Статьи

Во второй части описываются методы ограничения сотрудников компании к критически важным компонентам системы и методы наблюдения и контроля над ними.

Закончился обычный рабочий день, восемь-девять часов вечера. Большинство сотрудников офиса давно разошлись по домам, почти во всех комнатах погашен свет, охрана тихо дремлет у входа. Лишь в некоторых комнатах еще светятся экраны мониторов и слышен характерный стук клавиатуры. Мало кто действительно засиделся за работой, большинство же или режется по корпоративной сетке в компьютерные игры, или в отсутствие начальства залез в Internet. Бесполезное для компании, но, в принципе, безвредное и общепринятое явление. Но встречаются и совсем другие задержавшиеся на работе сотрудники, которые в это время пытаются подобрать пароли и проникнуть на различные компьютеры собственной компании с целью получения какой-нибудь ценной для них информации.

Последний метод отражения неизвестных атак использует точно выверенный уровень доступа (fine-grained mandatory access controls), который является основой проекта SELinux - Security Enhanced Linux, разрабатываемого NSAIARG (National Security Administration's Information Assurance Research Group). Механизм SELinux основан на двух ключевых концепциях: fine-grained mandatory access controls и отделении механизмов наблюдения от «полицейских» программ.

Вторая методика отражения неизвестных атак - обнаружение вторжения путем анализа программы – впервые была предложена и проверена Вагнером и Деканом. Эта модель IDS выполняет статический анализ программы, чтобы создать абстрактную, недетерминированную модель функций и системных запросов.

Для того же, чтобы отразить атаку особо разрушительных "суперчервей" или хакеров, использующих неизвестные или неисправленные дыры в защите, требуются совсем другие технологии, разработанные, скорее, для отражения неизвестных нападений, чем для уже известных. Эти методы должны быть полностью автоматизированными (поскольку возможности человека, хотя бы, в части оперативного реагирования на возникшую угрозу, тоже весьма ограничены), настраиваемыми для конкретных целей и не требующими никаких многочисленных изменений в программах. Мы планируем опубликовать цикл статей, в которых будут рассмотрены различные технологии, позволяющие создать защитный барьер против неизвестных нападений: программная изоляция ошибки, обнаружение вторжения путем анализа программы, и точно выверенный адресный доступ

Второй метод, применяемый в IDS для активного ответа нападениям, использует управление правилами межсетевой защиты. В этом случае, IDS инструктирует межсетевую защиту запретить весь трафик, исходящий от определенного IP, с которого была зафиксирована атака, это ограничение снимается лишь после истечения определенного «штрафного времени». Некоторые IDS после повторяющихся атак с одного и того же IP адреса требует вообще занести этот адрес в «черный список» и запретить любые подключения. За всем этим стоит здравая мысль лишить хакера возможностей использовать тот плацдарм, который он сумел получить в результате посылки эксплоита.

Все еще продолжаются споры среди разработчиков программного обеспечения, какой из методов обнаружения нападения является оптимальным, но заказчики систем обнаружения вторжения (IDS), в целом, уже удовлетворены ныне существующими технологиями. Чтобы получить преимущество в конкурентной борьбе, многие продавцы IDS добавляют возможности активного ответа в свои программы. Концепция, лежащая в основе этой тактики, состоит в том, что IDS обнаружит нападение и остановит его. Проблема состоит лишь в том, что любой хакер с элементарными знаниями TCP/IP может легко сломать этот механизм или выводить из строя сеть достаточно часто, что приведет к тому, что системные администраторы будут вынуждены отключить эту возможность. Для системных администраторов важно знать все ограничения механизмов активного ответа, чтобы не теряться в проблемной ситуации.