Обнаружение вторжений


Осведомленность никогда не бывает лишней...

Атаки редко совершаются внезапно, без подготовки со стороны злоумышленников. Вначале потенциальную жертву нужно хорошенько изучить, найти уязвимость в ее системе и только потом нападать. Как мы уже убедились, для "знакомства" с компьютером нет способа лучше, чем сканирование. Так что, обнаружив несанкционированную попытку сканирования, мы получим предупреждение о готовящейся атаке. Посильную помощь в этом нелегком деле может оказать Snort (www.snort.org) - система обнаружения вторжений, предназначенная для мониторинга небольших сетей. Как и Nmap, Snort вышла из благодатной среды Unix.

Snort позволяет в режиме реального времени анализировать сетевой трафик, проверяя соответствие содержимого пакетов определенным правилам. Для описания правил используется собственный язык сценариев. Встроенная база знаний позволяет определить распространенные типы сканирования и сетевых нападений.

После установки Snort понадобится установить низкоуровневые сетевые драйверы WinPcap (winpcap.polito.it), также нужно скопировать из директории Snort\bin файл LibnetNT.dll в директорию Windows\system32.

Программа способна работать в режимах снифера и детектора вторжений.

Коротко о первом режиме. При работе в качестве снифера Snort перехватывает сетевые пакеты. Режим устанавливается ключом -v. Если необходимо увидеть передаваемые в сетевом пакете данные, используйте совместно ключ -v и -d. Например, следующая команда приводит к отображению данных о пакетах, отправленных хостом с IP-адресом 192.1.2.3 и полученных на сетевом интерфейсе eth1: snort -vd -i eth1 src host 192.1.2.3. Если использовать ключ -l, то данные будут сохраняться в файл.

Для перевода Snort в режим обнаружения вторжения следует указать конфигурационный файл, описывающий набор правил (обычно используется snort.conf). Выглядит это примерно так: snort -c ../etc/snort.conf -l ../log. Сами правила хранятся в каталоге rules, их там около 50. На сайте www.snort.org/snort-db постоянно пополняются сигнатуры для обнаружения новых атак, эксплоитов и троянских программ. Эти сигнатуры достаточно просто добавить в уже существующие файлы из каталога rules.

При запуске указанным способом файлы в логах разделяются по IP-адресам, также создается один общий файл alerts.ids, в котором содержатся все подозрения на атаки. Как и любая другая система, Snort нуждается в настройке, и повозиться придется долго. Для упрощения работы можно поставить графическую оболочку IDScenter (www.engagesecurity.com). Она облегчает задачи управления Snort, включает в себя функции диагностики конфигурации, поддерживает сигналы тревоги (при определении атаки можно запустить внешнее приложение).


Наблюдать за системой можно и встроенными средствами...

В Windows 2000/XP для этих целей можно использовать монитор производительности ("Панель управления" > "Администрирование" > "Производительность"). Индикатором сетевого трафика могут выступать счетчики TCP-Segments/Sec. или Network Interface-Packets/Sec. Сканирование портов обычно проявляется как устойчивое увеличение трафика в течение нескольких минут.

Другой встроенный инструмент контроля - утилита командной строки netstat. Если вы подозреваете о сканировании, то можете использовать команду: netstat -p tcp -n. Признаком того, что вас сканируют, будет, если порты один за другим (например: 1430, 1431, 1432) находятся в состоянии ожидания соединения. Источник сканирования можно определить по IP-адресу в столбце Foreign Address.

Но ко всем выводам нужно относиться с осторожностью. Некоторые сканеры умеют искусно маскироваться, подменяя IP-адрес источника и открывая порты не по порядку, а случайно. Алгоритмов, действующих всегда и без сбоев, не бывает. Поэтому единственное, на что следует полагаться в любой ситуации, это своя голова.

Дмитрий БАРДИЯН,
x403@yandex.ru


Безопасность Wi-Fi

Беспроводные сети нуждаются в защите гораздо больше, чем их приземленные аналоги. В проводных сетях опасность прослушивания возникает редко. К примеру, если в качестве носителя используется неэкранированная витая пара, излучение которой может быть перехвачено и расшифровано. Но такие методы по карману не многим, и к тому же серьезные организации, как правило, для своих нужд используют экранированную витую пару, что сводит усилия по прослушиванию на нет.

Радиосеть же, по своей сути, предполагает излучение и может быть прослушана на расстоянии прямой видимости источника. Кроме того, есть опасность вторжения в сеть, достаточно оказаться в зоне ее действия. Как же оградить свои данные от преступных посягательств?

Во-первых, измените установленное по умолчанию имя беспроводной сети, так называемый идентификатор точки доступа (ESSID). И сконфигурируйте точку доступа таким образом, чтобы она не транслировала свой ESSID в эфир. Это усложнит задачу по несанкционированному подключению к сети.

Во-вторых, в точке доступа следует использовать фильтрацию по MAC-адресам сетевых устройств. То есть должен быть создан список MAC-адресов всех авторизованных беспроводных клиентов, имеющих доступ к сети, остальным в доступе будет отказано.

От перехвата данных поможет защититься шифрование. Стандартом шифрования в беспроводных сетях принят WEP (Wired Equivalence Privacy). Этот протокол не обеспечивает должной надежности, но его нужно использовать, чтобы достичь хотя бы минимального уровня безопасности. Для лучшей защиты уже разработан новый стандарт, известный как WPA (Wi-Fi Protected Access). В отличие от сегодняшних статических ключей шифрования WEP, новый стандарт использует пароль владельца, от которого система производит постоянно меняющиеся ключи.

В конце концов, следует установить пароли к интерфейсу точки доступа и вздохнуть свободно.

Версия для печатиВерсия для печати

Номер: 

23 за 2004 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Добавить комментарий