Безопасность распределенных вычислительных систем в Интернет 103
Методы защиты от удаленных атак в сети Internet
2 Программно-аппаратные методы защиты от удаленных атак в сети Internet 2 Программные методы. Системы обнаружения вторжений
Эти IDS работают с сетевыми потоками данных. Сетевая IDS может запускаться либо на отдельном компьютере, который контролирует свой собственный трафик, либо на выделенном компьютере, прозрачно просматривающим весь трафик в сети (концентратор, маршрутизатор). Сетевые IDS контролируют много компьютеров, тогда как другие IDS контролируют только один.
IDS, которые устанавливаются на хосте и обнаруживают злонамеренные действия на нём называются хостовыми или системными IDS. Примерами хостовых IDS
могут быть системы контроля целостности файлов (СКЦФ), которые проверяют системные файлы с целью определения, когда в них были внесены изменения. Мониторы регистрационных файлов (Log-file monitors, LFM), контролируют регистрационные файлы, создаваемые сетевыми сервисами и службами. Обманные системы, работающие с псевдосервисами, цель которых заключается в воспроизведении хорошо известных уязвимостей для обмана злоумышленников.
По методам анализа IDS делят на две группы:
IDS, которые сравнивают информацию с предустановленной базой сигнатур атак и
IDS, контролирующие частоту событий или обнаружение статистических аномалий.
Рис. 3 Архитектура IDS
Безопасность распределенных вычислительных систем в Интернет 105 |
|
2 |
Методы защиты от удаленных атак в сети Internet |
Программно-аппаратные методы защиты от удаленных атак в сети Internet |
|
2 |
Программные методы. Системы обнаружения вторжений |
Для систем обнаружения вторжений целесообразно различать локальную и глобальную архитектуру. В рамках локальной архитектуры реализуются элементарные составляющие, которые затем могут быть объединены для обслуживания корпоративных систем.
Основные элементы локальной архитектуры и связи между ними показаны на рисунке 3. Первичный сбор данных осуществляют агенты, называемые также сенсорами. Регистрационная информация может извлекаться из системных или прикладных журналов (технически несложно получать ее и напрямую от ядра ОС), либо добываться из сети с помощью соответствующих механизмов активного сетевого оборудования или путем перехвата пакетов посредством установленной в режим мониторинга сетевой карты. На уровне агентов (сенсоров) может выполняться фильтрация данных с целью уменьшения их объема. Это требует от агентов некоторого интеллекта, но зато разгружает остальные компоненты системы.
Агенты передают информацию в центр распределения, который приводит ее к единому формату, возможно, осуществляет дальнейшую фильтрацию, сохраняет в базе данных и направляет для анализа статистическому и экспертному компонентам. Один центр распределения может обслуживать несколько сенсоров.
Безопасность распределенных вычислительных систем в Интернет 106 |
|
2 |
Методы защиты от удаленных атак в сети Internet |
Программно-аппаратные методы защиты от удаленных атак в сети Internet |
|
2 |
Программные методы. Системы обнаружения вторжений |
Содержательный активный аудит начинается со статистического и экспертного компонентов. Если в процессе статистического или экспертного анализа выявляется подозрительная активность, соответствующее сообщение направляется решателю, который определяет, является ли тревога оправданной, и выбирает способ реагирования.
Хорошая система обнаружения вторжений должна уметь внятно объяснить, почему она подняла тревогу, насколько серьезна ситуация и каковы рекомендуемые способы действия. Если выбор должен оставаться за человеком, то пусть он сводится к нескольким элементам меню, а не к решению концептуальных проблем.
Глобальная архитектура подразумевает организацию одноранговых и разноранговых связей между локальными системами обнаружения вторжений.
IDS уникальны в том, что в отличие от МЭ, выполняющих множество различных функций (фильтрация пакетов, аутентификация пользователей, кэширование и т.д.), в них реализована всего одна функция, но реализована хорошо. Обнаружение вторжений в реальном масштабе времени, особенно на высоких сетевых скоростях, требует значительного количества выделенных ресурсов, которых не может обеспечить ни один из МЭ, кроме самых дорогих и сложных.
Безопасность распределенных вычислительных систем в Интернет 105
Удаленные атаки на телекоммуникационные службы
1 Направления атак и типовые сценарии их осуществления в ОС UNIX
Рассмотрим второй подвид атак, осуществляемых в сети - атаки на телекоммуникационные службы удаленных компьютеров. Эти компьютеры могут находиться на другом континенте или быть в соседней с вами комнате - это никак не может быть вами замечено, кроме, может быть, скорости ответа на ваши запросы.
Итак, какие же цели преследует кракер, атакующий извне ваш компьютер?
1.получить доступ к важной информации, хранящейся на удаленном компьютере.
2.получить доступ к ресурсам удаленной системы. Это может быть как
процессорное время, так и дисковое пространство (например, для организации пиратского ftp-сайта (site).
3.иметь плацдарм для осуществления цели 1), но для атаки на другой компьютер - тогда в журналах атакованного компьютера будет значиться, что атака осуществлялась с вашего адреса;
4.как пробный шар, отладка механизмов атак на другие хосты.
Безопасность распределенных вычислительных систем в Интернет 106
Удаленные атаки на телекоммуникационные службы
1 Направления атак и типовые сценарии их осуществления в ОС UNIX
ВUNIX различают два вида пользователей - обычный пользователь, имеющий права на доступ в рамках своего идентификатора (UID, user id) и членства в группе (GID, group ID) (в UNIX каждый пользователь в текущий момент может быть членом только одной группы, соответственно, он имеет один UID и один GID);
а также так называемый суперпользователь (root), имеющий неограниченные права
(UID и GID у него равны специальному значению 0). По мере развития среди обычных пользователей выделились так называемые специальные пользователи. Они обычно имеют зарезервированные имена (например, guest, bin, uucp и т.п.) и
номера UID и GID (например, они всегда меньшие 100). Хотя нет никакого особого механизма в защите UNIX, отличающего специального пользователя от обычного можно сказать, что первый имеет еще меньшие права, чем второй. В частности, специальным пользователям обычно нельзя зайти в систему нормальным образом.
Самым интересным для нас примером специального пользователя является анонимный пользователь ftp, который так и называется - anonymous или ftp.
Наконец, условно к категории пользователей можно отнести человека, удаленно
подключившегося (обычно по протоколу TELNET) к компьютеру и взаимодействующего с одной из программ-серверов, это псевдопользователь.
Безопасность распределенных вычислительных систем в Интернет 107
Удаленные атаки на телекоммуникационные службы
Итак, условно иерархию пользователей на UNIX-машине можно представить как:
1)Суперпользователь - неограниченные права.
2)Обычный пользователь - права, ограниченные ему суперпользователем.
3)Специальный пользователь - права, ограниченные ему суперпользователем для работы с конкретным приложением.
4)Псевдопользователь - нет никаких прав, он вообще не идентифицируется системой
Очевидно, что любой пользователь Интернет всегда имеет привилегии уровня 3 на вашем хосте, а также, если поддерживается соответствующий сервис, привилегии уровня 2.
Таким образом, задачей хакера будет являться несанкционированное получение привилегий более высокого уровня. (Заметим, кстати, что вовсе необязательно
конечной целой хакера является получение именно привилегий суперпользователя)
Безопасность распределенных вычислительных систем в Интернет 108
Удаленные атаки на телекоммуникационные службы
Рассмотрим далее типовые сценарии их получения и средства UNIX, делающие их возможными.
1."Сразу в дамки" - имея привилегии уровня 3, хакер получает права суперпользователя. Такой фантастический прыжок возможен "благодаря" механизму демонов (серверов) UNIX, отвечающих за обработку удаленных запросов. Т. к. эти демоны выполняются от имени суперпользователя, то все, что надо сделать псевдопользователю - это знать (существующие или найти самому) "дыры" или ошибки в этих демонах, которые позволят эксплуатировать их нестандартным или запрещенным образом. Обычно это сводится к возможности удаленно выполнить от их имени любую команду на атакуемом хосте - какую конкретно, зависит от намерений и характера хакера. Иногда это может быть создание ошибочной ситуации, приводящей к аварийному завершению демона с выдачей дампа памяти на диск, содержащий весьма
полезную для хакера информацию (например, кэшированные пароли). Типичными примерами уязвимых демонов были и остаются sendmail, ftpd, fingerd.
Безопасность распределенных вычислительных систем в Интернет 109
Удаленные атаки на телекоммуникационные службы
2."Из специального - в обычного или выше" . Этот сценарий очень похож на описанный выше, с тем исключением, что для хакера требуются начальные привилегии уровня 2 (иначе говоря, запущен некоторый дополнительный сервис). В этом случае злоумышленник всегда проходит некую (пусть примитивную) идентификацию и, возможно, аутентификацию. Привилегии уровня 2 могут дать возможность хакеру читать некоторые файлы (например, из ~ftp/pub), и, что самое главное, записывать свои файлы на ваш компьютер (в каталог типа ~ftp/incoming). С другой стороны, т. к. пользователь регистрируется на вашем компьютере, в его файлах-протоколах остается некоторая информация о подключении.
Типичным примером атаки по данному сценарию является атака, которая по протоколу tftp получает файл паролей /etc/passwd, и затем с его помощью подбираются пароли пользователей. Этот пример показывает, что необязательно желаемые привилегии будут получены немедленно, подобные атаки могут лишь создать предпосылки для их возможного получения в дальнейшем.
Хосты, допускающие подобные атаки, также должны считаться катастрофически незащищенными в случае, если используемый в них сервис нельзя отключить без ущерба функционированию системы.
Безопасность распределенных вычислительных систем в Интернет 110
Удаленные атаки на телекоммуникационные службы
3."Маловато будет: из обычного - в суперпользователи" . Этот сценарий, пожалуй, наиболее прост, широко распространен и подавляющее большинство сообщений о так назваемых "дырах" в UNIX относится именно к нему. Для его
осуществления злоумышленник должен уже быть обычным пользователем (иногда говорят, что он имеет бюджет (account)) на том компьютере, который он собирается взламывать. Это, с одной стороны, серьезное ограничение на масштабность проникновения, с другой стороны, большинство утечек информации происходит через "своих" , через подкупленного сотрудника, который пусть и не имеет больших полномочий, но уж входное имя на секретный компьютер у него будет.
4."Он слишком многим доверял". Взлом производит обычно псевдопользователь,
повышая свои полномочия до обычного, с использованием механизма доверия. Термин "доверие", также оказывающийся одной из важнейших брешей в безопасности UNIX, пришел из тех далеких времен, когда компьютерные системы хотели доверять друг другу. "Доверие" употребляется всякий раз, когда возникает ситуация, в которой хост может позволить пользователю (как правило удаленному) использовать локальные ресурсы без аутентификации (ввода пароля).