Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Тематический план
Отдел рекламы
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Сетевые приманки и капканы

Джефф Форристал

Для безопасности корпоративной сети иногда бывает полезно сознательно сделать один из серверов уязвимым.

Как-то вечером, ища очередную жертву, некто с помощью программы Nmap обнаружил сразу несколько демонов httpd, запущенных на серверах сети известной компании. Последующее сканирование CGI-сценариев показало, что один из этих серверов можно легко взломать. Недолго думая, злоумышленник приступил к “работе”, не подозревая о том, что за всеми его действиями пристально наблюдают... В результате своих манипуляций незадачливый взломщик попал-таки “в сеть”, соблазнившись легкой добычей — сервером, который служба безопасности компании использовала в качестве приманки.

Порой бывает очень трудно отличить законопослушного посетителя корпоративного Web-узла от злонамеренного, но только у последнего возникает желание проникнуть за пределы дозволенного. Пользуясь сетевыми приманками, службы сетевой безопасности могут таким образом легко выявлять любителей совать свой нос в чужие дела.

Что такое сетевой капкан?

Сетевой капкан — это специальный сервер, который не используется персоналом компании и имитирует работу обычного корпоративного сервера. Он оснащен средствами сигнализации, слежения за действиями взломщика и их регистрации. Способы реализации этих функций могут быть самыми разными. Ознакомившись с продуктами, предлагаемыми в качестве сетевых капканов, я определил минимальный “джентльменский набор” возможностей, предоставляемых их поставщиками.

Посредством эмуляции работающего корпоративного сервера с некоторыми элементами уязвимости все изученные мною продукты позволяют привлечь внимание злоумышленника и спровоцировать его на “контролируемый взлом”. При этом уровни эмуляции варьируются. Вы можете “подсластить” приманку, имитирующую корпоративный Web-сервер, если разместите на нем актуальные HTML-документы или бюджетные данные (но не пароли!) ваших пользователей.

Само собой разумеется, что ни одна система обнаружения вторжений (Intrusion-Detection System — IDS) не может обойтись без механизмов сигнализации и регистрации событий. Для этого используются как простейшие средства сигнализации о вторжении путем отправки службе безопасности сообщений по электронной почте, так и сложные регистрирующие комплексы, фиксирующие каждый входящий пакет. Как и в случае IDS-решений сетевого и системного уровней, механизм сигнализации и регистрации событий является важнейшей составной частью любого решения-“капкана”.

Установка капканов

Возможности сетевого капкана при отлове взломщиков целиком и полностью зависят от его интеграции с вашей сетью. Вы должны установить капкан как можно ближе к вашим серверам, создав тем самым у потенциального взломщика иллюзию того, что он имеет дело с обычным штатным ресурсом.

Один из способов достижения этой цели — эмуляция служб-приманок непосредственно на рабочих серверах. Используя механизм перенаправления трафика межсетевого экрана или маршрутизатора, вы можете создать видимость присутствия этих служб на нужном вам сервере. Данная тактика, рекомендуемая компанией Recourse Technologies (изготовитель продукта ManTrap), наглядно представлена на рис. 1.

Предположим, что, запустив на рабочем сервере службу Web (порт 80), я могу перенаправить трафики telnet (порт 23) и SMTP (порт 25) на машину-приманку. Поскольку обе эти службы не должны быть доступными на рабочем сервере, машина-приманка будет немедленно сигнализировать о каждой попытке использовать их, а также регистрировать все события. Как уже говорилось, для этого необходимо, чтобы маршрутизатор (межсетевой экран) поддерживал функцию перенаправления трафика. Продукт Raptor Firewall фирмы Axent Technologies (приобретена компанией Symantec) имеет встроенный механизм Redirect Service, а операционная система IOS 12.0 фирмы Cisco Systems поддерживает списки доступа, которые вместе с механизмом NAT перенаправляют трафик конкретных служб на машину-приманку. В данном случае последняя располагается в отдельном сетевом сегменте, но в принципе, если позволяет маршрутизатор, она может находиться в том же сегменте, что и рабочий сервер. Маршрутизатор должен обеспечить прозрачную трансляцию сетевого адреса машины-приманки, скрывая его таким образом от потенциального взломщика.

Подобная конфигурация позволяет обнаружить попытки зондирования или вторжения, но только в отношении имитируемых рабочих служб. Попытка вторжения, предпринятая в отношении реальной рабочей службы (в данном случае службы Web), не будет зафиксирована по причине того, что ее трафик не перенаправляется на машину-приманку. Следовательно, вам по-прежнему необходимо осуществлять мониторинг рабочих систем и по возможности задействовать какое-нибудь IDS-решение сетевого или системного уровня. Вам также потребуется маршрутизатор или межсетевой экран, поддерживающий функцию перенаправления трафика. Кроме того, все сеансы доступа к рабочим службам должны будут выполняться через этот маршрутизатор или межсетевой экран, что может вызвать необходимость внутреннего сегментирования серверов.

Другой способ установки сетевого капкана заключается в его логическом размещении среди рабочих серверов, как показано на рис. 2. При таком размещении ваши рабочие серверы могут иметь, скажем, сетевые адреса .2, .3 и .5, а сетевой адрес .4 будет принадлежать серверу-капкану. Это реализуется путем непосредственной адресации. Используя IP-псевдонимы, вы также можете соорудить ловушку в виде нескольких сетевых хостов, IP-адреса которых на самом деле принадлежат одной и той же машине. Поскольку этот метод использует стандартный механизм сетевой адресации, вам не потребуется специально конфигурировать маршрутизатор или межсетевой экран.

Такая схема позволяет отловить злоумышленника, который пытается просканировать весь диапазон сетевых адресов с целью найти уязвимые службы. Если на ваших рабочих серверах запущена служба доменных имен, то необходимо запустить ее и на сервере-капкане; тогда в поисках уязвимой службы DNS взломщик найдет ее именно там, где вам нужно. В противном случае он “займется” вашими рабочими серверами, а ваша ловушка останется пустой.

Во всех случаях принцип работы сетевого капкана должен оставаться одним и тем же, а именно: весь трафик, направленный в его сторону, должен рассматриваться как подозрительный. При этом система обнаружения вторжений может оказаться весьма полезной для определения типа атаки, но основное достоинство сетевых капканов все-таки состоит в том, что они выявляют атаки неизвестного типа. Если, попавшись на приманку, злоумышленник постарается использовать “дыру”, о которой стало известно совсем недавно, подробная регистрация всех его действий сервером-капканом даст вам превосходный материал для последующего изучения и анализа новых приемов и тактики взлома.

Вместе с тем необходимо отдавать себе отчет в том, что эмуляция рабочих служб имеет свои ограничения. Подобно антивирусным сканерам и IDS-системам, использующим БД сигнатур известных вирусов и атак, ПО сервера-капкана должно заранее “знать” все о каждом элементе уязвимости, чтобы при необходимости имитировать его надлежащим образом, — только в этом случае взломщика можно заманить в западню. Если же имитация будет неполной, ваша сетевая приманка неминуемо выдаст себя. В этом случае, поняв, что за ним самим ведется охота, злоумышленник сумеет благополучно унести ноги либо, став более агрессивным, начнет крушить все подряд, пытаясь уничтожить все доказательства своей причастности к вторжению. К сожалению, большинство эмуляторов довольно слабо имитируют интерактивные службы и показывают только текстовые заголовки.

Но как бы там ни было, а попавший на приманку взломщик дает вам шанс скорректировать вашу политику безопасности в отношении рабочих серверов. Интенсивно используемый корпоративный Web-сервер генерирует гигантские файлы журналов регистрации, внимательно просмотреть которые, даже используя автоматические программные средства, — дело просто немыслимое. С помощью же вашей приманки вы сможете лучше изучить поведение взломщика и благодаря этому быстрее обнаружить следы атак, предпринятых в отношении ваших рабочих серверов.

Оправдывает ли цель средства?

Теперь давайте порассуждаем на тему: стоит или не стоит вообще использовать сетевые приманки и капканы. Чтобы принять правильное решение, вам придется ответить на следующие вопросы.

· Располагаете ли вы необходимыми сетевыми ресурсами в таком объеме, который позволит иметь выделенный хост для устройства капкана?

· Проводите ли вы мониторинг регистрационных журналов ваших рабочих систем и систем обнаружения вторжений?

· Намерены ли вы, собрав необходимые доказательства, преследовать взломщика в судебном порядке?

· Имеет ли ваша компания службу реагирования на чрезвычайные обстоятельства?

Сетевые приманки весьма полезны, если есть время и ресурсы не только для их мониторинга, но и для принятия надлежащих мер в отношении зафиксированных с их помощью попыток взлома. Для компаний с ограниченными ресурсами для этого лучше всего подойдут наиболее простые в установке и обслуживании коммерческие продукты. Если же вы хотите извлечь максимум пользы из решения, то забудьте о всевозможных эмуляторах и в качестве приманки используйте полномасштабный выделенный сервер.

Законодательные аспекты

К сожалению, на сегодняшний день не известны какие-либо юридические прецеденты в отношении использования сетевых приманок и капканов. Одни компании рассматривают их как нечестную игру, другие — не видят в подобной практике ничего предосудительного. Если вы решитесь установить сервер-приманку в своей сети, то вам следует учесть возможные последствия этого шага. Сделав его, вы тем самым заманиваете взломщика в свою сеть, что он может расценить как разрешение на доступ к системе. Поэтому при попытке доступа сервер-приманка, как и остальные серверы, должен, как минимум, информировать обо всех установленных для пользователей ограничениях.

Ситуация может осложниться, если злоумышленнику удастся взломать сервер-приманку и использовать его как плацдарм для нападения на ваши рабочие серверы. Если вы не приложите все свои силы для отражения атаки, пеняйте на себя. Решение суда будет скорее всего не в вашу пользу, ибо, сознательно разместив у себя сервер с элементами уязвимости, вы тем самым как бы допускаете грубейшую халатность в отношении соблюдения элементарных требований безопасности и оставляете двери в вашу корпоративную сеть открытыми настежь.

В качестве информационного наполнения сервера-приманки часто пытаются использовать фиктивные корпоративные материалы. Но как взломщик априори может знать о том, содержит ли вообще выбранный им в качестве цели компьютер те или иные данные? А что если ему взбредет в голову обнародовать вашу же фальшивую информацию, например фиктивный отчет о финансовых убытках за последний квартал, снабженный, как и положено, всеми реквизитами вашей компании? Как поступят тогда ваши акционеры, если увидят этот отчет опубликованным в Интернет? Думаю, в этом случае вас ждут большие неприятности.

Если же ваша компания сама является юридической конторой, то вам не к лицу использовать вообще какие бы то ни было приманки. Правильнее всего рассматривать сетевые приманки не как стратегическое оружие для борьбы со взломщиками, а как вспомогательное средство защиты.





  
13 '2000
СОДЕРЖАНИЕ

колонка редактора

• Кризис перепроизводства оптических сетей

локальные сети

• Оптическое волокно: борьба микрометров

• Не только видеть, но и "слышать" дефекты кабелей

• Linux бросает вызов

• Windows Services for Unix 2.0: новые возможности - новые проблемы

услуги сетей связи

• Резервирование высокоскоростного доступа

• Интегрированные устройства доступа АТМ

только на сервере

• Безотказная электронная почта

корпоративные сети

• Gigabit Ethernet для медного кабеля - высокая скорость передачи и устойчивая работа?

• Новая NDS, или Откуда ждать кроcсплатформенное администрирование

• Модернизация сети: что делать и как

защита данных

• Сетевые приманки и капканы

электронная коммерция

• Обработка электронных платежей

бизнес

• Итоги сентябрьской Интернет-конференции АДЭ

• Региональная дистрибуция, как зеркало российской экономики

• Готовьте Сеть для инвесторов

новые продукты

• "Младшая сестра" в семействе Symmetra, Серверы PRIMEPOWER стали мощнее


• КАЛЕЙДОСКОП



 Copyright © 1997-2003 ООО "Сети и Системы Связи". Тел. (095) 234-53-21. Факс (095) 974-7110. вверх