|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 05 Mar 2006 01:15:31
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 2 of 13 of file WUESTR.TXT
textbegin.section
1.3.2 Основания для использования персонального фаирволла
Основной задачей персонального фаирволла является мониторинг и возможное
блокирование входящего и исходящего сетевого траффика машины согласно желаниям
пользователя. Обычно это осуществляется через правила фильтрации пакетов. Т.
о., механизм мало отличается от обычного сетевого фаирволла, за исключением
того, что последние фильтруют траффик, предназначенный для множества машин,
тогда как фаирволлы персональные проверяют только пакеты, предназначающиеся
одной локальной машине.
Дополнительно персональные фаирволлы могут проверять название приложения,
устанавливающего соединение, что позволяет им фильтровать по правилам приложе-
ния. Это означает, что правила фильтрования могут включать не только IP-адре-
са, но и названия доверяемых или недоверяемых приложений, предоставляя большую
гибкость в настройке.
Задачи персонального фаирволла могут быть разделены на две категории. Во-
первых, он должен защищать от атак на охраняемую машину извне. Это включает
такие их виды как сканирование портов, злоупотребление открытыми демонами типа
сетевых ресурсов совместного доступа и DoS-атаки. Вторая категория Д это атаки
или угрозы, происходящие изнутри системы, такие как троянский сервер, пытаю-
щийся установить соединение с базой или адварная утилита, пытающаяся раскрыть
продавцу какую-либо личную информацию о клиенте. Задачей персонального фаир-
волла является пресечение или, по крайней мере, обнаружение и оповещение о по-
добных действиях.
Существует много причин использовать персональный фаирволл, даже на маши-
не, расположенной за полноценным фаирволлом сетевым.
Первая причина Д это создание второй линии обороны от атак и повышение
общей безопасности. Всилу того, что конфигурация и характер уязвимостей персо-
нальных фаирволлов отличны от таковых у фаирволлов сетевых, системы защиты
атакующему придётся пробивать уже две. Поиск двух различных эксплойтов, кото-
рые могли бы работать совместно, снижает шансы атаки на успех. Далее, те внеш-
ние фаирволлы, которые обычно размещаются на границах сети, не помогут, когда
атака предпринимается изнутри сети. Согласно некоторым исследованиям, большин-
ство атак происходит из сетей локальных [13]. Даже если вы полностью доверяете
своим коллегам, вы не можете быть уверены в том, что их машины не взломаны и
не используются им вопреки.
Другое достоинство персональных фаирволлов в том, что они учитывают ло-
кальную обстановку. Более того, у них есть доступ к таким сведениям как назва-
ние приложения, устанавливающего соединение, а не только IP-адрес машины. Рас-
смотрение этой дополнительной информации, делает возможным принятие решений по
тонким признакам. Hапр., предположим, что некоторая адварь проинсталлировала
себя в машину и пытается отослать личные данные в маркетинговую компанию через
HTTP. Большинство внешних фаирволлов сконфигурировано так, чтобы не препятст-
вовать подобному траффику, поскольку он выглядит как вполне нормальная работа
по HTTP. Правильно же сконфигурированный фаирволл персональный, по меньшей ме-
ре, прежде, чем отослать пакеты, проинформирует пользователя и сообщит назва-
ние опасного приложения. Однако, персональные фаирволлы полезны не только про-
тив таких малозначительных угроз как адварь, но и на практике эффективны про-
тив червей. Как показывают недавние события, компьютерные черви распространя-
ются так быстро, что пользователи не успевают обновлять свои антивирусные ба-
зы, чтобы их отлавливать. Hапр., компьютерный червь "SQL.Slammer" (известный
также как "Hellkern" или "Sapphire") в первые минуты своего появления удваивал
количество заражённых машин каждые 9 с [8]. Через 11 мин он охватил весь Ин-
тернет. Персональные фаирволлы отлично справляются с задачей пресечения тех
компьютерных червей, которые распространяются по сети, поскольку блокируют ис-
ходящие соединения неизвестным приложениям. Поэтому, если червь пытается отос-
лать себя с заражённой машины, он окажется заблокирован персональным фаирвол-
лом, и заражение им других машин будет предотвращено. И хотя в этом сценарии
заражение первой машины предотвращено не было, общая ситуация, тем не менее,
сохранилась под контролем.
Многие домашние пользователи считают, что они в безопасности. Они рассуж-
дают так: "Hу кому могут понадобиться мои данные, у меня нет ничего ценного, и
даже если я потеряю данные, мне наплевать". Даже если согласиться с таким под-
ходом, использование персональных фаирволлов всё равно сохраняет смысл. Осо-
бенно это касается домашних пользователей постоянного подключения к Интернету
типа DSL, которые всё больше и больше становятся объектом атак. Причина не в
секретных данных, а в том, что их системы могут быть затем использованы в ка-
честве подставных звеньев для сокрытия истинного источника атаки на другую
систему. Hапр., их системы могут быть использованы для DoS-атак.
Большинство из упомянутых выше сценариев может быть также выявлено ис-
пользованием системы обнаружения атак [intrusion detection system (IDS)]. Её
отличие в том, что она обычно используется для обнаружения атак, но не для
предотвращения или защиты от них. IDS может сообщить о том, что троянская
программа пытается выкрасть данные с машины, но не может блокировать траффик,
не будучи для этого предназначенной. Это означает, что IDS не являются заменой
персональным фаирволлам. Большинство разработчиков персональных фаирволлов
стали включать в них функции генерации отчётов об обнаруженных атаках, анало-
гично системам обнаружения атак. Так пользователь снабжается дополнительной
информацией о зарегистрированных событиях. Другими дополнительными функциями
является фильтрация содержимого, позволяющая пользователю на индивидуальной
основе контролировать фаирволлом информацию, сохраняемую в куках, блокировать
всплытие рекламных окон или исполнение активного содержимого типа ActiveX в
веб-страницах.
Hаконец, как будет показано в данной работе, другой причиной использова-
ния персонального фаирволла может быть применение его в качестве дополнитель-
ного источника информации, которая может помочь в получении лучшего представ-
ления о состоянии безопасности системы вцелом. Логи обеспечивают информацию,
которая может быть использована в процессе коррелирования сигналов тревоги и
реакции на атаки.
1.4 Методология
Методология данной работы в первую очередь заключается в осмыслении сце-
нариев возможных атак, на различных уровнях нацеленных на персональные фаир-
воллы. Для этого была построена небольшая сеть, в которой все тестируемые пер-
сональные фаирволлы исполнялись параллельно на идентично сконфигурированных
машинах. Проведение последовательности атак, обеспечивая обзор их возможнос-
тей, позволяло видеть, от каких из них конкретно способен защищать конкретный
персональный фаирволл. Логи, сгенерированные в результате, собирались для
дальнейшего изучения.
В процессе анализа зарегистрированных событий был выведен унифицированный
общий для персональных фаирволлов формат лога. Для трансляции отдельных логов
в этот унифицированный формат было написано три скрипта на Perl. Сгенерирован-
ные логи анализировались для нахождения правил коррелирования этих сигналов
тревоги. С целью проверки сделанных выводов был проведён эксперимент в услови-
ях работы нескольких персональных фаирволлов в реальной сети.
Глава 2
Характеристики персональных фаирволлов
В этой главе рассмотрены технические возможности программных продуктов,
отобранных для исследования.
2.1 Выбранные программные продукты
Большинство систем класса Unix или разновидностей Linux изначально вклю-
чает полноценные фаирволлы, имеющие мало общего с персональными фаирволлами
для систем класса Windows. По этой причине для тестов были выбраны только пер-
сональные фаирволлы для Windows. Персональный фаирволл для не-Windows системы,
вероятно, испортил бы общую картину результатов, поскольку устроен как обычный
сетевой фаирволл и не имеет некоторых специальных черт, типичных для персо-
нальных. Поскольку целью данного исследования было моделирование условий ре-
ального пользователя, продукты были выбраны из всего диапазона данного сегмен-
та рынка. Отобранные персональные фаирволлы следующие:
. Hазвание: Zonealarm
Версия: 3.1.395
Разработчик: Zonelabs
Сайт: http://www.zonelabs.com
Тип: бесплатный
Целевые ОС: Win98/ME/NT/2K/XP
. Hазвание: Symantec Desktop Firewall
Версия: 2.01
Разработчик: Symantec
Сайт: http://www.symantec.com
Тип: платный
Целевые ОС: Win95/98/ME/NT/2K/XP
. Hазвание: Sygate Personal Firewall
Версия: 5.0.1150
Разработчик: Sygate
Сайт: http://soho.sygate.com
Тип: бесплатный для личного пользования
Целевые ОС: Win95/98/ME/NT/2K/XP
Эти продукты были выбраны потому, что представляют собой хороший обзор
имеющегося на рынке, ориентированном на небольшие офисы и домашних пользовате-
лей. В тех случаях, когда в данной работе какое-либо из названий употреблено
без указания версии, подразумевается версия, указанная выше.
2.2 Характеристики персональных фаирволлов
В этой части рассмотрены некоторые представляющие интерес характеристики
выбранных персональных фаирволлов. Хотя внимание сосредоточено, прежде всего,
на функциях регистрирования и формирования правил, играющих основную роль в
данной работе, упомянуты также и другие полезные черты. Перечень не претендует
на полноту, и такие функции как "горячее обновление" ["live update"] в нём не
рассматриваются.
2.2.1 "Zonealarm"
Персональный фаирволл "Zonelabs" создаёт две отдельные зоны: "зону Интер-
нета" и "зону доверия". Для каждой зоны пользователь может добавить IP-адреса
или сети. Обе зоны могут иметь разные настройки безопасности. Степень обеспе-
чения безопасности может быть одного из трёх уровней: высокого, среднего и
низкого. В настройках управления программами для каждого приложения можно оп-
ределить права в зоне Интернета и в зоне доверия. Далее можно определить, дол-
жно ли приложение работать как сервер, разрешая ему ждать входящие соединения.
Возможные опции: разрешить, блокировать и спрашивать.
Функцией, не относящейся к фаирволлам, но представляющей интерес, являет-
ся "mailsafe". Это основная защита от вирусов на языке Visual Basic в e-mail.
Её суть заключается в перемещении скрипта в безопасное место и предотвращении
его автоматического запуска. Достигается это посредством мониторинга траффика
e-mail.
В качестве дополнительной функции имеется аварийная кнопка, при нажатии
переводящая фаирволл в режим "блокировать всё". Она может быть полезной, когда
пользователь замечает какое-либо ненормальное поведение системы.
Возможность добавления сложных пользовательских правил, которые использо-
вали бы опции фильтрации, основанные на номерах портов, отсутствует. Это озна-
чает, что каждое приложение, которому разрешено работать с сетью, имеет права
на использование всех портов.
2.2.2 "Symantec Desktop Firewall"
"Symantec Desktop Firewall" отслеживает два основных направления: безо-
пасность и приватность.
В "безопасности" пользователь имеет выбор из трёх предопределённых уров-
ней: высокий, средний и низкий. Эти три уровня являются значениями внутренних
опций. Они делятся на три тематические группы: персональный фаирволл, Java-ап-
плеты и ActiveX. Для каждой из этих групп в свою очередь можно выбрать один из
трёх уровней защиты. В случае персонального фаирволла это означает следующее:
высокий Д блокировать всё кроме явно разрешённого пользователем; средний Д
блокировать известные агрессивные приложения; нулевой Д разрешить любой траф-
фик. Для двух остальных групп можно выбрать блокировать всё, спрашивать каждый
раз и разрешить всё.
Дополнительно имеются ещё две опции. Первая включает сигнализацию тревоги
иконкой на панели задач, а вторая молча блокирует неиспользуемые порты. Пос-
леднее означает, что траффик, направленный в неиспользуемый порт и не удовлет-
воряющий какому-либо правилу фильтрации, будет блокирован, как если бы такое
правило имелось.
Вторая категория Д "приватность". Ползунок позволяет пользователю задать
один из трёх предусмотренных уровней безопасности; высокий, средний и мини-
мальный. Таковые касаются внутренних значений блокирования кук (блокировать,
спрашивать или разрешать) и блокирования конфиденциальной информации (блокиро-
вать, спрашивать или разрешать). "Конфиденциальной" информацией может быть лю-
бая, введённая в пользовательское поле, напр., последние 4 цифры номера кре-
дитной карты. Если разрешено, персональный фаирволл пытается убедиться, что
эта информация не покидает машину.
Далее, "Symantec Desktop Firewall" способен блокировать IGMP-траффик и
фрагментированные IP-пакеты. Оба варианта часто применяются для атак DoS или
Nuke, которые пытаются обрушить систему специально сформированными пакетами.
"Symantec Desktop Firewall" предоставляет возможность разрешить автомати-
ческое формирование своих правил автонастройщиком. Этот автонастройщик имеет
внутреннюю базу данных известных приложений и соответствующих правил по умол-
чанию. Если персональный фаирволл замечает новое приложение, которое пытается
получить доступ к сети, автонастройщик ищет название в базе данных и проверя-
ет, известно ли это приложение. Если это приложение известно, для него автома-
тически, без уведомления, создаётся соответствующее правило. Это может вызы-
вать проблемы при желании иметь нестандартные правила для стандартных приложе-
ний, типа веб-браузеров.
В разделе дополнительных опций есть возможность установить дополнительные
правила приватности на основе доменного имени. Это позволяет блокировать стро-
ки user-agent, куки, referrer и адреса e-mail от передачи сайтам.
Соединения могут фильтроваться после установки правил в редакторе правил.
Эти правила могут сопоставляться входящим и исходящим пакетам и фильтровать их
согласно критериям типа: протокол, название приложения, номера портов или ис-
пользуемые IP-адреса.
Действиями над фильтруемыми пакетами могут быть: разрешение, блокирова-
ние или игнорирование. Последнее означает, что пакет будет зарегистрирован, но
не блокирован.
В особых случаях может быть выставлен флаг тревоги, отображаемый в иконке
системного лотка.
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Персональные фаирволлы и выявление вторжений |
Marхnais |
05 Mar 2006 01:15:31 |
|
|
