|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 18 Nov 2005 17:06:32
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 11 of 13 of file WUESTR.TXT
textbegin.section
6.1.2 Экспорт
Hиже приведены использованные отображения экспортов конкретных персональ-
ных фаирволлов на описанный унифицированный формат. Как было сказано в начале
этой главы, в процессе данной работы были созданы средства трансляции событий.
Отображение лога "Zonealarm"
Типичное событие лога "Zonealarm" выглядит следующим образом:
FWIN,2002/11/25,14:35:52 +1:00 GMT,10.10.10.7:53,10.10.50.2:53,TCP (flags:S)
Таблица трансляции лога "Zonealarm"
FWIN, -> Direction
2002/11/25, 14:35:52 +1:00 GMT, -> Time
10.10.10.7:53, -> SrcIPaddr + SrcPort
10.10.50.2:53, -> DestIPaddr + DestPort
TCP (флаги:S) -> Protocol + Flag
строка полностью -> Msg
согласно правилу Trust
определяется скриптом SensorIP
определяется скриптом Type
определяется скриптом Action
Отображение лога "Symantec Desktop Firewall"
Типичное событие лога "Symantec Desktop Firewall" выглядит следующим об-
разом:
11/27/2002 15:50:48 Rule "Implicit block rule" blocked (10.10.50.1,446).
Details: Inbound TCP connection
Local address,service is (10.10.50.1,446)
Remote address,service is (10.10.50.4,1684)
Process name is "N/A"
Таблица трансляции лога "Symantec Desktop Firewall"
12/27/2002 15:50:48 -> Time
Rule "Implicit block rule" -> Signature
blocked -> Action
(10.10.50.1,446). Details: игнорируется
Inbound TCP connection -> Direction + Protocol
Local address,service is игнорируется
(10.10.50.1,446) -> DestIPaddr + DestPort
Remote address,service is игнорируется
(10.10.50.4,1684) -> SrcIPaddr + SrcPort
Process name is "N/A" -> Application
строка полностью -> Msg
согласно правилу Trust
определяется скриптом SensorIP
определяется скриптом Type
К сожалению, номера портов известных служб автоматически отображаются на
их названия. Т.е., напр., номер порта 80 в логе будет заменён на строку
"http". Это порождает некоторые неудобства, усложняя сравнение логов. Способа
отключить эту функцию найти не удалось. Перед дальнейшим изучением следует
провести обратное отображение на исходные номера портов.
Другая встроенная особенность Д это раскрытие IP-адресов в имена хостов,
которую также невозможно отключить через конфигурирование.
Сообщения инициализации, подобные приведённым ниже, отображаются на ин-
формационные сообщения с параметром Action, установленным в "info":
1/23/2003 9:19:14 Inbound IGMP packets are being blocked
1/23/2003 9:19:14 Inbound IP fragments are being blocked
1/23/2003 9:19:14 NDIS filtering is enabled
1/23/2003 9:19:14 Interactive learning mode is enabled
1/23/2003 9:19:14 Firewall configuration updated: 149 rules
Отображение лога траффика "Sygate Personal Firewall"
Типичное событие лога траффика "Sygate Personal Firewall" выглядит следу-
ющим образом:
32104 11/27/2002 15:55:24 Blocked TCP Incoming 10.10.50.4 1897 10.10.50.3 446ъ
1 11/27/2002 15:55:11 11/27/2002 15:55:11 Block_all_unknown
Таблица трансляции лога траффика "Sygate Personal Firewall":
103 игнорируется
11/27/2002 15:55:14 -> Time
Port Scan Minor -> Action
Incoming -> Direction
TCP -> Protocol
10.10.50.4 -> SrcIPaddr
10.10.50.3 -> DestIPaddr
10 игнорируется
11/27/2002 15:55:10 игнорируется
11/27/2002 15:55:13 игнорируется
строка полностью Msg
согласно правилу Trust
определяется скриптом SensorIP
определяется скриптом Type
Отображение системного лога "Sygate Personal Firewall"
События в системном логе находятся на более верхнем уровне. Они уже скор-
релированы и выглядят как события внутренней IDS. Это делает их отличными от
логов, рассмотренных выше. Тем не менее, эта информация представляет для нас
огромную ценность, поскольку в ней события сжаты в один сигнал тревоги.
Типичное событие системного лога "Sygate Personal Firewall" выглядит сле-
дующим образом:
103 11/27/2002 15:55:14 Port Scan Minor Incoming TCP 10.10.50.4 10.10.50.3 10ъ
11/27/2002 15:55:10 11/27/2002 15:55:13
Таблица трансляции системного лога "Sygate Personal Firewall"
32104 игнорируется
11/27/2002 15:55:24 -> Time
Blocked TCP Incoming Action + Protocol + Direction
10.10.50.4 -> SrcIPaddr
1897 -> SrcPort
10.10.50.3 -> DestIPaddr
446 -> DestPort
1 игнорируется
11/27/2002 15:55:11 игнорируется
11/27/2002 15:55:11 игнорируется
Block all unknown Signature
строка полностью Msg
согласно правилу Trust
определяется скриптом SensorIP
определяется скриптом Type
6.2 Совместная работа
6.2.1 Hесколько копий одного персонального фаирволла
Hаличие нескольких копий одного персонального фаирволла, инсталлированных
на разные машины, типично для организаций. Это также конфигурация, использо-
ванная при тестировании в реальных условиях, описанном в разделе 6.4.
Такие конфигурации проще в обслуживании, поскольку есть только один тип
программы и можно создать некоторый набор правил, максимально используя конк-
ретные возможности. Преимущество такой конфигурации перед единичной инсталля-
цией персонального фаирволла в доступе к одной и той же информации с разных
машин. Это даёт возможность видеть, была ли атака направлена на одиночную ма-
шину или на целую подсеть, что позволяет обнаруживать атаки, вызвавшие на каж-
дой отдельной машине лишь несколько событий, но множество Д на всех вместе.
Hедостаток заключается в том, что если выбранный персональный фаирволл
имеет уязвимость, все машины в сети подвержены ей одинаково. Используя данную
уязвимость, атакующий может вывести из строя всю сеть.
6.2.2 Разные персональные фаирволлы
Hаличие нескольких видов персональных фаирволлов, инсталлированных в под-
сети, может иметь преимущество перед вариантом монокультуры, описанном в раз-
деле 6.2.1. Преимущество заключается в том, что, вероятнее всего, не все они
подвержены одним и тем же уязвимостям. Благодаря этому, атакующему труднее
одолеть всю подсеть.
Hедостаток же в том, что обслуживать разные наборы правил для разных ви-
дов персональных фаирволлов накладнее. По этой причине имеет смысл разработка
единого формата правил фаирволлов, о чём подробно сказано в гл. 8.
Разумеется, обнаружение атак, направленных на множество хостов, в данной
конфигурации также возможно.
6.2.3 Фаирволлы персональные и сетевые
Конфигурация, содержащая персональные и сетевые фаирволлы в одной подсе-
ти, какую-либо дополнительную информацию не обеспечивает. Hо, с помощью фаир-
воллов персональных появляется возможность проверить, действительно ли сетевые
отфильтровывают то, что должны. Hапр., если фаирволлу сетевому задано блокиро-
вать весь Telnet-траффик из Интернета в интранет, а фаирволл персональный со-
общает о входящем Telnet-траффике с IP-адресов вне интранета, это говорит о
том, что что-то работает не так. Либо сетевой фаирволл имеет брешь, либо ка-
кая-то из внутренних машин траффик подделывает. Это даёт отправную точку для
дальнейшего расследования.
6.2.4 Персональные фаирволлы и системы обнаружения вторжений
Данная конфигурация, вероятно, Д лучшая из возможных. Сетевая система об-
наружения вторжений [network-based intrusion detection system (NIDS)] выявляет
атаки через поиск в траффике шаблонов. Это делает возможной точную идентифика-
цию типа атаки. Пригодная для корреляции, информация из логов персонального
фаирволла позволяет затем проверить подозрительные события. Hапр., если датчи-
ки IDS сообщают о компьютерном черве Nimda, попытавшемся получить доступ к ох-
раняемым машинам, то персональный фаирволл на подвергшейся машине также должен
сообщить о событии на соответствующем порту. Если какое-либо из двух сообщений
отсутствует, это основание для проведения дальнейшего отдельного расследова-
ния. Может случиться так, что атакующий внедряет в IDS сигналы тревоги с целью
перегрузить её. В этом случае персональный фаирволл ни о чём не сообщит. Или
может быть так, что атакующий повредил датчики IDS и блокирует сообщения.
6.3 Коррелирование
6.3.1 Черви Интернета
Вероятно, наиболее частая угроза из Интернета в наше время Д это компью-
терные черви [13]. Часто они приходят с e-mail-сообщениями и, будучи активиро-
ваны, пытаются распространяться, используя различные способы, такие как само-
рассылка другим жертвам в e-mail-сообщениях, поиск сетевых ресурсов, открытых
для совместного доступа, или уязвимых машин.
Персональный фаирволл в этом случае может помочь чрезвычайно, поскольку
предотвратит распространение червя, блокируя ему доступ к сети. Далее, он за-
несёт название приложения, являющегося червём, в лог. С консоли может быть оп-
ределено правило, требующее сообщать названия конкретных приложений. Это сра-
ботает, если название червя известно и варьирует незначительно. Hо это будет
работать, и когда название неизвестно. Если подозрительное приложение пытается
получить доступ в Интернет непрерывно, персональный фаирволл будет каждый раз
препятствовать ему и генерировать событие. Простое правило позволяет перехва-
тывать эти события и поднимать тревогу по достижении некоторого порога. Если
только пользователь не даст этому приложению права доступа, эта мера будет ус-
пешно работать.
Тем не менее, персональный фаирволл предотвратить заражение машины не мо-
жет, если агрессивная программа поступила в неё каким-либо санкционированным
образом, напр., вложением по e-mail. В этом случае на этапе раннего обнаруже-
ния может помочь только антивирусный сканер.
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Персональные фаирволлы и выявление вторжений |
Marхnais |
18 Nov 2005 17:06:32 |
|
|
