Учебное пособие 1401

mountd, nfsd и TCP-wrappers, а также всe вторжения в syslog в

пределах длительного времени должны вызвать подозрение. Полезен учёт всех запускавшихся процессов.

Часто бинарные файлы rootkit включают строки маркеров, пароли, читаемый текст или информацию об отладке. Можно использовать специальную утилиту, определяющую, был ли файл удалён или нет; ldd, если она есть в системе, покажет, какие библиотеки использовались, а strings извлечёт строки ASCII-текста из бинарных файлов. Информация об отладке может легко учетверить размер файла; утилиты с завышенными размерами — хороший индикатор того, что в системе что-то не так. Если файл не удалён, отладчик типа GDB поможет выяснить больше о файле и о том, что он делает. Несоответствие используемых утилитами библиотек — это верный индикатор отклонений.

При установлении факта вторжения в интрасеть особое значение имеет файл history в бюджете root. Во многих случаях он является единственным источником информации о попытке несанкционированного доступа.

При исследовании функций неизвестной выполняемой программы даже общая экспертиза выполнения программы будет не бесполезна. Рассмотрение программы, заявленной как TCP-wrapper, может выявить, что она действительно делает то, что положено, но также содержит части (exec()), работающие таким образом, который не характерен для демонов. Для безопасной проверки неизвестных программ можно создать миниатюрную локальную сеть из двух рабочих станций и испытывать подобные программы в ней. На этой рабочей станции содержание диска легко восстановить (обычно с CD-ROM). Сканируя порты данного компьютера до и после выполнения тестируемой программы, на портах с большими номерами иногда можно найти «люки», зашитые в оболочку root. Можно обнаружить, что программа перезаписывает свой собственный массив argv[], чтобы скрыться от попадания в список процессов. Для других утилит rootkit есть простая возможность — chroot. Здесь

39

рекомендация аналогична — создать пустую минимальную систему, запустить chroot в этой виртуальной системе и там тестировать подозрительные утилиты. Поскольку такая система совершенно не защищена, будет установлено, чего бояться и с чем бороться.

После тщательного исследования испытуемого компьютера, получим список уязвимостей, которые нужно искать в первую очередь. Сканер портов в скрипте оболочки быстро пометит работающие демоны, имеющими «люки». Файл exports системы NFS просматривается для проверки, что был осуществлён незаконный экспорт файлов.

Очень распространённой СОВ является SNORT. Изначально она была создана под *nix, затем перенесена и под платформу Windows. К плюсам SNORT можно отнести надёжность, большое количество документации и дополнительных утилит, а также бесплатность (утилита поставляется с открытым исходным кодом). К недостаткам - сложность в установке и настройке, а также то, что программа требует большого количества компонентов, которые необходимо доустанавливать отдельно (Apache, Perl, mySQL и т.п.). Фактически сейчас SNORT является стандартом де-факто для систем обнаружения вторжений

Процесс развертывания сетевой СОВ на предприятии (на примере бесплатной программы Snort) в общем случае состоит из следующих шагов.

1.На основе политик безопасности определяются цели применения IDS.

2.На основе целей применения IDS определяется, какой сетевой трафик требуется отслеживать.

3.Принимается решение, каким образом будут обрабатываться различные события, выявляемые IDS. Следует определить, что будет разумнее - поручить выполнение некоторого действия системе IDS или оператору, который будет выполнять нужную процедуру.

4.Устанавливаются пороговые значения для различных признаков атак.

40

5.Составляется план развёртывания IDS. Определите, кого в организации нужно задействовать для выполнения этой задачи.

6.Выделяется компьютер для для развёртываемой СОВ

иустанавливается на него Linux, FreeBSD или другая версию операционной системы семейства Unix.

7.Загружается последняя версию программы Snort (бес-

платная IDS) с сайта http://www.snort.org/ (программа Snort и

документация к ней находятся в каталоге указанном преподавателем).

8.В соответствии с инструкциями устанавливается программа Snort. Можно также установить ряд дополнительных программных пакетов для упрощения процесса управления и конфигурации.

9.Подключается СОВ к сети. Лучше всего сделать это при помощи концентратора. Тем не менее, можно также использовать порт разветвителя на коммутаторе.

10.После накопления данных просматриваются файлы журналов, чтобы выяснить, какие события в них фиксируются. Также можно использовать программу Aсid для просмотра файлов журнала через веб-интерфейс. Aсid - это веб-интерфейс, используемый для анализа данных программы Snort.

Контрольные вопросы

1.Где в интрасети чаще всего размещаются сетевые системы обнаружения вторжений? В каких случаях какое размещение предпочтительно и почему?

2.Какую информацию используют системы обнаружения вторжений?

3.Какие задачи решают системы контроля целостности

файлов?

4.По какой информации в ОС типа UNIX можно обнаружить наличие вторжения в сеть?

5.Назовите известные Вам типы систем обнаружения вторжений.

41

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1.Таненбаум, Э. Компьютерные сети [Текст]: 5-е изд. / Э. Таненбаум, Д. Уэзеролл. — СПб.: Питер, 2012. — 960 с.

2.Колегов, Д. Н. Лабораторный практикум по основам построения защищённых компьютерных сетей [Текст] / Д. Н. Колегов. – Томск.: Томский государственный университет,

2013. – 140 с.

3.[Электронные ресурс] — Режим доступа: http://www.askit.ru/custom/win2003_sec.

4.Обнаружение сетевых вторжений: анализ унитарного кода: учеб. пособие [Электронный ресурс]. – Электрон. текстовые, граф. данные (424 Кб) / В. Б. Щербаков, Н. Н. Толстых, Г. А. Остапенко, М. П. Иванкин, Г. А. Савенков. – Воронеж : ФГБОУ ВПО «Воронежский государственный технический университет», 2013.

5.Милославская, Н. Г. Интрасети: обнаружение вторжений [Текст]: учеб. пособие для вузов / Н. Г. Милославская, А. И. Толстой. — М.: ЮНИТИ-ДАНА, 2001. — 587 с.

6.Защита информации в компьютерных сетях. Практический курс [Текст]: учеб. пособие / А. Н. Андрончик, В. В. Богданов, Н. А. Домуховский, А. С. Коллеров, Н. И. Синадский, Д. А. Хорьков, М. Ю. Щербаков; под ред. Н. И. Синадского. — Екатеринбург : УГТУ-УПИ, 2008. — 248 с.

7.Администрирование в информационных системах [Текст]: учеб. пособие для студ. высш. учеб. заведений / С. А. Клейменов, В. П. Мельников, А. М. Петраков ; под ред. В. П. Мельникова. — М.: Издательский центр «Академия», 2008. — 272 с.

8.Операционная система МСВС 3.0. Системное администрирование [Текст]: учеб. пособие. — М.: ВНИИНС, 2006.

—204 с.

9.Операционная система МСВС 3.0. Практика по системному администрированию[Текст]: учеб. пособие. — М.:

ВНИИНС, 2006. — 301 с.

42

10.Кенин А. М. Самоучитель системного администратора [Текст]: 3-е изд., перераб. и доп. / А. М. Кенин. — СПб.: БХВ-Петербург, 2012. — 512 с.

11.Риски распределенных систем: методики и алгоритмы оценки и управления [Текст] / Г. А. Остапенко, Д. О. Карпеев, Д. Г. Плотников, Р. В. Батищев, И. В. Гончаров, П. А. Маслихов, Е. А. Мешкова, Н. М. Морозова, С. А. Рязанов, Е. В. Субботина, В. А. Транин // Информация и безопасность. – 2010. –

Т. 13. – Вып. 4. – С. 485–530.

12.Карпеев, Д. О. Анализ инновационных рисков для мобильных устройств под управлением операционной системы «android» [Текст] / Д. О. Карпеев, Ю. А. Кутузова // Информация и безопасность. – 2012. – Т. 15. – Вып. 3. – С. 417-420.

13.Карпеев, Д. О. Методическое и алгоритмическое обеспечения расчета распределенных систем на основе параметров рисков их компонентов [Текст] / Д. О. Карпеев, Г. А. Остапенко // Информация и безопасность. – 2010. – Т. 13. – Вып.

3.– С. 373-381.

14.Карпеев, Д. О. К вопросу о построении систем мониторинга сервисов социальных сетей в Интернет [Текст] / Д. О. Карпеев, П. А. Маслихов // Информация и безопасность. –

2010. – Т. 13. – Вып. 3. – С. 451-454.

43

44