Статьи

В этой статье мы более подробно продолжим обсуждение значений заголовков IP-протокола, используя примеры конкретных сигнатур. Хотя относительно легко создать сигнатуру, соответствующую специфическому типу трафика, гораздо труднее учесть в ней минимальное количество ложных сигналов тревоги и не отфильтрованных вредных пакетов. Все сигнатуры должны быть тщательно проверены и доработаны, чтобы создать высокоточные и эффективные подписи.

Закладки - это недокументированные функции системы, заложенные создателем сознательно. Закладка может находиться в любом месте: в прикладной программе, в ядре ОС или даже в компиляторе. Назначение закладок - дать создателю системы более широкие возможности, чем рядовому пользователю или администратору, не знающему о закладке, в случае ОС или сетевых сервисов - удаленный контроль над системой. Рассмотрим на практике внедрение закладки в Unix-like систему.

Однажды утром, несколько лет тому назад, группа незнакомцев вошла в большую фирму и вышла с доступом ко всей корпоративной сети фирмы. Как они сделали это? Получая маленькие количества доступа, понемногу от множества служащих в той фирме. Сначала они в течение двух дней изучили компанию перед тем, как войти в нее. Например, они узнали имена ключевых служащих. Затем они притворились, что потеряли ключ от парадной двери, и кто-то впустил их. Затем они «потеряли» свои идентификационные карточки при входе на третий защищенный уровень, улыбнулись, и добрый служащий открыл им дверь.

Не возникало ли у вас ощущения, что защита вашего сайта была виртуозно пройдена, и вы об этом не знаете? Несомненно, вы можете своевременно устанавливать заплаты, правильно настраивать ACL, однако всем известно, что каждую неделю выпускаются десятки новых эксплоитов, причем многие из них никогда не будут обнародованы. Так как вы же убедиться, что вы защищены? Иногда кажется, что с работой программ что-то не в порядке из-за того, что вы были атакованы. И хотя большинство атакующих оставляют следы, по которым можно просто обнаружить вторжение, но некоторые самые опытные хакеры профессионалы проникают незаметно и не оставляют никаких улик, что вдвойне опасно.

Это первая часть из цикла статей, посвященных пониманию и развитию сигнатур для систем обнаружения вторжения. В этой статье мы обсудим основы IDS сигнатур и подробнее остановимся на сигнатурах, использующих значение IP, TCP, UDP и ICMP заголовков.

Я уже устал читать как две капли воды похожие друг на друга статьи про TCP-спуфинг. В одном только Хакере за 2002 год было уже две таких статьи. Господа авторы уже четыре года бездумно передирают одну и ту же статью, не замечая одного грустного факта. Хочу раскрыть им глаза. Читать с выражением: Лю-у-у-уди! Спуфинга не бывааааает! Его уже давно не бывает...

Некоторые провайдеры (и чем дальше, тем больше таких появляется) фильтруют трафик своих клиентов на предмет подделки адреса отправителя. Есть большая вероятность, что возможнось спуфинга ограничивается подсетью класса C. Кроме того, хост, адрес которого указывается в запросе на подключение, не должен реагировать на ответы сервера - проще всего выбрать адрес, на котором нет машины. При практической реализации, особенно создавая универсальный инструмент для координированной атаки, нужно учитывать эти две особенности, и проводить атаку только со своей подсети и с тех адресов, которые не отвечают. Еще одна проблема - для проведения атаки необходимо иметь администраторские привелегии.

Перед вами вторая часть обзора о применении фильтров IP безопасности (IP Security) в Windows 2000. В первой статье содержался краткий обзор политики IP безопасности, включая создание, проверку, и расширение политики IP безопасности. В этом части мы обсудим шифрование Windows-систем и применение фильтров IP безопасности.

С выходом Windows 2000 появилась новая возможность –IP Security, позволяющая более детально контролировать IP-трафик, чем TCP/IP фильтрация (TCP/IP Filtering) его предшественника – Windows NT4. При включении TCP/IP фильтрация действовала сразу на все сетевые адаптеры в системе, и поменять можно было только используемый протокол. Например, не было возможности разрешить NetBIOS соединения только с избранных хостов, а HTTP с любых.

Существующие системы блокирования поведения могут быть разбиты на две категории: системы блокирования на основе политики и системы блокирования на основе экспертизы. Системы на основе политики позволяют администратору задать явную политику блокирования, определяющую, какие запросы дозволены, а какие должны быть заблокированы. Каждый раз, когда программа делает запрос операционной системе, защитная система прерывает его, консультируется со своей базой данных политики и либо позволяет продолжить запрос, либо полностью его прерывает.

До того, как наступила эпоха современных быстрых саморазмножающихся вирусов, основная функция антивирусного программного обеспечения состояла в предотвращении инфицирования путем предварительного выявления характерных «отпечатков» вируса и добавления профилактической защиты и против данного типа компьютерного вируса. То есть раньше производители антивирусов были способны выявить новые «отпечатки» до того, как вирус успевал широко распространиться. Причем появление защиты опережало волну эпидемии вируса на неделю-две, и модифицированная компьютерная защита с легкостью гасила вирусную волну, не допуская ее распространения. Конечно, причиной этого была невысокая скорость традиционного распространения вирусов - только в случае, когда люди обменивались инфицированными файлами. Но, в любом случае, антивирусное программное обеспечение блокировало начальную инфекцию, предотвращая заражение машин, предохраняя ценные файлы от порчи, а людей от потребности в дорогостоящей ручной очистке машин и длительного времени простоя компьютеров.

Несмотря на все достижения в технологиях безопасности, один аспект остается неизменным: пароли все еще играют центральную роль в безопасности системы. Проблема заключается в том, что они слишком часто могут служить простейшим механизмом для взлома. Несмотря на то, что существуют технологии и политики для того, чтобы сделать пароли более устойчивыми, до сих пор приходиться бороться с человеческим фактором. Ни для кого не является секретом, что пользователи часто в качестве паролей используют имена друзей, клички животных и т.д.

предыдущей части были описаны превентивные методы, направленные на затруднение самой возможности проведения внутренних атак. Но поскольку не существует никакой гарантии, что какой-нибудь особо настырный сотрудник не сумеет обойти все вышеописанные методы, системные администраторы должны также уметь определять успешные внутренние вторжения. Методы обнаружения во многом схожи с методами профилактики и заключаются в использовании внутренней IDS (системы определения вторжения), сетевой защиты и системы физического контроля доступа.

Во второй части описываются методы ограничения сотрудников компании к критически важным компонентам системы и методы наблюдения и контроля над ними.

Закончился обычный рабочий день, восемь-девять часов вечера. Большинство сотрудников офиса давно разошлись по домам, почти во всех комнатах погашен свет, охрана тихо дремлет у входа. Лишь в некоторых комнатах еще светятся экраны мониторов и слышен характерный стук клавиатуры. Мало кто действительно засиделся за работой, большинство же или режется по корпоративной сетке в компьютерные игры, или в отсутствие начальства залез в Internet. Бесполезное для компании, но, в принципе, безвредное и общепринятое явление. Но встречаются и совсем другие задержавшиеся на работе сотрудники, которые в это время пытаются подобрать пароли и проникнуть на различные компьютеры собственной компании с целью получения какой-нибудь ценной для них информации.