить эти
протоколы.
К этому Mike Marler
<> добавляет (см. ):
Не следует думать,
что некто не может запустить на своем компьютере пакетное задание
или фоновый процесс, которые отправят электронное сообщение другому
лицу (с подделкой заголовков или без таковой), в то время как
автор, например, ловит рыбу в пяти милях от побережья Коста-Рики.
Не следует думать,
что некто не может располагать автоматизированной системой ответов
на письма, которая пошлет ответ на "фрагмент электронного
письма", начинающийся примерно так: "К сожалению, я
не могу направить развернутый ответ на Ваш 'фрагмент электронного
письма', поскольку до конца дня я буду очень занят на собраниях".
В это время упомянутый некто может просто бездельничать или продолжать
ловить рыбу у берегов Коста-Рики.
J.R.Valverde (младший)
<> еще добавил:
Никогда не беритесь
за обслуживание счета другого пользователя, не получайте доступ
к чужому компьютеру.
Причуды America Online
развеселили Интернет и особенно жителей небольшого городка на
востоке Англии с названием Scunthorpe, когда житель этого городка
Doug Blackie попытался зарегистрировать свой новый счет. Если
верить статье в "Computer underground Digest" выпуск
8.29 (изложение которой можно найти в ), фильтр непристойностей,
встроенный в программное обеспечение America Online, отверг слово
"Scunthorpe", но принял "Sconthorpe". (На
русском языке это приблизительно соответствует замене названия
"Отпадинск" на "Отпудинск" - прим. перев.)
С тех пор фильтр стал повсеместно известен как "AOL's Scunthorpe
Filter". В других сообщениях, поступивших в телеконференцию
RISKS, многочисленные корреспонденты прокомментировали эффекты
фильтрации безобидных жаргонных словечек, имеющих ложные вхождения
в нормальные слова на английском или, в особенности, на других
языках. (Несомненно, русский читатель тут же вспомнит массу анекдотов,
построенных на этом принципе - прим. перев.) Можно подумать, что
программисты America Online брали уроки у разработчиков современных
антивирусных средств.
Согласно сообщению английской
газеты "Daily Mail" от 27 апреля (см. также ),
криминальные хакеры получили доступ к конфиденциальным файлам
университета в Кембридже, из-за чего пришлось срочно менять пароли
у 10 тысяч студентов и преподавателей. Некоторые из файлов содержали
медицинскую, коммерческую и научную информацию. Однако, в отличие
от эффектной газетной заметки, правда оказалась более прозаичной.
Как сообщил Stephen Early <>
(см. ), в одной из подсетей информационной системы
университета была обнаружена установленная программа перехвата
сетевых пакетов.
Аутентификация
Аутентификация является одним из самых важных компонентов брандмауэров. Прежде
чем пользователю будет предоставлено право воспользоваться тем или иным сервисом,
необходимо убедиться, что он действительно тот, за кого он себя выдает (предполагается,
что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы
разрешены называется авторизацией. Авторизация обычно рассматривается в контексте
аутентификации - как только пользователь аутентифицирован, для него определяются
разрешенные ему сервисы). При получении запроса на использование сервиса от имени
какого-либо пользователя, брандмауэр проверяет, какой способ аутентификации определен для
данного пользователя и передает управление серверу аутентификации. После получения
положительного ответа от сервера аутентификации брандмауэр образует запрашиваемое
пользователем соединение.
Как правило, используется принцип, получивший название "что он знает" - т.е.
пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в
ответ на его запрос.
Одной из схем аутентификации является использование стандартных UNIX паролей.
Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть
перехвачен и использован другим лицом.
Чаще всего используются схемы с использованием одноразовых паролей. Даже будучи
перехваченным, этот пароль будет бесполезен при следующей регистрации, а получить
следующий пароль из предыдущего является крайне трудной задачей. Для генерации
одноразовых паролей используются как программные, так и аппаратные генераторы -
последние представляют из себя устройства, вставляемые в слот компьютера. Знание
секретного слова необходимо пользователю для приведения этого устройства в действие. Ряд
брандмауэров поддерживают Kerberos - один из наиболее распространенных методов
аутентификации. Некоторые схемы требуют изменения клиентского программного обеспечения - шаг, который далеко не всегда приемлем. Как правило, все коммерческие брандмауэры
поддерживают несколько различных схем, позволяя администратору сделать выбор наиболее
приемлемой для своих условий.
Аварийное завершение соединения с атакующим узлом
Модуль слежения системы RealSecure? может автоматически завершать соединение с атакующим узлом. Данная возможность доступна только для соединений по протоколу TCP и заключается в посылке IP-пакета с установленным флагом RST. Указанный вид реакции на атаки позволяет предотвратить многие угрозы, осуществляемые многими типами атак.
Август
По каналам европейских
новостей прошли сообщения о том, что ЦРУ США осуществило хакерские
проникновения в компьютеры Европейского парламента и Европейской
комиссии, чтобы выкрасть экономические и политические секреты.
Утверждается, что персонал Комиссии обнаружил свидетельства того,
что американцы использовали информацию, добытую криминальным,
хакерским путем, для получения преимуществ по Генеральному соглашению
по тарифам и торговле. ("Sunday Times", 4 августа; ).
Телефонные хакеры проникли
в офисную АТС Скотланд-Ярда и нанесли ущерб в размере около 1.5
миллионов долларов неоплаченными звонками с использованием прямого
доступа к внутренним сервисам. (Reuters, 5 августа).
Церковь сайентологов приняла
решение отозвать один из своих многочисленных судебных исков о
нарушении авторских прав после того, как компания Netcom On-Line
Communication Services согласилась выдавать на пользовательские
экраны предостережения о необходимости соблюдать права на интеллектуальную
собственность. Церковь сайентологов нередко добивается возмещения,
когда ее религиозные учения, оформленные ею как защищенные авторскими
правами коммерческие секреты, публикуются без получения на то
разрешения. (AP, 5 августа).
Один из корреспондентов
списка рассылки "Best of Security" сообщил 9 августа:
"Exploder - это один из элементов управления в среде ActiveX.
демонстрирующий проблемы с информационной безопасностью в Microsoft
Internet Explorer. Exploder выполняет аккуратное завершение работы
систем под Windows 95 и даже выключает питание на компьютерах,
BIOS которых содержит средства энергосбережения (так называемые
"зеленые" компьютеры)."
Несколько недель спустя
профессор Принстонского университета Ed Felten вместе со своей
группой обнаружил брешь в защите в Internet Explorer 3.0. Используя
эту брешь, атакующий, должным образом сформировав свою Web-страницу
и "заманив" на нее пользователя Explorer, может выполнить
на компьютере последнего любую DOS-команду. Например, атакующий
может прочитать, изменить или удалить файлы, внедрить вирус или
троянскую программу в компьютер своей жертвы. Ученые создали Web-страницу,
чтобы продемонстрировать выявленную проблему, удаляя файл на машине
зашедшего на эту страницу Explorer-пользователя. ().
В декабре газета "Computerworld" сообщила, что объекты,
построенные в среде ActiveX, могут осуществлять доступ к системным
ресурсам на компьютерах пользователей, что способно привести к
нарушениям безопасности или повреждению данных на ПК. ().
На собрании Американской
психологической ассоциации в Торонто говорилось о явлении "интернетомании",
напоминающем наркоманию. Доктор Kimberly Young из Питсбургского
университета рассматривала детали интернетоманского поведения.
Например, известны случаи, когда люди в силу личной потребности
проводили в Интернет в среднем 38.5 часа в неделю. Некоторые интернетоманы
старались ходить в Сеть посреди ночи, чтобы избежать упреков со
стороны родных; другие норовили сказаться больными, чтобы иметь
возможность остаться дома и путешествовать по Интернет. Часть
людей растягивала обеденный перерыв на три часа, чтобы вдоволь
поиграть в Сети. (AP, UPI, 10 августа).
Профессор юриспруденции
Peter D. Junger возбудил дело в федеральном суде Кливленда. Цель
профессора - запретить федеральным властям ограничивать его или
чьи бы то ни было права на обсуждение несекретных криптографических
технологий с любым гражданином любой страны, равно как и права
на свободную публикацию информации такого рода. Толчком к подаче
иска стало раздражение профессора, вызванное ощущением, что законодательство
о контроле за международной торговлей оружием мешает ему обсуждать
криптографические алгоритмы в рамках курса по компьютерному праву,
среди слушателей которого есть иностранные студенты. ("COMTEX
News", 12 августа).
Эмоционально неуравновешенный
субъект, использовавший псевдоним "johnny xchaotic",
взял на себя ответственность за крупный взрыв "почтовой бомбы",
вызванный сфабрикованной подпиской десятков жертв на сотни списков
рассылки. В непоследовательном, бессвязном письме, посланном им
в Интернет, он (или она?) позволил себе грубые замечания в адрес
людей знаменитых и не очень, по существу лишившихся возможности
получать осмысленную электронную почту из-за приходящих каждый
день тысяч нежелательных сообщений. (Dow Jones, 16 августа). По-видимому,
тот же субъект, действуя на этот раз под псевдонимом "unamailer"
(так пресса окрестила виновника августовского происшествия), организовал
аналогичную массовую "подписку" в конце декабря.
В середине августа нападению
вандалов подвергся Web-сервер Министерства юстиции США. Электронные
"художники" поместили на сервер свастику, изображения
Гитлера, фотографии обнаженных женщин, а также грубые насмешки
в адрес администрации Клинтона и закона о благопристойности коммуникаций
(Communications Decency Act). Кроме того, была искажена информация
о правительственной программе помощи оскорбленным женщинам (AP,
17 августа). В сентябре список организаций с оскверненными Web-серверами
пополнили Британская консервативная партия, "Нация Ислама",
Американская ассоциация психоаналитиков и ЦРУ, которое шведские
кибервандалы 19 сентября переименовали в "Центральное Управление
Тупости". ()
В городке Амерст (США)
воры украли компьютеры и носители данных с информацией, стоимость
которой оценивается в 250 миллионов долларов. Этот случай следует
охарактеризовать как акт откровенного промышленного шпионажа,
направленного против компании Interactive Television Technologies,
Inc. Похищенная информация касалась совершенно секретного проекта
по превращению каждого телевизионного приемника в устройство доступа
к Интернет.
Вирус "HDEuthanasia",
который создал некто с псевдонимом "Demon Emperor",
вызвал в августе легкую панику, главным образом из-за преувеличений
и передергиваний в средствах массовой информации. На самом деле,
этот "скачущий" вирус не обладает какими-то уникальными
свойствами. (PA News, 20 августа; Reuters, 22 августа).
По сообщению журнала "Defense
News", американская армия в Боснии столкнулась с многочисленными
случаями заражения компьютерными вирусами "Monkey",
"AntiEXE" и "Prank". Армейскому персоналу
пришлось потратить сотни часов, отыскивая вирусы и очищая зараженные
системы. (RISIS 18.39).
В Хельсинки Johan Helsingius
опротестовал обвинение в том, что большая часть мировой детской
порнографии пересылается через его сервис анонимной почты anon.penet.fi.
Спустя короткое время он все-таки закрыл свой сервис, поскольку
продолжавшееся полицейское расследование вызвало у него отвращение.
(Reuters, 28 августа; см. также ).
Новости из подполья. Шайка
криминальных хакеров "Scriptors of Doom" начала еженедельную
публикацию средств использования слабостей в защите операционной
системы HP-UX. Криминальный хакер "Galf" начал мстить
за нападки на Netta Gilboa на съезде Defcon, разрушая системы
обидчиков.
Автоматическое обновление уязвимостей
До недавнего времени пополнение сканера новыми уязвимостями проводилось достаточно редко (1 раз в месяц и реже). При этом под пополнением понималось обновление всей системы анализа защищенности, т.е. получение новой версии программного обеспечения.
Сейчас ситуация меняется. В некоторых системах, например, HackerShield существует возможность автоматического обращения через Internet к Web-серверу компании-производителя и загрузка с него новых уязвимостей. При этом соединение с сервером может производиться как по требованию оператора системы, так и по заданному расписанию.
Автоматизированная система разграничения доступа Black Hole версии BSDI-OS.
"Black Hole" ( продукт компании Milkyway Networks ) - это firewall, работающий на proxy серверах протоколов прикладного уровня ( TELNET, FTP и т.д. ). Он служит для разграничения доступа между локальной и глобальной сетью ( ИНТЕРНЕТ ) или между двумя подразделениями локальной сети ( ИНТРАНЕТ ). "Black Hole" построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.
"Black Hole" поддерживает следующие виды сервисов:
терминальный доступ (TELNET)
передача файлов (FTP)
почта (SMTP)
новости Usenet (NNTP, SNNTP)
Web (HTTP, HTTPS)
Gopher
Real Audio
Archie
Wais
X Window System
Кроме этого, в состав "Black Hole" входят proxy сервер уровня TCP и proxy сервер для UDP протокола.
"Black Hole" осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам.
Правила доступа могут использовать в качестве параметров:
адрес источника
адрес назначения
сервис ( FTP, TELNET, и т.д.)
дата и время доступа
идентификатор и пароль пользователя
"Black Hole" поддерживает строгую аутентификацию как с использованием обычных
паролей, так и различных типов одноразовых паролей:
S/Key
Enigma Logic Safeword
Security Dynamics SecureID,
при этом аутентификация может быть включена для любого вида сервиса.
"Black Hole" поддерживает два режима аутентификации:
аутентификацию каждой TCP сессии
прозрачную аутентификацию
Второй режим позволяет прозрачно пользоваться всеми авторизованными
пользователю сервисами ( без аутентификации каждой сессии ). Для установки этого
режима пользователю необходимо аутентифицироваться при помощи одного из
следующих сервисов ( TELNET, FTP, Gopher, WWW). Для каждого пользователя можно
задать период времени, в течении которого он может использовать этот режим. Это
позволяет создать крайне удобный для пользователя режим использования firewall.
Система выдачи предупреждений о попытках НСД в реальном времени в "Black Hole"
позволяет администратору системы описывать опасные события и реакцию на них
системы (вывод на консоль, звонок на пейджер и т.д.)
"Black Hole" позволяет описывать различные типы нарушений и определять реакцию
на их появление.
"Black Hole" позволяет образовывть соединения за один шаг ( т.е. в качестве хоста
назначения сразу указывается необходимый сервер, без первоначального
соединения с proxy и с proxy до нужного хоста).
"Black Hole" предоставляет сервис для создания групп пользователей, сервисов,
хостов и сетей и позволяеть создавать правила для этих групп, что дает возможность
легко описывать и администрировать большое количество пользователей.
"Black Hole" имеет удобную и дружественную графическую оболочку под X-Windows,
так что настойкой системы может заниматься неискушенный в UNIX человек. Все
административные функции могут быть выполнены из этой оболочки. Ядро ОС
модифицировано для защиты графического интерфейса от внешнего доступа.
"Black Hole" предоставляет следующие возможности по конвертации адреса
источника пакета при прохождении через firewall:
адрес может быть заменен на адрес firewall;
адрес может быть оставлен без изменения;
адрес быть заменен на выбранный администратором
Последняя опция позволяет для пользователей INTERNET представлять
внутреннюю сеть как состоящую из набора подсетей.
"Black Hole" позволяет организвать дополнительную подсеть (Service Network) (через
дополнительный сетевой интерфейс) для открытых сервисов (FTP, HTTP, Gopher).
Это позволяет вынести эти сервисы из внутренней сети, обеспечив при этом
контроль доступа и сбор статистики за использованием этих сервисов.
"Black Hole" использует для хранения и обработки статистической информации
реляционную базу данных с языком запросов SQL. Большой выбор типов выборок
по различным параметрам соединения в сочетании со средствами графического
представления
"Black Hole" функционирует на PC и Sun Sparc платформах под управлением
модифицированных версий операционных систем BSDI и SunOS.
"Black Hole" имеет сертификат NCSA, гарантирующий его высокую надежность и уровень защиты.
"Black Hole 3.0" для BSDI платформы сертифицирована Государственной Технической Комиссией при Президенте России. СЕРТИФИКАТ N79
Безопасность в Internet
А.А. Корниенко, ПГУПС, И.М. Слюсаренко «InfoSoftCom»
Евгений Ющук
Андрей Кадацкий
Лекция из курса «Межсетевое экранирование»
Лапонина Ольга Робертовна
Интернет-Университет Информационных Технологий, INTUIT.ru
Олег Колесников, Брайан Хетч,
abdullah
CISO , CISSP Владимир Курбатов, Группа компаний "АйТи".
, #01/2005
, http://www.smirnov.sp.ru/.
Елена Полонская,
Darren Reed, http://coombs.anu.edu.au/~avalon/examples.html, перевод Михаила Печкина, OpenBSD.ru
OpenBSD.ru
Александр Таранов, Олег Слепов, "Jet Info", #6/2003
Евгений Жульков,
Ланс Спитцнер,
Автор: Билал Сиддикуи (Bilal Siddiqui)
Перевод:
Авторские права:
Максим Филиппов, ОАО "Элвис-Плюс",
Джордж Лоутон,
Михаил Савельев, , #04/2002
А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"
А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"
А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"
А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"
А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"
А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"
А.В.Лукацкий, Научно-инженерное предприятие "Информзащита"
Мэтью Ньютон , #06/2000
Джоул СНАЙДЕР, журнал "", #02/2000
Дебора РЭДКЛИФФ, Журнал , #02/2000
Виктор Олифер,
Виктор Олифер,
Медведовский И.Д., Семьянов П.В., Платонов В.В., НПО "Мир и семья-95", 1997 г.
Алексей ЛУКАЦКИЙ, НИП "Информзащита", СЕТИ #10/99
перевод Владимира Казеннова
Robert Graham, перевод Алексея Лукацкого, НИП "Информзащита"
НИП "Информзащита"
НИП "Информзащита"
Э. Гутман, Л. Леонг, Дж. Малкин
,
А.Лукацкий, руководитель отдела Internet-решений НИП "Информзащита"
Информация предоставлена НИП "Информзащита"
Информация предоставлена НИП "Информзащита"
Информация предоставлена НИП "Информзащита"
Информация предоставлена "Р-Альфа"
Перевод Владимира Казеннова
Перевод Владимира Казеннова
Перевод Владимира Казеннова
M.E. Kabay, перевод компании
Е.В.Балакшин, С. В. Хлупнов, Корпорация ЮНИ
Информация предоставлена "Р-Альфа"
В. Галатенко, И. Трифоленков, АО "Инфосистемы Джет"
С.Рябко, АО ЭЛВИС+
В. Бутенко, В. Громов, Гостехкомиссия России
М. Ганев, "Р-Альфа"
Корпорация ЮНИ
И. Трифаленков, Jet Infosystems
document.write('');
02.08 - 02.08 - 02.08 - 02.08 - 02.08 - 01.08 - 01.08 - 01.08 - 01.08 - 01.08 - 01.08 - 01.08 - 01.08 - 01.08 - 01.08 - 31.07 - 31.07 - 31.07 - 31.07 - 31.07 -
Архив новостей
(66)
2 Август, 17:53
(19)
2 Август, 17:51
(34)
2 Август, 15:40
(42)
2 Август, 15:35
(1)
2 Август, 14:54
(3)
2 Август, 14:34
(3)
2 Август, 14:15
(2)
2 Август, 13:34
(7)
2 Август, 13:04
(3)
2 Август, 12:28
BrainBoard.ru
Море работы для программистов, сисадминов, вебмастеров.
Иди и выбирай!
google.load('search', '1', {language : 'ru'}); google.setOnLoadCallback(function() { var customSearchControl = new google.search.CustomSearchControl('018117224161927867877:xbac02ystjy'); customSearchControl.setResultSetSize(google.search.Search.FILTERED_CSE_RESULTSET); customSearchControl.draw('cse'); }, true);
IT-консалтинг | Software Engineering | Программирование | СУБД | Безопасность | Internet | Сети | Операционные системы | Hardware |
PR-акции, размещение рекламы — , тел. +7 495 6608306, ICQ 232284597 | Пресс-релизы — |
This Web server launched on February 24, 1997 Copyright © 1997-2000 CIT, © 2001-2009 |
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. |
Студия СТИЛЬ-купе: c гарантией. |
Межсетевой экран BlackHole является фильтром
Межсетевой экран BlackHole является фильтром на уровне приложений и служит для защиты от
несанкционированного доступа машин в приватной сети. Поддерживаются все
стандартные сетевые протоколы семейства TCP/IP (например TELNET,FTP,HTTP,
TCP sessions, UDP virtual sessions). В случае типичной установки межсетевой экран
располагается между приватной сетью и глобальной сетью Internet.
Межсетевой экран базируется на принципе - "что не разрешено, то запрещено".
Межсетевой экран защищает приватную сеть на уровне конкретных протоколов и "сырого"
соединения. Пересылка пакетов стандартным путем (IP forwarding) полностью
блокирована. Все запросы, идущие через межсетевой экран полностью аутентифицированы.
BlackHole разрабатывался таким образом, чтобы создать наиболее комфортабельные
условия для пользователей защищенной сети, поэтому имеет прозрачный режим
работы. В последнем случае пользователь аутентифицируется при первоначальном
использовании межсетевого экрана, после чего от него не требуется дополнительная аутентификация в
течение времени, определяемого администратором.
Аутентификация пользователей производиться по следующим правилам:
Где находиться с использованием исходного и конечного адресов
запроса
Что хочет с использование типам запрошенного сервиса
Когда хочет с использованием времени суток и даты запроса
Что он знает с использованием имени пользователя и пароля
Что у него есть с использованием смарт-карты
Межсетевой экран записывает в журнал информацию о все сетевых сессиях, проходящих через него.
Дата и время суток
Тип соединения или протокол
Исходный адрес инициатора
Удаленный адрес запроса
Номер порта для "сырого" соединения
Имя аутентифицированного пользователя
Информацию о трафике
Боязнь открытых текстов
Некоторые компании опасаются приобретать свободно распространяемое программное обеспечение, поскольку оно разработано не в одной определенной компании и не поддерживается программными средствами, которые они привыкли приобретать. В силу этого, как прогнозирует Девид Московиц, директор по технологиям консалтинговой компании Productivity Solutions, многие свободно распространяемые средства начинают использоваться лишь после того, как его по собственной инициативе опробуют ИТ-специалисты и постепенно внедрят его на предприятии.
Большое число обнаруживаемых уязвимостей
Текущая версия системы Internet Scanner (версия 5.4) обнаруживает более 400 уязвимостей, что почти в 1.5 раза превышает число обнаруживаемых уязвимостей у ближайших конкурентов. Система Internet Scanner проводит 20 различных категорий проверок, к которым можно отнести:
Получение информации о сканируемой системе Проверки FTP Проверки сетевых устройств Проверки электронной почты Проверки RPC Проверки NFS Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service") Проверки паролей Проверки Web-серверов Проверки Web-броузеров Проверки возможности осуществления атак типа "подмена" ("Spoofing") Проверки межсетевых экранов Проверки удаленных сервисов Проверки DNS Проверки файловой системы ОС Windows NT Проверки учетных записей ОС Windows NT Проверки сервисов ОС Windows NT Проверки системного реестра ОС Windows NT Проверки установленных patch'ей системы безопасности ОС Windows NT
Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Большое число проводимых проверок
Текущая версия системы System Security Scanner обнаруживает около 200 уязвимостей ОС UNIX (версия 1.6 для ОС Unix) и более 300 уязвимостей ОС Windows NT, Windows 9x (версия System Scanner 1.0 для Windows). Система System Security Scanner проводит различные категории проверок, к которым можно отнести:
Получение информации о сканируемой системе Проверки настроек FTP Проверки настроек электронной почты Проверки настроек RPC Проверки настроек NFS Проверки возможности осуществления атак типа "отказ в обслуживании" ("Denial of Service") Проверки паролей Проверки настроек Web-серверов Проверки настроек Web-броузеров Проверки настроек удаленных сервисов (в т.ч. RAS для ОС Windows NT). Проверки настроек DNS Проверки файловой системы ОС Windows NT Проверки учетных записей ОС Windows NT Проверки настроек сервисов ОС Windows NT Проверки системного реестра ОС Windows NT Проверки установленных patch'ей системы безопасности ОС Windows NT Проверки антивирусных программ Проверки прикладного ПО (в т.ч. Microsoft Office) Проверки настроек модемов.
Периодическое обновление базы данных уязвимостей позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Большое число распознаваемых атак
Система RealSecure? позволяет обнаруживать большое число атак и иных контролируемых событий. В версии 2.5 это число превышает 665. Ниже описаны основные типы контролируемых событий:
"Отказ в обслуживании" (Denial of service)
Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.
"Неавторизованный доступ" (Unauthorized access attempt)
Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.
"Предварительные действия перед атакой" (Pre-attack probe)
Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.
"Подозрительная активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.
"Анализ протокола" (Protocol decode)
Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.
Периодическое обновление базы данных атак позволяет поддерживать уровень защищенности Вашей корпоративной сети на необходимом уровне.
Задание шаблонов фильтрации трафика
Для более точной настройки системы RealSecure? на работу в сетевом окружении, администратор безопасности может использовать либо один из восьми (для версии 2.5) изначально устанавливаемых шаблонов, либо создавать на их основе свои собственные шаблоны, учитывающие специфику Вашей корпоративной сети. Все вновь созданные шаблоны могут быть сохранены для последующего использования.
"Максимум возможностей" (Maximum Coverage)
Данный шаблон позволяет использовать абсолютно все возможности модуля слежения системы RealSecure?, включая обнаружение атак, анализ протоколов, запись сессий и т.п.
"Детектор атак" (Attack Detector)
Данный шаблон позволяет только обнаруживать атаки. Этот шаблон может быть использован для обнаружения и отражения атак на ресурсы особо критичных участков или узлов сети.
"Анализатор протоколов" (Protocol Analyzer)
Данный шаблон является противоположным "детектору атак", т.е. все возможности по обнаружению атак отключены и доступны только функции контроля сетевых протоколов. Указанный шаблон может использоваться администраторами для понимания всех процессов, происходящих в корпоративной сети.
"Web-сторож" (Web Watcher)
Данный шаблон позволяет контролировать только HTTP-траффик сети. Указанный шаблон может использоваться администраторами для определения HTTP-траффика Вашей корпоративной сети или для контроля этого трафика в сегментах, в которых установлены только Web-сервера.
При использовании данного шаблона обнаруживаются только атаки, основанные на использовании протокола HTTP.
"Windows-сети" (For Windows Networks)
Данный шаблон позволяет контролировать трафик, специфичный для Windows сетей. Указанный шаблон можно использовать, например, в тех сетях, которые построены на базе операционной системы Windows NT. При использовании данного шаблона обнаруживаются только атаки, специфичные для сетей, построенных на основе семейства операционных систем Windows.
"Запись сессий" (Session Recorder)
Данный шаблон позволяет записывать сессии по протоколам Telnet, FTP, SMTP (электронная почта) и NNTP (сетевые новости).
"Модуль слежения в DMZ" (DMZ Engine)
Данный шаблон ориентирован на функционирование модуля слежения в демилитаризованной зоне (DMZ).
"Модуль слежения до межсетевого экрана" (Engine Inside Firewall)
Данный шаблон ориентирован на функционирование модуля слежения за межсетевым экраном.
Борьба с червями
Sygate Personal Firewall Pro5.5 и Zone Lab ZoneAlarm Pro 4.5 никогда не были замечены ни в атаке на "своих, чтоб чужие боялись", ни в чрезмерном попустительстве по отношению к другим приложениям. Благодаря этому они предоставляют широкие возможности контроля за системой. Однако если нетерпеливый администратор будет сначала жать на кнопку OK, а потом думать, о чем же это его предупреждают, то он подвергнет систему большому риску.
Возьмем, к примеру, червь Bagle, который маскируется под Windows Explorer. Когда он пытается передать данные в интернет, межсетевые экраны McAfee, Norton, Sygate и ZoneAlarm фиксируют это и дают администратору соответствующий запрос. Если тот проявит достаточно бдительности, то заинтересуется, зачем это Проводнику вдруг понадобилось выйти в Сеть. Но если администратор "проспит" тревожный сигнал и просто нажмет OK, то будет сам отвечать за последствия.
Во избежание подобных проблем можно воспользоваться межсетевым экраном с фильтрацией портов (экран такого типа встроен в Windows XP) или с фильтрацией портов и пакетов, как в Trend Micro PC-cillin Internet Security 2004. При фильтрации пакетов межсетевой экран контролирует данные, передаваемые в обоих направлениях между сетью и компьютером, на предмет известных уязвимых мест или подозрительного поведения. Например, таким образом блокируются попытки "нелегального" доступа к портам, открываемым почтовыми вирусами-червями, для получения инструкций от удаленного хакера.
Вообще-то в обязанности межсетевого экрана не входит "отлов" червей и нелегальных программ — это дело антивируса. Однако антивирусные сканеры лучше всего работают тогда, когда могут сравнить потенциальный вирус с базой данных уже известных вирусов. Если же вирус "свежий", то он часто остается нераспознанным до тех пор, пока не будет внесен в базу данных и пока она не будет обновлена на зараженном компьютере. На это может уйти от нескольких часов до нескольких дней, а с учетом лени администратора — и недель.
Проведенные тесты показали следующие возможности распространенных межсетевых экранов. При попытке программы организовать массовую почтовую рассылку, содержащую ее копии, McAfee и ZoneAlarm блокируют эту операцию независимо от того, рассылаются ли письма все сразу или по очереди; при этом пользователь получает предупреждение. Panda останавливает "червя" иначе: блокирует все исходящие письма, содержащие во вложениях исполняемые файлы.
Если же червь, такой как Bagle, пытается нелегально открыть порт системы и получит инструкции от удаленного хакера, Panda ничего не может сделать. Маршрутизаторы же блокируют это действие, а программные межсетевые экраны, работающиепо принципу предоставления полномочий, — McAfee, Norton, Sygate и ZoneAlarm — предупреждают о нем пользователя. Впрочем, при этом они принимают червя за Windows Explorer, не сообщая, что на самом деле это червь, маскирующийся под Проводник. Межсетевые экраны с фильтрацией портов PC-cillin и экран Windows XP защищают компьютер тихо и надежно — они сами блокируют попытки червя получить доступ к порту, не заставляя пользователя гадать над значением предупреждений.
Злонамеренные программы не только по-тихому открывают порты — они могут начисто "оголить" компьютер, отключив систему защиты. Panda, Sygate и ZoneAlarm сопротивляются таким атакам, но межсетевой экран Windows XP, McAfee, Norton и Trend Micro выключаются под воздействием кода вторжения — более того, такой код способен удалить файлы последних трех пакетов.
Брандмауэр
Информация предоставлена
Брандмауэр - это система или комбинация систем, позволяющие разделить сеть на две или
более частей и реализовать набор правил, определяющих условия прохождения пакетов из
одной части в другую (см ).
Как правило, эта граница проводится между локальной сетью
предприятия и INTERNET, хотя ее можно провести и внутри локальной сети предприятия.
Брандмауэр таким образом пропускает через себя весь трафик. Для каждого проходящего
пакета брандмауэр принимает решение пропускать его или отбросить. Для того чтобы
брандмауэр мог принимать эти решения, ему необходимо определить набор правил. О том,
как эти правила описываются и какие параметры используются при их описании речь пойдет
ниже.
Как правило, брандмауэры функционируют на какой-либо UNIX платформе - чаще всего это
BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных
платформ встречаются INTEL, Sun SPARC, RS6000, Alpha , HP PA-RISC,
семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры
поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства.
Требования к оперативной памяти и объему жесткого диска зависят от количества машин в
защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб
на жестком диске.
Как правило, в операционную систему, под управлением которой работает
брандмауэр вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти
изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом
брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр),
только счет администратора. Некоторые брандмауэры работают только в однопользовательском
режиме. Многие брандмауэры имеют систему проверки целостности программных кодов. При
этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются
при старте программы во избежание подмены программного обеспечения.
Все брандмауэры можно разделить на три типа:
Все типы могут одновременно встретиться в одном брандмауэре.
Централизованное управление
Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места, а также отсутствие специальных программ-агентов на сканируемых узлах, делает систему Internet Scanner&153; незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.
Возможность установки модулей слежения на наиболее критичные участки Вашей сети и возможность централизованного управления ими из единого рабочего места делает систему RealSecure? незаменимым помощником специалистов отделов технической защиты информации любой организации. Также возможен доступ к одному модулю слежения одновременно с нескольких консолей управления. Это дает возможность управлять модулем слежения нескольким администраторам, возможно находящимся в разных подразделениях (например, в отделе защиты информации и управлении автоматизации).
Централизованное управление процессом анализа защищенности всех узлов сети с одного рабочего места делает систему System Security Scanner? незаменимым помощником специалистов отделов технической защиты информации или управлений автоматизации любой организации.
Система System Security Scanner? обладает уникальной возможностью централизованной инсталляции своих компонентов на удаленных хостах корпоративной сети. Это позволяет администраторам безопасности не сходя со своего рабочего места установить систему S3 на все критичные участки Вашей корпоративной сети и своевременно проводить анализ защищенности узлов.
Централизованное управление средствами безопасности
Продукты компании CheckPoint в полной мере удовлетворяют требованиям централизованного управления в масштабах предприятия.
Системы контроля доступа FireWall-1, защиты данных VPN-1 и управления трафиком FloodGate-1 конфигурируются и управляются с помощью общей системы управления политикой компании Check Point. Эта система позволяет администратору с помощью графического редактора Policy Editor создавать и редактировать правила контроля доступа, VPN-защиты и управления трафиком в едином стиле и с использованием, если нужно, общих объектов. Правила всех типов хранятся в сервере Management Server, откуда централизованно распространяются по всем модулям FireWall-1, VPN-1 и FloodGate-1 предприятия. Графический редактор построен в архитектуре клиент-сервер, что позволяет администратору (или администраторам) создавать и редактировать правила из любой удобной точки сети. Данная архитектура обеспечивает согласованное управление основными компонентами системы безопасности сети на основе продуктов компании Check Point, хорошо масштабируется и может применяться в отказоустойчивом варианте при резервировании центрального сервера Management Server.
Администратор системы безопасности FireWall-1/VPN-1/FloodGate-1 может использовать графический пользовательский интерфейс модуля Account Management, входящего в состав FireWall-1, для использования в правилах политики имена пользователей и групп пользователей, учетные данные которых хранятся во внешней LDAP-совместимой службе каталогов. Это свойство позволяет использовать в системе безопасности Check Point все преимущества централизованного управления пользовательскими данными на основе стандартных служб каталогов, во многих сетевых операционных системах (например, NDS для NetWare и Windows NT, Active Directory для Windows 2000 и т.д.).
Такие продукты компании CheckPoint как RealSecure и Meta IP имеют собственные системы управления, которые построены в архитектуре клиент-сервер и обеспечивают централизованное управление своими модулями в масштабах предприятия.
Наличие у современного предприятия многочисленных средств защиты (межсетевых экранов, VPN-шлюзов, VPN-клиентов, систем аутентификации, контроля доступа по содержанию и т.п.), распределенных к тому же по территории, требует централизованного управления.
Централизованное управление средствами безопасности подразумевает наличие некоторой единой (возможно, распределенной) базы правил, описывающих согласованную политику безопасности предприятия. Эта политика определяет поведение многочисленных средств защиты предприятия - межсетевых экранов, VPN-шлюзов, VPN-клиентов, трансляторов адресов и т.п. Согласованное задание администратором правил политики безопасности для различных устройств защиты с помощью общей консоли управления обеспечивает их непротиворечивость и эффективность, а также сокращает затраты труда и, соответственно, стоимость управления. Каждое устройство защиты, работающее в сети, должно поддерживать взаимодействие с централизованной системой управления и получать от нее защищенным образом правила безопасности, относящиеся к данному устройству. Управление на основе политики является эффективным инструментом не только в области безопасности, но в других областях, например, при управлении качеством транспортного обслуживания. Возможность интеграции различных систем управления на основе политики безусловно повышает эффективность управления и является весьма желательным свойством для корпоративных продуктов безопасности и поддержки QoS.
Общая тенденция при построении централизованно управляемых сетей состоит в использовании единой службы каталогов (называемой также справочной службой), хранящей данные, необходимые для управления всеми аспектами сетевой активности и всеми компонентами сети: учетные данные пользователей, права их доступа к сети и отдельным ее ресурсам, данные о распределении программных компонент по компьютерам сети, правила управления качеством обслуживания и т.д. и т.п. Над общей службой каталогов работают различные сетевые сервисы, использующие данные о компонентах сети для выполнения частных задач управления: администрирования пользователей, аутентификации пользователей, управления качеством обслуживания и т.д.
В этом ряду должны находиться и сервисы управления безопасностью, однако пока производители средств безопасности предпочитают использовать для хранения правил политики отдельные базы данных и фирменные протоколы распределения правил по устройствам защиты. Возможно, что дальнейшее развитие и распространение служб каталогов приведет к переносу в них и баз правил политики безопасности. Ситуация усложняется сегодня и тем, что продукты безопасности разных производителей если и имеют систему централизованного управления, то она не совместима с системами управления других производителей.
Наличие централизованных средств управления продуктами безопасности является безусловным требованием для возможности их применения в корпоративном масштабе. Также крайне желательна интеграция систем централизованного управления различными продуктами в единую систему управления, работающую на основе общей политики безопасности.
Что делать с новыми "микробами"?
В своей работе антивирусные сканеры опираются в основном на точное соответствие известным злонамеренным программам, сигнатуры которых хранятся в базе данных. Впрочем, иногда они "ловят" и новые вирусы, которых а базе нет, используя эвристические алгоритмы. Строго говоря, слово "эвристический" здесь означает возможность идентифицировать неизвестный вирус на основании неких характерных признаков — например, кода, использующего известную "дыру" в операционной системе или приложении. На практике в эвристических алгоритмах поиска вирусов используются различные "нечеткие" схемы распознавания новых модификаций уже известных вирусов с использованием их общих признаков — например, зная признаки вируса Netsky.gen, можно "отловить" его новые варианты вроде Netsky.R.
По данным тестов, из рассмотренных программ самыми удачными эвристическими алгоритмами обладают McAfee и AVG, идентифицирующие 70,1% и 65,6% файлов, зараженных неизвестными вирусами; худший результат оказался у NOD32 — 41,4%. И в любом случае, это гораздо меньше и медленнее, чем при распознавании известных вирусов, так что основным средством своевременного лечения по-прежнему остается регулярное обновление антивирусных баз.
Все программы тестировались в режиме максимально тщательного сканирования. Особый случай представлял собой NOD32: в этой программе предусмотрен повышенный по сравнению с жестким диском уровень эвристического сканирования Advanced Heuristics для электронной почты и веб-трафика, этих основных источников инфекций. Для сканирования жесткого диска этот режим тоже можно использовать, но не средствами графического интерфейса, а с помощью недокументированной команды nod32.exe /AH. В режиме Advanced Heuristics качество сканирования NOD32 возрастает до 53,5%.
К сожалению, все рассмотренные антивирусы успешно распознают новые инфекции только в том случае, если последние принадлежат к уже известным вирусным "семействам", но оказываются бессильны при встрече с совершенно новым вирусом. Например, ни один из сканеров не распознал червя Netsky, пока его сигнатура не была внесена в базу данных.
Таким образом, эвристическое распознавание вирусов по-прежнему ненадежно. Приходится опираться на другие уровни защиты, такие как межсетевые экраны и собственный здравый смысл.
Что реально можно ожидать от систем обнаружения атак?
Маркус Ранум: Системы обнаружения атак достаточно своевременно обнаруживают известные атаки. Не стоит ждать от таких систем обнаружения неизвестных на сегодняшний день атак. Проблема обнаружения чего-то, неизвестного до настоящего момента, является очень трудной и граничит с областью искусственного интеллекта и экспертных систем (однако в этих областях уже достигнуты немалые успехи; особенно с развитием теорий нейронных сетей и нечеткой логики - примечание переводчика). Также не следует ожидать, что системы обнаружения атак способны реагировать на атаки путем нападения. Это очень опасная возможность, так как она означает, что ложная тревога или ложное срабатывание может вызвать реакцию, запрещающую ту или иную услугу или блокирующую доступ в сеть. Проблема с системами обнаружения атак состоит в том, что, многие люди, прочтя Neuromancer Уильяма Гибсона, думают, что системы обнаружения атак действуют подобно интеллектуальному "ICE" (что-то вроде искусственного разума, обеспечивающего защиту информационной системы - примечание переводчика) и могут защитить сети намного эффективнее, чем это может быть на самом деле. Я вижу, что, скорее всего, системы обнаружения атак похожи на антивирусные программы, используемые для поиска вирусов на жестких дисках или в сетях.
Ли Саттерфилд: Современные системы обнаружения атак способны контролировать в реальном масштабе времени сеть и деятельность операционной системы, обнаруживать несанкционированные действия, и автоматически реагировать на них практически в реальном масштабе времени,. Кроме того, системы обнаружения атак могут анализировать текущие события, принимая во внимание уже произошедшие события, что позволяет идентифицировать атаки,, разнесенные во времени, и, тем самым, прогнозировать будущие события. Можно ожидать, что технология обнаружения атак позволит намного повысить существующий уровень защищенности, достигаемый "стандартными" средствами, путем управления несанкционированными действиями в реальном масштабе времени. Технология обнаружения атак не решает проблем идентификации/аутентификации, конфиденциальности и т.п., хотя в ближайшем будущем эти механизмы будут интегрированы с системами обнаружения атак.
Кристофер Клаус: Развитие систем обнаружения атак требует дальнейших исследований. Нереально ожидать от систем обнаружения атак, что они будут способны подобно межсетевым экранам защитить всех пользователей от всех угроз (спорный пример - прим. переводчика). Развертыванию системы обнаружения атак должно предшествовать несколько шагов, позволяющих собрать дополнительную информацию, внести изменения в настройки сети. Хорошая система автоматизирует многие этапы этого процесса. Многие заказчики думают, что средства защиты, подобные системам обнаружения атак, защитят их от 100% "плохих вещей". Это не так. В современном мире нет абсолютных средств защиты. Системы обнаружения атак значительно уменьшат вероятность реализации угроз, но и они не совершенны.
Девид Карри: При помощи систем обнаружения атак Вы сможете узнать больше относительно того, что происходит в вашей сети. Вы будете способны собирать данные о том, что поступает в вашу сеть из удаленных источников, и использовать эти данные для эффективного применения средств защиты информации. Однако ошибочно думать, что установка систем обнаружения атак решит все ваши проблемы. Вы по-прежнему должны будете иметь комплексную систему информационной безопасности, объединяющую политику безопасности, обучение, тестирование и применение технических средств. Обнаружения атак - только один элемент этой системы.
Юджин Спаффорд: Реально ожидать от систем обнаружения атак идентификации в практически реальном режиме времени любых попыток использования известных уязвимостей или несанкционированного исследования вашей внутренней сети. Они также должны следить за попытками перегрузки критичных ресурсов. Наряду с этим, они должны выдавать звуковые предупреждения об атаке, выполнять определенные действия и создавать журнал регистрации событий для последующего анализа.
Неразумно ожидать, что системы обнаружения атак будут эффективно идентифицировать неизвестные типы нападений или идентифицировать атаки, разнесенные во времени.
Любая существующая или создаваемая система требует периодического контроля и сопровождения технически грамотным специалистом, постоянно дополняющим ее информацией о новых атаках и уязвимостях. Любая система в некоторых случаях будет ложно генерировать тревоги и сообщать о нападениях. Поэтому требуется некто с достаточным пониманием среды функционирования системы обнаружения атак, который может принимать решения, - ложная ли это тревога или произошла реальная атака.
Что такое IDS
IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности. Мы рассмотрим, для каких целей предназначены IDS, как выбрать и сконфигурировать IDS для конкретных систем и сетевых окружений, как обрабатывать результаты работы IDS и как интегрировать IDS с остальной инфраструктурой безопасности предприятия.
Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDS являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.
IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.
Что такое Internet Scanner?
Система анализа защищенности Internet Scanner&153; разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. При помощи данной системы можно проводить регулярные всесторонние или выборочные тесты сетевых сервисов, операционных систем, распространенного прикладного программного обеспечения, маршрутизаторов, межсетевых экранов, Web-серверов и т.п. На основе проведенных тестов система Internet Scanner&153; вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.
Система Internet Scanner&153; может быть использована для анализа защищенности любых систем, основанных на стеке протоколов TCP/IP. Это могут быть как компьютеры, подключенные к локальной или глобальной сети (Internet), так и автономные компьютеры с установленной поддержкой TCP/IP.
Постоянная уверенность в том, что в Вашей сети отсутствуют известные уязвимости, достигается путем периодического сканирования функционирующих сетевых устройств и используемого программного обеспечения. Эти профилактические меры помогут Вам своевременно обнаружить потенциальные уязвимости и устранить их до того момента, как ими воспользуются злоумышленники.
Достоинства системы Internet Scanner&153; были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система Internet Scanner&153; имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, система Internet Scanner&153; содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.
Что такое межсетевой экран?
Теперь немного терминологии. В данной статье мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные. Уточним основные понятия (по материалам руководящего документа Государственной технической комиссии России).
Под сетями ЭВМ, распределенными автоматизированными системами (АС), в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.
МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Упрощенно, firewall — это устройство, устанавливаемое между сетями и предназначенное для контроля трафика ними.
Как видно из определения, основное назначение систем firewall — регламентировать использование ресурсов одних сетей пользователями других. Появление таких устройств обусловлено существенным усложнением архитектуры сетей и ростом числа различных сетевых сервисов. Основная идея, положенная в основу этого решения, — сосредоточить в одной критической точке все необходимые контрольные функции вместо того, чтобы контролировать доступ и используемые сервисы на всех компонентах сети. Наиболее широкое распространение эта технология защиты получила при использовании открытых сетей.
Что такое RealSecure?
Система обнаружения атак RealSecure? разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения атак. Система RealSecure? - это интеллектуальный анализатор пакетов с расширенной базой сигнатур атак, который позволяет обнаруживать враждебную деятельность и распознавать атаки на узлы Вашей корпоративной сети. Система RealSecure? построена по технологии анализа сетевых пакетов в реальном масштабе времени (real-time packet analysis) относится к системам обнаружения атак, ориентированных на защиту целого сегмента сети (network-based). Для защиты конкретного узла (Host-based) корпоративной сети может применяться система RealSecure 3.0, ранее называвшаяся системой LookOut.
Как только атака распознается происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все операции при осуществлении атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов Вашей корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены. Распределенная архитектура системы RealSecure позволяет устанавливать компоненты системы таким образом, чтобы обнаруживать и предотвращать атаки на Вашу сеть как изнутри, так и снаружи.
Достоинства системы RealSecure? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система RealSecure? имеет множество наград от различных организаций и журналов, работающих в области информационной безопасности. Кроме того, периодическое обновление базы данных атак системы RealSecure? выгодно отличает ее от других конкурирующих продуктов.
Что такое система анализа защищенности?
При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.
Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.
При построении любой современной информационной системы практически невозможно обойтись без разработки и реализации некоторых механизмов защиты. Это могут быть как простые механизмы (например, фильтрация пакетов), так и достаточно сложные (например, применение в межсетевых экранах технологии Stateful Inspection). Таких механизмов может и не быть. В этом случае обеспечение информационной безопасности проектируемой системы возлагается на саму операционную систему или какие-либо дополнительные средства защиты. Однако во всех этих случаях перед отделами защиты информации и управлениями автоматизации возникает задача проверки, насколько реализованные или используемые механизмы защиты информации соответствует положениям принятой в организации политики безопасности. И такая задача будет периодически возникать при изменении обновлении компонентов информационной системы, изменении конфигурации операционной системы и т.п.
Однако, администраторы сетей не имеют достаточно времени на проведение такого рода проверок для всех узлов корпоративной сети. Следовательно, специалисты отделов защиты информации и управлений автоматизации нуждаются в средствах, облегчающих анализ защищенности используемых механизмов обеспечения информационной безопасности. Автоматизировать этот процесс помогут средства анализа защищенности, называемые также сканирующим программным обеспечением (scanning software) или сканерами безопасности (security scanner). Использование этих средств поможет определить уязвимости на узлах корпоративной сети и устранить их до тех пор, пока ими воспользуются злоумышленники.
Что такое система обнаружения атак?
Объединение компьютеров в сети ломает старые аксиомы защиты информации. Например, о статичности безопасности. В прошлом уязвимость системы могла быть обнаружена и устранена администратором системы путем установки соответствующего обновления, который мог только через несколько недель или месяцев проверить функционирование установленной "заплаты". Однако эта "заплата" могла быть удалена пользователем случайно или в процесс работы, или другим администратором при инсталляции новых компонент. Все меняется, и сейчас информационные технологии меняются настолько быстро, что статичные механизмы безопасности уже не обеспечивают полной защищенности системы.
До недавнего времени основным механизмом защиты корпоративных сетей были межсетевые экраны (firewall). Однако межсетевые экраны, предназначенные для защиты информационных ресурсов организации, часто сами оказываются уязвимыми. Это происходит потому, что системные администраторы создают так много упрощений в системе доступа, что в итоге каменная стена системы защиты становится дырявой, как решето. Защита с помощью межсетевых экранов (МСЭ) может оказаться нецелесообразной для корпоративных сетей с напряженным трафиком, поскольку использование многих МСЭ существенно влияет на производительность сети. В некоторых случаях лучше "оставить двери широко распахнутыми", а основной упор сделать на методы обнаружения вторжения в сеть и реагирования на них.
Для постоянного (24 часа в сутки 7 дней в неделю, 365 дней в год) мониторинга корпоративной сети на предмет обнаружения атак предназначены системы "активной" защиты - системы обнаружения атак. Данные системы выявляют атаки на узлы корпоративной сети и реагируют на них заданным администратором безопасности образом. Например, прерывают соединение с атакующим узлом, сообщают администратору или заносят информацию о нападении в регистрационные журналы.
Что такое System Security Scanner?
Система анализа защищенности System Security Scanner? (S3) разработана американской компанией Internet Security Systems, Inc. и предназначена для решения одного из важных аспектов управления сетевой безопасностью - обнаружения уязвимостей. В отличие от системы Internet Scanner, анализирующей уязвимости на уровне сетевых сервисов, система S3 анализирует уязвимости на уровне операционной системы. Кроме того, система S3 проводит анализ защищенности изнутри сканируемого компьютера, в то время как система Internet Scanner? снаружи. На основе проведенных тестов система System Security Scanner? вырабатывает отчеты, содержащие подробное описание каждой обнаруженной уязвимости, ее расположение на узлах Вашей корпоративной сети и рекомендации по их коррекции или устранению.
Система System Security Scanner? может быть использована для анализа защищенности операционных систем Unix (различные версии), Windows NT, Windows 95 и 98.
Большинство нарушений безопасности связано с сотрудниками организации (до 80% всех нарушений). Поэтому система System Security Scanner?, обеспечивающая не только поиск уязвимостей, но и их автоматическое устранение, является важной составляющей комплексной системы безопасности Вашей организации.
Достоинства системы System Security Scanner? были по праву оценены более чем 1800 компаниями во всем мире (в т.ч. и в России), использующими ее как основной компонент системы обеспечения сетевой безопасности. Кроме того, система System Security Scanner? содержит обширный список потенциальных уязвимостей операционной системы Windows NT, что выгодно отличает ее от других конкурирующих продуктов.
Cisco IOS Firewall Feature Set
Информация предоставлена
Продукция компании Cisco Systems используется примерно на 80% хостов в Интернет. Операционная система Cisco - IOS содержит в своем составе различные механизмы защиты, включая средства разграничения доступа, расширенные списки межсетевого доступа, средства организации виртуальных корпоративных сетей и т.д.
Firewall Feature Set (FFS) представляет из себя набор дополнительных сервисов, которые позволяют существенно приблизить возможности операционной системы IOS к возможностям межсетевого экрана без приобретения дорогостоящего дополнительного оборудования или программного обеспечения.
Cisco PIX Firewall
Информация предоставлена
Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернет во внутреннюю сеть, так и наоборот.
Для настройки PIX можно использовать графическую оболочку, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров, PIX позволяет осуществлять аутентификацию пользователей. Для аутентификации используются протоколы TACACS+ и RADIUS, которые позволяют использовать для аутентификации как обычные UNIX пароли, так и систему одноразовых паролей S/Key.
PIX позволяет поддерживать до 16 000 одновременных TCP/IP соединений и обеспечивать пропускную способность до 90 Мбит/с. PIX построен на базе сетевой операционной системы CISCO IOS, что обеспечивает полную совместимость по протоколам и средствам мониторинга и управления с оборудованием CISCO, масштабируемость сетей, построенных на базе CISCO, привычный для администраторов CISCO маршрутизаторов интерфейс.
Декабрь
Видный гражданский ученый,
работавший на Канадское министерство национальной обороны, был
арестован по обвинению в торговле детской порнографией после того,
как полиция обнаружила в его каталогах на правительственных компьютерах
большое количество противозаконных материалов. Какие еще примеры
нужны, чтобы убедить руководителей в том, что каждая организация
нуждается в тщательно проработанной, ясной политике, регламентирующей
использование корпоративных Интернет-ресурсов? ("Globe and
Mail", 10 декабря).
Министр здравоохранения
канадской провинции Онтарио Jim Wilson 9 декабря подал в отставку
после того, как правительство решило расследовать действия его
прежнего помощника по коммуникациям, передавшего в газету "Globe
and Mail" конфиденциальную информацию. ("Globe and Mail",
10 декабря).
Телефонного оператора
из Австралии обвинили во вторжении в телефонную линию радиостанции
во время соревнования за приз размером в 40 тысяч американских
долларов. Таким путем оператор обеспечил себе "счастливый"
10-й номер среди позвонивших. В процессе расследования, проведенного
полицией, вскрылись еще две аналогичные махинации, осуществленные
им ранее. (UPI, 10 декабря).
Двое молодых людей признали
себя виновными в шалости на почве корпоративного шпионажа. Шутники
послали в адрес компании Owens Corning безграмотное, с многочисленными
ошибками письмо, запрашивая 1000 долларов в обмен на секретную
информацию, украденную у конкурента - PPG Industries. Patrick
Worthing, 27 лет, контролировал в PPG работу уборщиков и операторов
опытных образцов машин. Он имел доступ во все кабинеты исследовательского
центра PPG и, как предполагают, выкрал списки клиентов, проекты,
секретные формулы, спецификации продуктов и видеозаписи работы
нового оборудования. Благодаря помощи со стороны предполагаемого
покупателя, ФБР смогло арестовать преступников. По иронии судьбы,
два года назад такое же благородство пришлось продемонстрировать
теперешней жертве. Тогда руководители PPG Industries получили
письмо с предложением приобрести секреты, украденные у Owens Corning;
те шпионы также были пойманы ФБР. Обе компании настаивают, что
приобретать информацию, украденную у конкурентов, - глупо и незаконно.
(AP, 11 декабря).
Согласно распространенному
во Флориде докладу, предполагаемые затраты на поиск и исправление
ошибок "двухтысячного года" в производственных системах
(написанных по большей части на Коболе) составляют от 88 до 120
миллионов долларов. Разумеется, ошибки должны быть исправлены
до конца 1999 года. (UPI, 12 декабря).
Зубной врач из Сан-Диего
получил более 16 тысяч экземпляров новой налоговой формы штата
Калифорнии. Виновницей является программа управления почтовой
рассылкой. ().
В субботнее утро 14 декабря,
в 00:20, началась атака против доступности сервера WebCom (Санта-Круз).
Атакующий устроил "SYN-наводнение", посылая по 200 пакетов
в секунду. В результате, во время пикового периода продаж, Web-страницы
сотен фирм оказались блокированными на 40 часов. Источник атаки
проследили до некоего места в Британской Колумбии; ФБР и канадская
полиция продолжают поиск преступников. Перед нами еще один случай,
ставший следствием безответственной публикации в журналах "2600"
и "Phrack" подробных инструкций по организации "SYN-наводнения".
(AP, 17 декабря; ).
Переброской называется
мошенническое, непрошенное переключение междугородных звонков
на другую компанию-оператора дальней связи. Результат переброски
- испуг жертв, получивших большие счета за телефонные переговоры
по сравнению с ожидаемыми от привычного оператора. В середине
декабря Управление по контролю над общественной занятостью (DPUC)
штата Коннектикут было переброшено фирмой Wiltel, без всяких на
то прав переключившей на себя 6 из 14 линий. ().
Matthew D. Healy <> сообщил о серьезной "дыре" в серверном программном
обеспечении httpd, разработанном в Национальном центре суперкомпьютерных
приложений ( National Center for Supercomputing Applications, NCSA)
в университете Иллинойса. Любой сервер, выполняющий CGI-процедуру
phf, можно обманом заставить переслать файл /etc/passwd любому
пользователю. Мистер Хили утверждал, что несколько компьютеров
в Йельской школе медицины были успешно атакованы именно таким
способом, и убеждал читателей проверить регистрационные журналы
своих серверов, чтобы узнать, не "скачивал" ли кто-нибудь
файл паролей. (). В ответ на множество невежливых,
оскорбительных писем, пришедших после публикации предостережения,
Хили заметил, что, действительно, "дыра" была известна
с марта 1996 года, но он не является профессионалом в области
информационной безопасности, он просто пытается администрировать
учебный компьютер. ().
18 декабря Dan Farmer,
автор программной системы SATAN (Security Administrator's Tool
for Analyzing Networks - инструмент администратора безопасности
для анализа сети), опубликовал результаты предварительной проверки
примерно 2200 компьютерных систем, подключенных к Интернет. Само
сканирование Фармер проводил в ноябре-декабре 1996 года. Для проверки
он выбрал популярные и коммерчески-ориентированные Web-серверы;
в качестве "контрольной группы" использовались случайно
выбранные серверы. Применяя простые, ненавязчивые методы, Фармер
установил, что примерно две трети из числа так называемых "интересных"
систем имели серьезные потенциальные бреши в защите. Для сравнения:
среди случайно выбранных систем бреши встречались примерно в два
раза реже! (См. ).
В небольшом городке недалеко
от Копенгагена, шесть датских криминальных хакеров, атаковавших
военные и коммерческие компьютеры (в том числе компьютеры Пентагона),
были приговорены к минимальным срокам тюремного заключения, а
также к штрафам и исправительным работам. Один хакер получил 90
дней тюрьмы, его "коллега" - 40 дней. Согласно утверждениям
адвокатов, "преступники сделали своим жертвам одолжение,
продемонстрировав уязвимость их компьютерных систем". (AP,
19 декабря).
29 декабря Web-страница
ВВС США была "взломана" и разрушена, что побудило Пентагон
отключить от Интернет почти все свои Web-страницы. (Reuters, 30
декабря; AP, 31 декабря).
Информационный сервис
Edupage суммирует первоначальную реакцию на "новое"
законодательство администрации Клинтона в области экспорта криптосредств,
обнародованное в последние дни 1996 года:
спорными
Министерство торговли
ввело в действие новые правила, призванные ослабить ограничения
на экспорт криптографического программного обеспечения. Тем не
менее, в компьютерной индустрии считают, что эти правила по-прежнему
являются слишком обременительными. Они будут препятствовать эффективной
конкуренции с зарубежными производителями мощных криптосредств.
Юрист из бесприбыльного Информационного центра электронной конфиденциальности
характеризует правительственную стратегию как "игру в фантики".
Он считает, что между старыми и новыми правилами очень мало функциональных
различий, и напоминает, что старые правила были частично отвергнуты
районным судьей из Сан-Франциско. "Они просто завернули конфету
в другой фантик, по существу оставив правила без изменений."
("Washington Post", 31 декабря 1996 года).
В конце года в Интернет начали циркулировать следующие сатирические вариации на тему вирусного предупреждения "Good Times": |
Оказывается, что этот
так называемый выдуманный вирус на самом деле очень опасен. "Goodtimes"
затрет Ваш жесткий диск. Впрочем, не только его. Он сделает гоголь-моголь
из всех дисков, просто лежащих поблизости от компьютера. Он изменит
режим работы Вашего холодильника, так что все Ваше мороженое растает.
Он размагнитит полоски на всех Ваших кредитных картах, разрегулирует
Ваш телевизор и использует подпространственные гармоники, чтобы
поцарапать компакт-диски, которые Вы попытаетесь проиграть.
Он передаст Вашей прежней
подружке Ваш новый телефонный номер. Он подольет кисель в аквариум.
Он выпьет все Ваше пиво и выложит грязные носки на кофейный столик
как раз к приходу гостей. Он засунет дохлого котенка в задний
карман Ваших лучших брюк и спрячет ключи от машины, когда Вы будете
опаздывать на работу.
"Goodtimes"
заставит Вас влюбиться в пингвина. Он навеет ночные кошмары про
цирковых лилипутов. Он вольет сироп в бензобак Вашего автомобиля
и сбреет Ваши брови, одновременно назначив за Вашей спиной свидание
Вашей подружке и расплатившись за обед и гостиничный номер Вашей
кредитной картой.
Он соблазнит Вашу бабушку.
И не важно, что она уже умерла. Сила "Goodtimes" такова,
что достанет кого угодно и в могиле, лишь бы запятнать все самое
дорогое для Вас.
Он много раз случайным
образом передвинет Вашу машину на стоянке, так что Вы не сможете
найти ее. Он даст пинка Вашей собаке. Он оставит в голосовой почте
Вашего шефа сладострастные послания, произнесенные Вашим голосом.
Он хитер и коварен. Он неуловим. Он опасен и ужасен на вид. Он
бесплотный дух розовато-лиловых тонов.
"Goodtimes"
заразит Вас столбняком. Он запрет туалет изнутри. Он замесит в
Вашей ванне бетон. Он оставит бекон поджариваться на плите, а
Вас в это время заставит бегать за школярами с двустволкой."
Дополнительная информация
Дополнительная информация о компьютерных атаках может быть найдена в статье .
Дополнительные возможности
В качестве возможных расширений межсетевой экран позволяет использовать VPN (по специальной
лицензии). Используемые в составе VPN алгоритмы работы являются уникальными и
не позволяют организовать приватный канал с межсетевого экрана других производителей. При
общении между двумя и более BlackHole имеющаяся система поддержки VPN позволяет
решать задачи взаимной аутентификации и смены ключей весьма эффективно.
Новое название Black Hole - SecurIT FIREWALL.
Единый формат базы уязвимостей
В целях унификации и возможной интеграции систем анализа защищенности в настоящий момент ведутся работы по созданию единого для всех сканеров формата базы уязвимостей. И хотя работа эта только началась и ей далеко до своего завершения, первые шаги уже сделаны. Например, лаборатория COAST в университете Purdue разработала проект такой базы данных. Одна из проблем, с которой пришлось столкнуться исследователям, - это описание уязвимостей и их проверок (атак).
Февраль
14 февраля агентство новостей
"Новый Китай" сообщило, что все китайские пользователи
Интернет должны будут впредь регистрироваться в компетентных органах.
Это сообщение обозначило начало процесса официального закрытия
доступа в Интернет для граждан Китайской Народной Республики.
В сентябре в Китае запретили доступ более чем к ста Web-серверам,
включая "Wall Street Journal", "Washington Post"
и CNN. К концу 1996 года китайские пользователи были официально
ограничены сетью, которая по сути представляет собой Интранет
с фильтрацией международного трафика через национальные межсетевые
экраны.
В средствах массовой информации,
не имеющих технической специализации, появилась куча историй о
предполагаемой опасности заражения вирусом, получившим название
Boza/Bizatch и специфичным для Windows 95. Заблаговременные комментарии
специалистов о чрезвычайно низкой вероятности поражения этим вирусом
были буквально сметены нахлынувшей волной слухов, что привело
к панике среди неквалифицированных пользователей персональных
компьютеров и к всеобщему, хотя и необоснованному, недоверию к
антивирусным продуктам.
Федеральный судья в Филадельфии
вынес частичное временное ограничивающее решение, запрещающее
проведение в жизнь положения закона "О благопристойности
коммуникаций", касающееся непристойностей. Это решение стало
первой победой в юридической борьбе против закона "О благопристойности
...", принятого в конце 1995 года и встреченного всеобщим
негодованием, поскольку по мнению многих он противоречит Первой
поправке к конституции США, гарантирующей свободу слова. Детали
данного судебного дела и последующего успеха в запрещении проведения
в жизнь закона "О благопристойности ..." можно найти
на Web-сервере и по адресу . В декабре дело передано в Верховный суд, слушания
назначены на март 1997 года.
Представители компании
Intuit Inc. подтвердили, что в их программах расчета налогов (TurboTax
и MacInTax) были ошибки. Компания поместила исправления на свой
Web-сервер, предложила консультационную поддержку и пообещала
уплатить штрафы, наложенные на пользователей из-за ошибок, допущенных
ее программистами. Этот пример полезен для всех теоретиков и практиков
контроля качества, когда нужно проиллюстрировать затраты и выгоды,
связанные с инвестированием более половины средств, выделяемых
на разработку программного обеспечения, в контроль качества.
Профессор Ed Felten и
его дипломники из Принстонского университета продолжали анализировать
слабости в безопасности Java-систем (подробности см. по адресу
). В ноябре David Martin <>
из Бостонского университета и его коллеги Sivaramakrishnan Rajagopalan
<> и Avi Rubin <>
(оба из компании Bellcore) указали (см. ), что Java-аплеты
могут атаковать межсетевые экраны изнутри. Их статью можно найти
по адресу .
Peter Neumann, ведущий
телеконференции RISKS, рассказал еще об одном случае кибервандализма
(см. также ). Информационная система небольшой компании
BerkshireNet - поставщика услуг Интернет в городке Питсфилд (пригород
Бостона, штат Массачусетс), 27 февраля 1996 года стала жертвой
атаки, в процессе которой некто, действовавший под видом системного
администратора, уничтожил данные на двух компьютерах, после чего
остановил работу системы. Внеплановый простой продлился около
12 часов. Старые удаленные файлы удалось восстановить, однако
файлы, созданные в течение нескольких последних дней, оказались
утерянными. Перед нами еще один случай, иллюстрирующий важность:
защиты Web-серверов
от несанкционированных изменений;
проводимого достаточно
часто резервного копирования.
29 февраля, как сообщил
в один из корреспондентов, он обнаружил в своем электронном
почтовом ящике присланные из разных мест письма со следующими
датами: 29 Feb 96, 28 Feb 96, 1 May 131, 10 Jan 1936, 1 Jan 70
и 29 Dec 95. Как поют Pink Floyd, еще один кирпич в стене 2000
года...
В Англии криминальные
хакеры изменили тексты, передаваемые говорящими автобусными остановками
(см. ). Видимо, в качестве демонстрации своих крайне
хвастливых заявлений о том, что криминальное хакерство является
полезной формой социального протеста (такого рода лапшу вешают
в каждом номере ежеквартального хакерского издания 2600), кибервандалы
заменили информацию, необходимую незрячим людям, на ругательства
и непристойности.
В феврале в группу IS/Recon
поступило пространное письмо, автором которого считается Nathaniel
Bornstein. В письме утверждается, что компания First Virtual Holdings
разработала и продемонстрировала программу, полностью подрывающую
безопасность всех известных механизмов шифрования в кредитных
картах для Интернет-коммерции. По мнению автора письма, проблема
не может быть решена с помощью заплат, поскольку она вызвана принципиальным
дефектом, присущим всем схемам шифрования в кредитных картах.
Автор, используя сильные выражения, утверждает, что все методы
передачи информации о кредитных картах внутренне небезопасны (поскольку
все нажатия на клавиатуре персонального компьютера могут быть
зафиксированы троянской программой). Он формулирует следующий
тезис: "На персональном компьютере информация оказывается
незащищенной уже в момент прикосновения к клавише".
FireWall-1 сертифицирован Гостехкомиссией
8 октября 1997 года межсетевой экран FireWall-1 компании Check Point Software Technologies Ltd., пройдя сертификационные испытания, получил сертификат Государственной технической комиссии при Президенте Российской Федерации № 111.
Firewall - не панацея
Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.
Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.
Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).
На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана - это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.
В данной статье я не буду говорить о достоинствах названных типов межсетевых экранов (этому посвящено немало публикаций), а основное внимание уделю недостаткам, присущим всей технологии в целом.
Форматы отчетов
Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:
текстовом; DIF (Data Interchange Format); HTML; Microsoft Word.
В зависимости от версии системы Internet Scanner&153; дополнительно возможен экспорт отчетов в форматах:
Lotus 1-2-3; RTF; CSV; Microsoft Excel; и многие другие.
Возможно создание графической карты сети (Network Map), содержащей данные об узлах сети и имеющихся на них уязвимостях.
Подсистема генерации отчетов позволяет создавать документы в более чем 30 различных форматах:
Character-separated values; Comma-separated values (CSV); Crystal Report; DIF (Data Interchange Format); Excel 2.1; Excel 3.0; Excel 4.0; Excel 5.0; Excel 5.0 (расширенный); HTML 3.0; HTML 3.2 (стандартный); HTML 3.2 (расширенный); Lotus 1-2-3 (WK1); Lotus 1-2-3 (WK3); Lotus 1-2-3 (WKS); различные форматы баз данных через драйвер ODBC; Rich Text Format (RTF); текстовый; Microsoft Word; и многие другие.
Кроме того, система RealSecure? дополнительно позволяет: сохранять отчеты на жестком диске; сохранять отчеты в базе данных Lotus Notes; сохранять отчеты в папке Microsoft Exchange; пересылать отчеты при помощи механизма Microsoft Mail (MAPI).
Подсистема генерации отчетов позволяет создавать документы в нескольких форматах:
текстовом; HTML; CSV; и многие другие.
Функционирование под управлением многих операционных систем
Система Internet Scanner&153; позволяет проводить анализ защищенности любых сетевых устройств и операционных систем, поддерживающих стек протоколов TCP/IP. Это связано с тем, что при тестировании имитируются атаки, использующие уязвимости протоколов TCP/IP, независимо от платформы, на которой они реализованы. Однако за счет поиска уязвимостей, присущих конкретным системам, максимальной эффективности можно достигнуть при сканировании следующих операционных систем:
Windows NT; Windows 95; SunOS; Solaris; HP UX; AIX; Linux.
Система System Security Scanner? позволяет проводить анализ защищенности следующих операционных систем:
Windows NT; Windows 95; Windows 98; SunOS; Solaris; HP UX; AIX; IRIX; Linux.
Функционирование системы Internet Scanner
Система Internet Scanner&153; выполняет серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при осуществлении атаки на корпоративные сети. Сканирование начинается с получения предварительной информации о сканируемой системе, например, разрешенных протоколах и открытых портах, версии операционной системы и т.п., и заканчивая попытками имитации проникновения, используя широко известные атаки, например, "подбор пароля".
Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.
Функционирование системы RealSecure
Система RealSecure? может использоваться как для обнаружения атак, осуществляемых снаружи корпоративной сети, так и для выявления внутренних нарушений требований установленной политики безопасности. Применение системы RealSecure? не исключает использования других средств обеспечения информационной безопасности, таких как, например, межсетевые экраны, серверы аутентификации и т.п.
Некоторые организации назначают отдельные подразделения или людей, которые контролируют в реальном масштабе времени сетевой трафик и соответствующим образом реагируют на атаки в случае их обнаружения. Другие организации воздерживаются от контроля в реальном масштабе времени и полностью полагаются на последующий анализ регистрационных журналов. Указанные решения зависят от структуры организации и от того насколько полно укомплектован отдел защиты информации или управление автоматизации. Система RealSecure? одинаково хорошо поддерживает оба этих варианта.
Система RealSecure? не только позволяет эффективно обнаруживать и отражать атаки на узлы Вашей сети. Данные, сохраняемые в регистрационных журналах, позволяют проводить периодический анализ уровня защищенности сети. Например, если в процессе анализа журналов выясняется, что определенные узлы сети подвергаются большому числу атак, можно исследовать, почему это происходит и выработать эффективные меры по дальнейшему предотвращению такого рода атак.
Модули слежения системы RealSecure? необходимо установить на каждый сегмент сети, в котором циркулирует критичная информация. Это позволит дополнить существующие механизмы разграничения доступа (например, систему Secret Net), предотвращая и регистрируя все попытки обойти их.
Функционирование системы System Security Scanner
Система System Security Scanner? выполняет анализ защищенности узла с двух позиций. Во-первых, анализируются настройки операционной системы, которые могут быть использованы злоумышленниками для осуществления атаки. А во-вторых, сканируемая система проверяется на наличие "следов", уже оставленных злоумышленниками.
Для увеличения скорости проведения анализа защищенности крупной сети могут быть инициированы несколько параллельных процессов сканирования. Ответы от сканируемых узлов обрабатываются специальным процессом, после чего данные об уязвимостях записываются в специальную базу данных. На основе собранной информации система генерации отчетов создает отчет, содержащий различную информацию в зависимости от выбранной степени детализации.
Где должна быть размещена система
Ранум: Я бы поместил систему обнаружения атак внутри. Почему я должен заботиться, нападает ли кто-то вне моего межсетевого экрана? В случае если они проникнут внутрь, система обнаружения атак должна определить это. Размещение системы снаружи быстро убаюкает бдительность администратора. Как-то я использовал высокоэффективный межсетевой экран, который предупреждал меня, когда происходила атака. Двумя неделями позже я удалял предупреждающие сообщения еще до их прочтения. Другой важный фактор, говорящий за помещение системы обнаружения атак внутрь, что далеко не все атаки происходят снаружи. Такое размещение позволит обнаружить новое сетевое соединение или атакующих, проникших через "черный ход", например, через модем.
Карри: Система обнаружения атак должны быть размещена там, где она сможет контролировать наиболее интересующий вас трафик. Например, если Вы опасаетесь вторжения из Internet, то имеет смысл поместить систему обнаружения атак снаружи межсетевого экрана. Это позволит "свободно" контролировать весь входящий трафик. Если вы помещаете систему внутрь, то вы не видите всего трафика, приходящего из Internet, в том числе и от "плохих парней".
Саттерфилд: Система обнаружения атак играет важную роль и внутри и снаружи межсетевого экрана. Снаружи межсетевого экрана система обнаружения атак контролирует трафик, приходящий на почтовые и Web сервера (размещенные в DMZ - примечание переводчика). Что более важно, такое размещение позволяет видеть трафик, который обычно блокируется межсетевым экраном и остается необнаруженным внутренними системами. Внешнее расположение также дает выгоду в случае постоянного контроля сетевых услуг, "законных" для межсетевого экрана (например, контроль почтовых бомб в SMTP-трафике - примечание переводчика). Внутреннее размещение позволяет контролировать трафик во внутренней, защищаемой сети. Это важно, особенно для защиты от авторизованных пользователей. Главный же недостаток такого размещения - невозможность контроля трафика, приходящего из внешних, недоверенных сетей. При таком размещении система обнаружения атак не в состоянии вовремя предупредить об очевидных сигналах о надвигающейся атаке (например, при сканировании портов - примечание переводчика).
Клаус: Снаружи межсетевого экрана - это почти всегда хорошая идея. Защита устройств, находящихся в демилитаризованной зоне и дополнительный уровень защищенности внутренней сети. После межсетевого экрана - тоже неплохо. Обнаружение попыток несанкционированного использования туннелей через межсетевой экран и превосходный источник данных о его функционировании. Однако быть может самым лучшим местом развертывания системы обнаружения атак будет ваша intranet. Каждый согласится, что атака не единственное событие, приносящее вред. Существуют еще мошенничество, шпионаж, воровство и неправильное использование сетевых ресурсов. Системы обнаружения атак также эффективны внутри сети, как и снаружи, особенно, если они просты в эксплуатации и не влияют на производительность сети.
Спаффорд: Система обнаружения атак всегда должна находиться после межсетевого экрана, чтобы обнаружить злоупотребления, совершаемые авторизованными пользователями, и некоторые типы атак, "проходящие" через межсетевой экран. Размещение снаружи может быть полезным, если вы хотите контролировать атаки на межсетевой экран и осуществлять контроль трафика, блокированного межсетевым экраном. Однако развертывание системы обнаружения атак будет бесполезным, если вы не до конца понимаете топологию и состав своей сети.
Генерация патернов
Представление «образа» в данном случае основывается на предположении о том, что текущие значения параметров оценки можно связать с текущим состоянием системы. После этого функционирование представляется в виде последовательности событий или состояний.
Ченг (K. Cheng) [] предложил временные правила, которые характеризуют совокупности значений параметров оценки (далее паттерна) нормальной (не аномальной) работы. Эти правила формируются индуктивно и заменяются более «хорошими» правилами динамически во время обучения. Под «хорошими правилами» понимаются правила с большей вероятностью их появления и с большим уровнем уникальности для защищаемой системы. Для примера рассмотрим следующее правило:
Е1->Е2->Е3 => (Е4 = 95%,Е5=5%), (8)
где Е1… Е5 - события безопасности.
Это утверждение, основанное на ранее наблюдавшихся данных, говорит о том, что для последовательности паттернов установилась следующая зависимость: если имеет место Е1 и далее Е2 и Е3, то после этого вероятность проявления Е4 95% и Е5 – 5%.
Именно множество правил, создаваемых индуктивно во время наблюдения работы пользователя, составляет «образ». Аномалия регистрируется в том случае, если наблюдаемая последовательность событий соответствует левой части правила выведенного ранее, а события, которые имели место в системе после этого, значительно отличаются от тех, которые должны были наступить по правилу.
Основной недостаток данного подхода заключается в том, что неузнаваемые паттерны поведения могут быть не приняты за аномальные из-за того, что они не соответствуют ни одной из левых частей всех правил.
Данный метод довольно эффективно определяет вторжения, так как принимаются во внимание:
зависимости между событиями; последовательность появления событий.
Достоинства метода:
лучшая обработка пользователей с большим колебанием поведения, но с четкой последовательностью паттернов; возможность обратить внимание на некоторые важные события безопасности, а не на всю сессию, которая помечена как подозрительная; лучшая чувствительность к обнаружению нарушений: правила содержат в себе семантику процессов, что позволяет гораздо проще заметить злоумышленников, которые пытаются обучить систему в своих целях.