Отчет. Аудит инфраструктуры ИБ
.docxФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ.ПРОФ. БОНЧ-БРУЕВИЧА»
Отчет по
Самостоятельной работа №7
«Аудит инфраструктуры ИБ»
Выполнил: Яковлев Илья Андреевич Студент I курса Факультет ИКСС Группа ИКБ-95
Подпись________
Проверил: Бабков Иван Николаевич
Подпись________
Системы обнаружения атак
Система обнаружения атак (IDS) — это специализированное программное или аппаратное решение, анализирующее сетевой трафик сети или определенного хоста с целью обнаружения и идентификации атаки.
По сути, такая система перехватывает сетевой трафик и передает его на свой анализатор. Анализатор сверяет его со своей базой данных, в которую занесены основные маркеры векторов атак, и, в случае обнаружения атаки, оповещает об этом другие системы и администратора.
Однако системы обнаружения атак могут не ограничиваться анализом сетевого трафика. Существуют решения, которые позволяют отслеживать активность процессов отдельных хостов, анализировать журналы аудитации, а также проверять целостность файлов на случай, если кто-то попытается внедрить в них какой-либо зловредный код.
Теперь рассмотрим основные варианты обнаружения атак такими системами.
Распознавание сигнатур является одним из основных методов обнаружения. Система сравнивает входные данные с записями из своей базы данных и в случае совпадения сообщает об этом администратору. Основным недостатком такого подхода является его ограниченность. Для того чтобы остаться незамеченным, атакующему достаточно изменить самую незначительную составляющую своего вектора атаки.
Второй метод заключается в поиске аномалий. Система в течение продолжительного периода времени наблюдает за трафиком и создает его модель. После того как будет создана стандартная модель, все последующие данные будут сравниваться с ней. В случае, если новые данные не вписываются в стандартную модель, система оповестит администратора. Данный способ также имеет свои недостатки. Первый — это возможность множества ложных срабатываний. Второй состоит в том, что атакующий, совершая определенные однотипные действия в течение длительного времени, может изменить модель, и в последующем такие действия будут рассматриваться как нормальные.
Третий вариант обнаружения атаки — аномалии протокола. В данном случае системе известны спецификации каждого протокола и правила, по которым он должен использоваться. Преимущество такого подхода состоит в том, что стандарты меняются довольно редко, и администратору не нужно регулярно обновлять базу данных. Однако проблемы возникают тогда, когда в сети появляется оборудование с другой реализацией определенного сетевого протокола. В таком случае администратору приходится отключать данный метод обнаружения или очень тонко его настраивать, что требует достаточно глубоких и специфичных знаний.
Что же конкретно могут отслеживать системы обнаружения атак?
Изменения в файловой системе: появление новых файлов, появление новых директорий, изменения прав доступа, изменения файлов, файлы с неизвестным расширением, зашифрованные файлы, изменения атрибутов. Сетевые атаки: увеличение сетевого трафика, появление нового сетевого трафика, попытки удаленной авторизации. Непрямые признаки: исчезновение журналов аудитации, перезагрузки системы, появление новых процессов, попытки авторизации с несуществующим именем пользователя, подключения внерабочее время, повышенное использование системных ресурсов.
Теперь остановимся подробнее на методах обхода систем обнаружения атак.
Отказ в обслуживании. Позволяет полностью или временно отключить систему обнаружения атак. В данном случае можно использовать практически любую из атак, направленных на отказ в обслуживании.
Запутывание. Это изменение данных таким образом, чтобы система обнаружения не распознала отправленные данные, а сервис, для которого они предназначаются, смог сделать это без проблем.
Фрагментация. Это процесс разбивания пакетов на более мелкие фрагменты. Они будут нормально восприниматься хостом-получателем, в то время как система обнаружения атак не сможет найти в таких пакетах признаки попытки взлома. Хотя некоторые системы могут собирать данные из нескольких пакетов, такую защиту легко обойти, растянув атаку во времени, ведь пакеты не могут находиться в буфере вечно, и через определенный промежуток времени вся информация будет стерта.
Шифрование. Поскольку системам обнаружения необходимо анализировать проходящий трафик, одним из способов не дать им это сделать будет шифрование. Данные можно скрыть, используя SSL, SSH, IPSec. Это прекрасная возможность использовать защиту системы против нее самой.
Брандмауэры
Брандмауэры, также известные как фаерволы, являются еще одним способом защиты внутренней сети от атак. Основное их предназначение — это логическое отделение внутренней сети от внешней и контроль доступа к элементам своей сети. Брандмауэры, как и остальные системы защиты, могут быть как программным решением, так и отдельностоящим специализированным оборудованием.
Есть несколько типовых конфигураций брандмауэра:
1. Бастион — точка, через которую проходит весь входящий и исходящий трафик. Здесь происходит контроль по портам, типам и источникам трафика. В этом случае один интерфейс будет подключен к внутренней сети, а другой — к внешней.
2. Разделение подсетей — в данном случае на брандмауэре присутствует как минимум три интерфейса. К одному из них подключена внешняя сеть, ко второму — внутренняя, а к третьему — ДМЗ. Данная конфигурация позволяет разделять ресурсы сети, и в случае взлома одного из них другие сегменты окажутся недоступными злоумышленнику.
3. Многосетевой брандмауэр — к нему подключены, как следует из названия, не-сколько сетей. Обычно у таких устройств более трех интерфейсов.
4. ДМЗ — демилитаризованная зона. Обычно в такой зоне находятся устройства, к которым организация хочет разрешить публичный доступ, например почтовые и веб-серверы. Она всегда надежно отделена от внутренних ресурсов.
Принципы работы брандмауэров зависят от применяемого в них способа фильтрации трафика.
1. Брандмауэры с пакетной фильтрацией. Самый простой тип, работает на сетевом уровне и осуществляет фильтрацию по таким параметрам, как источник и пункт назначения трафика, а также тип протокола и номер порта.
2. Брандмауэры сеансного уровня. Работают на уровне сессии, это более сложный уровень проверки с отслеживанием TCP-рукопожатий. Как правило, такие брандмауэры не нацелены на фильтрацию отдельных пакетов, но отслеживают весь сеанс соединения.
3. Брандмауэры уровня приложений анализируют передающуюся по сети информацию и предотвращают сокрытие одного типа трафика под видом другого.4. Многоуровневые брандмауэры объединяют в себе все три вышеописанные технологии.
Для того чтобы определить стратегию обхода брандмауэра, нам необходимо прежде всего узнать его тип, а еще лучше — конфигурацию. В некоторых случаях достаточно просто подключиться к определенному порту, используя обыкновенный telnet, получить баннер и таким образом узнать, что за оборудование перед нами. Даже по самому факту наличия открытых портов можно установить тип оборудования — например, у брандмауэров Check Point по умолчанию открыты TCP-порты 256–259.
Автоматизировать данный процесс можно при помощи утилиты Firewalk или Nmap. Рассмотрим оба способа.
Firewalk посылает TCP и UDP с увеличенным на единицу TTL. Это значит, что, пройдя через брандмауэр, пакет будет уничтожен, а мы получим ответ ICMP_TIME_EXCEEDED. А в случае, когда трафик будет заблокирован брандмауэром, мы не получим никакого ответа.
В самом начале Firewalk определит количество транзитных шлюзов (hop) до цели, чтобы потом можно было выставить нужный TTL, а затем проведет сканирование.
Использование Nmap. Как вы уже заметили, Nmap представляет собой достаточно мощный инструмент, а благодаря подключаемым модулям его можно заставить сделать практически все, в том числе иопределить конфигурацию брандмауэра.
Подмена IP-адреса. Достаточно эффективный метод обхода, в этом случае атакующий подменяет свой адрес адресом хоста, с которого разрешено подключение. В Linux можно подменить свой IP-адрес, используя iptables. Однако необходимо учитывать то, что таким образом можно только отправить пакет, получить ответ от сервера будет невозможно.
Изменение пути. Используя этот прием, атакующий сам определяет путь, по кото-рому должен пройти пакет. В этом случае он должен полностью представлять себе топологию внутренней сети. Обладая всей информацией, он сможет осуществлять коммуникацию даже с такими хостами, которые, по идее, не должны быть доступны извне.
Использование IP-адресов. Некоторые брандмауэры анализируют только URL, по которому осуществляется запрос. Если его заменить на IP-адрес, то такой запрос легко пройдет через систему защиты.
ICMP-туннель. Еще один способ обхода брандмауэра — создание ICMP-туннеля. Такая возможность появилась благодаря тому, что в стандарте хоть и описана структура пакета, но не сказано, какие данные могут в нем находиться. Поэтому атакующий может передавать при помощи ICMP любую информацию. Например, он может заставить сервер соединиться с хостом, находящимся во внешней сети, или отправить вирус. Для создания таких туннелей можно использовать Loki, 007shell или NCovert.
АСК-туннель. Основная идея этого метода состоит в том, что некоторые брандмауэры не проверяют пакеты, в которых установлен АСК-флаг. Это сделано потому, что, по мнению брандмауэра, АСК используется в пакетах той сессии, которая была разрешена ранее.
HTTP-туннель. Основная идея заключается в том, что множество сервисов использует HTTP, и брандмауэр разрешает ему проходить в обоих направлениях.
Приманки
Одна из самых интересных, на наш взгляд, систем, которые можно встретить во внутренней сети организации. Приманки (honeypots) — это специальные системы, основной задачей которых является привлечение внимания атакующего.
Обычно они представляют собой отдельностоящие серверы или даже несколько серверов, объединенных для выполнения определенной задачи. Например, сервер приложений, он же может быть веб-сервером, сервер базы данных и сервер авторизации. Они похожи на реальные серверы и могут даже выполнять какие-либо задачи. Их отличие только в том, что они отделены от основной сети и к ним проще получить доступ, но при этом они не содержат никакой информации, получив которую злоумышленник мог бы скомпрометировать организацию.
Несмотря на то что доступ к ним осуществить легче, чем к любому другому сегмен-ту сети, за ними пристально следят. Ведь полученная от них информация позволяет оперативно узнавать о нелегитимных процессах, происходящих во внутренней сети. А это позволит предотвратить попытки взлома настоящих систем.
Резюме
Системы обнаружения атак (IDS) анализируют файлы, трафик, данные журналов аудитации, а также используют статистические методы анализа. Их можно попытаться обойти следующим образом:
1. Модификация существующих или использование нестандартных методов атак;
2. Поиск и использование плохо известных особенностей сетевых протоколов;
3. Перегрузка IDS ложными событиями поможет скрыть ваши действия;
4. Атака, направленная на вызов отказа в обслуживании (DoS);
5. Фрагментация пакетов не позволит IDS проанализировать данные;
6. Изменяйте буквы в командах и запросах на символьные коды — это поможет обойти сигнатурный фильтр;
7. Используйте шифрование — часто случается так, что IDS не могут проанализировать такой трафик;
Брандмауэры, как вы помните, предназначены для отделения сетей друг от друга, прежде всего внешней от внутренний. На данный момент самыми популярными являются фаерволы, которые объединяют в себе пакетную фильтрацию, отслеживание соединений и анализ передаваемых данных.
Для анализа конфигурации фаервола используйте Nmap или Firewalk. Обойти защиту фаервола можно, просто подменив свой IP адрес, однако такой метод не всегда эффективен, гораздо лучше работают приемы, в которых используется туннелирование.
Остерегайтесь приманок— серверов, созданных для привлечения злоумышленников: они легкодоступны и позволят администраторам вычислить вас.