Русская группа пользователей Snort

Павел Закляков

"Системный администратор" №10(11), октябрь 2003
По данным CERT[1], число инцидентов в сети растёт не по дням, а по часам - если грубо поделить 100 тысяч на 365 дней и на 24 часа, то получится примерно около 11 регистрируемых инцидентов в час. Ситуацию, сложившуюся в последнее время с червём Blaster, следует убрать из рассмотрения как исключение.

Мы видим, что число инцидентов растёт, а в то же время последние номера журнала не изобилуют статьями по вопросам сетевой безопасности, а тем более обнаружению телекоммуникационных атак. На мой взгляд, есть ряд удачных публикаций [2-4]; менее удачных в силу сложности непосредственной применимости [5-8] и неудачных, но все они далеки от обнаружения атак. Даже широко продаваемая литература [9-14] далека от жизни, и за красивыми названиями порой ничего не стоит, кроме полного отставания в вопросах практической реализации. Хотелось бы несколько заполнить этот вакуум полезной информацией, в частности информацией про систему обнаружения атак IDS Snort [15].

Так как теория не стоит на месте и все появляющиеся упоминания скорее неполные, чем неправильные, то хотелось бы закрыть этот вакуум, подведя читателя непосредственно подкованным к вопросу использования IDS Snort.

Замечания, обсуждение и критика вопросов обнаружения телекоммуникационных атак приветствуются.

График 1. Рост числа инцидентов по годам (ось инцидентов в логарифмическом масштабе, красная линия показывает тенденцию роста)

Способы классификации атак с позиции построения систем их обнаружения

Существуют различные типы классификации атак. Например, деление на активные и пассивные, внешние и внутренние, умышленные и неумышленные и др. Классы, в свою очередь, могут делиться на подклассы, подвиды, часто пересекающиеся, в результате можно получить следующую классификацию:

Вышеописанные типы классификации хороши с точки зрения детализации по тем или иным критериям, но часто они выделяют отдельные классы, имеющие минимальное значение с точки зрения систем обнаружения атак (СОА). Поэтому наиболее перспективной представляется уже описанная в литературе следующая классификация, разделяющая атаки на классы, в которых их будет легче обнаружить и классифицировать:

1. Удалённое проникновение (remote penetration). Атаки, которые позволяют реализовать удалённое управление компьютером через сеть. Примерами программ, реализующих такое управление, являются, NetBus или Back Orifice, реверсивный сеанс telnet [18, стр. 314].

2. Локальное проникновение (local penetration). Атака, приводящая к получению несанкционированного доступа к узлу, на котором она запущена, либо повышению прав пользователя. Примером такой программы является GetAdmin или реализация эксплоита для уязвимости в ядрах Linux через ptrace.

3. Удалённый отказ в обслуживании (remote DoS (denial of service)). Атаки, которые позволяют нарушить функционирование системы или перезагрузить компьютер удалённо. Примерами такой атаки являются teardrop, trinoo, fapi.

4. Локальный отказ в обслуживании (local DoS). Атаки, позволяющие нарушить функционирование системы или перезагрузить компьютер, на котором они реализуются. В качестве примера такой атаки можно привести враждебный апплет, который загружает центральный процессор бесконечным циклом, что приводит к невозможности обработки запросов других приложений. Также, в случае неправильной настройки, это может быть ветвящееся приложение с кучей потомков, занимающих все свободные идентификаторы PID.

5. Сетевые сканеры (network scanners). Программы, которые анализируют топологию сети и обнаруживают сервисы, доступные для атаки. Примером такой программы может служить nmap.

6. Сканеры уязвимостей (vulnerability scanners). Программы, осуществляющие поиск уязвимостей наузлахсети и которые могут быть использованы для реализации атак. Примеры: система SATAN или Shadow Security Scanner, XSpider, LanGuard, XFocus-X-Scan и др.

7. Взломщики паролей (password crackers). Программы, которые подбирают пароли пользователей. Примером взломщика паролей может служить L0pht Crack для Windows или Crack для *nix.

8. Анализаторы протоколов и снифферы (sniffers). Программы, которые «прослушивают» сетевой трафик. При помощи этих программ можно автоматически искать такую информацию, как идентификаторы и пароли пользователей, информацию о кредитных картах и так далее. Фактически анализатор протокола - это сниффер плюс некоторая часть, осуществляющая фильтрацию и разбор перехваченных пакетов по некоторым правилам. Часто обе задачи выполняет один и тот же продукт. Примерами таких программ могут служить tcpdump, ethereal, Microsoft Network Monitor, NetXRay компании Network Associates, Lan Explorer.

Принадлежность реальных атак к тому или иному классу не всегда однозначна, так как не всегда можно чётко определить конечную цель атаки, которой можно добиться разными путями. Например, в случае невозможности осуществления напрямую DoS-атаки может быть выполнена атака на удалённое проникновение, после чего могут быть остановлены те или иные службы.

С точки зрения СОА не имеет смысла классифицировать атаки по основным видам угроз [13, стр 77]: нарушение конфиденциальности, целостности, доступности, так как эти угрозы достаточно общие и реализуются по-разному, соответственно их обнаружение может быть осуществлено не единственным способом.

Каждая фирма предпочитает классифицировать атаки по-своему, например, компания Internet Security Systems, Inc. [19] ещё больше сократила число возможных категорий, доведя их до пяти: