ru.internet.security

 
 - RU.INTERNET.SECURITY ---------------------------------------------------------
 From : Marхnais                             2:5020/2173.2  18 Nov 2005  17:06:41
 To : All
 Subject : Персональные фаирволлы и выявление вторжений
 -------------------------------------------------------------------------------- 
 

 
 textsection 13 of 13 of file WUESTR.TXT
 textbegin.section
                                    Глава 7
 
                                   Заключение
 
      В наше время, когда множество людей имеет постоянное подключение к Интер-
 нету и всё большее и большее их число пытается предпринимать атаки  и  вредить
 другим, опасность из Интернета растёт. Разумеется, средства обороны также  со-
 вершенствуются, и для защиты систем появляются  новые  продукты.  Персональные
 фаирволлы являются одним из таких новых видов продуктов, заполняющим пробел  в
 цепочке средств защиты. Предназначенные преимущественно для конечных пользова-
 телей, они могут также эксплуатироваться и в организациях на персональных  ма-
 шинах работников.
      Данная работа состоит из двух частей. Первая демонстрирует огромное  раз-
 нообразие атак против персональных фаирволлов, как из локальных, так и из уда-
 лённых источников. Персональные фаирволлы хорошо справляются с работой по  за-
 щите от входящих атак с удалённых машин, таких как DoS-атаки. Однако,  некото-
 рые из локальных атак персональным фаирволлом в нынешнем  определении  предот-
 вращены быть не могут. Поскольку пользователь в процессе работы  персонального
 фаирволла имеет возможность изменять набор правил, для  инструмента  агрессии,
 запущенного пользователем, всегда будет оставаться возможность проделать те же
 изменения, что и пользователь. Эта проблема может быть решена через исполнение
 процесса персонального фаирволла с  правами  администратора,  как  уже  делает
 большинство антивирусных сканнеров. Однако, тогда пользователь лишится возмож-
 ности конфигурировать персональный фаирволл "на ходу". В этом заключается  ос-
 новная проблема персональных фаирволлов: они работают в системе, которая может
 быть атакована изнутри. Поэтому не существует возможности предпринять  что-ли-
 бо, чего злонамеренный пользователь с правами администратора не мог  бы  изме-
 нить. Это относится к логам, наборам правил, процессу инициализации. С  другой
 стороны некоторые виды атак могут и должны персональными  фаирволлами  предот-
 вращаться, такие как DoS-атаки по неконтролируемым протоколами типа IGMP. Поэ-
 тому в персональных фаирволлах должен быть реализован фильтр, проверяющий  па-
 кеты с сохранением состояния.
      Вторая часть работы раскрывает полезность персональных фаирволлов как до-
 полнительного источника информации. Вцелом, персональные фаирволлы можно расс-
 матривать как дешёвый способ получения дополнительных  логов  датчиков  уровня
 хоста распределённых систем. Многие организации используют персональные  фаир-
 воллы, но производимыми ими логами не пользуются. С помощью средств, созданных
 в данной работе, существует возможность экспортировать эти логи в описанный  в
 данной работе унифицированный формат событий так, чтобы они могли  затем  быть
 интегрированы в  существующую  структуру  безопасности.  Использование  общего
 адаптера логов делает возможным отправку событий  для  дальнейшего  анализа  в
 коррелирующий движок, напр., консоль "IBM Tivoli Risk Manager". Hа этом  объе-
 диняющем этапе могут быть применены правила  коррелирования  с  логами  других
 персональных фаирволлов или IDS, так чтобы никакая информация не пропала.  По-
 лученная информация может существенно способствовать принятию решения системой
 IDS. За счёт коррелирования событий лога можно  повысить  уровень  надёжности:
 устраняя ложные тревоги и повышая приоритет реальных.  Следует  заметить,  что
 данные логов персонального фаирволла информации, достаточной для точной  иден-
 тификации атак, сами по себе не обеспечивают. Hапр., когда мы имеем  атаку  на
 TCP-порту 80, известен факт атаки, но нельзя сказать уверенно, был ли это ком-
 пьютерный червь, сканирование портов или  же  какой-то  пользователь  нечаянно
 ввёл наш IP-адрес в своём браузере. Для прояснения ситуации необходимо провес-
 ти коррелирование событий с пакетными логами или с  логами  IDS,  позволяющими
 анализировать содержимое пакетов. Однако, данная возможность может быть интег-
 рирована в будущих версиях персональных фаирволлов.
      Данное применение персональных фаирволлов также видно из  эксперимента  в
 реальных условиях, где несколько идентичных инсталляций персональных  фаирвол-
 лов в сети было протестировано в течение недели. Полученные логи дали  возмож-
 ность идентифицировать и классифицировать  различные  атаки,  произошедшие  за
 этот отрезок времени. Они включали компьютерного червя, который пытался  расп-
 ространяться в сети; адварь, пытавшуюся отослать информацию поставщику; и ска-
 нирование портов сети атакующим в поисках возможных уязвимостей.
                                    Глава 8
 
                                  Перспективы
 
      Данная работа может быть продолжена в различных направлениях.
      Один из первоочередных потенциальных шагов Д это изучение  коррелирующего
 движка, собирающего полученные события, и проверка того, как этот новый источ-
 ник информации влияет на качество обнаружения и действительно ли он  уменьшает
 количество ложных срабатываний. Анализ информации логов персональных  фаирвол-
 лов, не рассмотренной в данной работе, такой как время запуска фаирволла, так-
 же может представлять интерес, скорее, для проверки  общего  здоровья  системы
 или как метод проверки, не была ли система перезагружена или изменена  несанк-
 ционированным образом. По крайней мере,  это  сведения,  которые  используются
 редко, но легко доступны и могут дать об охраняемой системе информацию.
      Другое направление Д проверить, были  ли  решены  в  последующих  версиях
 проблемы, упомянутые в заключениях, такие как  улучшение  защиты  от  входящих
 DoS-атак или предотвращение изменений локального набора правил и логов.
      Кроме того, может представлять интерес  разработка  концепции  идеального
 персонального фаирволла и возможно, её реализация, поскольку потребность в хо-
 роших, надёжных, стабильных и притом удобных в обращении персональных фаирвол-
 лах огромна. Этот идеальный персональный фаирволл должен решить проблемы, свя-
 занные с тем, что он может быть атакован из системы, в которой  они  работает.
 Кроме того, он иметь функции типа защиты от исходящего спуфинга,  предотвраще-
 ния изменения набора правил и защиту от DoS-атак.
      Hеразрешённым также остаётся вопрос, возможно ли определение версии  пер-
 сонального фаирволла, инсталлированного на целевой машине, и что разрешено его
 правилами. Эта информация может способствовать более  изощрённым  атакам,  ис-
 пользующим после первичной атаки специфические  уязвимости  персональных  фаи-
 рволлов.
      Ещё один вопрос для рассмотрения Д это  проверка  возможности  подготовки
 правил персонального фаирволла в унифицированном формате с последующей  транс-
 ляцией его в конкретные форматы различных фаирволлов и инсталляцией  правил  в
 их собственные наборы. Идея, лежащая в основе, Д наличие одного  общего  файла
 правил и применение его ко всем различным видам фаирволлов, инсталлированных в
 данной среде.
                                  Библиография
 
  1. M.Ranum. Using Desktop Firewalls as Basic IDSes. Д http://www.infosecuritъ
     ymag.com/2002/oct/cooltools.shtml, 2002.
  2. Log File Analyzer Project on Security Focus. Д http://analyzer.securityfoъ
     cus.com, 2003.
  3. S.Boran. An Analysis of Mini-Firewalls for Windows Users. Д http://www.boъ
     ran.com/security/sp/pf/pf_main20001023.html, 2003.
  4. G.Bahadur. Article of Attacks Against Personal Firewalls. Д http://www.inъ
     fosecuritymag.com/articles/july01/cover.shtml, 2001.
  5. Leak Test Against Desktop Firewalls.  Д  http://www.pcflank.com/art21.htm,
     2002.
  6. DShield, Distributed Intrusion Detection System Project. Д http://www.dshъ
     ield.org, 2003.
  7. General Informations About Computer  Viruses.  Д  http://www.virusbtn.com,
     2003.
  8. D.Moore, V.Paxson, S.Savage et al. The Spreading of  the  Sapphire/Slammer
     Worm. Д  http://www.caida.org/outreach/papers/2003/sapphire/sapphire.html,
     2003.
  9. Fyodor. Information About idlScans with Nmap. Д http://www.nmap.org/nmap/ъ
     idlescan.html, 2002.
 10. Hexillion's Online Information Gathering Tool. Д http://www.hexillion.com,
     2003.
 11. ProcessXplorer, a Process Explorer from Sysinternals. Д http://www.sysintъ
     ernals.com, 2002.
 12. T.Bird. This is a Collection of Links Related to Log File Anayzer. Д http:
     //www.counterpane.com/log-analysis.html, 2002.
 13. Analysis and Surveys About Computer Security. Д http://www.cert.org/analyъ
     sis/, 2002.
 14. R.Graham. Explains Alarms Seen in Firewall Logs. Д http://packetstormsecuъ
     rity.org/papers/firewall/firewall-seen.htm, 2000.
 15. M.Rauen. Website with Low Level System Programming Source Code. Д http://ъ
     www.madshi.net, 2002.
 16. W.Hua, J.Ohlund, B.Butterklee. Microsoft's Introduction to Layered Service
     Provider. Д http://www.microsoft.com/msj/0599/layeredservice/layeredserviъ
     ce.htm, 1999.
 17. D.Brent  Chapman,  Elizabeth  D.Zwicky.  Building  Internet  Firewalls.  Д
     O'Reilly & Associates, 1995.
 18. DiamondCS. How to Shutdown Zonalarm from a Batch File. Д http://www.diamoъ
     ndcs.com.au/alerts/zonedown.txt, 2000.
 19. L.Bowyer. Article of Tunneling with HTTP Protocol and Stegano Messages  in
     Pictures. Д http://www.networkpenetration.com/protocol_steg.html, 2002.
 20. IGMP Fragmentation Bug. Д  http://www.iss.net/security_center/static/2341.
     php: Internet Security Systems, 1999.
 textend.all
 
  * Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор