|
ru.internet.security
- RU.INTERNET.SECURITY ---------------------------------------------------------
From : Marхnais 2:5020/2173.2 18 Nov 2005 17:05:46
To : All
Subject : Персональные фаирволлы и выявление вторжений
--------------------------------------------------------------------------------
textsection 3 of 13 of file WUESTR.TXT
textbegin.section
2.2.3 "Sygate Personal Firewall"
"Sygate Personal Firewall" предлагает три различных режима работы: "бло-
кировать всё", "разрешать всё" и обычный.
Блокировать всё означает, что всякая передача входящих и исходящих
данных будет прекращена.
Разрешить всё означает, что весь траффик к и от охраняемой машины
будет разрешён. При этом будет вестись регистрация
событий, для которых имеются соответствующие прави-
ла.
"Обычный" означает, что будут использоваться правила фильтра-
ции, установленные пользователем.
Имеется таблица приложений, хранящая все данные им права и упорядоченная
по названиям приложений. Она имеет следующие поля:
FileName: название приложения;
Version: номер версии (сборки) приложения;
Access: статус доступа, назначенный данному приложению (блокиро-
вать, спрашивать, либо разрешать);
Path: расположение приложения.
Для всех приложений существует возможность создать сложное правило. Эти
правила могут фильтровать траффик приложений по дополнительным полям типа IP-
адреса или номеров портов. Каждому приложению может быть дано право отправлять
или принимать траффик во время режима скринсейвера или заданных отрезков вре-
мени.
Далее, существует возможность создавать сложные правила для соединений.
Каждое правило может задавать фильтрацию пакетов в соответствии с используемым
протоколом, IP-адресами, MAC-адресами и номерами портов. Все правила могут
быть привязаны ко множеству приложений. Реакцией на фильтруемый пакет может
быть его разрешение или блокирование. Правило может действовать только в за-
данный отрезок времени или во время режима скринсейвера.
Вместо регистрирования в файл фаирволл способен информировать о необычных
событиях, отправляя сообщение по e-mail. Это может осуществляться немедленно
при поступлении тревоги или через регулярные интервалы времени.
"Sygate Personal Firewall" обеспечивает защиту на уровне драйверов. Эта
функция блокирует стеки протоколов от доступа к сети, пока пользователь не
разрешит его. Если какое-либо приложение вопреки фаирволлу устанавливает собс-
твенный стек протокола, оно будет обнаружено.
Функция, называемая "аутентификация DLL", отслеживает связь DLL с прило-
жениями и отмечает её в собственной таблице. Доступ к сети каких-либо DLL, в
ней отсутствующих, блокируется.
2.3 Возможности регистрирования
2.3.1 "Zonealarm"
"Zonealarm" обеспечивает возможность регистрирования в файл в plain text
в простом формате. Таковое происходит не в реальном времени, поскольку прохо-
дит через внутренний буфер, прежде чем он будет сброшен, однако, задержка сос-
тавляет менее секунды и ею можно пренебречь. Каждое событие сохраняется в от-
дельной строке, содержащей поля, разделённые запятыми. Hиже показан формат и
пример фрагмента лога "Zonealarm".
ЪДДДДДДДДДДДДДВДДДДДДДДДДДДДДДДДВДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДї
іназвание поляі пример і формат содержимого і
ГДДДДДДДДДДДДДЕДДДДДДДДДДДДДДДДДЕДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДґ
іType іFWIN іFWIN|FWOUT|FWLOOP|LOCK|PE|ACCESS|FWROUTE|MSі
іDate і2002/11/26 іYYYY/MM/DD і
іTime і11:38:02 +1 GMT іHH:MM:SS +n GMT і
іSource і192.168.0.66:3244іIP-адрес:порт і
іDestination і192.168.0.10:80 іIP-адрес:порт і
іTransport іTCP(flags:s) іTCP(flags:x)|UDP|ICMP|IGMP|N/A і
АДДДДДДДДДДДДДБДДДДДДДДДДДДДДДДДБДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДДЩ
FWIN,2002/11/26,13:21:22 +1:00 GMT,10.10.50.42:63348,10.10.50.2:17978,TCP (flъ
ags:S)
FWIN,2002/11/26,14:07:22 +1:00 GMT,192.168.0.9:0,10.10.50.2:0,ICMP (type:8/suъ
btype:0)
FWIN,2002/11/26,14:22:00 +1:00 GMT,10.10.50.4:0,10.10.50.2:0,IGMP
FWIN,2002/11/25,13:41:36 +1:00 GMT,192.168.0.9:0,10.10.50.2:0,IGMP (type:2/suъ
btype:31)
FWIN,2002/11/26,15:31:46 +1:00 GMT,192.168.0.9:7617,10.10.50.2:42,UDP
ACCESS,2002/11/28,14:05:58 +1:00 GMT,,N/A,N/A
ACCESS,2002/11/28,14:05:58 +1:00 GMT,flood.exe was temporarily blocked from cъ
onnecting to the Internet (10.10.50.3).,N/A,N/A
PE,2002/11/28,14:09:06 +1:00 GMT,flood.exe,10.10.50.3:0,N/A
PE,2002/11/28,10:10:46 +1:00 GMT,Internet Explorer,192.168.0.9:80,N/A
FWOUT,2002/11/28,14:09:08 +1:00 GMT,10.10.50.2:96,10.10.50.3:66,TCP (flags:S)
FWOUT,2002/11/28,14:09:36 +1:00 GMT,10.10.50.2:0,10.10.50.3:0,IGMP
FWOUT,2002/11/25,14:37:40 +1:00 GMT,10.10.50.2:53,10.10.50.2:53,UDP
FWROUTE,2002/11/28,14:09:58 +1:00 GMT,0.0.0.0:96,10.10.50.3:66,UDP
FWROUTE,2002/11/28,14:11:28 +1:00 GMT,0.0.0.0:0,10.10.50.3:0,ICMP (type:8/subъ
type:0)
2.3.2 "Symantec Desktop Firewall"
"Symantec Desktop Firewall" регистрирует шесть различных типов событий в
отдельные логи, рассмотренные ниже. Внутри данные представлены в 16-ричном ви-
де и проприетарном формате. К сожалению, "Symantec" какого-либо описания фор-
мата этих файлов не предоставляет. Существует функция экспорта логов в plain
text, но часть информации оригинального лога, вчастности, подтип протокола,
при этом выбрасывается. Все нижеследующие образцы взяты из логов, экспортиро-
ванных в plain text. Шесть различных логов рассмотрены по отдельности в следу-
ющих подглавах.
Лог блокирования содержимого
Хранится в файле iamtdi.log. Этот файл регистрирует информацию о блокиро-
ванных апплетах ActiveX или Java. Пользователь имеет возможность задать данную
фильтрацию на трёх различных уровнях: низком, среднем и высоком. Эта функция
не имеет непосредственного отношения к данной работе, поскольку регистрация
событий не содержит информации о попытках вторжения. Поэтому данный лог в
дальнейшем не рассматривается.
Лог соединений
Хранится в файле iamtcp.log. Этот файл регистрирует все входящие и исхо-
дящие соединения, включая порты, отметки времени и количество прошедших байт.
Особый интерес может представлять последнее, напр., для проверки успешности
атаки. Правила фильтрации на это регистрирование не влияют. Hиже показан при-
мер лога соединений "Symantec Desktop Firewall".
1/28/2003 18:00:48 Connection: 192.168.0.33: http from 192.168.0.2: 1802, 537ъ
bytes sent, 1380 bytes received, 3:35.268 elapsed time
1/28/2003 18:00:12 Connection: 192.168.0.66: http from 192.168.0.2: radius, 3ъ
162 bytes sent, 8352 bytes received, 21.451 elapsed time
1/28/2003 17:59:54 Connection: 192.168.0.66: http from 192.168.0.63: radacct,ъ
503 bytes sent, 221 bytes received, 0.650 elapsed time
Лог фаирволла
Хранится в файле iamfw.log. Это основной лог. Он регистрирует входящие и
исходящие соединения, согласно указаниям в правилах фильтрации. Каждое событие
регистрируется на нескольких строках. Как показывают наблюдения, количество
строк может варьироваться от трёх до шести. Как видно из таблицы ниже, записи
событий не следуют каким-либо строгим правилам форматирования. Это несколько
затрудняет его перевод в унифицированный формат логов, описанный в гл. 6.
11/25/2002 14:39:05 Rule "Default Outbound ICMP" permitted (10.10.50.4,systatъ
). Details:
Outbound ICMP request
Local address is (10.10.50.1)
Remote address is (10.10.50.4)
Message type is "Time Exceeded for a Datagram"
Process name is "N/A"
11/26/2002 14:14:30 Blocked inbound IGMP packet. Details:
Remote address (10.10.50.4)
Local address (10.10.50.1)
11/27/2002 16:39:53 Rule "block all" blocked (10.10.50.1,441). Details:
Inbound TCP connection
Local address,service is (10.10.50.1,441)
Remote address,service is (10.10.50.4,44614)
Process name is "N/A"
1/27/2003 14:08:45 Rule "Eudora HTTP" blocked (192.168.0.7,http). Details:
Outbound TCP connection
Local address,service is (0.0.0.0,2683)
Remote address,service is (192.168.0.7,http)
Process name is "C:\Program Files\Qualcomm\Eudora\Eudora.exe"
11/26/2002 15:24:28 Rule "block all" blocked (10.10.50.1,nameserver). Details:
Inbound UDP packet
Local address,service is (10.10.50.1,nameserver)
Remote address,service is (192.168.0.2,15897)
Process name is "N/A"
Лог приватности
Хранится в файле iampriv.log. Этот файл регистрирует события, касающиеся
приватности, напр., отправки кук или идентификатора user-agent браузера. Пос-
кольку эти сведения не относятся непосредственно к вторжениям, этот лог в
дальнейшем не рассматривается.
Системный лог
Хранится в файле iamsys.log. Этот файл регистрирует рабочие сообщения,
такие как начало и окончание работы какой-либо службы. В рамках экспериментов
данной работы эти сигналы тревоги не рассматриваются, поскольку прямых следст-
вий они не имеют. В дальнейшем для полноты исследования может иметь смысл
включение и этого лога, т.к. в некоторых сценариях его информация может предс-
тавлять интерес. Hапр., когда атака деактивировала персональный фаирволл, хотя
у атакующего возможности сделать это не ожидалось.
Лог веб-истории
Хранится в файле iamwebh.log. Подобно файлу истории веб-браузера этот лог
регистрирует все посещённые URL-ы со временем и датой. Если только не ставится
цель отслеживать людей, посещающих заблокированные веб-страницы, этот лог не
представляет интереса для дальнейших экспериментов и потому не рассматривает-
ся.
2.3.3 "Sygate Personal Firewall"
"Sygate Personal Firewall" регистрирует события в четыре отдельных файла:
системный лог, лог безопасности, лог траффика и пакетный лог. Собственно логи
хранятся в 16-ричном коде, но имеется функция экспорта в сообщения в plain
text из консоли просмотра лога.
Кроме них в том же каталоге имеется ещё и отладочный лог под названием
debug.log, содержащий информацию такого типа как время запуска фаирволлом GUI
или который драйвер и куда был им загружен. Как следует из названия, он служит
только отладочным целям и в экспериментах данной работы не используется.
Все эти логи могут отображаться в двух различных режимах: "локальный вид"
["local view"] и "исходный вид" ["source view"]. Единственное различие между
ними в том, что они выводят два поля "удалённый хост" и "локальный IP" ["remo-
te host" & "local IP"] в первом режиме и "хост назначения" и "исходный IP"
["destination host" & "source IP"] в другом. С какой целью была реализована
эта функция, понять трудно, т.к. информация остаётся одна и та же. Два поля
просто меняются местами. Обычного же конечного пользователя данная опция может
скорее лишь смущать и раздражать. Для простоты, во всех проведённых тестах ис-
пользовался только режим "исходный вид".
Системный лог
Хранится в файле syslog.log. Этот файл регистрирует все рабочие измене-
ния, такие как начало и окончание работы служб, обнаружение сетевых приложе-
ний, изменение конфигурации программ и ошибки исполнения программ. Системный
лог важен для поиска неисправностей, но для целей коррелирования бесполезен, и
поэтому в рамках данной работы он не рассматривается. Включение этого лога в
рассмотрение для полноты исследования может иметь смысл в будущем. В некоторых
сценариях эта информация Д напр., о том, когда была запущена и остановлена ка-
кая-либо служба Д может представлять интерес. Hиже показан пример системного
лога "Sygate Personal Firewall".
*************** Windows Version info ***************
Operating System: Windows 2000 (5.0.2195 Service Pack 2)
*************** Network info ***************
No.0 "Local Area Connection" 00-04-ac-44-ab-ba "Intel 8255x-based PCI Ethernet
Adapter (10/100)" 10.10.50.3
96 01/22/2003 16:00:38 Information 12070202 Start Sygate Personal Firewall...
97 01/22/2003 16:00:38 Information 12070202 Sygate Personal Firewall has beenъ
started.
98 01/22/2003 16:00:38 Information 12070305 Security level has been changed tъ
o Normal
99 01/22/2003 16:00:54 Information 12070305 New Option Settings is applied
100 01/22/2003 16:01:14 Information 12070305 New Advance rule has been applied
101 01/22/2003 16:01:20 Information 12070204 Stopping Sygate Personal Firewalъ
l....
102 01/22/2003 16:01:24 Information 12070204 Sygate Personal Firewall is stopъ
ped
103 01/22/2003 17:02:08 Information 12070201 Sygate Personal Firewall 5.0.1150
textend.section
* Origin: 2:5020/1317.8, /2024.2, /2173.2, /2613.5, /5413.3 (2:5020/2173.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Персональные фаирволлы и выявление вторжений |
Marхnais |
18 Nov 2005 17:05:46 |
|
|
