Смекни!
smekni.com

Сетевые анализаторы (стр. 2 из 4)

Итак, пример IPAlert-1 показывает, какое важное место занимают сетевые мониторы в обеспечении безопасности сети.

Разумеется, современные сетевые мониторы поддерживают куда больше возможностей, их и самих стало достаточно много. Есть системы попроще, стоимостью в пределах 500 долларов, однако есть и мощнейшие системы, снабженные экспертными системами, способные проводить мощный эвристический анализ, их стоимость многократно выше – от 75 тысяч долларов.

1.2 ВОЗМОЖНОСТИ СОВРЕМЕННЫХ СЕТЕВЫХ АНАЛИЗАТОРОВ

Современные мониторы поддерживают множество других функций помимо своих основных по определению (которые рассматривались мной для IP Alert-1). Например, сканирование кабеля.

Сетевая статистика (коэффициент использования сегмента, уровень коллизий, уровень ошибок и уровень широковещательного трафика, определение скорости распространения сигнала); роль всех этих показателей состоит в том, что при превышении определенных пороговых значений можно говорить о проблемах на сегменте. Сюда же в литературе относят проверку легитимности сетевых адаптеров, если вдруг появляется «подозрительный» (проверка по МАС-адресу и т.п.).

Статистика ошибочных кадров. Укороченные кадры (shortframes) – это кадры, имеющие длину меньше допустимой, то есть меньше 64 байт. Этот тип кадров делится на два подкласса – короткие кадры с корректной контрольной суммой и коротышки (runts), не имеющие корректной контрольной суммы. Наиболее вероятной причиной появления таких вот «мутантов» является неисправность сетевых адаптеров. Удлиненные кадры, которые являются следствием затяжной передачи и говорят о проблемах в адаптерах. Кадры-призраки, которые являются следствием наводок на кабель. Нормальный процент ошибочных кадров в сети не должен быть выше 0,01%. Если он выше, то либо в сети есть технические неисправности, либо произведено несанкционированное вторжение.

Статистика по коллизиям. Указывает на количество и виды коллизий на сегменте сети и позволяет определить наличие проблемы и ее местонахождение. Коллизии бывают локальные (в одном сегменте) и удаленные (в другом сегменте по отношению к монитору). Обычно все коллизии в сетях типа Ethernet являются удаленными. Интенсивность коллизий не должна превышать 5%, а пики выше 20% говорят о серьезных проблемах.

Существует еще очень много возможных функций, все их перечислить просто нет возможности.

Хочу отметить, что мониторы бывают как программные, так и аппаратные. Однако они, как правило, играют больше статистическую функцию. Например, сетевой монитор LANtern. Он представляет собой легко монтируемое аппаратное устройство, помогающее супервизорам и обслуживающим организациям централизованно обслуживать и поддерживать сети, состоящие из аппаратуры различных производителей. Оно собирает статистические данные и выявляет тенденции, что позволяет оптимизировать производительность сети и ее расширение. Информация о сети выводится на центральной управляющей консоли сети. Таким образом, аппаратные мониторы не обеспечивают достойной защиты информации.

В ОС MicrosoftWindows содержится сетевой монитор (NetworkMonitor), однако он содержит серьезные уязвимости, о которых я расскажу ниже.

Рис. 1. Сетевой монитор ОС WINDOWS класса NT.

Интерфейс программы сложноват для освоения «на лету».

Рис. 2. Просмотр кадров в сетевом мониторе WINDOWS.

Большинство производителей в настоящее время стремятся сделать в своих мониторах простой и удобный интерфейс. Еще один пример – монитор NetPeeker (не так богат доп. Возможностями, но всё же):

Рис. 3. Дружественный интерфейс монитора NetPeeker.

Приведу пример интерфейса сложной и дорогой программы NetForensics (95000$):

Рис.4. Интерфейс NetForensics.

Существует некий обязательный набор «умений», которым мониторы обязательно должны обладать, согласно тенденциям сегодняшнего дня:

1. Как минимум:

  • задание шаблонов фильтрации трафика;
  • централизованное управление модулями слежения;
  • фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP;
  • фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя;
  • аварийное завершение соединения с атакующим узлом;
  • управление межсетевыми экранами и маршрутизаторами;
  • задание сценариев по обработке атак;
  • запись атаки для дальнейшего воспроизведения и анализа;
  • поддержкасетевыхинтерфейсов Ethernet, Fast Ethernet и Token Ring;
  • отсутствие требования использования специального аппаратного обеспечения;
  • установление защищенного соединения между компонентами системы, а также другими устройствами;
  • наличие всеобъемлющей базы данных по всем обнаруживаемым атакам;
  • минимальное снижение производительности сети;
  • работа с одним модулем слежения с нескольких консолей управления;
  • мощная система генерация отчетов;
  • простота использования и интуитивно понятный графический интерфейс;
  • невысокие системные требования к программному и аппаратному обеспечению.

2. Уметь создавать отчеты:

  • Распределение трафика по пользователям;
  • Распределение трафика по IP адресам;
  • Распределение трафика по сервисам;
  • Распределение трафика по протоколам;
  • Распределение трафика по типу данных (картинки, видео, тексты, музыка);
  • Распределение трафика по программам, используемыми пользователями;
  • Распределение трафика по времени суток;
  • Распределение трафика по дням недели;
  • Распределение трафика по датам и месяцам;
  • Распределение трафика по сайтам, по которым ходил пользователь;
  • Ошибки авторизации в системе;
  • Входы и выходы из системы.

Примеры конкретных атак, которые могут распознавать сетевые мониторы:

"Отказ в обслуживании" (Denial of service). Любое действие или последовательность действий, которая приводит любую часть атакуемой системы к выходу из строя, при котором та перестают выполнять свои функции. Причиной может быть несанкционированный доступ, задержка в обслуживании и т.д. Примером могут служить атаки SYN Flood, Ping Flood, Windows Out-of-Band (WinNuke) и т.п.

"Неавторизованныйдоступ" (Unauthorized access attempt). Любое действие или последовательность действий, которая приводит к попытке чтения файлов или выполнения команд в обход установленной политики безопасности. Также включает попытки злоумышленника получить привилегии, большие, чем установлены администратором системы. Примером могут служить атаки FTP Root, E-mail WIZ и т.п.

"Предварительные действия перед атакой" (Pre-attack probe)
Любое действие или последовательность действий по получению информации ИЗ или О сети (например, имена и пароли пользователей), используемые в дальнейшем для осуществления неавторизованного доступа. Примером может служить сканирование портов (Port scan), сканирование при помощи программы SATAN (SATAN scan) и т.п.

"Подозрительная активность" (Suspicious activity)
Сетевой трафик, выходящий за рамки определения "стандартного" трафика. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события Duplicate IP Address, IP Unknown Protocol и т.п.

"Анализ протокола" (Protocol decode. Сетевая активность, которая может быть использована для осуществления одной из атак вышеназванных типов. Может указывать на подозрительные действия, осуществляемые в сети. Примером могут служить события FTP User decode, Portmapper Proxy decode и т.п.

1.3 ОПАСНОСТИ ПРИМЕНЕНИЯ СЕТЕВЫХ МОНИТОРОВ

Применение сетевых мониторов также таит в себе потенциальную опасность. Хотя бы потому, что через них проходит огромное количество информации, в том числе и конфиденциальной. Рассмотрим пример уязвимости на примере вышеупомянутого NetworkMonitor, входящего в поставку Windows семейства NT. В этом мониторе существует так называемая HEX-панель (см. рис. 2), которая позволяет увидеть данные кадра в виде текста ASCII. Здесь, например, можно увидеть гуляющие по сети незашифрованные пароли. Можно попробовать, например, прочесть пакеты почтового приложения Eudora. Потратив немного времени, можно спокойно увидеть их в открытом виде. Впрочем, начеку надо быть всегда, так как и шифрование не спасает. Здесь возможны два случая. В литературе есть жаргонный термин «похабник» - это сосед определенной машины в том же сегменте, на том же хабе, или, как это называется сейчас, свитче. Так вот, если «продвинутый» «похабник» решил просканировать трафик сети и повыуживать пароли, то администратор с легкостью вычислит такого злоумышленника, поскольку монитор поддерживает идентификацию пользователей, его использующих. Достаточно нажать кнопку – и перед администратором открывается список «хакеров-похабников». Гораздо более сложной является ситуация, когда совершается атака извне, например, из сети Интернет. Сведения, предоставляемые монитором, чрезвычайно информативны. Показывается список всех захваченных кадров, порядковые номера кадров, времена их захвата, даже МАС-адреса сетевых адаптеров, что позволяет идентифицировать компьютер вполне конкретно. Панель детальной информации содержит «внутренности» кадра – описание его заголовков и т.д. Даже любопытному новичку многое здесь покажется знакомым.